資安的歷史
從 1970 年代到今天——將形塑資安的重大事件、漏洞、惡意程式與防禦技術,全部彙整在同一條時間軸上。每一則條目都連結到本站更深入的說明。
資安的歷史,是一部「新型攻擊」與「阻止它的技術」彼此拉鋸的紀錄。綜觀全局,就能看清今天自己該優先守護什麼。顏色代表分類。
- 入侵/攻擊
- 漏洞
- 惡意程式
- 防禦技術
- 標準/法規
奠基時期
1970s–1980s- 1976公開金鑰密碼學
Diffie–Hellman 公開了金鑰交換的構想——這正是 TLS、數位簽章,乃至今日 Passkeys 的底層基礎。
- 1988Morris 蠕蟲
史上第一支大規模網際網路蠕蟲——它波及了大量主機,並催生了 CERT。它讓世人明白:會執行的程式碼會擴散。
閱讀更多 - 1988CERT/CC 成立
在蠕蟲事件之後成立,是第一個統籌漏洞應變的協調中心——協同揭露機制的雛形。
網路時代的開端
1990s- 1995SSL/TLS
為網路流量加密的技術問世(後來標準化為 TLS)——它是 HTTPS 的核心,能阻止竊聽與竄改。
- 1998SQL 注入
輸入內容劫持資料庫查詢的漏洞開始廣為人知——至今仍屬最高等級的風險。防禦之道:參數化查詢。
閱讀更多 - 1999CVE 計畫
為每個漏洞賦予共通識別碼的機制就此展開——讓全世界能用同一個名字指稱同一個漏洞。
閱讀更多 - 2000ILOVEYOU
透過電子郵件附件爆炸性擴散的蠕蟲——利用社交工程進行感染的早期範本。
蠕蟲與大規模感染
2000s- 2003SQL Slammer
短短數分鐘就癱瘓整個網際網路的蠕蟲——證明了一個未修補的已知漏洞,可能演變成全球性的中斷。
- 2003OWASP Top 10
將網頁應用風險精煉成十項的清單——自此成為開發者之間的共通語言。
- 2005XSS(Samy 蠕蟲)
一支 XSS 蠕蟲一天內波及約 100 萬個個人檔案——生動地說明了為何輸出必須經過轉義。
閱讀更多 - 2006PCI DSS
凡是處理信用卡資料者都須遵循的共通資安標準——以合規驅動資安的時代由此開始。
- 2008Conficker
感染數以百萬計主機的殭屍網路——再次提醒世人,延誤修補有多危險。
大型外洩的時代
2010–2016- 2010Stuxnet
針對工業控制系統的國家級攻擊——證明了一場網路攻擊足以破壞實體設備。
- 2014Heartbleed
一個 OpenSSL 漏洞,可能從伺服器記憶體洩漏私密金鑰與工作階段——相依套件風險的象徵。
閱讀更多 - 2014Shellshock
一個 Bash 漏洞,可能導致遠端程式碼執行——無所不在的元件一旦有洞,波及範圍極廣。
閱讀更多 - 2014FIDO/U2F 安全金鑰
抗釣魚的第二因素驗證標準問世——通往 Passkeys 的那條路由此鋪開。
閱讀更多 - 2015Let's Encrypt
免費、自動化的 TLS 憑證——讓 HTTPS 從奢侈品變成預設值的轉捩點。
閱讀更多 - 2016Mirai(IoT 殭屍網路)
劫持使用預設密碼的 IoT 裝置,發動大規模 DDoS——凸顯了預設/弱密碼憑證的危險。
閱讀更多
勒索軟體與供應鏈
2017–2021- 2017WannaCry/NotPetya
全球規模的勒索軟體災情——未修補的系統加上快速擴散,足以讓整個組織停擺。
閱讀更多 - 2017Equifax 外洩事件
透過一個未修補的 Apache Struts 漏洞流失約 1.47 億筆紀錄——忽視相依套件 CVE 所付出的最壞代價。
閱讀更多 - 2018GDPR 上路
歐盟全面性的資料保護法——外洩自此伴隨高額罰款與通報義務。
- 2019Capital One(SSRF)
SSRF 加上雲端設定不當,導致 1 億多筆紀錄外洩——雲端時代設計失誤的典型。
閱讀更多 - 2020SolarWinds
藏在合法軟體更新中的供應鏈攻擊——被信任的散布管道本身被武器化。
閱讀更多 - 2021Codecov
竄改一個 CI 工具就洩漏了大量密鑰——讓人們廣泛意識到,建置流水線同樣是攻擊目標。
閱讀更多 - 2021Log4Shell
一個 Log4j 漏洞,光是記錄一段字串就可能執行程式碼——關於「盡快修補相依套件」的沉痛一課。
閱讀更多