資訊安全入門5. 5
駭客的動機
• 經濟利益
• 竊取個資販售給詐騙集團
• 控制主機作為跳板,發動更為精細的攻擊
• 展示能力或者炫耀
• 玩自動化工具
• 政治動機
• 中國網軍
• 意識型態
• Anonymous hack group
9. 9
常見的惡意程式的分類
• 木馬 • RootKit
• 病毒 • 鍵盤記錄器
• 間諜軟體 • 自動撥號程式
• 廣告軟體
• 蠕蟲
• 後門軟體
• 疆屍網路
10. 10
特洛伊木馬 Trojan Horse
• 通常隱藏於看似良好的
程式之中,執行惡意的
程式碼。
• 例如網路傳送的小遊
戲, 線上遊戲的外掛程
式等。
• 所能夠造成的惡意舉動
端看惡意程式碼作者而
定,很有想像空間。
14. 14
電腦病毒 Computer Virus
• 病毒常常為一串很小的程式碼。
• 通常具備將本身程式碼插入其他程式的能力,因此造成所
謂的感染現象。
• 病毒的行為通常具備明顯破壞性,例如格式化硬碟或是刪
除重要檔案等(南韓2013/3/20銀行遭受入侵事件)。
• 基本上病毒能夠做的事情也端視作者所想達到的目的而
定。
• 常見的散佈管道:USB隨身碟, E-mail, Web, Office文件, 網
路小遊戲…
27. 27
知名的廣告軟體(或者內含廣告的軟體)
• Kazaa • Yahoo! Messenger
• Gator • FlashGet
• AOL Instant • Windows Live
Messenger Messenger
• Ask.com Toolbar • Foxit PDF Reader
• Bonzi Buddy • More…
• DivX
• VirusProtect Pro
28. 28
垃圾郵件 Spam Mail
• 只要是你沒有主動要求過的資料,都叫做垃圾信。
• 垃圾信件不見得是以單純文字為主,現在甚至演變成以圖
片顯示文字,藉以規避郵件過濾條件。
• 垃圾信件內也許會夾帶惡意程式附件。
30. 30
Rootkit
• 此名詞來自Unix (Root Kit)
• 通常能夠將指令以及足跡完全遮蓋。
• 換句話說就是想辦法讓你抓不到有人在幫你管理你的系
統!
• 難以偵測,難以移除,通常下場都是格式化磁碟機後重新
安裝作業系統。
• 2005 Sony BMG CD防拷程式採用rootkit技術
32. 32
反向連結示意圖
1. client上網站, 不阻擋
2. 網站回傳資料, 不阻擋
3. 攻擊者利用
既有通訊傳送
指令
36. APT - Advanced Persistent Threats
• Advanced (進階的)
• 可繞過既有防線的技巧
• 常指詐騙手法:詐騙信件、詐騙檔案
• Persistent (持續的)
• 經年累月,針對性不停歇的攻擊
• Threats (威脅)
• 偷取個資、安裝木馬、跳板攻擊
38. APT主要攻擊手法
• 主要利用零時差攻擊讓用戶端執行惡意程式
• 零時差意思為連原廠都不知道的程式漏洞
• E-mail
• 夾帶惡意檔案/惡意連結
• WEB
• 網頁掛馬, 釣魚網址
• 其他常見管道:
• msn/skype/line/ftp/qq…
• 網路芳鄰
• USB裝置
• 其他傳統的散佈方式
43. 被APT成功攻擊後
• 個資外洩
• 網購清單、帳號密碼、公司機密、客戶清單…
• 被當成進一步的APT攻擊跳板
• 偽裝成你發信給上下游廠商
• 被當做木馬/跳板
• 損失商譽 = 損失$$
44. 如何防制APT攻擊
• 加強資安教育訓練
• 小心應對不明郵件跟網址,防止釣魚跟詐騙
• 補齊傳統資安設備 (FW/IPS/AV)
• 外加上新式APT防制設備
• 定期更新防毒碼/程式,定期掃描,監控稽核事件
• 雖無法第一時間偵測到,也可亡羊補牢
• 善用加密機制,保護重要文件跟資產
• 被竊取後駭客也需要解碼,增加困難度
• 定期資料備份
• 以利災難復原
46. 46
一般惡意程式攻擊流程
1. 首先撰寫惡意程式。
2. 利用各種管道進行散佈
垃圾郵件
被盜帳號的社群網路
先前已經入侵好的主機
釣魚網站、廣告
3. 等待使用者點擊後中獎!
4. 發揮程式所設計之目的(破壞,盜資訊)
49. 49
E-mail如何散佈惡意程式
• Spam
• 垃圾信
• Phishing
• 偽裝成跟你有關的信件騙你點
• 由蠕蟲/病毒所產生的自動化病毒郵件
• 內含廣告強迫你看到
• 夾帶惡意程式騙你開附檔,預覽就中毒
• 放惡意網址騙你點擊連線
56. 56
真實誘騙網址舉例
偽裝目標 真實網址 假網址
無名小站 www.wretch.cc www.wretcn.cc
匯豐銀行 www.hsbc.com www.hkhsbc.com
遊戲橘子 www.gamania.com www.gamannia.com
www.lcbc.com.cn
中國工商銀行 www.icbc.com.cn
www.icbc.org.cn
PayPal www.paypal.com www.paypa1.com
美國白宮 whitehouse.gov whitehouse.com
Google www.google.com www.googkle.com
土地銀行 www.landbank.com.tw www.1andbank.com.tw
67. 67
如何阻擋Phishing?
• 由於Phishing是騙術, 因此原則為小心至上。
• 注意SSL憑證的告警訊息
• 讀取郵件時以純文字方式開啟郵件檔,避免執行其中的惡
意網頁語法。
• 不直接點選郵件檔的超連結,因為其中的超連結可能是假
的。
• Mozilla Thunderbird/Outlook 2010內建可”簡易”分析是否為
釣魚或者詐騙信件。
• 無法保證百分百偵測率
• 新式瀏覽器(Firefox 19/IE 9/Chrome)皆已內建簡易的惡意
網址偵測功能,當瀏覽到疑似釣魚的網站時會自動警告使
用者。
• 也可安裝防毒軟體的程式補強
68. 68
技術型騙術 - Pharming (修改網址)
• 藉由偽裝或者入侵DNS主機,透過更改DNS記錄或是本機
Host檔案,可將瀏覽至原始網站的IP改導向至惡意網站。
• 當位在惡意網路內時最有可能碰到
• 請勿太相信來路不明的免費 WiFi 網路
• 若能夠入侵ISP網路則可透過更改IP路由的方式,將IP封包
轉向至惡意主機。
• 此種攻擊手法難以防制,只能多注意連線內容是否有不尋
常。
• 導入DNSSEC機制可協助補強
71. 71
Cross Site Scripting (CSS/XSS)
• 駭客先入侵某個主機後,放置惡意程式。接著再利用正常
的主機當做跳板,引導使用者連到惡意主機。
• 實際案例:
• 2005年 - MySpace網站在一天內有一百萬人遭到XSS蠕蟲影響。
• 2007年 - 無名小站由於XSS的原因導致上百用戶中木馬。
• 駭客常利用此方式散佈惡意程式
74. 74
如何防制XSS攻擊?
• XSS是由於網站未有效防治第三方的惡意輸入所導致的攻
擊(網站被當跳板)。
• 大部分攻擊者都採用Java Script的技術當成惡意程式碼,
但是同樣的概念可延伸到其他的程式語言如
Java, ActiveX, VBScript, Flash, HTML..
• 用戶端可設定瀏覽器拒絕接受Java Script,或限制此類程
式的應用(但是網頁就再也不漂亮了,甚至一些功能無法使
用)。
• 網站管理者應極力過濾使用者能夠輸入的字元,避免讓第
三者受到影響。
77. 77
P2P的風險
• e-donkey, e-mule, BT, Foxy…
• 協定本身無罪但是坊間流傳的介面程式往往暗藏木馬。
• 錯誤的預設分享常常導致機密資料外洩。
• 台灣警察機關由於Foxy而將筆錄洩漏出去。
• 對應措施:
• 最好不要使用,要使用請仔細調整,切勿不小心分享出不該分享的
東西。
78. 78
IM的風險
• MSN, Yahoo messenger, SKYPE, QQ…
• 傳送小遊戲或是檔案
• 利用軟體本身漏洞植入惡意程式
• 對應措施:
• 傳送的檔案開啟前請三思
• 好友傳網址後先詢問為何,避免開啟中毒的網頁。
• 遇到購買點數卡或者收簡訊的需求,一律皆為詐騙。
79. 79
IM訊息可被測錄
• MSN, Yahoo Messenger, AOL, ICQ, QQ…全部都能夠於網
路傳輸中被輕易解析出訊息內容。
• 請勿使用IM軟體傳輸帳號密碼或者信用卡號碼等資訊。
• 最好連手機號碼都別亂給
• 若自行安裝非官方加密軟體(如MSN Shell),請注意該軟體
本身也許會有竊取資料的風險。
84. 84
WinXP中關閉Autorun (Vista版本也適用)
• 開始 > 執行 > regedit
• 找到
HKEY_CURRENT_USERSoftwareMicrosoftWindowsC
urrentVersionExplorerMountPoints2
• 點右鍵選擇”使用權限”
• 新增一個用戶叫做”everyone”然後將權限設定拒絕。
89. 89
對應措施摘要
• 社群網站
• 勿任意輸入帳號密碼於不明程式內
• 勿任意開啟不明網址
• E-mail
• 不預覽,不開啟有疑慮的郵件
• P2P
• 最好不要使用,要使用請仔細調整切勿不小心分享出不該分享的東西
• IM
• 傳送的檔案開啟前請三思,好友傳網址後先詢問為何,避免開啟中毒的
網頁
• 網路芳鄰
• 安裝個人防火牆阻擋網路芳鄰,移除”File and Printer Sharing for
Microsoft Networks”.
• USB病毒
• 關閉系統的Autorun功能。
91. 91
哪些東西會有漏洞?
• 作業系統:
Windows, Linux, Freebsd, Unix, IOS, Android…
• 應用程式:
IIS, Apache, IE, Firefox, Outlook, Office, MSN, ICQ…
• 只要是”程式”都有可能有漏洞!
92. 92
常見的程式漏洞類型
• 記憶體控管缺失 • 競賽
• Buffer Overflows • 權力混淆
• Dangling pointers • CSRF
• 輸入驗證錯誤 • Clickjacking
• 格式化字串缺失 • FTP bounce attack
• 不當處理shell字元 • 權力意外提升
• SQL injection
• 使用者介面錯誤
• Code injection
• E-mail injection
• HTTP response splitting
94. 94
白箱檢驗 vs 黑箱檢驗
• 白箱檢驗:
• 將系統本體攤開詳加檢驗。
• 需要對程式語言與架構有相當程度瞭解。
• 需採用資訊安全的觀點檢驗方可查出弱點。
• 黑箱檢驗:
• 在不明白系統本體的前提下加以檢驗。
• 不需瞭解程式本體架構,靠經驗主導檢驗。
• 所需的時間遠遠高於白箱檢驗。
• 檢驗的正確度可能也不及白箱檢驗。
• 建議雙管齊下,定期執行白箱以及黑箱檢驗
96. 96
防毒軟體是基本功
• 需監控開機磁區 (Boot Sector)
• 除了即時監控外,尚須定期手動掃瞄,因為即時監控不一
定能夠即時辨識出病毒。
• 絕對要每天更新病毒碼!
• Trend Micro, Symantec, MacAfee, F-
Secure, Sophos, AntiVir, AVAST, Nod32….族繁不及備載
• 思耂: 是否要同時安裝兩套以上的防毒軟體?
99. 99
清掃廣告軟體
• 免費的掃廣告以及間諜程式軟體:
Ad-aware
SpyBot
Windows Defender(會檢驗系統驗證碼)
…
• 商用軟體:
SpySweeper
Symantec
MacAfee
…
• 可於google查詢anti-spyware reviews看看不同的軟體測試
討論。
101. 101
Buffer Overflow
• 也屬於一種程式漏洞。
• 電腦程式會使用各自的記憶體空間,作所需要的工
作。
• 當由於某些因素,導致程式寫入過多資料,進而超
過原本的記憶體空間後,就會造成緩衝區的溢位。
• 被溢位後通常會導致原本的程式作業停擺,但也可
影響其他程式的運作,藉而達到特定的惡意行為。
• 近年來由於程式語言本身的改良,緩衝區溢位攻擊
所發生的機率已經大大降低。
109. 109
SSL 憑證注意事項
• SSL 憑證可確保資料加密/資料完整度/不可否認性
• SSL 憑證的加密強度只要是 1024 bit 以上都是很強的
• 業界目前已經開始採用 2048 bit 為主流
• 整體來說 SSL 憑證所簽發的網站,不用太擔心機敏資料被
竊取的問題
• 需確保憑證來源可信任
• 用戶沒有被誘騙接受假憑證
114. 114
DoS/DDoS
• 泛指各種可以阻斷正常服務的攻擊手法。
• 例如:
• 內部網路病毒散佈導致內部網路近乎停擺
• 駭客利用工具從網際網路發動SYN Flood攻擊
• 駭客控制大量疆屍電腦從網路各地正常連線至同一站台導
致服務停擺
• 行銷活動導致大量用戶同一時間連結至同一站台導致服務
停擺
• 手法相當多樣化,防制手法也相當多樣化。
• 應建置多種監測系統,依照不同的攻擊手法做出不
同的回應機制。
119. 119
應用程式漏洞 - SQL Injection
• WEB程式常與專業之Database之間作搭配運作,兩者之間
的溝通會採用SQL指令。
• SQL指令會儲存於WEB伺服器內,前端使用者是看不到的。
• 當WEB伺服器執行某些動作時,會把使用者輸入的字串以
SQL指令送到資料庫去執行。
• 攻擊者透過WEB輸入特定字串,可變相操作資料庫,達到
攻擊者的目的。
124. 124
Directory (Path) Traversal
• 伺服器程式有其所在的工作路徑,其所運作的範圍
會被限制在該路徑或者資料夾內。
• 當伺服器因為某些原因,嘗試切換工作路徑,甚至
去執行本來不該執行到的程式時,則會產生嚴重威
脅。
• 普遍常見於攻擊WEB伺服器主機,不過同樣的攻
擊概念可延伸至其他類型的AP應用。
126. 126
有Path Traversal漏洞的程式碼
<?php $template = „sample.php';
if ( is_set( $_COOKIE['TEMPLATE'] ) )
$template = $_COOKIE['TEMPLATE'];
include ( "/home/users/phpguru/templates/" . $template );
?>
透過以下連線方式即可利用該漏洞取得系統密碼檔:
GET /vulnerable.php HTTP/1.0
Cookie: TEMPLATE=../../../../../../../../../etc/passwd
131. 131
實體安全
• 筆電, PDA, Smart Phone 等智慧型設備由於體積小,容易
失竊。
• 坊間有賣筆電專用的鎖,使用簡單。
• 電話以及PDA等裝置可安裝GPS,若失竊後可立即定位搜
尋。
• 近年來的智慧型電話,已經新增可以遠端上鎖的功能,例
如發送特定簡訊後,即可將電話遠端上鎖,直到輸入密碼
才可解鎖。
• Nokia E series
• Blackberry甚至可遠端刪除電話內的資料
133. 133
資料安全
• 加密保護
• Windows XP內建檔案加密功能(磁區需為NTFS)
• Windows Tool: TrueCrypt, EncryptFiles, Omziff
• Linux Tool: Bcrypt, Ncrypt
• 多數加密軟體內建文件/目錄隱藏功能
• Microsoft Office文件可替文件本身設定加密
• PDF製作軟體可替文件設定加密
• 利用磁碟加密軟體將整顆磁碟加密
• Windows Vista: BitLocker
• 可參耂此軟體比較表:
• http://en.wikipedia.org/wiki/Comparison_of_disk_encryption_softwa
re
• 避免使用敏感的檔名(password.txt,密碼表.xls)
138. 138
OTP Token
• OTP Token為強化身份認證的措施。
• One Time Password, Challenge/Respond, Time Variant
OTP…
• 若能於驗證身份時導入Token機制,則可大幅提升密碼的安
全度。
• 可採用軟體方式呈現,例如以手機簡訊傳送動態密碼
結
password !#$^%^*& 合
為
全
部
您所記得的密碼 Token所產生的密碼 的
不會變
+ 常常在變
密
碼
139. 139
網路銀行/網路交易
• 首要條件:HTTPS
• 最好能提供OTP Token以防密碼被竊取
• 盡量跟大廠商進行網路交易,因為他們較具備足夠的資源
保護主機端的資料。
• OTP使用案例:
• Google (簡訊OTP)
• Facebook (簡訊OTP)
• 國內數間銀行已經導入OTP作為網路銀行登入的驗證方式之一。
• 華義國際線上遊戲的隨身保鏢。
• Hinet動態密碼鎖
152. 152
無線網路身份驗證問題
• 鎖定網卡地址
• 網卡地址可以輕易竄改偽造
• 手動配發IP
• 仌可藉由網路監聽技巧猜測可用IP,甚至搶奪使用中IP地址
• WEB身份驗證
• 藉由自動導向的WEB入口首頁讓使用者輸入帳號密碼
• 其概念建立於應用程式層級,若WEB入口存在有弱點則有安全上的
疑慮(如暴力破解)
153. 153
對應措施
• 導入 802.1x ,搭配客戶端憑證(client cert)鎖定特定裝置
• 多重認證機制增加偽造的困難度
• 裝置失竊後需通報管理者,撤銷憑證或帳號使用權
• PCI-DSS建議使用WIPS用以強化無線網路
• 可隨時掃描偵測是否有異常入侵跡象
164. 164
如何有效刪除檔案
• 利用強力消磁機消磁
• 無法處理固態硬碟等不具磁性的儲存裝置
• 利用專門清除檔案的軟體工具進行覆寫
• 整顆硬碟利用工具重複完整寫入無意義資料
• “完整”格式化磁碟”7”次
• 美國國防部(DoD)建議
• 光碟片需使用稀釋後的腐蝕性溶液(例如硫酸)將表面腐蝕後
丟棄。
• 懶人方式:採用磁碟加密技術後,刪除私鑰。
169. 169
資訊安全管理系統的觀念 (ISMS)
• Information Security Management System
• 廣泛地敘述一套如何管理以及建置跟維護資訊安全的方
式。
• 主要概念為PDCA:
• Plan – 適當地評估風險以及選擇對應的解決方案
• Do – 建置以及執行控制風險的手法
• Check – 檢驗以及評估效率跟效益
• Act – 做出適當的修正以期優化整體ISMS
176. 176
網路
• 適當的使用不同功能設備
• 防火牆
• VPN
• IPS / IDS
• Monitor / Audit / Log
• 網路架構設計
• 設計需耂量安全性, 以及問題發生時易於查找/隔離.
177. 177
主機
• 明確定義主機角色以及範疇
• 是否提供未經授權的服務?
• Router卻提供DHCP?
• 資料完整性
• 網站資料, 信用卡資料, 系統檔案
• 稽核
• 是否提供完整的LOG可供查詢?
• 設定異動記錄管理?
• 異常資訊記錄?
• 相關的資安設定是否實際有效?
178. 178
資料需給予適當的保護
• 加密/隔離
• 資安整體架構
• 定期備份,災難復原演練
• 確保事件發生後能夠提供服務
• 稽核設定的異動
• 防止未經授權/管制的異動,進而導致嚴重漏洞
• 稽核設定的功效
• 定期檢驗相關設備的實際功效