Speaker:楊國棟
2011/07/12
資安的概念
近來重大的資安議題
駭客的類型、攻擊手法與防範作為
2004年5月,電影「
特洛
依︰木馬屠城
」
電影主角
阿基里斯
在希臘
神話中是
刀槍不入
的勇猛
戰士,堪稱
無敵
!
(圖片來源) http://www.atrium-media.com
阿基里斯
刀槍不入的全身,源於嬰兒時由母親倒
抓其右腳踝
浸泡冥河
,所以只有沒浸泡到的右腳
踝是其唯一弱點
所以縱使
阿基里斯
神勇無敵,在
敵人一箭射中其
右腳踝
後,無敵神話仍舊破碎!
(圖片來源) http://blogs.vembu.com
組織建構了護城河
→
內部網路保護
建起了高昂的城牆
→
各項安全防護
建造了堅固的城門
→
防火牆
而您,士兵準備好了
嗎…
您的輕忽,可能開啟
防護漏洞…
(圖片來源) http://www.japaneselifestyle.com.au
修補資訊系統的漏洞
◦ 資訊系統可藉由更新、修補降低被入侵的風險
修補使用者的習慣
◦ 使用者必須持續的教育宣導、演練加深印象,養成資安意
無名小站因XSS漏洞造
成個資外洩,至今仍貼
於某網站
美國花旗銀行在7-11內
部 的 5,700 多 部 ATM 網
路遭駭客入侵,竊取帳號
與PIN等資料,盜領數百
萬美元。
入侵ATM實例
◦ 2010美國駭客年會,專家 示範入侵ATM (圖片來源) big5.xinhuanet.com
維 基 解 密 網 站
(Wikileaks) 公 開
250,000 多 筆 美 國
大使館機密文件,
造成美國與國際間
的緊張。
(圖片來源) BillyPan blog
悠遊卡系統金鑰可於6小
時內被破解並任意扣款或
儲值。
據BBC News的報導
超 過 1 億 7 千 多 萬 名
Facebook 會 員 個 資
流入BT網站供人下載
使用。
Photo by jas9.blogspot.com
Twitter 應用程式可顯
示個人交友關係
http://apps.asterisq.
com/mentionmap/
BarackObama-歐巴馬 ParisHilton 希爾頓
Android 手機之免費應
用程式內含惡意程式
iPhone & iPad收集完
整使用者位置資訊?
(圖片來源)www.smartmobix.com.tw
專業駭客
一般玩家
特定目標
駭客攻擊手法 誘騙上當植入木馬程式 利用漏洞進行入侵 釣魚式攻擊 主動式攻擊 黑心軟體 電子郵件 即時通 安全防護不足 未更新修補程式 釣魚網站 跨網站腳本攻擊
冒名的寄件者
◦ 朋友、同事、長官、機關團體或廠商等。 精心設計誘人且聳動的主旨
◦ 時事、旅遊、財經、健康、購物或情色等類別。 以假亂真的內容
◦ 以附件、網頁元件或超連結等內容型態。 包羅萬象的陷阱
◦ 病毒、蠕蟲或惡意程式
2011年四月本校電子郵件社交工程演練
◦ 適逢日本大地震
◦ 以團購地震包為主旨
關閉自動下載圖片
關閉預覽視窗
不要自動回覆讀信回條
不隨意開啟來路不明的郵件
附加檔案、超連結不任意點擊
以純文字格式讀取郵件
MSN社交工程漸取代電話詐騙
非本人所傳的連結,帳號密碼已遭盜用
惡意使用者 受害者 即時通好友 取得帳號密碼 商店 購買有價點數 2010年11月 台北一位施小姐在上班時 收到駭客冒用友人MSN帳 號傳訊,請她到便利商店代 購MyCard點數。由於駭客 熟知原帳號者詳細的個人資 料,包括人在國外等資訊, 施小姐和駭客聊天完全沒感 覺可能是冒充,因而損失了 新台幣7000元;後經查證, 才發現是詐騙 新聞來源: 中央社
隨時更新即時通軟體
多一分求證
◦ 事涉金錢交易時,務必再以電話與當事人確認
遇到MSN異常情形,最快的解決方式是選擇別台沒
進入Windows Live 更改密碼
https://login.live.com/
利用合法網站本身的漏洞
置入幾可亂真的網頁頁面(置換網頁 Defacement)
或藉由知名網站廣告,連結惡意網頁
以誘騙使用者輸入帳號、密碼及信用卡資料為主要
目的
常見的手法有[近似]及[延伸]
◦ 近似範例:login.live.com→login-live.com 財務損失
◦ 2006年美國企業估計每年損失20億美元 ◦ 2007年美國估計損失約32億美元
2011年五月本校某系案例
◦ 網站管理人員疏於管理 ◦ 網站遭植入釣魚頁面,騙取使用者銀行帳號、密碼 ◦ 系辦對私架伺服器無法掌控,無法在第一時間聯絡網站管 理人員 ◦ 相關人員無資安意識 ◦ 延宕處理流程 ◦ 教育部列為資安事件
使用不同瀏覽器區隔網路連線
◦ 需同時瀏覽重要網站與一般網站時,可使用不同瀏覽器區 隔各項連線 ◦ 運用不同瀏覽器間的Cookie管理差異,避免攻擊 提高瀏覽器安全等級設定
◦ 使用者可依自身需求設定瀏覽器安全等級 ◦ 高安全性的設定可防止JavaScript執行 ◦ 瀏覽歷程及Cookie要定時清除 注意不明要求輸入資料之視窗
注意網址列的內容
Cross-Site Scripting 攻擊原理
◦ 駭客利用Web網頁裡搭配JavaScript程式插入惡意的html 代碼,當使用者在瀏覽網頁時,這個惡意的代碼就會被執 行並隨著回應訊息時,感染給使用者 駭客 網頁主機 使用者
使用不同瀏覽器區隔網路連線(同前)
提高瀏覽器安全等級設定(同前)
軟體隨時更新
◦ 作業系統、瀏覽器及應用軟體更新至最新版本,同時執行 漏洞修補 防護系統更新
◦ 防護系統(含病毒碼)更新至最新版本
又稱惡意程式、流氓軟體
通常無立即性危害,以蒐集使用者重要、隱私之資
料為主
一般病毒程式
•像吃砒霜
•通常立即發作
•防毒軟體可偵測出
來
黑心軟體
•像吃了含塑化劑的食品
•經過一段時間才見危害
•防護軟體偵測不易
黑心防毒軟體(Fake Anti-Virus)
◦ 利用使用者的恐懼,透過網頁廣告、其他網站等誘導使用
者下載安裝防毒軟體,但其實使用者下載的是惡意程式。
軟體更新
◦ 作業系統、瀏覽器及相關應用程式,保持良好更新習慣並 同時執行漏洞修補。 不使用無版權軟體
◦ 無版權軟體可能隱含惡意程式,隨意使用可能暴露於風險 之中。 注意下載來源
◦ 至官方網站下載軟體,可避免下載到含惡意程式的軟體。
主動
◦ 網頁遭竄改 ◦ 磁碟空間快速減少 ◦ 網路流量提高 ◦ 系統存在不明帳號 ◦ 不明的Process 被動
◦ 監控單位通知
駭客網站
◦ http://www.zone-h.org/
中國黑站
密碼
◦ 不告訴任何人密碼 ◦ 不寫下密碼 ◦ 設定不易猜到的密碼 ◦ 密碼要定期更換 軟體更新
◦ 隨時留意微軟作業系統及其他應用軟體更新功能 ◦ 不使用盜版軟體 病毒
◦ 安裝防毒軟體並定期更新病毒碼 •密碼強度 英、數字 •替換技巧 0←→O, i ←→1 •位移技巧 security ←→ecuritys Cookie 記錄與隱私權 ◦ 透過設定瀏覽器的安全設定值來限制Cookie功能 ◦ 不任意在從來沒有聽過、或第一次造訪的網站中填寫重要的 個人資料或留下信用卡資料 公用存取 ◦ 使用公共電腦時,特別留意坐或站在旁邊的人 ◦ 絕對不勾選瀏覽器的「記住密碼」選項 ◦ 使用公共電腦完畢離開前,應關閉網頁瀏覽器,若有登入網 路服務(如電子郵件),應完成「登出帳號」動作後,再關 閉瀏覽器。 ◦ 盡量不在公共電腦中輸入敏感性高的資訊 ◦ 若經常使用公共電腦,更換密碼的頻率要更高
間諜軟體
◦ 下載免費或共享軟體前,需仔細閱讀和有關的訊息 ◦ 避免透過P2P程式或其他管道下載來路不明軟體 即時通訊軟體
◦ 不隨意接受透過即時通所傳遞來的檔案 ◦ 不透過即時通傳遞個人資料,或重要的公司機密資料 ◦ 安裝防毒軟體、防火牆
電子郵件
◦ 電子郵件夾帶副檔名.exe、.com、.bat等檔案,幾乎都是 惡意程式,不要開啟 ◦ 非公務郵件盡量別開啟 網路釣魚與網路詐騙
◦ 仔細辨視網址列上的網址 詐騙網頁常使用一些易混淆的字母來偽裝誘騙 ◦ 不直接使用email所提供超連結,以輸入網址方式取代 ◦ 不要因為好奇心任意點擊情色、聳動等標題的網址連結 ◦ 凡事求證後才行動,可減少被騙機會