跳至主要內容
>_ITDITD網站資安平台
timeline

資安的歷史

從 1970 年代到今天——將形塑資安的重大事件、漏洞、惡意程式與防禦技術,全部彙整在同一條時間軸上。每一則條目都連結到本站更深入的說明。

資安的歷史,是一部「新型攻擊」與「阻止它的技術」彼此拉鋸的紀錄。綜觀全局,就能看清今天自己該優先守護什麼。顏色代表分類。

  • 入侵/攻擊
  • 漏洞
  • 惡意程式
  • 防禦技術
  • 標準/法規

奠基時期

1970s–1980s
  1. 1976公開金鑰密碼學

    Diffie–Hellman 公開了金鑰交換的構想——這正是 TLS、數位簽章,乃至今日 Passkeys 的底層基礎。

  2. 1988Morris 蠕蟲

    史上第一支大規模網際網路蠕蟲——它波及了大量主機,並催生了 CERT。它讓世人明白:會執行的程式碼會擴散。

    閱讀更多
  3. 1988CERT/CC 成立

    在蠕蟲事件之後成立,是第一個統籌漏洞應變的協調中心——協同揭露機制的雛形。

網路時代的開端

1990s
  1. 1995SSL/TLS

    為網路流量加密的技術問世(後來標準化為 TLS)——它是 HTTPS 的核心,能阻止竊聽與竄改。

  2. 1998SQL 注入

    輸入內容劫持資料庫查詢的漏洞開始廣為人知——至今仍屬最高等級的風險。防禦之道:參數化查詢。

    閱讀更多
  3. 1999CVE 計畫

    為每個漏洞賦予共通識別碼的機制就此展開——讓全世界能用同一個名字指稱同一個漏洞。

    閱讀更多
  4. 2000ILOVEYOU

    透過電子郵件附件爆炸性擴散的蠕蟲——利用社交工程進行感染的早期範本。

蠕蟲與大規模感染

2000s
  1. 2003SQL Slammer

    短短數分鐘就癱瘓整個網際網路的蠕蟲——證明了一個未修補的已知漏洞,可能演變成全球性的中斷。

  2. 2003OWASP Top 10

    將網頁應用風險精煉成十項的清單——自此成為開發者之間的共通語言。

  3. 2005XSS(Samy 蠕蟲)

    一支 XSS 蠕蟲一天內波及約 100 萬個個人檔案——生動地說明了為何輸出必須經過轉義。

    閱讀更多
  4. 2006PCI DSS

    凡是處理信用卡資料者都須遵循的共通資安標準——以合規驅動資安的時代由此開始。

  5. 2008Conficker

    感染數以百萬計主機的殭屍網路——再次提醒世人,延誤修補有多危險。

大型外洩的時代

2010–2016
  1. 2010Stuxnet

    針對工業控制系統的國家級攻擊——證明了一場網路攻擊足以破壞實體設備。

  2. 2014Heartbleed

    一個 OpenSSL 漏洞,可能從伺服器記憶體洩漏私密金鑰與工作階段——相依套件風險的象徵。

    閱讀更多
  3. 2014Shellshock

    一個 Bash 漏洞,可能導致遠端程式碼執行——無所不在的元件一旦有洞,波及範圍極廣。

    閱讀更多
  4. 2014FIDO/U2F 安全金鑰

    抗釣魚的第二因素驗證標準問世——通往 Passkeys 的那條路由此鋪開。

    閱讀更多
  5. 2015Let's Encrypt

    免費、自動化的 TLS 憑證——讓 HTTPS 從奢侈品變成預設值的轉捩點。

    閱讀更多
  6. 2016Mirai(IoT 殭屍網路)

    劫持使用預設密碼的 IoT 裝置,發動大規模 DDoS——凸顯了預設/弱密碼憑證的危險。

    閱讀更多

勒索軟體與供應鏈

2017–2021
  1. 2017WannaCry/NotPetya

    全球規模的勒索軟體災情——未修補的系統加上快速擴散,足以讓整個組織停擺。

    閱讀更多
  2. 2017Equifax 外洩事件

    透過一個未修補的 Apache Struts 漏洞流失約 1.47 億筆紀錄——忽視相依套件 CVE 所付出的最壞代價。

    閱讀更多
  3. 2018GDPR 上路

    歐盟全面性的資料保護法——外洩自此伴隨高額罰款與通報義務。

  4. 2019Capital One(SSRF)

    SSRF 加上雲端設定不當,導致 1 億多筆紀錄外洩——雲端時代設計失誤的典型。

    閱讀更多
  5. 2020SolarWinds

    藏在合法軟體更新中的供應鏈攻擊——被信任的散布管道本身被武器化。

    閱讀更多
  6. 2021Codecov

    竄改一個 CI 工具就洩漏了大量密鑰——讓人們廣泛意識到,建置流水線同樣是攻擊目標。

    閱讀更多
  7. 2021Log4Shell

    一個 Log4j 漏洞,光是記錄一段字串就可能執行程式碼——關於「盡快修補相依套件」的沉痛一課。

    閱讀更多

現代(Passkeys 與 AI)

2022–
  1. 2022Passkeys

    抗釣魚、可取代密碼的登入方式,在各大作業系統與瀏覽器上正式推出。

    閱讀更多
  2. 2023MOVEit/Cl0p

    針對一款檔案傳輸產品漏洞的大規模利用——單一元件的一個洞,連鎖波及數千個組織。

    閱讀更多
  3. 2024xz-utils 後門

    一個後門差點潛入無所不在的壓縮函式庫,所幸即時被發現——供應鏈攻擊正變得愈發隱蔽。

    閱讀更多
  4. 2024AI 時代

    生成式 AI 同時加速了攻擊與防禦——並帶來金鑰外洩、提示注入等新的陷阱。

    閱讀更多