個人電腦/網站的資訊安全:給非營利組織的建議

7,015 views

Published on

http://nettuesday.tw/events/2013/08/428

講者: 翁浩正 Allen Own

為什麼資訊安全會影響到整個組織的營運?
我不是技術人員,為什麼我需要懂資安?
該如何確保我的個人電腦和網站是安全的?

Published in: Technology
0 Comments
8 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
7,015
On SlideShare
0
From Embeds
0
Number of Embeds
4,647
Actions
Shares
0
Downloads
0
Comments
0
Likes
8
Embeds 0
No embeds

No notes for slide

個人電腦/網站的資訊安全:給非營利組織的建議

  1. 1. 個人電腦/網站的資訊安全 NetTuesday 翁浩正 Allen Own allenown@devco.re
  2. 2. Who Am I 翁浩正 (Allen Own) allenown@devco.re DEVCORE 戴夫寇爾 執行長 CHROOT 成員 HITCON 台灣駭客年會副總召 NISRA 資安團隊創辦人 資安技能金盾獎競賽100年冠軍
  3. 3. 進行政府單位、企業等滲透測試專案 任企業、學術及政府單位講師及顧問 資訊安全系統研究及開發 網路安全規劃建置 駭客攻擊手法、駭客追蹤 攻擊程式、後門程式開發與研究 EC-Council Certified Ethical Hacker Computer Hacking Forensic Investigator
  4. 4. 2013/07/19 (五) ~ 20 (六) 中央研究院 ⼈人⽂文社會科學館
  5. 5. Cyberwar 是什麼?
  6. 6. http://www.flickr.com/photos/42514833@N07/5246970893/
  7. 7. 網路戰正在進行中!
  8. 8. 駭客癱瘓電視台銀行 南韓報告:北韓所為 南韓上月遭駭客入侵,多家電視台和銀行全面癱瘓, 南韓警方一度稱駭客攻擊來自中國,後改口是美國及 歐洲等4個國家,但今天南韓公布正式報告,指控北韓 確為這起攻擊案的主謀,籌畫時間長達8月之久。 http://www.appledaily.com.tw/realtimenews/article/ international/20130410/174492/
  9. 9. 駭客特種部隊 金恒光引用一份北韓政府官方文件資料指出,北韓已 故領導人金正日2009年還親自下令將設在平壤的網路 特種部隊擴編至3,000人,雖然該份文件的真實性未經 確認,但金恒光據此揣測,北韓駭客人數之後已大幅 增加,有些是派駐中國,以便從事滲透海外網路的任 務。 http://news.chinatimes.com/world/ 11050401/122013041400358.html
  10. 10. Die Hard 4.0
  11. 11. 網路戰的目的是什麼? 竊取國家情報 癱瘓網路 示威 絕非電影特效!
  12. 12. 駭客是什麼? What is Hacker?
  13. 13. http://www.flickr.com/photos/torh/5275187124/
  14. 14. 駭客是什麼 駭客 (Hacker) 原意為 「熱衷於電腦系統技術研究的專家」 大量誤用下「駭客」一詞帶有負面色 彩,常為非法惡意破壞、入侵系統的人
  15. 15. 駭客是什麼 White Hat 白帽駭客 資安專家,對系統安全進行研究並防禦修 補。多數從事資訊安全相關行業 Black Hat 黑帽駭客 進行犯罪的入侵行為,專司破壞,以前亦可 稱為 Cracker
  16. 16. 駭客是什麼 Grey Hat 灰帽駭客 介於 White Hat 及 Black Hat 之間 Script Kiddie 技術不純熟或不懂原理,只會使用現有攻擊 程式進行惡意破壞的攻擊者,被戲稱為 Script Kiddie,目前多數惡意破壞者皆是
  17. 17. 駭客組織 官方編制 非官方編制(地下) 個體戶
  18. 18. 駭客攻擊的目標 目標:伺服器 / 個人電腦 惡意駭客為了達到某些目的,會攻擊伺 服器或個人電腦。不同的目標會有不同 的攻擊手法,也會有著不同的目的。
  19. 19. 網站被入侵的後果? 駭客到底要的是什麼?
  20. 20. 網站被入侵的後果? 1. 竊取網站內部資料 2. 做為跳板攻擊其他主機 3. 掛碼或放置惡意程式 4. 置換頁面或破壞 5. 竊取站內帳號密碼個資
  21. 21. 駭客取得帳號密碼如何使用 1. 針對性的盜用某帳號 2. 取得管理者權限 3. 將密碼檔製作成字典檔
  22. 22. 個人電腦被入侵的後果? 駭客到底要的是什麼?
  23. 23. 個人電腦被入侵的後果? 1. 竊取電腦內部資料 2. 竊取電腦內帳號密碼個資 3. 做為跳板攻擊其他主機
  24. 24. 為什麼非技術人也要學資安
  25. 25. 木桶理論
  26. 26. 木桶理論 (資安新解) 資訊安全的防護等級,是從木板中最短 的那片高度來決定,水一定從那邊流出 來。 資安環節中,只要有小地方疏失,就會 造成整個系統的危害。
  27. 27. 不要成為最短的那塊木板!
  28. 28. 技術人員需要學習 最新資安弱點 最新駭客攻擊手法 新建置技術、新防禦技術 避免僥倖心態
  29. 29. 網站企劃及網站行銷人員 需要學習 資安意識 資安事件 駭客攻擊手法 避免僥倖心態
  30. 30. http://weblog.rubyonrails.org/2013/1/8/Rails-3-2-11-3-1-10-3-0-19-and-2-3-15-have-been-released/ 你更新了嗎?
  31. 31. 你更新了嗎?
  32. 32. 25-GPU cluster cracks every standard Windows password in <6 hours All your passwords are belong to us. http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/
  33. 33. 我的網站很安全, 駭客一定沒辦法! 僥倖心態 管理者 你確定? 你的安全不代表我的安全! 駭客
  34. 34. 我的網站 很小 / 很窮 / 很無聊 駭客不會找上我啦! 僥倖心態 管理者 我爽就好! 駭客
  35. 35. 我的網站根本還沒上線宣傳, 駭客找不到的啦! 僥倖心態 管理者 我不小心掃到的... 駭客
  36. 36. 網站錯誤訊息未隱藏 錯誤訊息給予駭客入侵的資訊,包括系 統配置、目錄,甚至帳號、密碼等 應⽤用程式不安全> 很醜
  37. 37. 資料庫欄位、表、資料庫名稱配置
  38. 38. 網站實體路徑
  39. 39. B 網站 密碼:1qaz2wsx C 網站 密碼:1@#$%^%^*ag 密碼:1qaz2wsx A 網站 (遭⼊入侵) (⼊入侵)
  40. 40. 管理者未盡責任 隱匿不報 -> 引發更嚴重的事態 推卸責任 -> 無法解決問題 湮滅證據 -> 問題依舊存在,駭客逍遙自在
  41. 41. 我的密碼沒加密 http://plainpass.com
  42. 42. 駭客的思維跟我們不一樣
  43. 43. 駭客攻擊流程 1.Reconnaissance 2.Scanning 3.Gaining Access 4.Maintaining Access 5.Clearing Tracks
  44. 44. 真實攻擊事例 駭客經由 Web 網站找到網站弱點,植入 Web Shell 後門連入主機。 http://victim.org/z.php?cmd=oxox 各種 Web Security 問題皆可利用。
  45. 45. 真實攻擊事例 (Cont.) 連入主機後發現帳號權限不足,從主機 內尋找可用的資訊。 權限:nobody:nogroup 找尋可用帳號 /etc/passwd 查詢系統可用資訊 /var/log 搜尋有無 setuid files 可供利用
  46. 46. 真實攻擊事例 (Cont.) 發現主機 Kernel 版本過舊,有可提權的 弱點。 撰寫/搜尋 Exploit 攻擊,取得 root 權限 http://www.exploit-db.com Google! By yourself!
  47. 47. 真實攻擊事例 (Cont.) 放置後門 / Rootkit 以供日後使用。 /etc/passwd 建立帳號 /etc/rc.d 放置後門 代換 sshd 等
  48. 48. 真實攻擊事例 (Cont.) 清除足跡:記錄檔及系統紀錄 ~/.history ~/.bash_history /var/log/*
  49. 49. 網站安全案例介紹
  50. 50. 網站安全案例介紹 1. 資料外洩 2. 備份檔案 3. 系統漏洞
  51. 51. 網站安全檢測如何實作 查詢伺服器、套件的版本資訊 觀察網站頁面、元素、進入點 給予正常的輸入、異常的輸入,觀察網 站的反應及訊息 Trial and Error
  52. 52. 測試工具
  53. 53. 測試工具 Mantra http://www.getmantra.com/ Burp Suite http://portswigger.net/burp/ Fiddler http://fiddler2.com/
  54. 54. DEMO
  55. 55. 安全檢測小技巧 檢測網站是否曾被駭 http://www.google.com/safebrowsing/ diagnostic?site= http://zone-h.org http://www.malwaredomainlist.com/ mdl.php http://www.urlvoid.com/
  56. 56. Q & A
  57. 57. Thanks! 翁浩正 Allen Own allenown@devco.re

×