資訊安全入門

資訊安全入門
中飛科技股份有限公司
諶沛傑
CISSP, CEH
tyler.chen@fairline.com.tw

Last Updated: 2013/4/18

2

今天的大綱
• 惡意程式 Malware 簡介
• APT 攻擊簡介
• 常見的攻擊手法
• 伺服器常見的威脅
• 保護個人隱私
• 無線網路安全
• 實體環境安全

4

什麼叫做 Malware 惡意程式？
• 任何會違背安全政策，有惡意行為的程式。
• 病毒
• 後門
• 廣告軟體
• 間諜軟體
• 木馬
• 鍵盤側錄器

5

駭客的動機
• 經濟利益
• 竊取個資販售給詐騙集團
• 控制主機作為跳板，發動更為精細的攻擊
• 展示能力或者炫耀
• 玩自動化工具
• 政治動機
• 中國網軍
• 意識型態
• Anonymous hack group

6

惡意程式有多危險
• 偷取帳號密碼，偷取機密文件，破壞資料，當做跳板往外
連線…
• 可以做出近乎任何事
• 通常都很難解除安裝
• 最後常常需要重灌作業系統
• 可以一直潛伏，直到特定時間或事件觸發…
• 2013/3/20 南韓銀行電腦主機當機事件

9

常見的惡意程式的分類
• 木馬 • RootKit
• 病毒 • 鍵盤記錄器
• 間諜軟體 • 自動撥號程式
• 廣告軟體
• 蠕蟲
• 後門軟體
• 疆屍網路

10

特洛伊木馬 Trojan Horse
• 通常隱藏於看似良好的
程式之中，執行惡意的
程式碼。
• 例如網路傳送的小遊
戲, 線上遊戲的外掛程
式等。
• 所能夠造成的惡意舉動
端看惡意程式碼作者而
定，很有想像空間。

14

電腦病毒 Computer Virus
• 病毒常常為一串很小的程式碼。
• 通常具備將本身程式碼插入其他程式的能力，因此造成所
謂的感染現象。
• 病毒的行為通常具備明顯破壞性，例如格式化硬碟或是刪
除重要檔案等(南韓2013/3/20銀行遭受入侵事件)。
• 基本上病毒能夠做的事情也端視作者所想達到的目的而
定。
• 常見的散佈管道：USB隨身碟, E-mail, Web, Office文件, 網
路小遊戲…

15

病毒常透過網路自行複製感染

16

藉由MSN散佈惡意網址

17

蠕蟲 Worm
• 蠕蟲為大量透過網路所散佈的程式。
• 跟病毒一樣具備破壞性，差異在於會大量透過網路散佈，
因此容易造成組織內網路癱瘓。
• 散佈管道：USB隨身碟, E-mail, OS漏洞, 網路伺服器漏
洞…等

18

間諜軟體 Spyware
• 間諜軟體會透過網路，將使用者的資訊偷偷的回報給程式
作者。
• 常見到綁架首頁的手法強行增加廣告點閱率。
• 通常並不會進行破壞的動作，主要目的為收集資訊(包含個
人隱私)。
• 收集帳號密碼(keystroke), 收集信用卡資料…等。
• 瀏覽器的Cookie也可當作收集用戶資訊的管道。

19

GAIN Gator – 看來正常的間諜軟體

20

3721網路實名 – 宣稱能加速網路

21

間諜軟體常用的藉口
• 加速上網速度
• 快速搜尋資料
• 更方便上網瀏覽
• 增加點閱率
• 快速賺錢
• 第一手消息

22

後門軟體 Backdoor
• 後門為一種不需要認證即可進行控制的概念。
• 程式設計者有時會刻意留置後門於軟體內方便除錯(例如
God Mode)。
• 現在常見獨立撰寫的後門軟體，攻擊者想辦法散佈安裝於
其他系統內，進而控制該系統。

25

後門軟體: Back Orifice

26

廣告軟體 Ad-ware
• 不停的放送廣告，強迫使用者接受。
• 例如綁架首頁，或是讓瀏覽器不定時跳出小視窗。
• 主要的散佈途徑為安裝免費程式，其中夾帶著廣告軟體，
雖於安裝過程中會提示但是使用者也按了接受。
• 但是也能利用各類型的漏洞強迫安裝，例如惡意的
JavaApplet/JavaScript或ActiveX。

27

知名的廣告軟體(或者內含廣告的軟體)
• Kazaa • Yahoo! Messenger
• Gator • FlashGet
• AOL Instant • Windows Live
Messenger Messenger
• Ask.com Toolbar • Foxit PDF Reader
• Bonzi Buddy • More…
• DivX
• VirusProtect Pro

28

垃圾郵件 Spam Mail
• 只要是你沒有主動要求過的資料，都叫做垃圾信。
• 垃圾信件不見得是以單純文字為主，現在甚至演變成以圖
片顯示文字，藉以規避郵件過濾條件。
• 垃圾信件內也許會夾帶惡意程式附件。

30

Rootkit
• 此名詞來自Unix (Root Kit)
• 通常能夠將指令以及足跡完全遮蓋。
• 換句話說就是想辦法讓你抓不到有人在幫你管理你的系
統！
• 難以偵測，難以移除，通常下場都是格式化磁碟機後重新
安裝作業系統。
• 2005 Sony BMG CD防拷程式採用rootkit技術

31

駭客如何控制跳板？
• 惡意程式常採用反向連結(call back channel)的技術連線到
駭客所控制的中控台進行遠端遙控
• 可有效繞過防火牆的規則
• 因為企業通常都允許內部主機對外上網連線
• 連線行為看起來就像是在正常的上網一樣。
• 利用後門進入的攻擊者，可控制跳板，藉以讓駭客攻擊其
他的目標。

32

反向連結示意圖
1. client上網站, 不阻擋

2. 網站回傳資料, 不阻擋

3. 攻擊者利用
既有通訊傳送
指令

33

常見採用反向連結的程式(不一定為惡意軟體)
• Team Viewer (遠端遙控/會議)
• WebEx (遠端遙控/會議)
• Netcat (NC)
• SSH Tunneling
• SoftEther (遠端分享)

34

如何阻擋反向連結
• 使用收集惡意外部ip的資安監控設備
• 正面表列開放防火牆規則，只允許對外連線至特定允許的
網站或者ip
• 建置Proxy伺服器，控管上網HTTP行為(不明之HTTP行為
則不予放行)。
• 替所有內部主機安裝監測軟體，控管特定軟體的網路行
為。

APT - Advanced Persistent Threats
• Advanced (進階的)
• 可繞過既有防線的技巧
• 常指詐騙手法：詐騙信件、詐騙檔案
• Persistent (持續的)
• 經年累月，針對性不停歇的攻擊
• Threats (威脅)
• 偷取個資、安裝木馬、跳板攻擊

新攻擊？
• APT不是一種新的技術
• 美國空軍於2006年對外宣佈遭受到特定組織(中國)，有系
統，針對性的攻擊，並且用APT形容之，因此市場開始有
了這樣的一個術語。

APT主要攻擊手法
• 主要利用零時差攻擊讓用戶端執行惡意程式
• 零時差意思為連原廠都不知道的程式漏洞
• E-mail
• 夾帶惡意檔案/惡意連結
• WEB
• 網頁掛馬, 釣魚網址
• 其他常見管道：
• msn/skype/line/ftp/qq…
• 網路芳鄰
• USB裝置
• 其他傳統的散佈方式

APT – 針對性的釣魚信件

APT難以偵測的原因
• 多採用新式且客製化的木馬
• 沒有防毒廠商會有對應特徵碼
• 利用最新式漏洞弱點進行攻擊
• 防火牆、防毒牆、IPS由於採用特徵碼比對為主，因此難以
偵測。

被APT成功攻擊後
• 個資外洩
• 網購清單、帳號密碼、公司機密、客戶清單…
• 被當成進一步的APT攻擊跳板
• 偽裝成你發信給上下游廠商
• 被當做木馬/跳板
• 損失商譽 = 損失$$

如何防制APT攻擊
• 加強資安教育訓練
• 小心應對不明郵件跟網址，防止釣魚跟詐騙
• 補齊傳統資安設備 (FW/IPS/AV)
• 外加上新式APT防制設備
• 定期更新防毒碼/程式，定期掃描，監控稽核事件
• 雖無法第一時間偵測到，也可亡羊補牢
• 善用加密機制，保護重要文件跟資產
• 被竊取後駭客也需要解碼，增加困難度
• 定期資料備份
• 以利災難復原

46

一般惡意程式攻擊流程

1. 首先撰寫惡意程式。
2. 利用各種管道進行散佈
 垃圾郵件
 被盜帳號的社群網路
 先前已經入侵好的主機
 釣魚網站、廣告

3. 等待使用者點擊後中獎！
4. 發揮程式所設計之目的(破壞，盜資訊)

47

常見的散佈管道

• 社群網路(Facebook, Twitter…)
• E-Mail
• 熱門網站
• P2P軟體
• IM軟體 (MSN, Skype…)
• 網路芳鄰
• USB隨身碟

48

FB被加入購物社團引誘下單洩外資

49

E-mail如何散佈惡意程式
• Spam
• 垃圾信
• Phishing
• 偽裝成跟你有關的信件騙你點
• 由蠕蟲/病毒所產生的自動化病毒郵件
• 內含廣告強迫你看到
• 夾帶惡意程式騙你開附檔，預覽就中毒
• 放惡意網址騙你點擊連線

50

E-mail的問題

• 協定很方便，也很鬆散，無法有效限制信件來源。
• 豐富的應用內容也成為攻擊者最常利用的部分，例如瀏覽
器的預覽，自動下載等。
• 現在已經成為惡意軟體散佈的主要管道之一。
• 對應措施：不預覽，不開啟有疑慮的郵件

51

關閉預覽 – Outlook Express

取消此核取方塊

52

以純文字模式讀取郵件 - OE

53

防止中間人讀取: 加密E-mail
• 加密e-mail可以確保只有寄信方跟讀信方可以讀取信件，中
間的駭客擷取到的信件內容則是無法讀取。
• E-mail的協定(SMTP, POP3)本身於設計時無加密的功能。
• 現在可使用S/MIME或是PGP工具進行數位簽章以及加密。
• S/MIME: 使用一般的個人憑證機制。
• PGP: 使用信任圈憑證機制。

54

Phishing:網路釣魚
• 簡言之：騙術
• 例如假造一封來自某某公司的信件，邀請使用者更改帳號
密碼，事實上郵件內的連結是導去惡意網站。
• 惡意網站看起來會跟原始網站非常類似，輸入帳號密碼後
會將頁面重新導入至原始網站，因此難以察覺。
• CitiBank, eBay, PayPal, 土地銀行事件…
• 防制方法：點選email內的超連結時需格外小心其中的網址
格式是否為正確，養成自己新開一個視窗，並從書籤中連
結至網站的習慣。

56

真實誘騙網址舉例
偽裝目標真實網址假網址

無名小站 www.wretch.cc www.wretcn.cc

匯豐銀行 www.hsbc.com www.hkhsbc.com

遊戲橘子 www.gamania.com www.gamannia.com

www.lcbc.com.cn
中國工商銀行 www.icbc.com.cn
www.icbc.org.cn

PayPal www.paypal.com www.paypa1.com

美國白宮 whitehouse.gov whitehouse.com

Google www.google.com www.googkle.com

土地銀行 www.landbank.com.tw www.1andbank.com.tw

57

Yahoo拍賣詐騙案例 2007年11月

60

詐騙網站還會提醒要啟
用安全圖章加強安全！

61

輸入帳號密碼後隨即被導回原本的
Yahoo網站，當然之前輸入的帳號密碼
也已經被竊取走了！

62

Facebook釣魚郵件範例 2009年11月

63

釣魚網址跟真實網址非常類似

64

誘騙使用者下載並且執行程式

65

程式名字看起來非常地善意

66

線上掃毒軟體當時辨識率不到5成

67

如何阻擋Phishing?
• 由於Phishing是騙術, 因此原則為小心至上。
• 注意SSL憑證的告警訊息
• 讀取郵件時以純文字方式開啟郵件檔，避免執行其中的惡
意網頁語法。
• 不直接點選郵件檔的超連結，因為其中的超連結可能是假
的。
• Mozilla Thunderbird/Outlook 2010內建可”簡易”分析是否為
釣魚或者詐騙信件。
• 無法保證百分百偵測率
• 新式瀏覽器(Firefox 19/IE 9/Chrome)皆已內建簡易的惡意
網址偵測功能，當瀏覽到疑似釣魚的網站時會自動警告使
用者。
• 也可安裝防毒軟體的程式補強

68

技術型騙術 - Pharming (修改網址)
• 藉由偽裝或者入侵DNS主機，透過更改DNS記錄或是本機
Host檔案，可將瀏覽至原始網站的IP改導向至惡意網站。
• 當位在惡意網路內時最有可能碰到
• 請勿太相信來路不明的免費 WiFi 網路
• 若能夠入侵ISP網路則可透過更改IP路由的方式，將IP封包
轉向至惡意主機。
• 此種攻擊手法難以防制，只能多注意連線內容是否有不尋
常。
• 導入DNSSEC機制可協助補強

69

Pharming 示意圖

http://www.securetoday.net/tag/pharming/

70

瀏覽正常的網站也是有機會被入侵的
• 討論區/Blog 暗藏玄機(看不見的程式碼)
• Cross Site Scripting (CSS/XSS)
• Java Applet/ActiveX, Java Script
• 被駭客在某一頁掛馬
• 利用漏洞自動執行惡意程式碼

71

Cross Site Scripting (CSS/XSS)
• 駭客先入侵某個主機後，放置惡意程式。接著再利用正常
的主機當做跳板，引導使用者連到惡意主機。
• 實際案例：
• 2005年 - MySpace網站在一天內有一百萬人遭到XSS蠕蟲影響。
• 2007年 - 無名小站由於XSS的原因導致上百用戶中木馬。
• 駭客常利用此方式散佈惡意程式

72

Cross Site Scripting (XSS) 簡易示意圖

http://jax-work-archive.blogspot.tw/2010/05/xss.html

73

XSS簡易範例
一個惡意的使用者於商品留言板輸入

<script>alert(“Vulnerable”)</script>

或是<script>alert(document.cookie)</script>

或是<script>alert('XSS')</script><img src="javascript:alert('XSS')">

倒楣的其他用戶來到此頁面後，隨即執行該程式碼

74

如何防制XSS攻擊？
• XSS是由於網站未有效防治第三方的惡意輸入所導致的攻
擊(網站被當跳板)。
• 大部分攻擊者都採用Java Script的技術當成惡意程式碼，
但是同樣的概念可延伸到其他的程式語言如
Java, ActiveX, VBScript, Flash, HTML..
• 用戶端可設定瀏覽器拒絕接受Java Script，或限制此類程
式的應用(但是網頁就再也不漂亮了，甚至一些功能無法使
用)。
• 網站管理者應極力過濾使用者能夠輸入的字元，避免讓第
三者受到影響。

75

降低Java Applet/ActiveX/Java Script的風險
• 當不自動執行JavaScript時，就降低了XSS的風險
• Firefox提供免費的NoScript附加元件，預設將Java Script
關閉，遇到需要啟用的網站則可針對該網站手動開啟。並
且具有簡易偵測XSS攻擊的功能。

76

HTTP Cookie的風險
• 網站利用cookie技術，儲存使用者的資訊於使用者電腦中
• 下次再度連上網站後便可直接提示cookie值，省略登入程
序。
• 一旦被竊取之後將會導致不用認證即可登入網站

77

P2P的風險
• e-donkey, e-mule, BT, Foxy…
• 協定本身無罪但是坊間流傳的介面程式往往暗藏木馬。
• 錯誤的預設分享常常導致機密資料外洩。
• 台灣警察機關由於Foxy而將筆錄洩漏出去。
• 對應措施：
• 最好不要使用，要使用請仔細調整，切勿不小心分享出不該分享的
東西。

78

IM的風險
• MSN, Yahoo messenger, SKYPE, QQ…
• 傳送小遊戲或是檔案
• 利用軟體本身漏洞植入惡意程式
• 對應措施：
• 傳送的檔案開啟前請三思
• 好友傳網址後先詢問為何，避免開啟中毒的網頁。
• 遇到購買點數卡或者收簡訊的需求，一律皆為詐騙。

79

IM訊息可被測錄
• MSN, Yahoo Messenger, AOL, ICQ, QQ…全部都能夠於網
路傳輸中被輕易解析出訊息內容。
• 請勿使用IM軟體傳輸帳號密碼或者信用卡號碼等資訊。
• 最好連手機號碼都別亂給
• 若自行安裝非官方加密軟體(如MSN Shell)，請注意該軟體
本身也許會有竊取資料的風險。

80

網路芳鄰
• 微軟專屬的協定，可以讓在區域網路以及廣域網路間的微
軟電腦方便的分享檔案。
• 開始 > 執行 > x.x.x.xc$

81

網路芳鄰的問題
• 微軟有史以來最嚴重的弱點！
• 由於本身設計上的問題，攻擊者可以利用網路芳鄰下載電
腦的密碼檔，然後利用工具破解，就可取得管理者密碼。
• 有了密碼之後就可享用C槽，或是利用其他的漏洞取得電腦
主權，安裝木馬，安裝後門，安裝任何東西….

82

強化網路芳鄰的安全性
• 安裝個人防火牆阻擋網路芳鄰
• 若決定再也不分享檔案，則可直接移除”File and Printer
Sharing for Microsoft Networks”.

83

USB隨身牒
• 現在有許多專門針對隨身牒所設計的自動散佈病毒。
• 透過寫入Autorun.ini，於插入隨身牒後自動執行隱藏於隨身
牒中的病毒。
• 自我對應措施:
• 安裝防毒軟體。
• 透過更改機碼的方式，關閉Autorun功能。
• 使用檔案總管瀏覽檔案而不要直接於我的電腦點兩下開啟磁碟機，
也可以避免自動執行。

84

WinXP中關閉Autorun (Vista版本也適用)

• 開始 > 執行 > regedit
• 找到
HKEY_CURRENT_USERSoftwareMicrosoftWindowsC
urrentVersionExplorerMountPoints2
• 點右鍵選擇”使用權限”
• 新增一個用戶叫做”everyone”然後將權限設定拒絕。

86

也可採用微軟的Tweak UI關閉自動播放

87

Win7 關閉 autorun
開始 > 執行 gpedit.msc > 電腦設定 > 系統管理範本 >
Windows元件 > 自動播放原則

88

大量部署關閉USB自動執行功能
• 使用微軟的SubInACL工具：
• 下載安裝後執行以下指令或者用AD派送：
C:Program FilesWindows Resource
KitsTools>subinacl.exe /subkeyreg
HKEY_CURRENT_USERSoftwareMicrosoftWindowsC
urrentVersionExplorerMountPoints2 /deny=everyone=f

89

對應措施摘要
• 社群網站
• 勿任意輸入帳號密碼於不明程式內
• 勿任意開啟不明網址
• E-mail
• 不預覽，不開啟有疑慮的郵件
• P2P
• 最好不要使用，要使用請仔細調整切勿不小心分享出不該分享的東西
• IM
• 傳送的檔案開啟前請三思，好友傳網址後先詢問為何，避免開啟中毒的
網頁
• 網路芳鄰
• 安裝個人防火牆阻擋網路芳鄰，移除”File and Printer Sharing for
Microsoft Networks”.
• USB病毒
• 關閉系統的Autorun功能。

90

電腦程式漏洞攻擊
• 只要是程式難免有人為疏失，透過特定技巧就可執行出程
式人員當初沒想到的結果，導致造成所謂的漏洞。
• 漏洞常常為駭客於第一時間內發現，進而被利用。
• 例如：2007年四月的ANI漏洞，導致ESPN網站被植入木
馬，當時瀏覽ESPN的用戶若沒有立即更新填補漏洞，則一
律也被植入木馬。

91

哪些東西會有漏洞？
• 作業系統:
Windows, Linux, Freebsd, Unix, IOS, Android…
• 應用程式:
IIS, Apache, IE, Firefox, Outlook, Office, MSN, ICQ…
• 只要是”程式”都有可能有漏洞！

92

常見的程式漏洞類型
• 記憶體控管缺失 • 競賽
• Buffer Overflows • 權力混淆
• Dangling pointers • CSRF
• 輸入驗證錯誤 • Clickjacking
• 格式化字串缺失 • FTP bounce attack
• 不當處理shell字元 • 權力意外提升
• SQL injection
• 使用者介面錯誤
• Code injection
• E-mail injection
• HTTP response splitting

93

防堵漏洞
• 根源解決辦法為程式設計者修改相關程式
• 永遠更新相關程式，例如微軟作業系統
• 使用網路防火牆或著個人防火牆，阻斷不必要的通訊協定
• 安裝防毒軟體，定期更新定期掃瞄
• 軟體開發時應確實進行白箱檢驗(原始碼檢測)以及黑箱檢驗
(滲透測試)

94

白箱檢驗 vs 黑箱檢驗
• 白箱檢驗：
• 將系統本體攤開詳加檢驗。
• 需要對程式語言與架構有相當程度瞭解。
• 需採用資訊安全的觀點檢驗方可查出弱點。
• 黑箱檢驗：
• 在不明白系統本體的前提下加以檢驗。
• 不需瞭解程式本體架構，靠經驗主導檢驗。
• 所需的時間遠遠高於白箱檢驗。
• 檢驗的正確度可能也不及白箱檢驗。

• 建議雙管齊下，定期執行白箱以及黑箱檢驗

95

建議定期更新作業系統

96

防毒軟體是基本功
• 需監控開機磁區 (Boot Sector)
• 除了即時監控外，尚須定期手動掃瞄，因為即時監控不一
定能夠即時辨識出病毒。
• 絕對要每天更新病毒碼！
• Trend Micro, Symantec, MacAfee, F-
Secure, Sophos, AntiVir, AVAST, Nod32….族繁不及備載

• 思耂: 是否要同時安裝兩套以上的防毒軟體？

97

個人防火牆
• Windows XP開始已經內建。
• 若希望功能豐富則可安裝大廠所推出的個人防火牆套件。
• Trend Micro, Symantec, MacAfee, F-Secure, Zone
Alarm, MS ForeFront…

99

清掃廣告軟體
• 免費的掃廣告以及間諜程式軟體：
Ad-aware
SpyBot
Windows Defender(會檢驗系統驗證碼)
…
• 商用軟體：
SpySweeper
Symantec
MacAfee
…
• 可於google查詢anti-spyware reviews看看不同的軟體測試
討論。

101

Buffer Overflow
• 也屬於一種程式漏洞。
• 電腦程式會使用各自的記憶體空間，作所需要的工
作。
• 當由於某些因素，導致程式寫入過多資料，進而超
過原本的記憶體空間後，就會造成緩衝區的溢位。
• 被溢位後通常會導致原本的程式作業停擺，但也可
影響其他程式的運作，藉而達到特定的惡意行為。
• 近年來由於程式語言本身的改良，緩衝區溢位攻擊
所發生的機率已經大大降低。

102

Buffer Overflow 示意圖

103

著名的緩衝區溢位攻擊範例
• Code Red – 2001, SQL Slammer – 2003
• Xbox, PS2, WII等遊戲主機皆透過此方式破解用以執行盜版
遊戲。

104

Man-in-the-middle (MITM)
• 用戶透過第三方與伺服器進行連線溝通的手法，但
此第三方往往為刻意隱瞞自己身份，進而讓雙方以
為彼此中間無任何人竊聽資訊。
• 應用範例：Transparent Proxy, 防毒牆, 防火牆,
SSL加速器。
• 範例：破解SSL連線
• 若憑證無採用身份驗證機制(也就是說你每次跳出警訊都
按接受)的話，那麼中間人就可完全竊聽甚至變造SSL通
道內的資料。

106

一些MITM應用範例
• Squid HTTP Proxy
• 網路剪刀手 netcut
• Cain & Abel
• Paros
• Airbase-ng

107

網址正確可是ssl憑證告警有異常，因此並非該網站

108

中間人設備可在ssl環境下竊取帳號密碼
前提是用戶接受了不對的憑證

109

SSL 憑證注意事項
• SSL 憑證可確保資料加密/資料完整度/不可否認性
• SSL 憑證的加密強度只要是 1024 bit 以上都是很強的
• 業界目前已經開始採用 2048 bit 為主流
• 整體來說 SSL 憑證所簽發的網站，不用太擔心機敏資料被
竊取的問題
• 需確保憑證來源可信任
• 用戶沒有被誘騙接受假憑證

110

Session Hijacking
• 攻擊者等待使用者建立正常連線後，將原本使用者的連線
中斷，但是自身替代原本使用者跟伺服器繼續進行工作，
藉以接手原本的連線。
• 常見搭配MITM手法混用。
• 範例：
• 攔截並接手管理者的telnet視窗
• 偷取cookie後偽裝成為既有管理者/使用者

111

HTTP Session Hijacking 示意圖

112

一些Session Hijacking工具
• 網路剪刀手 netcut
• Cain & Abel
• webmitm
• surfjack

113

常見的竊取控制權手法
• 寄發釣魚信件給網站管理人員騙取cookie或者帳號密碼。
• 魚叉式攻擊
• 主機留下了後門管理介面，被駭客找出加以利用。
• 不安全的程式行為
• 猜測帳號密碼，以暴力破解法或者SQL injection等方式進
行登入。
• 邏輯問題/程式漏洞

114

DoS/DDoS
• 泛指各種可以阻斷正常服務的攻擊手法。
• 例如:
• 內部網路病毒散佈導致內部網路近乎停擺
• 駭客利用工具從網際網路發動SYN Flood攻擊
• 駭客控制大量疆屍電腦從網路各地正常連線至同一站台導
致服務停擺
• 行銷活動導致大量用戶同一時間連結至同一站台導致服務
停擺
• 手法相當多樣化，防制手法也相當多樣化。
• 應建置多種監測系統，依照不同的攻擊手法做出不
同的回應機制。

115

DDoS經銷攻擊體系示意圖

116

知名的DoS/DDoS工具 (壓力測試)
• LOIC/HOIC
• Hping
• Apache Benchmark(AB)
• Curl
• Smurf
• TFN2K
• Trinoo
• Zombie Zapper

117

2010/03~2013/03 估計全球疆屍電腦數量

資料來源: Shadowserver

118

2011/03~2013/03 估計全球疆屍網路數量

資料來源: Shadowserver

119

應用程式漏洞 - SQL Injection
• WEB程式常與專業之Database之間作搭配運作，兩者之間
的溝通會採用SQL指令。
• SQL指令會儲存於WEB伺服器內，前端使用者是看不到的。
• 當WEB伺服器執行某些動作時，會把使用者輸入的字串以
SQL指令送到資料庫去執行。
• 攻擊者透過WEB輸入特定字串，可變相操作資料庫，達到
攻擊者的目的。

120

SQL Injection示意圖

121

自動化測試SQL injection工具

123

如何防制SQL Injection?
• 嚴格執行字串過濾，控管經由WEB傳送至DB的SQL指令
• 需修改程式，完整建立淨化過濾字串的邏輯
• 建置 WAF 過濾外來攻擊
• 治標不治本，可當做虛擬的更新檔暫時阻擋
• 於WEB端使用低權限帳號連結資料庫
• 避免 SQL Injection 滲透進去後可執行系統面指令

124

Directory (Path) Traversal
• 伺服器程式有其所在的工作路徑，其所運作的範圍
會被限制在該路徑或者資料夾內。
• 當伺服器因為某些原因，嘗試切換工作路徑，甚至
去執行本來不該執行到的程式時，則會產生嚴重威
脅。
• 普遍常見於攻擊WEB伺服器主機，不過同樣的攻
擊概念可延伸至其他類型的AP應用。

125

Path Traversal範例
• http://some_site.com.br/../../../../etc/shadow
• 嘗試取得系統密碼檔

• http://some_site.com.br/get-files?file=/etc/passwd
• 嘗試取得系統密碼檔

• http://test.webarticles.com/show.asp?view=../../../../../Wind
ows/system.ini
• 嘗試取得系統配置檔

126

有Path Traversal漏洞的程式碼
<?php $template = „sample.php';
if ( is_set( $_COOKIE['TEMPLATE'] ) )
$template = $_COOKIE['TEMPLATE'];
include ( "/home/users/phpguru/templates/" . $template );
?>

透過以下連線方式即可利用該漏洞取得系統密碼檔:
GET /vulnerable.php HTTP/1.0
Cookie: TEMPLATE=../../../../../../../../../etc/passwd

127

洩漏太多錯誤訊息
• 攻擊者常常可以因為伺服器洩漏太多的錯誤訊息，進而猜
測接下來的攻擊步驟。
• 程式開發時可開啟詳細錯誤訊息，但是上線後應該關閉該
功能。
• 網站伺服器也應盡量減尐伺服器所透露之訊息。

128


129


131

實體安全
• 筆電, PDA, Smart Phone 等智慧型設備由於體積小，容易
失竊。
• 坊間有賣筆電專用的鎖，使用簡單。
• 電話以及PDA等裝置可安裝GPS，若失竊後可立即定位搜
尋。
• 近年來的智慧型電話，已經新增可以遠端上鎖的功能，例
如發送特定簡訊後，即可將電話遠端上鎖，直到輸入密碼
才可解鎖。
• Nokia E series
• Blackberry甚至可遠端刪除電話內的資料

133

資料安全
• 加密保護
• Windows XP內建檔案加密功能(磁區需為NTFS)
• Windows Tool: TrueCrypt, EncryptFiles, Omziff
• Linux Tool: Bcrypt, Ncrypt
• 多數加密軟體內建文件/目錄隱藏功能
• Microsoft Office文件可替文件本身設定加密
• PDF製作軟體可替文件設定加密
• 利用磁碟加密軟體將整顆磁碟加密
• Windows Vista: BitLocker
• 可參耂此軟體比較表：
• http://en.wikipedia.org/wiki/Comparison_of_disk_encryption_softwa
re
• 避免使用敏感的檔名(password.txt,密碼表.xls)

134

開機密碼
• PDA, SmartPhone大部分皆可設定開機密碼。
• 電腦以及筆電的BIOS, OS登入皆可設定密碼
• 但是BIOS密碼可以被reset
• OS密碼可以被bypass或破解

135

密碼長度
• 密碼該多長才安全？
• 8字元以上，加入一個以上的特殊字元。
• 微軟的作業系統若密碼低於7字元以下，只需5~10分鐘即
可被破解。
• 亂數密碼產生器:
• PC Tools Password Utilities
(http://www.pctools.com/guides/password/)
• Google Chrome 外掛 Secure Password Generator

136

通訊安全
• TCP/IP網路具備可竊聽的特性，妥善使用HTTPS通道則可
確保不遭受竊聽。
• 網頁憑證需無任何警示，安全性才夠。
• HTTPS頂多確保主機跟伺服器之間的資料私密性，無法確
保資料儲存的安全性。
• PCHome的會員資料外洩事件
• 層出不窮的Yahoo奇摩拍賣詐騙事件

137

網路交易最好使用OTP Token

138

OTP Token
• OTP Token為強化身份認證的措施。
• One Time Password, Challenge/Respond, Time Variant
OTP…
• 若能於驗證身份時導入Token機制，則可大幅提升密碼的安
全度。
• 可採用軟體方式呈現，例如以手機簡訊傳送動態密碼

結
password !#$^%^*& 合
為
全
部
您所記得的密碼 Token所產生的密碼的
不會變
+ 常常在變
密
碼

139

網路銀行/網路交易
• 首要條件：HTTPS
• 最好能提供OTP Token以防密碼被竊取
• 盡量跟大廠商進行網路交易，因為他們較具備足夠的資源
保護主機端的資料。
• OTP使用案例:
• Google (簡訊OTP)
• Facebook (簡訊OTP)
• 國內數間銀行已經導入OTP作為網路銀行登入的驗證方式之一。
• 華義國際線上遊戲的隨身保鏢。
• Hinet動態密碼鎖

140

以生物特徵作為密碼

141

儲存於網路上的資料
• 您是否常常在各網站留下您的個資？
• 例如：
• 社群網路公開資料
• 安裝來路不明卻宣稱很有幫助的軟體
• 參加市場調查
• 心理測驗
• 私密照片用密碼上鎖
• 用網咖的電腦輸入各種帳號密碼

142

網路相簿上鎖也不見得看不到照片

143

在網咖自保之道
• 不使用網咖電腦進行需要輸入帳號密碼的行為。
• 收發email，網路銀行，線上遊戲
• 真的要輸入密碼時，請採用動態密碼機制
• 瀏覽器採用私密瀏覽模式
• 不會留下使用過的資訊
• 私密瀏覽模式無法防止木馬等惡意軟體測錄密碼

144

如何強化資料安全
• 將資料以及文件加密。
• 鑰匙長度(密碼長度)需盡量複雜且長。
• 將資料儲存於值得信賴的場所。
• 在網路上輸入密碼時需注意是否為加密管道。
• 定期備份資料!(災難復原)

146

無線網路的問題
• 電波特性為廣播因此四周皆可收到
• 旁人皆有機會使用以及竊聽傳輸中資料
• 易遭受DoS攻擊
• 易插入偽造資料流
• 不同的AP可傳送相同SSID
• 惡意人士可偽造一個看起來相同的無線網路，竊取其中所傳輸的資
料

147

無線網路加密
• 由於傳輸媒介為電波，因此若不進行加密則極易竊取其中
所傳輸的資料，如MSN帳號密碼，或者郵件內容。
• 透過適當的加密機制後可降低被竊取資料的風險。
• 常見加密機制：
• WEP (最易被破解)
• WPA (較難破解)
• WPA2 (最難破解)

148

YouTube上面有很多破解WEP的教學影片

149

破解無線網路的工具
• Aircrack-ng
• 其中包含了多項破解需要的工具組
• Netstumbler
• 搜尋無線網路，可偵測未廣播的SSID
• Kismet
• 類似aircrack-ng套件可執行掃描探測以及破解等功能

152

無線網路身份驗證問題
• 鎖定網卡地址
• 網卡地址可以輕易竄改偽造
• 手動配發IP
• 仌可藉由網路監聽技巧猜測可用IP，甚至搶奪使用中IP地址
• WEB身份驗證
• 藉由自動導向的WEB入口首頁讓使用者輸入帳號密碼
• 其概念建立於應用程式層級，若WEB入口存在有弱點則有安全上的
疑慮(如暴力破解)

153

對應措施

• 導入 802.1x ，搭配客戶端憑證(client cert)鎖定特定裝置
• 多重認證機制增加偽造的困難度
• 裝置失竊後需通報管理者，撤銷憑證或帳號使用權
• PCI-DSS建議使用WIPS用以強化無線網路
• 可隨時掃描偵測是否有異常入侵跡象

154

Wireless IPS的功能
• 能夠偵測且阻斷惡意AP
• 辨別設定錯誤的AP
• 監測client端是否連線到錯誤的AP
• 阻止未經授權的AP連線
• 偵測MITM行為
• 偵測偽造MAC的無線用戶行為

156

實體控管為資安首道防線因此相當重要!
Physical Control

Administrative Control

Technical Control

Data Control

157

實體安全的問題

• 竊賊
• 翻垃圾桶
• 偷窺密碼
• 社交工程騙術
• 電磁殘餘資料

158

竊賊
• 在咖啡廳上網，上廁所時NB被偷
• NB擺在公司被偷
• 存著機密資料的隨身碟被偷
• Revenge
• 對應措施： • Political activism
各式鎖(例如外接式警報鎖) • Financial gain
開機密碼
指紋辨識
GPS定位系統
閒置5分鐘後自動鎖定…

159

實體文件管理

• 重要文件需分門別類處理
• 丟棄文件時需用”強力”碎紙機，最好焚燒銷毀

160

偷窺密碼 Shoulder Surfing

• 輸入機密資訊(帳號密碼)時，被惡意人士從後方偷窺。
• NB可用防窺貼片。
• 密碼按鍵可於測邊加裝檔版。
• 可利用雙因子認證技巧，增加被盜用密碼的困難度

161

社交工程騙術 Social Engineering

• 騙術千奇百怪
• 舉例：
• 打電話給MIS佯裝某某使用者，忘記密碼，要求MIS重新設定密碼。
• 發送釣魚信件騙取帳號密碼。
• 竊取IM帳號密碼後詢問MIS機密訊息
• 對應措施：提高警覺，保密防諜

162

電磁殘餘資料
• 在電腦中刪除檔案，只是標示刪除，其實資料都還在原
地。
• 很多還原軟體都可以簡易且快速地還原被刪除的檔案。
• 即使格式化硬碟後依然存在著被還原的風險。

• 案例：某銀行為了追查半年前離職員工所發的信件，將資
料作還原，此台電腦當初經過格式化，且由不同的人使用
長達半年，依舊被找出當初的殘餘資料。

163

為什麼刪不掉？

• 為求快速，大部分作業系統中的刪除檔案動作，都只是改
變FAT( File Allocation Table )的配置。
• 硬碟儲存資料是依循寫入，因此前面曾經寫過的資料，刪
除後不一定會再度使用同一個位置覆蓋。
• 鑑識單位常使用資料還原的技術蒐集證據。

164

如何有效刪除檔案

• 利用強力消磁機消磁
• 無法處理固態硬碟等不具磁性的儲存裝置
• 利用專門清除檔案的軟體工具進行覆寫
• 整顆硬碟利用工具重複完整寫入無意義資料
• “完整”格式化磁碟”7”次
• 美國國防部(DoD)建議
• 光碟片需使用稀釋後的腐蝕性溶液(例如硫酸)將表面腐蝕後
丟棄。
• 懶人方式：採用磁碟加密技術後，刪除私鑰。

165

專業的硬碟消磁設備

167

資訊安全能夠貫徹的兩大要點
• 組織高層的支持是很重要的
• 老闆或者主管對於下屬的宣示以及指令，才能夠有效傳達推動資安
的動能。
• 需要認知技術只能解決尐部分的問題
• 人是最大的漏洞。
• 政策的宣導以及確實的執行，才是重點。

168

資安規範機制
• 要做到一個完全安全的環境是不可能的！
• 但是靠著系統化的一套風險管理機制，卻可以有效降低資
訊風險，到可接受的程度。
• 坊間已經有相當多的規範可以依循。
• 國人目前最常參耂的資安規範為ISO/IEC 27000系列。

169

資訊安全管理系統的觀念 (ISMS)
• Information Security Management System
• 廣泛地敘述一套如何管理以及建置跟維護資訊安全的方
式。
• 主要概念為PDCA:
• Plan – 適當地評估風險以及選擇對應的解決方案
• Do – 建置以及執行控制風險的手法
• Check – 檢驗以及評估效率跟效益
• Act – 做出適當的修正以期優化整體ISMS

170

ISMS相關規範實例
• ISO/IEC 27000系列規範(等同國人所制訂的CNS 27001或
CNS 17799等規範)
• 美國沙賓法案
• PCI-DSS 支付卡產業資料保護標準
• 行政院及所屬各機關資訊安全管理要點
• HIPAA 美國的醫療資訊管制法規

171

導入ISMS後需注意事項
• 遵循規範可以有效降低資安風險。
• 各個ISMS規範內容不盡相同，但是都提供了很好的依循方
向。
• 不論組織選擇哪一種規範，最後都需請已授權的第三方公
正單位作驗證，以及核發證照。
• 拿到證照後仌然需要繼續努力維護ISMS系統的運作，才能
夠持續管理風險。

173

資安沒有萬靈丹
• 如同疾病沒有萬靈丹一般, 資安問題也不是購買幾個設備就
可以解決的.

• 防禦策略可採用”防禦縱深”的方式, 亦即全面性防禦.

174

人員+主機+網路=完善保護資料

人員

資料
主機網路

175

人員
• 首要防線!!(系統或者程式不會自己動起來)
• 權責劃分, 政策, 規範, 資安認知.
• 人人皆須分工負責處理, 不得置身事外.
• 事件處理.
• 監控以及通報機制
• 熟練度, 教育訓練.
• 固定舉行內部或者外部課程.
• 增加人員對於資安的熟練度.
• 演習

176

網路
• 適當的使用不同功能設備
• 防火牆
• VPN
• IPS / IDS
• Monitor / Audit / Log
• 網路架構設計
• 設計需耂量安全性, 以及問題發生時易於查找/隔離.

177

主機
• 明確定義主機角色以及範疇
• 是否提供未經授權的服務?
• Router卻提供DHCP?
• 資料完整性
• 網站資料, 信用卡資料, 系統檔案
• 稽核
• 是否提供完整的LOG可供查詢?
• 設定異動記錄管理?
• 異常資訊記錄?
• 相關的資安設定是否實際有效？

178

資料需給予適當的保護
• 加密/隔離
• 資安整體架構
• 定期備份，災難復原演練
• 確保事件發生後能夠提供服務
• 稽核設定的異動
• 防止未經授權/管制的異動，進而導致嚴重漏洞
• 稽核設定的功效
• 定期檢驗相關設備的實際功效

資訊安全入門

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Similar to 資訊安全入門

Similar to 資訊安全入門 (20)

資訊安全入門