資安知識大補丸 Speaker:劉則明 Date:2013/12/04
Content 1. 資訊安全概念 2. 知己知彼 3. 攻擊管道 4. 本校案例 5. 國內案例 6. 防駭小撇步
圖表來源: https://www.google.com/transparencyreport/safebrowsing/ 資安概念-惡意程式網站 /詐騙網站 惡意程式網站內含的程式碼會將惡意軟體安裝在使 用者的電腦上。駭客可以使用這類軟體擷取及傳送 使用者的私人資訊或敏感資訊。 詐騙網站會偽裝成其他正當的網站,企圖誘騙使用 者輸入自己的使用者名稱和密碼,或分享其他私人 資訊。常見的例子是偽裝成正常銀行網站或線上商 店網頁。 圖表來源: https://www.google.com/transparencyreport/safebrowsing/
圖表來源: https://www.google.com/transparencyreport/safebrowsing/ 資安概念-瞭解惡意程式 惡意程式網站會將惡意程式植入使用者的電腦,藉 此竊取私人資訊、盜用身分或攻擊其他電腦。當使 用者造訪這些網站時,這些惡意程式會在他們不知 情的情況下載入他們的電腦中,並且取得電腦的主 控權限。 圖表來源: https://www.google.com/transparencyreport/safebrowsing/
資安概念-臺灣學術網路現況 廣大興事件
Photo by http://sholf.wordpress.com 資安概念-木桶原理 短板理論/破桶理論 美國管理學家彼得提出 組成木桶的木板如果長短 不齊,那麽木桶的盛水量 不是取決於最長的那一塊 木板,而 是取決於最短 的那一塊木板。 資安的成敗-取決於團體 中,資安概念最弱的一環 Photo by http://sholf.wordpress.com
資安概念 高聳的城牆 各種防毒軟體 您? 堅固的城門 防火牆 寬廣的護城河 網路保護
資安概念-教育訓練目的 修補資訊系統的漏洞 主要修補使用者的習慣 藉由更新、修補系統的漏洞可降低 被入侵的風險 必須持續的教育宣導、演練加深印 象,養成資安意識。
知己知彼-駭客分類 1 白帽駭客(White Hat Hacker) 2 灰帽駭客(Gray Hat Hacker) 3 紅帽駭客(Red Hat Hacker) 黑帽駭客(Black Hat Hacker) 4 5 怪客(Cracker)
知己知彼-駭客之目的 為金錢 非法行為 駭客激進主義(Hacktivism) 佔網路犯罪大多數 常利用社交工程竊取而來的個人資料與系統帳密,可以直接盜取金 錢或至黑市中販賣 黑市論壇的個資交易比率與價值,信用卡資料排名第一 (28%,2010) 非法行為 破壞商譽、收集資料 當作跳板 找系統漏洞,破壞系統或癱瘓網路 駭客激進主義(Hacktivism) 政治性、社會性目的 對某事抗議(報復)或引起社會關注 2011年因駭客激進主義而造成資料外洩筆數佔全部的58%
攻擊管道-電話 最早使用的管道 利用容易相信與缺乏警覺的弱點 例: 168詐騙排名統計 『爸(媽),我出事了…』 尹國策顧問遭電話詐騙案 歹徒對身家瞭解 不給機會求證 國稅局、勞保局、電信公司…退費 ATM辦理退費 中大獎、中轎車… 預繳稅金 網路購物分期付款有誤 168詐騙排名統計 假冒機構詐財 拍賣詐財 猜猜我是誰 假推銷 假借催討欠款 假借親友出事勒索 騙取個人資料 假綁架詐財 假投資 色情應召詐財 (2013/08)
攻擊管道-電子郵件 利用電子郵件夾帶病毒、木馬等惡意程式 誘人的信件標題 惡意的超連結 全球每天流通的垃圾信件約1,150億封 熱門時事 養生保健/藥物保健(64%,2010) 旅遊/美食 情色 … 惡意的超連結 偽造的釣魚頁面 全球每天流通的垃圾信件約1,150億封
攻擊管道-社群/即時通訊軟體 常見社群軟體 利用好友間訊息傳遞的漏洞 常見即時通訊軟體 例: 多為複合式的攻擊手法 因身份偽裝不易察覺 Facebook Plurk Twitter 常見即時通訊軟體 MSN(已不提供服務) Line 多為複合式的攻擊手法 木馬程式 僵屍網路 社交工程 郵件釣魚技術 利用好友間訊息傳遞的漏洞 因身份偽裝不易察覺 因信任關係不會懷疑 因舉手之勞不覺麻煩 造成缺乏警覺性 例: 『方不方便用你的手機幫我收 一下簡訊?…』 認證詐騙/小額付款
攻擊管道-進階持續性滲透攻擊(APT) 進階持續性滲透攻擊(Advanced Persistent Threat, APT),Advanced 意指精心策畫的進階攻 擊手法,Persistent 則是長期、持續性的潛伏。 APT 五種典型的特色: 高度針對性。 具有潛伏並保持低調的技術能力。 擁有資料情報分析之能力。 擁有多樣工具的多重面向攻擊方式。 資金充裕。
APT是多種面向的攻擊路徑 外網主機如Web伺服器遭突破成功,多半是被 SQL Injection攻擊 內網主機如AD伺服器或開發人員電腦遭突破成 功,多半是被密碼暴力破解 受害者的工作與私人信箱被設定自動備份給駭客
APT是多種面向的攻擊路徑 count. 受駭機器遭植入惡意程式,多半被安裝遠端控制 工具(RAT),傳回大量機敏文件(WORD、 PPT、PDF等等),包括所有會議記錄與組織人事 架構圖 更多內網機器被"設計"遭入侵成功,多半為高階 主管點擊了看似正常的郵件附檔,卻不知其中含 有惡意程式
APT-based 鬼網(GhostNet)壟罩全球
8 major APT-Taskforce Groups
Top 3 APT Taskforce Groups
本校資安案例1 ? 法學院某老師 瀏覽惡意網站導致Email 密碼被盜 abcd 1234 廣告/詐騙信件 學校郵件主機 間諜軟體 郵件主機 負載過大 側錄使用者帳號密碼 abcd 1234
本校資安案例1-小常識 惡意的網站 如何避免 依2013年Google 公佈全球惡意網站調查資料 台灣地區掃瞄約有88,666個網站,5%含有惡意程式 Hinet 中華電信 (4-5%) Phoenix CATV 鳳信數位有限 (94%) 如何避免 先用Google搜尋 不上不明網站
本校資安案例2 工學院某老師 釣魚信件騙取密碼 學校郵件主機 名譽評等降級 利用盜取之帳號密碼 寄外信件遭退 駭客 帳號密碼取得 寄件者:supportt@nuk.edu.tw 主旨:重要提示:親愛的電子郵件帳戶的用戶 內容: 您的郵箱已超過管理員設置的默認存儲限制, 您目前正在運行的低,你可能無法發送或接收新郵件, 直到您重新驗證您的郵箱。 重新驗證您的郵箱,請點擊下面的鏈接, 並正確填寫所需的所有信息: http://redcliffebedandbreakfast.com/wp-info/webmail.html 謝謝 系統管理員 本校資安案例2 工學院某老師 釣魚信件騙取密碼 學校郵件主機 駭客 利用盜取之帳號密碼 名譽評等降級 寄外信件遭退 帳號密碼取得 重新驗證畫面 請點擊”鏈接”
本校資安案例2-小常識 不明電子郵件特徵 主旨 寄件者 內容 沒主旨(學校會協助阻擋) 聳動之主旨吸引收件者興趣(別好奇) 通訊錄內之好友(謹慎確認) 菜市名(別理會、勿開啟) 小淇、怡君、雅婷、欣怡… 路人甲(直接刪) 內容 注意慣用語之破綻 不明超連結(別點閱)
MSN服務雖已經停止! 詐騙手法仍不斷更新! 本校資安案例3 2011年7月 本校某行政人員收到 來自即時通友人發送 參觀部落格之邀請訊 息 開啟之”部落 格”網頁要求輸 入MSN帳號及密 碼 該員未經查證, 輸入自己的MSN 帳號及密碼 MSN服務雖已經停止! 詐騙手法仍不斷更新!
本校資安案例3-小常識 小額付款機制詐騙 預防之道 檢舉管道 即時通訊軟體與社群軟體常見 以代收認證簡訊、ATM退款為手法 以購買遊戲點數、開通服務、小額詐騙…等為其目的 預防之道 定期更改密碼 建議11個字元以上的密碼 16個字元的密碼,駭客能在1小時內破解(2013/5) 檢舉管道 168-反詐騙專線 0911511111-警政署簡訊特碼系統 89500-中華電信免付費詐騙簡訊檢舉專線
國內案例1 Skype 2011年中,劉小姐/佛羅理達大學博士 上網結識自稱美國中情局局長大衛‧何維派崔爾斯上將 30萬匯款手續費 求婚 代為匯兌征討利比亞的私人軍費作為 來台迎娶/聘金($1050萬美金) 劉小姐 匯兌
Photo by blog.nownews.com 國內案例2 MSN 2012年初,楊小姐/任職郵輪公司 上網結識自稱喬治克隆尼(George Timothy Clooney)男子 英國財政部副部長 大衛高克(David Gauke) 3/20$1,700美金稅 喬治 3/30$10,900美金保證金 管理聯合國慈善基金 $65,000英鎊 IMF保證金 要求保證金$10,900美金 收到匯款/IMF要求 4/10 要求協助兌現 20張$500元的旅行支票 匯兌 收到匯款 楊小姐 Photo by blog.nownews.com
國內案例3 電子郵件 2013年11月14日,電子郵件社交工程
國內案例1、2-小常識 奈及利亞式詐騙 奈及利亞419詐騙案 Why奈及利亞詐騙盛行 奈及利亞的刑法第419條是詐騙犯罪 Why奈及利亞詐騙盛行 奈及利亞曾是英國的殖民地 英文的發音用詞和英國語系國家接近 奈及利亞國家貧窮 詐騙成為民眾快速致富的方法 據統計每月有上百件外籍受害者因網路或電話交友 而受騙匯款,最後人財兩失。 歐洲各國、紐西蘭、澳洲、美國、加拿大 日本、韓國、中國及台灣
防駭小撇步-社交工程 設定安全密碼/定期更 換密碼 隨時具備危機意識 重要資料檔案 權限分級控管 相信直覺 安裝防毒軟體 發生社交工程事件 任何詢問隱私資料的人士, 都需小心求證 權限分級控管 非個人分內事宜,不應掌 控帳號、密碼等權限 安裝防毒軟體 設定個人防火牆 定期更新病毒碼 電腦應用程式/作業系統 定期修補 設定安全密碼/定期更 換密碼 重要資料檔案 加密防護 相信直覺 多方驗證 發生社交工程事件 立即回報
防駭小撇步-電子郵件 關閉預覽窗格 設定純文字讀取模式 避免開啟內容之超連結 確認信件來源 避免開啟可疑的附件檔案 不要開啟可疑電子郵件 聳動的主旨、不正常的發信時間、陌生或少來往的對象、要 求輸入機密資料 避免開啟可疑的附件檔案 Exe、dll、src、bat、pif、com、vbs… 避免開啟與公務無關的電子郵件 避免在不安全的網站留下個人資料
防駭小撇步-LINE 設定 使用習慣 關閉「公開ID」功能 不允許手機通訊錄自動加入好友 不允許LINE AP 讀取你和好友的個人資料 關閉「允許自其他裝置登入」 使用習慣 不在公用電腦登入,登入後記得登出 不同平台使用不同之帳號密碼 定期更新密碼
防駭小撇步-FaceBook 設定 啟用Hpps加密連線 寄送未知設備登入通知 啟用登入認證許可及代碼產生器 帳號保全→安全性設定→安全瀏覽 帳號保全→安全性設定→登入通知 啟用登入認證許可及代碼產生器 帳號保全→安全性設定→登入許可 帳號保全→安全性設定→代碼產生器
防駭小撇步-APT 人是最後防線,資訊安全的教育訓練是必要的。
Thank You!
參考資料 行政院國家科學委員會 TREND雲端運算安全趨勢Blog 內政部警政署165全民防騙網站 臺灣電腦網路危機處理暨協調中心 台灣駭客年會HITCON2013 Xecure Lab資安實驗室 系統安全及反駭客控制技術研究計畫