從資安事件淺談資訊安全概念 陳鴻彬 hbc@broadweb.com.

Presentation on theme: "從資安事件淺談資訊安全概念 陳鴻彬 hbc@broadweb.com."— Presentation transcript:

1 從資安事件淺談資訊安全概念 陳鴻彬

2 社交工程是網路犯罪最具威力的工具 社群交友網站成幫兇

3 微軟：電腦被駭 遭騙居多 微軟：電腦被駭 遭騙居多 2011/05/19 07:48:19
（中央社舊金山18日綜合外電報導）微軟（Microsoft）今天警告，駭客能把病毒植入用戶電腦，較常利用人性弱點使出詭計，而非光靠硬體漏洞。 微軟表示，根據IE網路瀏覽器回傳的報告，用戶平均每下載14個軟體，就有1個是惡意程式。 微軟「智慧篩選」（SmartScreen）計畫主管哈柏（Jeb Haber）在部落格指出：「以社交工程策動的攻擊，例如騙用戶執行惡意程式，遠比攻擊安全漏洞本身還常見。」 社交工程（Social Engineering）意謂使用詭計，騙取用戶個資或電腦存取權限，常利用聳動事件或重大新聞為誘餌，如「賓拉登死亡照」之類的詐騙郵件。 微軟指出，自IE8瀏覽器2009年3月發布以來，智慧篩選技術已阻擋了超過15億次惡意程式入侵。 哈柏說：「用戶下載惡意程式問題很大，而且日漸嚴重。」（譯者：中央社李威翰）

4 垃圾郵件減少，駭客轉向開發社交惡意程式 思科：垃圾郵件減少，駭客轉向開發社交惡意程式
文/沈經 該份報告直接以「網際罪犯最具威力的工具」來形容社交工程，也指出網路罪犯正在發展各式各樣的方式來利用人類的信任。 Cisco（思科）發布2010年資安報告指出，垃圾電子郵件首次出現減少的趨勢，但利用社交工程的惡意軟體增多。 該份報告直接以「網際罪犯最具威力的工具」來形容社交工程，也指出網路罪犯正在發展各式各樣的方式來利用人類的信任。例如對親友的信任，假冒朋友的信箱發送郵件，誘使用戶到假造的網站進行登入，以取得用戶的帳號密碼，或者誘導使用者點擊附件來啟動駭客的木馬程式。 駭客也更積極挾持各種社交服務的使用者帳號，或者用工具自動產生帳號，做為發佈惡意訊息的工具。Cisco認為今年這類手法會持續增加。 該份報告也指出，駭客不僅會偽裝成使用者的親友，也會入侵大眾信任的網站，誘使用戶下載惡意軟體，甚至是自動安裝惡意軟體到用戶電腦中。 在垃圾電子郵件方面，則首度出現減少的趨勢，Cisco認為執法單位追緝木馬網路是原因之一。依照地區別來看，美國地區垃圾信件幾乎一樣多，英、法、德、西班牙等歐洲國家小幅增加；但中國、巴西、土耳其等國家的垃圾信件大幅減少。Cisco指出，土耳其垃圾郵件大約減少95%，巴西ISP則聯手阻擋約一半的垃圾郵件。Cisco認為使用者可能無法感受這種趨勢，因為主要的資安軟體都已經能把垃圾信件阻攔在用戶收件夾之外。 該份報告指出，點擊廣告及木馬軟體仍是駭客的主要收入來源，因此駭客還是會繼續投資在釣魚網站與木馬網路相關的技術或工具。另外，不管是銀行或信用卡帳號，都很難轉換成金錢，罪犯為提高轉換現金的比例，會尋找「錢驢」協助，部分還會以高報酬誘騙吸毒或失業人士，以在家工作為藉口，協助罪犯轉帳，或轉寄罪犯盜用信用卡買來的包裹。（編譯/沈經）

5 社交網站虛擬豔諜 讓300官員中計 美國《華盛頓時報》報導，蘿冰塞奇(Robin Sage)在Facebook的個人檔案寫著，她芳齡25，是海軍網戰司令部的網路威脅分析員，還PO上美腿和比基尼艷照，她也開了推特(Twitter)，在上頭常有俏皮挑逗的留言，另外在LinkedIn網站也交了一堆「同行」朋友。 但所謂Robin Sage的名字是取自特種部隊的演習代號「Sage」，美國海軍網戰司令部也沒有「網路威脅分析員」這個職位，「她」的真實身分更只是網路保安公司一名合夥人湯瑪斯瑞恩(Thomas Ryan)創作出來的，艷照呢？隨便在色情網站找都有！ 「蘿冰塞奇」在28天的「實驗期」，共結交了300名士兵、參謀長聯席會議主席的幕僚、國家偵察局人員、國會議員的幕僚長，甚至軍火商的高階行政人員。湯瑪斯瑞恩指出，其實他刻意在「蘿冰塞奇」的檔案留下許多矛盾和漏洞，但即使有人留言質疑，卻不被重視，甚至還有朋友邀請她吃飯、挖角等等。 湯瑪斯瑞恩藉由「蘿冰塞奇」可以蒐集情治人員的住址和家人照片等個資，甚至有美軍士兵PO了他在阿富汗巡邏的照片，透露他的所在位置。 原文網址: 社交網站虛擬艷諜　讓300官員中色計 | 政治新聞 | NOWnews 今日新聞網

6 Facebook安全再添疑慮 Facebook安全再添疑慮 小心誤啟不明連結 ZDNET新聞專區：Jennifer Leggio 1則回應
垃圾郵件發送者似乎又找到新攻擊目標，那就是利用社交網路的弱點，攻擊在網路上結交不認識朋友的人。由於Facebook具有尋找朋友的功能，即使你不認識對方，但只要你們當中有一個共同的朋友，那麼他就可能出現在Facebook的建議朋友清單中，又或者是你可能會收到來自不認識的人所發出的交友請求。有些使用者會因為雙方有共同朋友，即使不認識對方，也將他加入朋友。但這些行為將漸漸成為使用Facebook安全性上的隱憂，因為已經有垃圾郵件發送者利用這個建議加入朋友的漏洞，誘使用戶點選惡意連結。 透過SecureState資深安全顧問Tom Eston的協助，讓我們可以一窺垃圾郵件發送者的手法: - 首先垃圾郵件發送者會建立一個假的Facebook帳號。 - 接著與在Facebook上的名人互相加為朋友，通常這些所謂的名人必須有至少2500名的朋友，並且很少控管加入之朋友的身分。 - 垃圾郵件發送者會對已經將他加入朋友的用戶標籤(tag)在個人檔案的圖片上。 - 被標籤之用戶的朋友會自己Facebook的頁面看到這個訊息，接著可能會點選進去看個人檔案，通常垃圾郵件發送者會以可愛女生的照片做為大頭貼照，並且在個人檔案資料中放入連結，誘使他人點選此連結。 - 此時用戶可能被導引至惡意網站，並被植入惡意程式。 - 垃圾郵件發送者將盡可能標籤更多的Facebook用戶，因為要透過Facebook交友建議的功能，吸引更多的人進來點選連結。 要避免成為受害者的最佳方法就是不要隨便在Facebook上加入朋友，除非你很確定這個是你所認識的人。另外，最好更改Facebook隱私分享權限設定，用戶可進入Facebook的隱私設定->隱私分享權限設定->自訂設定->由其他人分享發佈的內容->我被標記在內的相(影)片瀏覽權限->編輯設定->僅限本人。 不過資安專家也再次重申，要避免成為受害者的最好方法還是不要輕易在Facebook上加入朋友，如果真的有需要的話，以上提供的隱私設定方法可以加強在Facebook使用上的安全性。

7 最常被封鎖的網站是Facebook OpenDNS：最常被封鎖的網站是Facebook
文/陳曉莉 (編譯) OpenDNS公布使用者最常封鎖的前十大黑名單中，Facebook以14.2%居冠，同為社交網站的MySpace則以9.9%名列第二，第三名為YouTube的8.1%；而在企業用戶中Facebook、MySpace及YouTube也是最常被過濾掉的前三大網站。 提供網域名稱系統管理及網路安全服務的OpenDNS周一（1/24）公布去年的網路內容過濾及釣魚網站調查報告。在網路內容過濾上，發現熱門社交網站Facebook不論是在最常被封鎖（黑名單）的網站、或是最常被允許（白名單）的網站列表中都名列前茅，顯示Facebook令企業又愛又恨。 當使用者認為某些網站可能耗費頻寬或是關心廣告網路所帶來的隱私問題時，可能會以黑名單方式封鎖特定的網站，在前十大黑名單列表中，Facebook以14.2%居冠，同為社交網站的MySpace則以9.9%名列第二，第三名為YouTube的8.1%，其他還有多個廣告網路及色情網站。 另一方面，使用者也會根據需求列出所允許的特定網站，在此十大白名單中，Youtube以12.7%位居第一，Facebook則以12.6%緊追其後，Gmail以9.2%排名第三，其他網站還包括Google搜尋、Google翻譯、LinkedIn、MySpace、Skype、Deviantart及Yahoo。 OpenDNS表示，黑名單與白名單中有許多一樣的網站，代表人們對網站的看法不同。 而在企業用戶中，Facebook、MySpace及YouTube也是最常被過濾掉的前三大網站，企業用戶同時也過濾Twitter、Hotmail及eBay。 此外，最常被冒名用來進行網釣攻擊的前十大品牌則依序是PayPal、Facebook、HSBC、World of Warcraft、Internal Revenue Service、Orkut、Sulake Corporation及Tibia，其中有五大品牌與社交網路遊戲有關。在此一類別中，PayPal每個月都是駭客的頭號目標，以PayPal名號進行網釣的比例高達45.9%，約是第二名Facebook（5.3%）的9倍。 OpenDNS亦列出代管最多網釣網站的國家，美國以53.8%遙遙領先其他國家，其次為德國（6.3%）、加拿大（5.2%）、英國（4.8%）、法國（3.5%）、俄國（2.9%）、中國（2.8%）、南韓（2.8%）、義大利（2.5%）及荷蘭（2.4%）。（編譯/陳曉莉）

8 Facebook開放廠商讀取用戶聯絡資訊
2011年1月17日 11:08 分享46分享| 就是這個在使用應用程式前的視窗，點下去就等於把你的個資分享出去了，要注意喔！。(圖/擷取自Facebook官方部落格) 記者湯蕙如／台北報導 個資管理是使用者進入網路世界時，最應該小心處理並高度保護的隱私內容，但你知道，Facebook 未來會把個人資訊的連絡地址、電話列入跟廠商分享的資訊裡？ Facebook 日前在官方部落格發表，未來使用者在進入新應用程式時，包括個資中的地址、電話都將列入可以分享給開發遊戲、程式的第三方廠商。然而，眾多應用程式會在你拒絕分享時，視為你「放棄」進入使用的前提，換句話說，就是以半強迫的方式，讓你先分享再使用。 雖然廠商在使用用戶資訊前還是會受到 Facebook 平台管理，再者「分享」這個動作僅限於自己，並不會讓朋友連帶受到影響（會有系統警語註明），但想要「斬草除根」的使用者可以直接將聯絡資訊自 Facebook 欄位清空，一勞永逸。 過去在進入應用程式前，經常會被要求分享姓名、照片、性別、朋友清單等基本資訊，這次在加入聯絡地址與電話後，簡單來說，未來形同開放開發商和業主間接調查使用者的喜好，並用作投入廣告或其他行銷宣傳之途。 紅色框線註明處就是允許分享個人連絡資訊的標示。 (原圖／擷取自Facebook官方部落格) 原文網址: 個資危機？Facebook開放廠商讀取用戶聯絡資訊 | 3C新聞 | NOWnews 今日新聞網

9 在Cyber Space裡千萬別輕易相信任何人
在網路上別亂交不認識的朋友

10 你相信網路銀行的安全機制嗎？

11 RSA遭駭被竊，雙因素認證產品安全性受質疑
EMC執行總裁Art Coviello在官網上發出公開信表示，該公司SecurID技術資料遭竊。

12 RSA遭駭被竊，雙因素認證產品安全性受質疑
Art Coviello在官網上發出一封「致RSA客戶的公開信」表示，該公司在3月17日遭受類似先前Google所受的APT（ 先進持續威脅）網路攻擊，其中，包括該公司OTP（一次性密碼）Token產品SecurID的雙因素認證技術資料遭到 外洩。 RSA遭駭客入侵，資料外洩事件波及SecurID雙因素認證的Token產品。 Art Coviello則在公開信中強調，根據所清查的外洩資料，目前使用SecurID硬體Token產品的企業用戶不用擔心遭到 任何攻擊，RSA除會立即提供客戶後續的因應對策外，RSA客戶和員工的個人資料也沒有遭到外洩。同樣的，EMC RSA臺灣分公司對此一遭受攻擊事件，目前皆不能對外發表任何意見。 RSA可能喪失客戶的信任 這種APT的攻擊手法，很難在第一時間被發現，但對於以資訊安全為業的資安公司RSA而言，這起外洩事件，也讓 RSA面對有史以來最大的客戶信心崩盤危機。 相較於EMC RSA公司的信誓旦旦，許多國外媒體與資安研究員認為，該公司揭露的資訊不足，企業應該要事先對 SecurID的安全性存疑。像是設計Blowfish加密演算法的資安專家Bruce Schneier便撰文表示，資安是一種信任的行 業，在RSA沒有公開真正被偷的資料內容為何，以及了解SecurID的加密演算機制時，無從評估這起事件的受害範 圍，RSA的作法也失掉原有客戶的信任。 RSA的SecurID是一種硬體的、一次性密碼的Token（權杖），其密碼產生方式則可以分成時間性（Time-Based） 和事件性（Event-Based）兩種，所謂的時間性就是指在一定時間內，例如1分鐘內，就會亂數產生1組6位數的密碼 ，事件性則是指，在Token上每按1次按鈕後，就會產生1組密碼。 當企業員工要登入一些比較機敏性高的系統，例如企業VPN連線或者是機敏的IT系統，為了強化身分認證的安全性 ，除了要求員工輸入原本已知的帳號、密碼之外，還要求員工輸入另外手邊所擁有的認證密碼，目前最被普遍使用 的就是OTP一次性密碼，而這種一次性的動態密碼除了類似RSA SecurID的硬體Token外，另外還有軟體OTP兩種 形式。

13 RSA遭駭被竊，雙因素認證產品安全性受質疑
EMC RSA在臺灣使用SecurID的企業用戶，據了解，包括中華電信、Yahoo奇摩、銀行業者、電子商務業者、航空 運輸業者、線上遊戲業者、高科技製造業與化妝品業者等。 RSA在公開信中表示，將在第一時間主動與客戶聯繫相關事宜。中華電信表示，他們的確在第一時間就有收到系統 廠商對此一事件的通知，也要求原廠進一步清查中華電信所產生的金鑰序號，是否也包含在此次外洩的資料範圍中 ，所幸並不在外洩的資料清單中。至於EMC RSA發生系統被駭、資料遭外洩的事件，對中華電信而言，他們更關 心的是企業用戶認證金鑰的保管，會不會因為相關技術資料文件的外洩而出問題而已。 但也有企業未獲原廠或代理商相關通知。電源管理IC設計公司立錡科技資訊處處長王德劭表示，第一時間並沒有收 到來自原廠或系統廠商，主動對於RSA SecurID技術資料外洩的任何說明，反而是從相關國外媒體報導上才知道這 件事情。 另外，也有某全球性化妝保養品公司資訊部主管則表示，該公司依照全球一致的IT政策規範，在登入VPN時，都必 須鍵入RSA SecurID上的一次性密碼以確保連線的安全性。但他指出，可能因為該公司只是全球的一間分公司而已 ，目前尚未接到來自總公司IT部門對使用RSA SecurID時的任何提醒。 EMC RSA美國總公司應美國證管會要求，提供企業用戶後續的因應建議，據了解，EMC RSA也有提供一條直通美 國總部的熱線，供既有的客戶做相關的資料查詢，甚至還可以更細部的提供EMC RSA因為這次攻擊事件所做的各 種資安補強措施，以協助企業做好後續的資安強化動作。 企業客製化參數強化金鑰安全性 立錡科技雖然沒有第一時間被通知到相關的事件始末，但王德劭表示，就該公司既有的安全機制而言，還不用太擔 心，因為該公司在使用RSA的產品時，就深信沒有百分之百的安全，所以在金鑰產生時，有客製化加入屬於該公司 獨有的數值以提高金鑰的安全性。 某銀行業資訊處的中階主管也有類似的觀點。他表示，企業建置這種雙因素認證系統時，金鑰會保管在企業內部。 他說，除非駭客竊取EMC RSA的技術文件，還能夠同時知道企業本身的金鑰，否則，對企業安全性的影響有限。

14 RSA遭駭被竊，雙因素認證產品安全性受質疑
第一銀行雖然不是採用RSA SecurID的產品，但該公司通路系統開發部經理王致平表示，企業建置這樣的雙因素認 證系統，每個使用者拿到的每一支Token會有不同的產品序號，所以在Token使用前，都必須和後端認證系統作同步 登錄。他說，企業的認證伺服器本身也會有一組獨特的機碼，藉此去產生不同的金鑰數值，對於必須使用Token登 入的系統，也會針對不同的系統加入不同的時間值、交易值和參數等，以確保系統和使用者的安全性。 企業應立即強化金鑰保存 RSA和其他加密認證的公司一樣，所採用的加密演算法都是公開的演算法邏輯。臺灣科技大學資訊管理系教授吳宗 成表示，就密碼學而言，只要有時間、成本和效能上的限制，這世上就沒有絕對安全的密碼。他認為，類似EMC RSA的事件發生，有兩種解決方式，第一種就是更換其他加密的演算法，另外就是加強金鑰的組成與保護。 吳宗成說，更換加密演算法不見得每個人都知道怎麼做，也不見得有其他更好的替代方案，但是，如果能夠做到強 化金鑰的保管，可做到藉由強化管理補強技術的不足，包括強化認證系統所產生加密金鑰亂數必須具有不可預測性 ，以及這個亂數金鑰必須妥善的被保管在企業內，例如認證伺�A器做加密等，才是目前企業對於類似EMC RSA資 安事件最務實的應對方式。 歷經此一事件，企業用戶對於EMC RSA還有信心嗎？王德劭表示，之前該公司是百分百使用RSA SecurID，未來會 在成本與安全分散的考量下，搭配其他廠牌的Token產品。但他強調，即便認為該公司對企業用戶第一時間的危機 處理方式並不好，但後續還是要看外洩資料內容為何，以及後續的處理方式，才能夠確認對RSA是否還具有足夠的 信心，才知道未來選商時，是否還會納入該公司。文☉黃彥棻

15 網路銀行最好只用來查詢帳戶往來內容 ，盡量避免線上交易 若非得要採用線上交易，建議採用指定 轉帳方式
使用網路銀行線上交易要非常小心 網路銀行最好只用來查詢帳戶往來內容 ，盡量避免線上交易 若非得要採用線上交易，建議採用指定 轉帳方式

16 別在IE上記憶帳號資料

17 Google揭露的IE零時差漏洞出現攻擊
文/沈經 該IE零時差漏洞由Google的資安工程師在今年一月初披露，當用戶連結到惡意網站時，因mshtml.dll的漏洞遭駭客利用，惡意連結可以直接開啟IE已記憶帳號密碼的部分網站服務，進而竊取用戶資料。 微軟資安通告表示，先前在一月初所公布的IE零時差漏洞發現已經遭駭客所利用，進行有限的目標式攻擊。Google也同時在資安部落格中直指駭客使用該漏洞攻擊具有政治含意的帳號，部分社交服務也發現攻擊的跡象。 可能因牽涉多個作業系統，微軟迄今還未完成該漏洞的修補，但已經釋出權宜的工具，可以暫時停用受該漏洞影響的功能。微軟建議個人或企業安裝、佈署該工具，以避免遭受影響。Google則已經在各服務的伺服器端加強防範，並積極與微軟合作，但仍認為用戶應該使用微軟提供的工具以策安全。 該IE零時差漏洞由Google的資安工程師在今年一月初披露，當用戶連結到惡意網站時，因mshtml.dll的漏洞遭駭客利用，惡意連結可以直接開啟IE已記憶帳號密碼的部分網站服務，進而竊取用戶資料，微軟Windows XP/Vista/7、Windows Server 2003/2008/2008 R2等作業系統均受該漏洞影響。Google公布該漏洞之前，曾以相關資料可能遭中國駭客取得為由，拒絕微軟延後發表的請求。（編譯/沈經）

18 MAC、智慧型手機， 未來的資訊家電，物聯網…..
不安全的已不只是PC而已 MAC、智慧型手機， 未來的資訊家電，物聯網…..

19 Mac OS X木馬套件蠢蠢欲動 Sophos：Mac OS X木馬套件蠢蠢欲動
文/沈經 Sophos指出，駭客正在打造Mac OS X版的木馬程式Blackhole RAT，該木馬由Windows著名的RAT(遠端存取木馬程式)darkComet改造而來，駭客可以從遠端遙控木馬控制整部電腦。 資安公司Sophos發布一份報告指出，駭客正在打造Mac OS X版的木馬程式Blackhole RAT，該木馬由Windows著名的RAT(遠端存取木馬程式)darkComet改造而來，駭客可以從遠端遙控木馬控制整部電腦，但目前釋出的是未完成的測試或預覽版本。 Sophos將該木馬取名為OSX/MusMinim-A，該木馬使用介面混雜著英、德文，可以在桌面顯示特定文字檔案，命令電腦開啟、休眠或重新開機，執行任何Shell命令，發送特定網址給受控制的電腦，或者跳出偽造的管理者權限視窗讓用戶輸入帳號密碼。 該木馬具有一個全螢幕狀態，使用者遇到時僅能重新開機，上面寫著：「我是一個木馬程式，已經感染你的Mac。我知道大部分人認為Mac不會中毒，但你已經中毒了！我可以控制你電腦的一切，想做什麼都可以，而你對我無可奈何。現在我還是一個新病毒，待正式版開發完成之後我會更強大！」部分媒體認為這是宣傳，藉以吸引需要惡意軟體的客戶注目。 Sophos尚未發現該木馬套件所製作的任何惡意軟體。有媒體認為，只要有人找出漏洞將該木馬遠端置入使用者電腦中，由於該套件使用方法極為簡便，加上許多OS X用戶從不使用安全防護軟體，可能會造成重大災情。（編譯/沈經）

20 Skype for Mac含有零時差攻擊漏洞
文/陳曉莉 (編譯) Skype澄清，早在今年4月就釋出小型的hotfix快速修正該漏洞，由於尚未傳出攻擊事件，因此他們沒有提醒使用者進行更新，此外，Skype也會在本周釋出完整的修補程式。 澳洲安全顧問公司Pure Hacking上周指出，Skype for Mac含有一零時差攻擊漏洞，駭客只要傳送一個特製的訊息給Skype用戶，就可遠端控制Mac電腦，該漏洞非常危險而且可用來散布蠕蟲。 根據Pure Hacking的研究，該漏洞只影響Mac版的Skype。Linux與Windows版並未受到波及。 Pure Hacking公布此一漏洞的原因在於該公司早在1個月前就告知Skype，但遲遲未等到Skype的更新。不過，Skype資訊安全長Adrian Asher旋即澄清，Skype早在今年4月就釋出小型的hotfix快速修正該漏洞，由於尚未傳出攻擊事件，因此他們沒有提醒使用者進行更新，此外，Skype也會在本周釋出完整的修補程式。 對於該漏洞，Asher亦說明，如果有人傳送惡意訊息，可能會先導致Skype或Mac當掉，但對方一定得在Skype用戶的聯絡人名單上，因為Skype的預設值並不允許未經用戶授權的使用者傳遞訊息。 Skype於今年4月釋出的修正版本為Skype for Mac ，必須由使用者手動進行更新，而本周將釋出的完整更新除了修補該漏洞外也一併解決了許多臭蟲，屆時將會通知所有的Skype for Mac用戶進行更新。（編譯/陳曉莉）

21 資安公司首度發現OSX殭屍套件 資安公司首度發現OSX殭屍套件
文/沈經 丹麥的資安公司CSIS在網路黑市之中出現第一套OSX犯罪軟體套件Weyland-Yutani BOT，並透過網路匯款以1000美元購買一套完整版本，將其執行過程拍攝為影片。該公司表示，這個套件的出現意味Mac OSX可能將不再如往常安全。 一家位於丹麥的資安公司CSIS發佈一份報告表示，在網路黑市之中出現第一套OSX犯罪軟體套件Weyland-Yutani BOT，內容包含惡意程式產生器、控制面板，並支援加密。 該公司指出，該套件功能與其他PC常見的套件功能類似，除了能在OSX中建立殭屍網路之外，後續還會納入Linux及iPad。這可能跟該套件目前僅能透過Firefox入侵有關。該套件還宣稱將來可以透過Chrome及Safari入侵。目前該套件用於入侵的樣板與宙斯、Spyeye兩種殭屍網路相同。 為研究該套件，CSIS透過網路匯款，以1000美元購買一套完整版本，並將其執行過程拍攝為影片。該公司表示，這個套件的出現意味Mac OSX可能將不再如往常安全，而且以往的安全記錄可能讓用戶大意，導致OSX陷入惡意程式的災難之中。 而另一家資安公司Intego則找到一個惡意軟體MACDefender，該軟體名稱上像是一個防毒軟體，利用搜尋引擎最佳化的方式擴散。 當用戶搜尋到該連結時，會下載一個壓縮檔案，如果將其開啟，會解壓縮並安裝該軟體而導致中毒。不過因為該軟體會要求安裝及輸入系統密碼，因此Intego判定其威脅程度較低，並提醒用戶不要隨意安裝這類突然冒出的軟體。（編譯/沈經）

22 連Apple也淪陷了，那Android呢？
小心Apple Store上的應用程式

23 P2P、Stream Media 好用、方便… 背後潛藏的危機與代價
FOXY、BT、迅雷(Thunder)… PPStream (PPS)….

24 發現大量企業資料P2P網路外洩 美國FTC：發現大量企業資料P2P網路外洩
文/蘇文彬 (記者) FTC依調查針對可能在P2P網路上外洩個資的企業或政府組織寄發通知信，規勸企業組織應正視P2P潛藏的個資外洩風險問題。 美國聯邦交易委員會（FTC）警告，已有約百家企業或組織擁有的個資，已在P2P網路上大量外洩，可能造成身份冒用及詐欺行為。 FTC近日針對將近100家企業組織發出通知信，通知這些組織其客戶或員工個人資料已在P2P網路上大量散佈，每個組織至少有一個以上的電腦檔案在P2P網路上流傳，有心人經由P2P取得資料，可能發生嚴重的身份盜用、詐欺事件。 為了宣導P2P對企業資料的外洩風險，FTC也提供相關文宣資料進行宣導。FTC表示，P2P的使用行為包括線上遊戲、網路電話，或是透過P2P分享軟體，與他人共享音樂、影片及文件，若沒有適當的設定，敏感資料可能無形中被分享出去。FTC建議企業應檢視，防止P2P的使用讓資料外洩，同時也檢視業務往來的業者是否有這樣的風險。 FTC 主席Jon Leibowitz表示，不幸的是企業經常遭受到P2P的侵害，讓客戶敏感資料處於外洩風險之中。舉例來說，P2P可以找到醫療資訊、財務紀錄、駕照，及社會安全碼，這些都可能導致他人身份被盜用。企業應該慎重檢視是否有未經授權的P2P軟體，或是那些經授權使用的P2P軟體是否被管理，以防止資料外洩。而那些提供P2P軟體的公司也應確認軟體設計上不會洩露資料。 為了防範個資外露，美國從法律途徑規範企業採取合理、適當的方法防止敏感個資外露，例如Gramm-Leach-Bliley法案及FTC法等規定，從法律要求企業作好防範，並在發生外洩時告知受害者，防止資料繼續外洩。 事實上為了防範P2P外露個資風險，去年底美國眾議院政府改革暨監督委員會主席Edolphus Towns也曾提案，要禁止美國聯邦政府員工使用P2P分享軟體，確保護美國政府資料安全。 而台灣過去也發生多起P2P外洩政府機關組織或個人隱密資料的問題。例如2007年民眾檢舉Foxy可搜尋到警方筆錄資料，詳載當事人姓名、電話、住址、身份證等資料，顯示國內也存在P2P個資大量外洩問題。 除了個資外洩，其他國家也針對著作權保護對P2P採取相關做法，例如日本警察廳今年2月便啟動P2P觀測機制，調查分析P2P分享的內容，供取締著作權侵權調查之用。

25 維基解密利用P2P網絡竊取機密信息 網路安全專家研究發現，維基解密 一直在利用P2P網路搜索機密資訊 維基解密利用P2P網絡竊取機密信息
據彭博《商業周刊》報道，雖然維基解密及其創始人朱利安•阿桑奇（Julian Assange）一直聲稱他們手上的機密信息都是由匿名人士主動提供的。但互聯網安全公司Tiversa却表示，經過他們研究發現，維基解密一直在利用 P2P網絡搜索機密信息。利用P2P網絡下載電影、電視劇或音樂的用戶可能在不經意間就泄露了電腦中的機密文檔。P2P網絡中蘊含豐富的機密信息，這在研 究人員、金融詐騙者和情報部門早已不是秘密。 　　2009年4月，維基解密公布了一份美軍機密文件，文件中詳細描述了美軍位于考愛島（Kauai）的太平洋導彈靶場的技術能力。在談到文件來源 時，維基解密只表示來自于“匿名人士”。維基解密和其創始人朱利安•阿桑奇一直聲稱組織沒有固定的注册地，他們只是在網站上提供了一個安全的下拉框供爆料 者提供機密信息。阿桑奇一再表示，維基解密不會主動去獲取機密文件，他只是提供了一個平臺，由其他人來提供機密信息。 　　但互聯網安全公司Tiversa幷不同意這種說法。Tiversa表示，維基解密已經開發出一個類似于LimeWire和Kazaa的P2P軟 件，幷利用這個軟件竊取機密文件。P2P軟件一般用來免費下載盜版電影或音樂。如果一位五角大樓雇員登錄了這種P2P網絡下載電影，他電腦中的所有電子郵 件和圖表可能就會完全暴露，這是因爲有些P2P軟件會搜索用戶硬盤中存放的共享文件。在沒有關閉這項功能或沒有特別注明硬盤的哪一部分會被搜索到之前，用 戶的電腦大門等于向別人敞開著。 　　在導彈靶場文件泄露這個案例中，Tiversa的系統注意到來自瑞典多台電腦的不正常情况，一直到去年12月，維基解密的多台主要服務器就設在 那裏。這幾台電腦瘋狂搜索著世界各地的P2P網絡。它從夏威夷的一台電腦上找到了一個名爲BPL_HI.pdf的文件，瑞典的電腦下載了這個文件。兩個月 後，維基解密公布這份文件。 　　Tiversa由政府和企業出資建立，它使用相同的方法發現文件泄密的漏洞，幷找出是誰在竊取這些文件。Tiversa表示，夏威夷事件絕不會 是孤立的。它的技術已經偵測到瑞典的神秘電腦下載了GB級的數據，其中的大部分很快就出現在了維基解密上。Tiversa首席執行官羅伯特•波巴克 （Robert Boback）表示，維基解密一直在文件共享網站中搜尋這些東西。一些來自瑞典的人從共享網絡中搜索到了這些文件，維基解密又原樣公布了出來，他們極有可 能是同一群人。面對質疑，維基解密發言人拒絕談論他們的信息來源，以及核實信息真僞性的政策。維基解密在倫敦的代表律師馬克•斯蒂芬斯（Mark Stephens）表示，上述說法“從各個方面看，都是完全錯誤的”。 　　P2P網絡起源于十年前Napster軟件的出現。青少年用它來尋找賈斯汀•比伯（Justin Bieber）的歌曲，其他人則用它來下載電影或電視劇。這些P2P網絡在駐伊拉克和阿富汗的美軍中也是特別的流行。波巴克表示，這一情况在研究人員、金 融詐騙者和情報機構那裏已經是公開的秘密。P2P網絡中有豐富的機密情報信息，都是用戶無意間泄露的。根據Tiversa的說法，2009年馬里蘭一位防 務承包商登錄P2P網絡，暴露了美國總統專用直升機“海軍陸戰隊一號”（Marine One）的設計信息，這些數據被伊朗的一台電腦得到。篩選一個網絡，入侵者只需要瞭解P2P網絡的基本知識。對全球的網絡進行一次大規模搜索，强勁的電腦 和足够的帶寬也是必需的。 　　Tiversa在這兩個方面都有豐富的資源。Tiversa的總部位于賓夕法尼亞州克蘭伯裏陶恩希普（Cranberry Township）的一間安全屋內，一排排的服務器實時顯示著網絡上的秘密寶藏。在一次簡單的示範中，一位Tiversa分析師敲下幾個按鈕，屏幕上就彈 出了電影演員劉玉玲（Lucy Liu）的手機號碼和她在酒店開房時用的假名，這些信息都來自于一份製片公司的文件，文件上明顯貼著“不得對外公開”的標簽。阿桑奇曾告訴采訪者，維基解 密擁有制藥、能源和金融企業的許多破壞性信息；波巴克證實，企業機密文件可以輕而易舉的得到。 　　2009年11月，維基解密公開了一份電子表格，表格詳細描述了加州弗雷斯諾鄉（Fresno County）可能遭到恐怖襲擊的地點，由州和聯邦安全人員編制。電子表格中標出了可以製造炸彈的化肥、大量汽油和丙烷的存放地點，以及主要軍事目標和執 法部門的具體坐標和他們的工作流程。Tiversa發現，電子表格是加州一位公務員2008年8月在使用P2P軟件FrostWire時無意間泄露的。維 基解密2009年公布的一份描述塔利班領導人和他們行動的秘密文件，也是八個月之前由P2P用戶泄露的。關于能源巨頭雪佛龍（Chevron）公司在美國 和加拿大財産清單的文件2009年3月在P2P網絡上泄露，5月份由維基解密公開。 有沒有可能那些瑞典電腦屬于其他人，這些人在得到這些文件後再交給維基解密？波巴克表示，這絕不可能。世界上不可能有這麽多爆料者，能提供上百萬份的文檔。不過如果是用戶自己暴露的，那就說得通了。 網路安全專家研究發現，維基解密 一直在利用P2P網路搜索機密資訊

26 Foxy P2P造成線民資料外洩 調查局高雄縣調查站一名組長私自將線民資料存到隨身碟，用私人電腦修改，沒想到，線民的個人資料不慎被FOXY給分享出去，造成資料外洩。這是調查局成立至今，第一次傳出線民資料外洩的事情，而網友可輕易下載這些資料，也可再分享出去，如果被有心人士得到手，恐怕會危急線民的性命。 據了解，該組長在今年5、6月間，將線民資料表存放在隨身碟中，再用朋友的電腦將資料拉到桌面修改，卻沒發現電腦裝有FOXY；直到新竹市調查站一位調查員上網蒐到相關資料，緊急向上呈報，整件事情才被人發現。 調查局證實，確實有資料外洩，並且無法得知有多少網友已經下載到這份資料，可是外流的資料沒有外傳的13位這麼多，而且外洩的只是一般性對象，「那是個人疏失，不是機關內部發生的事情，是在機關外部發生的，他個人已經受到懲處了。」 據悉，調查局考量當事人並非故意，且沒造成重大危害，因此僅將這名組長記兩次申誡。不過，FOXY、電驢這類的分享軟體有多可怕呢？電腦工程師吳先生指出，只要共享資料夾，任何一個檔案都可能會被分享出去；這種軟體雖然下載方便，但也能讓網友輕易竊取電腦機密文件。（新聞來源：年代新聞記者黃士芸、劉元發） 原文網址: 忘了關閉FOXY　調查站線民資料遭到分享 | 3C新聞 | NOWnews 今日新聞網

27 Ctrl + Alt+ Delete

28

29

30 天下沒有白吃的午餐， 用P2P、Stream Media會有潛在的代價
電腦上的機密資料會不小心分享出去 個人電腦會變成網路上的伺服器 除了影響下載的頻寬，還會吃掉上傳頻寬 ，結果就是網路會變很慢(ADSL更嚴重)

31 個資外洩事件與個資法探討

32 Sony個資外洩：台灣25.5萬PSN會員受累 Sony個資外洩：台灣25.5萬PSN會員受累
文/蘇文彬 (記者) Sony PSN以服務PS3、PSP用戶會主，台灣估計約有25.5萬PSN會員連同全球7700萬會員資料一起被駭客竊取。 Sony PlayStation Network（PSN）被駭導致全球7700萬會員資料外洩，台灣也有25.5萬PSN會員受累，Sony呼籲本週PSN服務恢復後，會員應儘速更改密碼，並慎防有心人士詐騙行為。 4月中Sony PSN被駭客入侵，為調查事件Sony關閉PSN網路進行調查，估計全球7700萬PSN會員資料，包括姓名、地址、電子郵件等明碼資料被竊，信用卡資料被加密保護，但不排除也被竊取的可能，引起美國、英國、愛爾蘭等政府關切，台北市政府也行文要求Sony說明。 本週Sony對外舉行記者會說明，承諾PSN服務本週就會分階段恢復部份服務，同時對於會員資料外洩可能受到損害也祭出補償方案。 台灣索尼電腦娛樂行銷宣傳游雅芬表示，Sony PSN為提供PS3與PSP用戶的服務，用戶只要以電子郵件就可以申請，目前在台灣區註冊的Sony PSN會員約有25.5萬，為這次資料外洩的全球7700萬會員一部份，未來也會適用於Sony提出的補償方案，因Qriocity線上影音服務未在亞洲推出，台灣會員將可得到精選PS娛樂內容下載，以及30天免費PlayStaion Plus服務作為補償。 PSN預計在本週就會階段性恢復服務，雖然台灣會員資料也被竊取，但游雅芬表示目前尚未接到會員反應受害，她呼籲，本週部份服務恢復後會員應儘速修改密碼，和發卡銀行保持聯繫以注意信用卡是否出現刷卡異常，另外，也要避免有心人士假冒Sony官方進行詐騙，Sony只會以官網和專屬的電子郵件與用戶聯繫。 上週台北市政府行文，要求台灣索尼電腦娛樂公司公開說明事件始末，受影響用戶數以及改善、用戶補償方案，台灣索尼電腦娛樂還未正式回覆，正研擬回覆內容。 就在Sony PSN被駭事件餘波盪漾下，Sony個資外洩事件又添一椿，Sony今天調查發現旗下線上遊戲子公司Sony Online Entertainment（SOE）也遭駭客入侵，全球2460萬會員資料被竊，因SOE並未由台灣索尼電腦娛樂負責，且並未在台設立分公司，本地用戶資料受影響規模不得而知，但連續發生兩起重大資安事件，顯示Sony資安防護上存在重大問題待解決。

33 人事行政說明個資外洩 ：內部疏失 人事行政說明個資外洩 ：內部疏失
文/蘇文彬 (記者) 人事局表示該資料為6年前某專案所開放的資料，但結束後人員未刪除資料，導致Google連結主機輕易找到資料，目前已刪除相關紀錄。 對於外界報導Google搜尋可找到人事行政局個資，行政院人事行政局澄清係6年前因內部疏失洩露出去的舊資料，已向中華電信、Google要求刪除。 上週末媒體報導Google搜尋意外找出一筆人事行政局主管資料，內容包括中央到地方縣市、國立大學及技術學院等各級人事單位400多位主管資料，紀錄姓名、職稱、服務單位與個人身份證字號，因外洩資料數不小，引起外界對人事行政局出現重大資安漏洞的疑慮。 對此，人事行政局說明，經過內部調查該資料是6年前殘存在中華電信Cache主機的資料，資料來源並非來自人事行政局現有的全球資訊網主機。 人事行政局主任祕書張念中表示，這筆資料是6年前人事行政局人員執行考紀委員會票選委員活動時，開放程式票選所紀錄在中華電信主機上的資料，經過調查可能是當時專案結束後，人員未刪除資料導致Google搜尋連結，人事行政局已請中華電信刪除資料，並向Google要求刪除暫存檔。 人事局資訊室主任陳邦正指出，確實是內部人員疏失，導致當時資料未刪除，存放在FTP主機上，才會被Google搜尋找到。為了避免再次發生類似問題，已清查人事行政局內部網站、個資保管與應用程式，並在電子佈告系統加註警語，也向國家資安會報、廠商尋求協助開發程式，偵測網站是否仍有不適宜的資料。 儘管人事行政局指存放的資料已透過中華電信及Google刪除，且其中除了身份證字號別無其他資料，但資料對外開放已長達6年，雖然其中人員可能已有人事異動變化，但有心人士仍能找出仍在職的主管，並將身份字號作其他用途。 另外Google搜尋還可找到人事考核的系統操作說明，外人可窺見人事行政局內部檔案資料路徑，有心人士可能掌握資料存放的管理原則，進一步研究破解之道，對此陳邦正認為系統操作說明並未公開內部資料，資料庫也都存放在人事局內網且有帳號密碼管理存取，應不會成為駭客入侵的依據。 今年8月外交部也發生Google搜尋找到2000多筆外交部職員電子信箱帳號、密碼資料，事後證實為5、6年前負責外交部郵件系統外包商所洩出，這次人事行政局也發生類似問題，再再顯示出政府部門對重要資料的安全保護意識仍有不足。

34 案例 2009年3月，香港聯合醫院一位醫師，遺失了 存有47名病患個人資料的隨身碟
2009年3月，香港聯合醫院一位醫師，遺失了 存有47名病患個人資料的隨身碟 引起相關單位重視 2009年5月，美國加洲柏克萊醫療中心的資料 庫，遭到駭客入侵 竊取了社會安全卡號和健保資訊 估計近16萬人受到影響 2009年11月，台大醫院發生了近年來第2次的 電腦當機事件 造成掛號、病歷查詢和領藥系統的失效 影響上千名病患的就醫權益 幸好未造成延誤就醫而影響生命安全的事件發生 資料引用：2010年3月號網管人雜誌

35 資料外洩三要素

36 各產業對資料外洩防護的不同需求 行業別 資料外洩威脅 個資 智財 高科技製造業
專利文件、程式碼、機台參數設定檔 設計圖、製程資訊、研發計畫… ◎ 金融服務、電信、流通業 信用卡資料、客戶身分資料、交易 紀錄、客戶帳號密碼、合約文件… 政府單位 機密等級公文、人事檔案、民眾戶籍 稅賦、地籍、財產等資訊… 教育、醫療照護與服務 學籍、病患身分、病歷、就醫與付 款紀錄、信用卡卡號… 生醫、製藥產業 研發計畫、行銷計畫、配方、實驗 數據、專案計畫… 上市上櫃、公開發行公司 未公布之財報、併購資訊、重大訊息 併購計畫、重大合約…

37 電腦處理個人資料保護法 個人資料保護法 賠償 基於同一事實、原因 單一事件合計新台幣2000萬 每人、每一事件，500元~2萬 多人、單一事件最高 2 億 該事件涉及利益 > 2 億(則不限) 適用範圍 公務機關+非公務機關(8大行業) 所有公民營機構均適用 保護客體 僅經過電腦處理的個人資料 包括經電腦與非經電腦處理的 個人資料 賠償與舉證 •非公務機關違反，致當事人權益損害，須賠償。 •但能證明無故意或過失者，不需賠償。 •民眾索賠時，不需負舉證責任 •非公務機關，需能證明「無故意或過失責任」，才能免責 •公務機關須提「無過失責任」

38 違反個資法之計算 類別 項目 估計金額 備註 罰金 未經當事人書面同意取得資料 罰鍰5萬－50萬元 違反個資法第47條
未採行適當之安全措施，致使個資被竊取、竄改、毀損、滅失或洩漏 罰鍰2萬－20萬元 違反個資法第48條 代表人未盡防止義務，與違反第47、48條同一額度罰鍰（限期內未改正，則按次再處罰） 罰鍰7萬－70萬元 違反個資法第50條 罰金最高約達140萬元 損害賠償 當事人每人每一事件500-20,000元計算，以洩漏筆數5,000筆計算 罰鍰250萬－1億元 違反個資法第28條 以該涉及利益為限 難以估算

39 個資法第二十七條 個資法第二十九條 非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。

40

41

42 醫療資訊安全防護架構 HIS/PACS CIS/RIS… 醫療機構 辦公網 醫療資訊網 IPS入侵防禦 IPS入侵防禦系統 抵禦外來威脅
內網流控系統 IPS入侵防禦系統 內網流控檢視 控管內部流量 Botnet活動監控 HIS/PACS CIS/RIS… 內容備份/側錄系統 記錄存查外流資訊 自動線路 切換裝置 終端實體隔離 雙網電腦

43 問題嚴重的殭尸網路(BotNet)

44 駭客天堂！臺灣名列全球第四 駭客天堂！臺灣名列全球第四
文/黃彥棻 (記者) 在198個國家的對外攻擊流量排名中，攻擊流量最大的國家是俄羅斯，已經連續3季的對外攻擊流量占全球攻擊流量的12％；其次則為美國（10％）、中國（9.1％）和臺灣（6.1％） 網路傳輸服務供應商Akamai每季都會調查全球網際網路現況，在198個國家的對外攻擊流量排名中，攻擊流量最大的國家是俄羅斯，已經連續3季的對外攻擊流量占全球攻擊流量的12％，名列第一名；其次則為美國（10％）、中國（9.1％）和臺灣（6.1％）。其中，除了中國的攻擊流量從2009年第四季的7.5％增加為9.1％，臺灣從5.5％增加為6.1％外，俄羅斯、美國的對外攻擊流量都呈現下滑趨勢。 根據Akamai統計，最容易遭受攻擊的連接埠是445埠，這是微軟提供目錄服務的連接埠，攻擊流量高達74％；其次為用來傳輸加密資料（SSH）的22埠，攻擊流量為6.3％；第三名則是網路芳鄰NetBIOS使用的139埠，攻擊流量為3.2％。文⊙黃彥棻

45 台大雲林分院資安健診 高度與嚴重攻擊事件列表 TOP 10
排名 防禦政策名稱 事件種類 嚴重程度 事件次數 1    TCP SYN    DoS/DDoS    高度  8,142  2    RSERVICES rsh root    Access Control 1,447  3    Botnet RBL Violation    Botnet 607 4    WORM Conficker on HTTP Search    Virus/Worm 473  5    ET MALWARE 51yes.com Spyware Reporting User Activity 275  6    ET MALWARE Baidu.com Spyware Bar Reporting 215  7    EXPLOIT Windows WMF/EMF Image Formats Remote Buffer Overflow    Web Attacks 202  8    EXPLOIT Microsoft Color Management Module Buffer Overflow    Buffer Overflow 163  9    VULN MS Windows GDI Metafiles AttemptWrite Remote Code Execution Vulnerability    Others 132  10    VULN MS Windows SChannel Security Remote Code Execution 94 

46 BotNet的組成 殭屍電腦(zombie) 控制命令伺服器(C&C Server) 殭屍網路操控者(botmaster)
於背景執行惡意程式 常為木馬程式或蠕蟲 這些惡意程式統稱為bot 控制命令伺服器(C&C Server) Control & Command Server 駭客下達命令及接收資訊的中繼站 殭屍惡意程式及組態更新來源 殭屍網路操控者(botmaster) 透過C&C Server下達指令控制殭屍 電腦的駭客 透過C&C Server瞭解BotNet版圖

47 BotNet的危害 DDoS 竊取金融帳號密碼 間諜網路 竊取個資 SPAM 廣告軟體

48 1. BotNet是DDoS攻擊的幕後黑手 1/3 殭屍電腦: 嗨！我是殭屍電腦第XX號，我已經受到感染，向指定C&C伺服器報到註冊 48

49 1. BotNet是DDoS攻擊的幕後黑手 2/3 Botmaster: 向 x.x.x.x 電腦發動DDoS攻擊 49 49

50 1. BotNet是DDoS攻擊的幕後黑手 3/3 無辜第三者遭到大量殭屍電腦的DDoS攻擊！！ 50

51 2. BotNet技術已用於竊取金融帳號 1/3 Zeus BotNet是知名的金融犯 罪木馬程式，主要目的是竊 取銀行網站、電子商務交易 之帳號及密碼 美國FBI估計Zeus BotNet 回報FBI案件次數：390 預估造成損失：2億2千萬美金 已經造成損失：7千萬美金 (統計日期： ) 資料來源：美國FBI網站 51

52 金融犯罪集團透過BotNet網路竊取您的金錢
資料來源：美國FBI網站 52

53 2. BotNet技術已用於竊取金融帳號 3/3 美國FBI全力追緝的Zeus BotNet幕後操縱者
53

54 BotNet犯罪集團抓不勝抓 中國時報，

55 3. BotNet技術已用於間諜網路 2010年4月國際知名研究機構提出的<<Shadows in the Cloud>>網路間諜研究報告中指出，大陸已利 用BotNet技術發展間諜網路系統 以竊取重要政府機構的機密文件為目的 搭配高針對性之目標鎖定式攻擊，針對特定政府人員 展開入侵活動 有30%遭感染電腦為高度政治敏感性電腦 軍事機構、大使館、國際組織、達賴喇麻辦公室、 新聞媒體、及非政府組織 55

56 4. BotNet技術可輕易竊取民眾個資 竊取經由HTTP 表單所傳送的資料
竊取存放 Windows Protected Storage的帳號密碼資料 Microsoft Outlook, Microsoft Outlook Express, Internet Explorer表單資料 竊取FTP以及POP之帳號密碼資料 將Victim欲瀏覽的網頁轉向駭客所指定的網頁 瀏覽Victim電腦，並竊取檔案 蒐集Victim電腦系統資訊 作業系統版本、Service Pack、語言… 56

57 5. BotNet是SPAM郵件主要來源 研究人員發現感染Bot的電腦為83.2% SPAM郵 件的主要來源
57

58 7. BotNet可用於大量安裝廣告軟體 殭屍電腦會自動下載並安裝廣告軟體，惡意軟體 會分析使用者的瀏覽網站習慣，不時彈跳廣告畫 面，或誘導使用者瀏覽特定網站 58

59 BotNet的入侵、擴散、連結 入侵 擴散 與C&C伺服器連線

60 1. Bot透過各種管道讓使用者執行安裝 SPAM IM/P2P 網頁瀏覽/無界 (釣魚網站) 社交網站 使用者攜入USB
網頁瀏覽/無界 (釣魚網站) 社交網站 使用者攜入USB 自行安裝偽裝正常程式之木馬

61 Mass SQL Injection來襲，百萬網址受駭
資安公司Wensense發布資安報告顯示，LizaMoon惡意連結植入全球超過百萬個網址，臺灣受駭網址也從原本千個暴增為6萬多個，名列全球受害第7名 資安廠商Websense在3月29日於該公司部落格發布一則資安通報，有一個名為LizaMoon.com的惡意網址，透過SQL Injection手法被植入許多網站中。根據Websense持續更新的資安報告，透過Google查詢被植入該惡意連結的網址數量，從原本的2萬8千多個，暴增為全球受害遭植入該惡意連結的網址數量超過百萬個的Mass SQL Injection攻擊。 根據統計，臺灣此次在全球受駭國家排名中，名列亞洲第2名、全球第7名；從Google查詢臺灣受感染的網址數量，也從原本的1千個暴增到6萬3千個。 LizaMoon風暴來襲，受感染網址超過150萬個 Websense表示，這個惡意網站LizaMoon.com最早是3月25日以假身分註冊的，透過Google搜尋LizaMoon惡意連結語法時，剛開始受感染的網址只有2萬多個，不到幾天時間，感染數量暴增到30多萬個。 LizaMoon.com惡意網址感染後，沒多久就停止運作了，但有其他將近30個惡意連結發動Mass SQL Injection，同時感染其他網址。根據Websense統計，這波惡意連結感染的網址數量，甚至超過150萬個。 Websense指出，受到該惡意網址感染的使用者瀏覽器頁面，會自動被轉址到一個名為「Windows Stability Center」的防毒軟體網頁，當受駭者瀏覽到該網頁後，會出現一個警告訊息，顯示使用者的電腦中潛藏許多惡意程式，必須立刻掃描電腦與清除惡意程式。 從Websense提供的證據看來，該偽冒的防毒軟體網頁，整體風格神似微軟的網頁形式，一旦不留意，很容易誤認為是微軟官方網頁而相信該警告訊息因而受騙。但是，這個偽冒連結，在總計43個防毒軟體的測試中，只有13個防毒產品辨識出是惡意連結並進而阻擋，辨識率只有3成。 本身是微軟MVP的黑暗執行緒部落格格主Jeffrey接受書面訪問時表示，這次LizaMoon攻擊手法很成功的原因在於，攻擊難度並不高，只要把全部攻擊指令濃縮成一行QueryString，就可以在網路上四處亂試主機，嘗試看哪一個網站伺服器有SQL Injection的漏洞可以利用，成功就賺到，失敗了，不過浪費幾百個位元的頻寬而已。因此，他認為，「這對駭客而言，只有要足夠的機器與頻寬就可以四處亂槍打鳥，嘗試發動大規模Mass SQL Injection攻擊。」 @ASP與ASP.NET網站被駭數量最多 Websense初步統計，此次遭受LizaMoon惡意連結感染的網址，大多都是ASP或ASP.Net網站加上微軟SQL Server 2000和2005的組合，但也有極少數使用者表示，使用微軟SQL Server 2008受到類似感染。 面對Mass SQL Injection攻擊，臺灣有許多網站也受害。負責維運非營利組織國際厚生健康園區網站（ Server 2003的規格，平均每50次的嘗試入侵，有20次成功入侵的機會。 國際厚生指出，從IIS伺服器Log記錄逆向追蹤發現，這次攻擊來源單一，都來自中國網段IP位址，國際厚生表示，將這些Log匯出、掃描、比對時間和字串並尋找關鍵字，大約花2小時的時間，除了請軟體開發工程師寫SQL指令清除這些插入的字串外，也先把這些攻擊網址進行封鎖。 但是，Websense強調，這次主要是Web應用程式的漏洞，與資料庫本身無關，雖然還不知道引發此次Web漏洞的原因，主要還是和SQL指令不乾淨或有錯誤有關，導致Web應用程式無法正確過濾輸入的指令。

62 2. 透過Client Side 漏洞直接入侵植入Bot (1/2)
檔案格式漏洞入侵 當存有client-side 漏洞的電腦 讀取 惡意格式 PDF、Word、 Flashplayer等檔案 時就會自動遭到植 入bot而不自知

63 2. 透過Client Side 漏洞直接入侵植入Bot (2/2)
瀏覽器漏洞入侵 當存有client-side 漏洞瀏覽器瀏覽惡 意網站時就會自動 遭到植入bot而不自 知

64 BotNet的入侵、擴散、連結 入侵 擴散 與C&C伺服器連線

65 遭感染的殭屍電腦會 掃瞄同網段的其他電 腦入侵，以擴大版圖
3. 掃瞄同網段電腦擴散 遭感染的殭屍電腦會 掃瞄同網段的其他電 腦入侵，以擴大版圖 入侵存在系統漏洞的 電腦 因不經過防火牆，可直 接利用Server Side及 Client Side漏洞 入侵使用懶人密碼的 電腦 65

66 4. 用盡各種辦法穿透防火牆擴散 Bot會用盡各種辦法 穿透防火牆擴散 SPAM IM
社交網站 (Youtube、 Facebook、Twitter)

67 BotNet的入侵、擴散、連結 入侵 擴散 與C&C伺服器連線

68 5. 與C&C伺服器連線(1/2) 當主機感染bot成為 殭屍電腦後，會定期 與C&C伺服器連線 接受駭客的指令

69 5. 與C&C伺服器連線(2/2) 殭屍電腦與C&C伺服 器連線管道 IRC IM/P2P Tunnel 社交網站 HTTP/ HTTPS

70 傀儡網路改用臉書控制 新聞來源:iThome
校園學術網路中，2010年初估有6成以上的電腦，都曾被植入惡意程式，淪為傀儡網路，目前發現，已經 有駭客開始利用社交網路，例如改以臉書報到取代以往IRC的報到功能，迴避現行防毒軟體的偵測與封鎖 負責控管學術網路（TANET）的國家高速網路與計算中心副研究員蔡一郎表示，校園學術網路中，2010年 初估有6成以上的電腦，都曾被植入惡意程式，淪為傀儡網路（Botnet）。蔡一郎表示，從學術網路使用 的狀況中也發現，已經有駭客開始利用社交網路，例如改以臉書報到取代以往IRC的報到功能，迴避現行 防毒軟體的偵測與封鎖。 所謂的「報到」指的是，駭客會從指令與控制伺服器（Command and Control Server）下指令，要求傀儡 電腦回應指令，例如在臉書按讚等，以確認傀儡電腦的有效性。 
蔡一郎說，觀察這個擔任傀儡網路報到的臉書帳號，塗鴉牆留下的語言都不是人類的語言，都像是下指令 的程式語言，而該臉書使用者的朋友們，也都不像有正常活動，都像是機器人程式一樣，彼此沒有互動， 卻會定期出現看不懂的指令語言。他指出，長期觀察發現，這樣的臉書就是駭客�峔茩n求其他傀儡網路報 到的指令與控制伺服器。 除了利用社交網路外，賽門鐵克中國區技術支援部首席解決方案顧問林育民也說，在2011年，該公司也發 現，陸續有駭客利用P2P的通訊協定作為傀儡網路報到的工具，而非使用常見的P2P工具，因為許多公司 都封鎖常見的P2P軟體，但不一定封鎖未知的P2P通訊協定。林育民認為，傀儡網路P2P通訊協定報到將會 是2011年駭客最常使用的手法之一。文☉黃彥棻

71 個人使用上網系統與機密系統雙系統 隔離 使用具私密碟的隨身碟 避免使用線上交易 或採用指定帳戶轉帳
如何自保？ 個人使用上網系統與機密系統雙系統 隔離 使用具私密碟的隨身碟 避免使用線上交易 或採用指定帳戶轉帳

72 2008 威播科技新產品發表會

73 2008 威播科技新產品發表會

74 2008 威播科技新產品發表會

75

76

77

78