桃園縣政府 資訊安全與個人資料保護 調查局 電腦偵辦科 錢世傑
About me 經歷 學歷 本領域相關著作 4年外勤經驗-台北市調查處。 9 年防制電腦犯罪工作經驗。 中原大學財經法律研究所碩士(網路通訊監察) 台北大學資訊管理研究所碩士(數位證據採證) 中正大學博士 (數位證據) 本領域相關著作 電腦鑑識與企業安全 圖解數位證據(預計今年改版) 個人資料保護法 2004/1 2013/01 2009/11 2 2
演講資歷 司法院數位證據講座、法務部電腦犯罪研討會進階班講座、台北地檢署數位證據講座、金融研訓院資安講座 代訓xxxxx單位、x國特警隊、x國檢察官等資安講座 行政院科顧組、立法院、監察院、台大法律系承辦司法官(司法事務官)數位證據講座、台北市勞工局、台北市教育局、高雄市勞工局、財政資訊中心、國立教育廣播電台、新竹縣政府、衛生署、國父紀念館、集保中心、證期會、高工局、政風會報、緯來電視、澎湖縣政府、中原大學、東海大學、崑山科大、弘光科技大學、交通部、台北市政府資訊局、內政部營建署、教育部、新竹縣、振興醫院、聯合信用卡中心、本局內部教育訓練等 曾赴資安雜誌、電台擔任研討會講座 演講議題涵蓋數位證據、資訊安全、電腦犯罪、個資保護及法律常識等。 聲明: 本簡報檔相關圖片,部分引自網路媒體。 本簡報檔可供貴單位內部分享、研析(轉成PDF檔),請勿外傳使用。 3
個人資料保護法時代的來臨 99/5/26就修正通過, 101/10/1才正式施行 現在還有條文尚未施行,而且已經準備修法
中國信託資料外洩案 http://bbi.com.tw/pcman/Gossiping/1HaEJRPv.html 5
中國信託資料外洩案 http://bbi.com.tw/pcman/Gossiping/1HaEJRPv.html 6
中國信託資料外洩案 http://bbi.com.tw/pcman/Gossiping/1HaEJRPv.html 7
中國信託資料外洩案 http://briian.com/?p=10793 http://bbi.com.tw/pcman/Gossiping/1HaEJRPv.html "中國信託商業銀行" 繳費中心 "公路監理費" 錢世傑 8
中國信託資料外洩案 http://bbi.com.tw/pcman/Gossiping/1HaEJRPv.html 9
個資法資料外洩的民事責任 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。 (個資法§28Ⅰ) 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。 (個資法§29Ⅰ) 10 10
現行民事賠償 財產上與非財產上損害賠償。 (難以計算)每人每一事件新臺幣500以上2萬元以下計算 最高總額以新臺幣2億元為限 (個資法§28、29) 2億元 2000萬 舊法 新法 11 11
損害賠償適用法規 公務機關 國家賠償法 非公務機關 民法 損害賠償 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機關適用民法之規定。 (個資法§31) 12 12
生活週遭充滿相關案例 2006年開始,我國開始重視個人隱私 隨處都可看到與資訊安全、個人資料保護相關的案例
本局駭客恐嚇實案(2)-MSN 恐嚇駭客的MSN 搜索DDoS攻擊的駭客,希望找到MSN對話紀錄,恐嚇私服業者的內容 山寨私服 這是最近使用過的程式.. 關於這點可以從以下幾個地方去確認 : c:\users\%username%\appdata\roaming\microsoft\windows\recent(windows 7) c:\windows\perfetch\程式檔名.pf reg_binary 是表示它的數值是 binary. 所以你還需要解碼才看的到.. 那一串數值在 reg_binary 之後的, 就是代表 filedatech 的路徑及檔名.. windows xp => c:\documents and settings\username\recent Perfetch => c:\windows\perfetch\
DDoS攻擊程式 15 15
國際大事件 微基解密、twitter假資訊導致股票暴跌、Snowden事件 國際犯罪組織正用各種操作工具,入侵竊密,甚至於換取不法利潤 讓觀眾體會到, 刪除只能避開這一次攻擊, 不保證下一次避得開; 除了消極的避開,有積極一點的作法嗎? 16 16
面臨的資安威脅種類 P2P分享軟體、無線網路風險、社交工程攻擊、 網頁掛馬、網站釣魚、隨身碟風險、社群網絡等 資安威脅不斷 17
小心被騙 個人資料 Google備用地址電子郵件驗證 不明電子郵件要來加入你的Google 點選左列連結,狀態列會出現實際連結位址,檢視是否與狀態列出縣之內容相符 18
小心被騙 個人資料 請你登入,如果你輸入密碼,個人資料將會被攻擊者取得 19
社交工程的攻擊:購物網站 最近許多朋友的帳號遭盜用,接著就用被盜用的帳號,將所有人加進來。 請收到這類型邀請,要通知你的朋友其帳號遭到盜用。
「無限循環」聊天內容(1) A: 在嗎? A: just sent you a nudge. 我: hi A: 方便幫我個忙嗎 我:怎麼了 我:什麼叫做麥卡 A:711全家都有。跟店員說買mycard他們就瞭解了 我:可是你是誰啊!?我不記得你是誰了耶 A: 李 RICH啊!忘了嗎?
聊天的內容(2) 我: 誰。 中文名字是什麼 A: 李 RICH啊 我: 是我的同學嗎? 一張卡多少錢啊 A: 嗯嗯 我: 恩什麼 我:我沒有買過耶 可不可以仔細教我 A: 跟店員說買麥卡2張3000點的就好 我: 什麼是麥卡
聊天的內容(3) A: 智冠科技的儲值卡啊!現在方便幫我跑一趟嗎 我: 如果你是我同學,我是可以考慮啊!雖然我家在大園,要開車出去,你不方便嗎? A: 方便的話就不會麻煩你的啦 我: 發生什麼事情了 A: 沒啊!現在可以幫我跑一趟嗎
聊天的內容(4) 我: 那你家樓下的便利商店應該比我近一些,因為我家在大園,便利商店有一小段距離 A: 我附近的便利商店 IBON機壞了,就麻煩你幫我跑一趟啦 我: IBON是什麼 A: 買麥卡的啊!幫幫我可以嗎
聊天的內容(5) 我: 奇怪了我怎麼都沒有看到這個IBON Because the distance is so long from 7-11 to my house, so I need to ask you clearly... ...(許久沒有回應)... 看來你很久沒學英文了,想說我們英文系的可以用英文來練習對談一下。我的意思是說,因為距離7-11很遠,所以我要問清楚 A: 由于距离太长,从7-11到我家,所以我要问你清楚...
聊天的內容(6) 我: 免得白跑一趟 A: 我知道啊 我: 你現在在大陸出差喔 A: Too much trouble you,嗯嗯!About how long ah 我: wow, ur emglish writing ability is so terrible A: Go to help me 我: ok, but could you tell me what the ibon is A: 你很機車啊 我: motorcycle? A: x你x 我: wow, so terrible, are you angry?
facebook的陷阱 點進去看時會看到一個畫面,就是按三角形PLAY可以看影片的畫面。 其實上面隱藏了一個透明的「讚」 27
facebook的陷阱 許多人莫名奇妙都有了這個分享,又不知道馬上刪除並收回讚,所以大家都知道你看了讚,包括女生。 臉書團隊知道後,就處理掉了。 28
螢幕視訊記得貼個膠帶 貼上膠帶即可 有需要時再拿下來 不要玩脫光光視訊遊戲
○大女生自拍事件 拍攝行為 張貼上網 侵入偷看 看到轉寄者 民事:侵權行為損害賠償 行政上:被退學 未滿18歲:兒童及少年性交易防制條例第27,28條 張貼上網 妨害風化罪 侵入偷看 刑法第358,359條 看到轉寄者 民事:侵權行為損害賠償 行政上:被退學 本業是講述淡江大學的女學生在學校廁所自拍,放上部落格中引發轟動,但因為被拍的小男孩未滿十八歲,違反許多法令。 30
車尾公布司機姓名 苗栗縣大客車司機對於車尾必須標示司機姓名表示反彈,認為曝光其隱私,有違憲、侵犯司機人權之虞。但監理站人員與苗栗地方法院法官則認為:基於公益需求,如:車輛管理、犯罪預防,而適度限縮個人權益,應無違憲問題。 31 31
特別法─汽車運輸業管理規則 汽車運輸業管理規則第19條第7項 營業大客車應於車內駕駛座旁或上下車門顯明處標示駕駛人姓名及牌照號 碼,並張貼公司服務電話及該管公路主管機關申訴電話;車外尾部汽車牌 照上方顯明處應標示駕駛人姓名及該管公路主管機關申訴電話。 32 32
人肉搜索,小心觸法 33
媒體例外 公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。(個資9 I) 有下列情形之一者,得免為前項之告知:(個資9 II) 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 34
實施通過後的劇烈變化 到處都有公告、通知,希望您能同意授權 個資法的處罰與民事責任,讓企業省思個人資料的重要
遠傳的公告
相關法令─告知事項 個資法第8條 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料 時,應明確告知當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 有下列情形之一者,得免為前項之告知: 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務 所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害第三人之重大利益。 五、當事人明知應告知之內容。 37
起訴書OOO 個資法上路,各地院檢公文書類,紛紛以圈圈取代兩造姓名等資訊,其中尤以台中地檢署的「台中市原民會主任秘書等人貪污案」起訴書,竟連市政府單行法規「場地及宿舍使用管理辦法」也出現一長串OOO,整份起訴書一萬一千字,有近3成以OOO代替,全篇沒人讀得懂、離譜至極。 有必要嗎? 38
相關法令─利用(公務) 個資法第16條 公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法 定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者 ,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事 人。 六、有利於當事人權益。 七、經當事人書面同意。 39
相關法令─利用(非公務) 非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:(個資19) 一、法律明文規定。 二、為增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人書面同意。 非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。 40
新聞發布與偵查不公開 刑事訴訟法第245條第3項 檢察官、檢察事務官、司法警察官、司法警察、辯護人、告訴代理人或其他於偵查程序依法執行職務之人員,除依法令或為維護公共利益或保護合法權益有必要者外,偵查中因執行職務知悉之事項,不得公開或揭露予執行法定職務必要範圍以外之人員。 例如為避免SARS疫情擴大,或塑化劑持續危害人體,適時將偵辦進度與成果讓民眾知悉。 41
討債 42 42
個資法第18條 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人 資料被竊取、竄改、毀損、滅失或洩漏。 43
遠東銀行資料外洩事件 ─非公務機關第一起 遠東銀行101年11月22日發布聲明稿表示,經調查,部分信用卡客戶的申請資料遭外洩,是該行離職的方姓員工個人不法行為,遠東銀行將對他及相關竊取資料者提出民事、刑事訴訟。 事件發生 查明 民事賠償 通知 45
個資法基本規定 個資法第12條指出公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。 註解:通知後,即可能面對當事人的民事賠償責任。
如何通知?(1) 本法第12條所稱適當方式通知,係指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但耗費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他足以使公眾得知之方式為之。(施細§22Ⅰ) 依本法第12條通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。(施細§22Ⅱ) 目前最節省費用之通知方式當屬網際網路,而為了讓當事人更快速地得知資料外洩事實,透過網際網路或新聞媒體等快速傳播之管道,當然是值得肯定與支持。 47 47
如何通知?(2) 大家最想要的方式應該是「網際網路」通知? 但是要以此方式通知,必須符合耗費過鉅的要件。 舉個例子,假設外洩資料是戶政資料,有1,000筆資料外洩,每筆資料郵寄5元,總共只需要5,000元,並不屬於耗費過鉅。 但是1,000筆資料後面加個「萬」為單位,那郵寄費用也要加個「萬」,則屬於「耗費過鉅」。 48 48
屏東縣政府資料外洩事件 ─公務機關第一起 屏東愛鄉護土自救會反對縣府興建火葬場,卻赫然發現成員的身分證字號、電話、地址成了環境說明書附錄資料,放在環保署網站上,供人點閱、下載,個人資料「全都露」。自救會昨天按鈴控告縣長曹啟鴻等人違反個人資料保護法,求償兩百萬元。 事件發生 民事賠償 49
高關懷名單外洩(1) 50
相關法令─民事責任 個資法第28條(民事賠償責任) 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害 當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所 致者,不在此限。 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者, 並得請求為回復名譽之適當處分。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依 侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害 賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益 超過新臺幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受 第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或 已起訴者,不在此限。 51
相關法令─刑事責任 個資法第41條違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。 意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。 52
相關法令─蒐集、處理 個資法第15條 公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有 特定目的,並符合下列情形之一者: 一、執行法定職務必要範圍內。 二、經當事人書面同意。 三、對當事人權益無侵害。 53
相關法令─利用(非公務) 非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:(個資19) 一、法律明文規定。 二、與當事人有契約或類似契約之關係。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人書面同意。 六、與公共利益有關。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。 54
紅榜OOO 蒐集、處理 第一,先經過學生的書面同意? 榮譽榜 第二,將公布的內容打「馬賽克」 第三,不公布 陳○扁 馬○九 學校當初蒐集、處理學生的班級、姓名、成績等資料,符合個資法第15條特定目的(一○九教育或訓練行政)+執行法定職務必要範圍內,所以此一階段OK。 55 55
相關法令─個資法第16條 公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者 ,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事 人。 六、有利於當事人權益。 七、經當事人書面同意。 56
相關法令─利用(非公務) 非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:(個資20) 一、法律明文規定。 二、為增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人書面同意。 非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。 57
58
蒐證的目的 因為公務機關是無過失責任,並沒有辦法因為證明公務機關自己無過失而免責。所以請向同仁說明如果沒做好,動輒遭民事求償。 蒐證目的有三: 向攻擊者求償。 追究行政責任。 依據國家賠償法向公務員行使求償權。 因為公務機關是走國家賠償法的路線。國家賠償後,還可以向公務人員求償(民事責任),公務人員舉證已盡力做到保管跟避免外洩之責任,即可證明自己沒有故意或重大過失,也可以免責。 59 59
受委託行使公權力 60 60
團體訴訟(1) 2012年11月5日,位於魁省加蒂諾的人力資源部僱員發現丟失了一份移動硬盤,但是直到今(2013)年1月11日此事件才被公之於眾。硬盤中存有58萬3千多份曾於2000年至2006年間申請過聯邦學生貸款的學生個人信息,涉及姓名、生日、家庭住址乃至工卡號等重要信息,還包括250名人力資源部僱員的個人聯繫方式。 這四起訴訟分別來自紐芬蘭、渥太華和卡爾加里,以及最新的由來自溫莎、溫哥華和多倫多的三家律師事務所聯合提出的集體訴訟,代表近60萬受影響的個人,索賠6億加元,人均索賠1千元。賠償範圍包括隱私賠償、身份被竊賠償、信譽損失賠償、身份防盜服務支出賠償、更換工卡號等個人信息的時間損失費、對個人造成的不便和心理壓力的賠償,以及政府拖延了兩個月才公之於眾的懲罰性賠償。 引自星島日報 61 61
團體訴訟(2) 對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人20人以上以書面授與訴訟實施權者,得以自己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴 訟實施權之授與,並通知法院。 (個資34 I) 前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。 (個資34 I I) 引自星島日報 62 62
違法嗎? 符合A法律的程序,卻可能違反B法律的要求。 只要有關於個人資料,切記審核一下是否符合個人資料保護法。 讓觀眾體會到, 刪除只能避開這一次攻擊, 不保證下一次避得開; 除了消極的避開,有積極一點的作法嗎? 63 63
逃跑之結核病病患 64 64
特別法─傳染病防治法 對於疾管局可能將病人資料公佈,以達管理病人之效,人權團體、法律專家等認為該作法缺乏法律基礎,亦無助病患管理及疾病管制。 傳染病防治法第10條: 政府機關、醫事機構、醫事人員及其他因業務知悉傳染病或疑似傳染病病人之姓名、病歷及病史等有關資料者,不得洩漏。 傳染病防治法第11條: 對於傳染病病人、施予照顧之醫事人員、接受隔離治療者、居家檢疫者、 集中檢疫者及其家屬之人格、合法權益,應予尊重及保障,不得予以歧視 。 非經前項之人同意,不得對其錄音、錄影或攝影。 65 65
入侵偵查與防制措施 社交工程的概念 如何找到入侵的蛛絲馬跡?
社交工程要小心 小姐,我是主計室的組長,我現在在外面開會,臨時需要查一筆資料,但是我忘了帳號跟密碼你可以幫我查嗎? 好的,您的帳號是abc密碼是123 小姐,我是主計室的組長,我現在在外面開會,臨時需要查一筆資料,但是我忘了帳號跟密碼你可以幫我查嗎? 帳號 密碼
社交工程電子郵件附件檔案 68
社交工程─時事相關惡意電郵(1) 69
取消郵件預覽功能 圖中右下方即為Outlook提供的信件預覽功能。使用者只需點選信件,信件的內容就會出現在右下方供使用者預覽。就如稍早所說,若此郵件內容是惡意圖片或內容,此時已經遭受駭客攻擊。 70 70 70
關閉郵件自動下載圖片與其他內容 如圖,當我們開啟信件後,信件內容若有外部圖片,電子郵件軟體會自動連線至網際網路下載圖片。若此為惡意圖片,則當使用者開啟信件的同時,下載的惡意圖片就已經發作,使用者必然措手不及。 71 71 71
關閉郵件自動下載圖片與其他內容(續) 因此我們建議使用者務必「關閉信件自動下載圖片及其他內容」的功能。在關閉此功能後,電子郵件軟體不會下載網際網路上的外部資訊,使用者開啟信件後僅會看到若干無法顯示圖片或內容的方格,即可知道此信件內容會連結至網際網路上。 通常此類信件不是惡意信件即是垃圾信件,建議使用者可直接刪除。 72 72 72
不以HTML模式開啟郵件 在此信件內文中,僅是一般的文字內容,並無圖片或其他外部資訊,但使用者開啟此信件,仍然會遭受後門程式的入侵。 原因在於此信件是以HTML格式編寫而成,雖然表面上都是文字敘述,但背後的HTML語法是不是也像表示這樣乾淨呢? 我們來檢視此信件的原始檔。 73 73 73
以純文字模式開啟郵件 有鑑於這類的攻擊手法,使用者應該以純文字模式開啟信件。在純文字模式下,HTML語法預設是無法執行的,駭客的惡意語法及連結,自然也起不了作用。 74 74 74
先入侵好打的網站 PayEasy發現可疑IP共利用3萬9000筆非法取得的帳號與密碼,企圖登入PayEasy網站,其中59%並非PayEasy會員;27%會員帳號正確,但密碼錯誤;對於近14%約5400多筆被測試得逞的會員帳號已被凍結交易功能,同時以簡訊、電子郵件緊急通知帳號擁有者,請他們立即更改密碼,即可恢復正常交易。 75
資料拼圖的方式 id/psw/email/tel + id /psw/phone/ birth d/address ↓↓↓↓↓↓↓↓↓↓ id /psw/email/tel/phone/birth d/address 76
密碼設定要穩固 密碼長度 26 英文字母 26 英文字母+10 數字 52大小寫 英文字母 96 可印出字元 4 1 分鐘 13分鐘 5 密碼遭破解之統計數據 密碼長度 26 英文字母 26 英文字母+10 數字 52大小寫 英文字母 96 可印出字元 4 1 分鐘 13分鐘 5 10分鐘 1 小時 22 小時 6 50分鐘 6 小時 2.2 天 3 個月 7 9 天 4 個月 23 年 8 24 天 10.5個月 17 年 2287 年 9 21 個月 32.6 年 881 年 21萬9000年 10 45 年 1159 年 45838 年 2100萬年 密碼設定要穩固 加強密碼的強度 密碼應定期更換
國泰世華帳號密碼 輸入國泰世華,可以找到某位使用者的帳號密碼檔案 78 78
國泰世華帳號密碼 該帳號密碼檔案的內容,包括帳號(ID)、密碼,及用戶代號 79 79
憑證 許多人網路股票下單要使用憑證,如果取得此種憑證檔,對於憑證所有人的網路安全有極大的威脅 80 80
別亂分享
密碼設定範例 good + 5829 → g5o8o2d9 Birthday往前位移1個字母 Ahqsgczx 2.以英文字或數字穿插 good + 5829 → g5o8o2d9 1.以注音輸入法按鍵來 當成密碼 你好嗎→Su#cla#8& 3.將英文字母往前位移,如 Birthday往前位移1個字母 Ahqsgczx 4.以英文的一句諺語或一段歌詞取每個英文字字首當成密碼 Best wishes for a happy New Year. →BwfahNY q c & u S h a #
MessenPass 密碼還原程式的一種類型 這一種是聊天軟體帳號密碼的還原,但還可以得知這一台電腦有無使用特定帳號 這是最近使用過的程式.. 關於這點可以從以下幾個地方去確認 : c:\users\%username%\appdata\roaming\microsoft\windows\recent(windows 7) c:\windows\perfetch\程式檔名.pf reg_binary 是表示它的數值是 binary. 所以你還需要解碼才看的到.. 那一串數值在 reg_binary 之後的, 就是代表 filedatech 的路徑及檔名.. windows xp => c:\documents and settings\username\recent Perfetch => c:\windows\perfetch\ 密碼還原程式的一種類型 這一種是聊天軟體帳號密碼的還原,但還可以得知這一台電腦有無使用特定帳號 83
工作管理員 可以了解現在有什麼程式在運作! 但在工作管理員,並不知道影像名稱是從哪裡來的? 攻擊者可能會藉此取類似名稱或甚至於相同名稱,來騙取管理者,使管理者不會將惡意程式刪除。 這是最近使用過的程式.. 關於這點可以從以下幾個地方去確認 : c:\users\%username%\appdata\roaming\microsoft\windows\recent(windows 7) c:\windows\perfetch\程式檔名.pf reg_binary 是表示它的數值是 binary. 所以你還需要解碼才看的到.. 那一串數值在 reg_binary 之後的, 就是代表 filedatech 的路徑及檔名.. windows xp => c:\documents and settings\username\recent Perfetch => c:\windows\perfetch\ 84
Process Explorer 相較於工作管理員,可以提供更多的資訊。 例如Process Explorer可以知道svchost.exe是不是從應有的資料夾出現,還是攻擊者用相同名稱但放在不同資料夾,來掩飾惡意程式的作法。 這是最近使用過的程式.. 關於這點可以從以下幾個地方去確認 : c:\users\%username%\appdata\roaming\microsoft\windows\recent(windows 7) c:\windows\perfetch\程式檔名.pf reg_binary 是表示它的數值是 binary. 所以你還需要解碼才看的到.. 那一串數值在 reg_binary 之後的, 就是代表 filedatech 的路徑及檔名.. windows xp => c:\documents and settings\username\recent Perfetch => c:\windows\perfetch\ 85
初階病毒移除與木馬抗辯 網路上有許多初階掃除病毒的資訊,也可以讓自己更熟析於相關鑑識工具的操作。 千萬不要以為有病毒,掃毒軟體是唯一且正確可以幫助你判斷有沒有病毒的方式。 這是最近使用過的程式.. 關於這點可以從以下幾個地方去確認 : c:\users\%username%\appdata\roaming\microsoft\windows\recent(windows 7) c:\windows\perfetch\程式檔名.pf reg_binary 是表示它的數值是 binary. 所以你還需要解碼才看的到.. 那一串數值在 reg_binary 之後的, 就是代表 filedatech 的路徑及檔名.. windows xp => c:\documents and settings\username\recent Perfetch => c:\windows\perfetch\ 86
IP是什麼? Ping完之後,就可以知道IP是什麼了,也可以輸入IP進入網站 87 87
IP怎麼追查? 詢問擁有者,分配給誰? 案件發生 取得IP IP誰擁有 雅虎刺馬 向雅虎查詢PO文者的IP 發現屬於台灣某ISP業者所有 88 88
Yahoo刺馬案:業者提供客戶資料 89 89
Yahoo刺馬案:業者提供客戶資料 90 90
調閱資料未必順利 執法機關調閱資料都未必順利了,更何況是一般民眾 一般民眾更要學習如何保存證據 91 91 91
當事人說:我的帳號被盜用!? 當事人表示我的帳號被盜用了,尋求律師的協助,你必須要先搞清楚發生了什麼事情? 或許你會認為請當事人辯稱,這一定是大陸駭客所為,所以只要查IP就可以知道是大陸來的案例‧‧‧ 可是這個案例,卻發現是來自於當事人的家中‧‧‧你又該如何主張呢? 木馬抗辯?溢波抗辯? 92 92
當事人採集數位證據之要點 (僅限於網頁資料) 列印+頁首頁尾 存檔 攝錄影 公正第三人證明 93 93
列印參數 94 94
什麼是頁首頁尾 實際頁尾顯示 http://by116fd.bay116.hotmail.msn.com/cgi-bin/getmsg?msg=26A08929-F61A-4CA3-8DA4-9DAB400BA6B0&start=0&len=2411&imgsafe=y&curmbox=00000000%2d0000%2d0000%2d0000%2d000000000001&a=a4c7b205500bb9343e7a366120da4e8cd6d65ad3dd58cce9da403e7723f97fb0&curmbox=00000000%2d0000%2d0000%2d0000%2d000000000001&a=a4c7b205500bb9343e7a366120da4e8cd6d65ad3dd58cce9da403e7723f97fb0 列印頁尾顯示 95 95
如何存檔─以hotmail為例 檔案 ↓ 另存新檔 96 96
如何存檔─以hotmail為例 預設檔名不變更 存檔類型選擇「網頁,完整」 97 97
存檔結果 網址名稱改變 打開檔案後,呈現出來的是電腦內部位址,但此屬正常現象,若仍呈現出網址,那才會啟人疑竇。但此一概念,也必須與部分法官溝通。 98 98
檔案燒錄成光碟 99 99
個人資料保護與蒐證概念 個人資料外洩的時候,到底原因是什麼呢? 知道了原因,才可以知道有沒有過失!
到處可取得個人資料
購買行銷名單
行銷名單,分類完整
個資訴訟的來臨 葉奇鑫說,對造成多數當事人權利受害的個資侵權事件,個資法設計了團體訴訟機制,最高總額可求償2億元,「保守估計,屆時1年至少會出現5宗訴訟案件,1年單是個資案件的訴訟標的就上看10億,是不容忽視的數字。」 104 104
從手機管制看資料外洩: 打卡破案(1) 105 105
手機簡訊還原 106 106
偷拍檔案名稱 107 107
App軟體log 也可以作證(2) 手機應用程式(App)「WomanLog」可記錄女性生理期並推估安全和危險期,潘姓少婦與朱姓男子偷情後,在App中以愛心符號標註性愛次數,未料成了朱被控妨害家庭罪的證據,遭判刑8月、賠償30萬元定讞。 …朱不服提上訴,指稱潘婦竄改App的性愛次數……。 法官認為,如果潘婦謊報偷情次數,只是增加自己在法庭上吐露隱私的痛苦,和面對家人的難堪,甚至承擔偽證罪的風險。法官排除潘婦竄改性愛次數的可能……。 108
App軟體log 也可以作證(2) 有一個愛心標誌的紀錄 109
App軟體log 也可以作證(3) 本軟體可以記錄性交的次數 110
鑑識的功能 公務機關 非公務機關 建構電腦鑑識機制之目的: 建構電腦鑑識機制之目的: 符合第18條「安全維護事項」的要求。 找尋外洩的原因,因為要負擔無過失責任,所以即便舉證證明自己並無故意過失,仍要負責。 但主要是找到資料外洩來源,可向其求償。 建構電腦鑑識機制之目的: 符合第27條第1項「適當的安全措施」。 找尋資料外洩原因,舉證證明自己在符合符合第27條「適當之安全措施」要求的前提下,外洩之原因難以避免,並無故意過失而免責。 找尋資料外洩來源,例如是駭客攻擊或內部員工外洩,進而向其求償。 111 111
舉個零時差攻擊的例子 舉個例子,駭客入侵的原因是「零時差攻擊」(Zero-day Attack),這種零時差攻擊,是駭客利用系統漏洞尚未有填補的方式所產生的安全空窗期進行攻擊,即便非公務機關架構完整的資安防護網,也落實立即增補系統、軟體之修正檔,還是很難防止類似的入侵發生,這時候就應該認為並無故意或過失而免責。 但是政府機關還是要負責任。 112 112
第一步:安全維護必要措施 配備管理之人員及相當資源 界定個人資料之範圍 個人資料之風險評估及管理機制 事故之預防、通報及應變機制 個人資料蒐集、處理及利用之內部管理程序 資料安全管理及人員管理 認知宣導及教育訓練 設備安全管理 資料安全稽核機制 使用紀錄、軌跡資料及證據保存 個人資料安全維護之整體持續改善 113 113
第二步: 建立可信賴的證據保全制度 建立可信賴性與不可否認的電腦稽核紀錄檔(log),是首要的工作。 某機關紀錄資料消失案。 114 114
第三步: 儘量開啟log檔 電腦都有電腦稽核紀錄檔(log),這些紀錄檔應僅可能地開啟,紀錄電腦各種使用情況。 如同在家門口安裝了攝影機,但家中沒有裝攝影機,所以只知道小偷潛入家中,但在家中做了什麼事情卻不知道。 115 115
第四步: 權責劃分制 CEO兼CIO案 台北富邦銀行運彩出包案 建立一套交互勾稽的資料處理機制,無法讓員工可以任意破壞系統產出資料的可信任性,這項目的的達成是相當重要。相互勾稽的最佳方式,可以參酌立法、司法、行政的三權分立概念,互相監督、互相制衡,以建立系統的可信性。 呂副總統嘿嘿嘿官司。 116 116
呂副總統嘿嘿嘿官司 法院認為中華電信與台灣大哥大兩家電信業者,均以分工方式制度化規範資料安全管制,以防止遭到其他人修改,亦即系統之程式設計、硬體設備及資料調閱之應用操作,分別交由三個獨立部門管理執行,藉由權責劃分方式,防範系統遭人非法修改,所以法院認為並沒有遭到竄改之可能。 117 117
第五步: 公正第三人之提出 如果企業發生需要電腦鑑識的案件,曾國外的經驗來說,通常會先委請律師,律師會尋求配合的電腦鑑識專家協助採證,由於電腦鑑識專家與當事人沒有關聯性,只有複委任的關係,所以可以從公正第三人的角度來採集相關事證,進行外洩資料的原因分析與來源追溯。此一鑑識專家所採集的證據,也當然能為法庭所接受。 118 118
國外資安事件之電腦鑑識流程 119 119
資安管理之外包 目前許多企業主的資訊安全工作都委由外包,比較小型的企業主是主機代管,相關資訊安全機制大多由該主機代管業者負責,但企業主通常還是必須要負擔一定的責任,例如自己掌管的帳號密碼外洩,還是會導致資料的外洩。 比較大型的企業主或政府機關可尋求更專業的資訊管理外包,例如宏碁公司的SOC,能同時針對源自於外部與內部的攻擊,建立更高規格的防禦機制。 120 120
行政機關之檢查權 中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。(個資§22Ⅰ) 121 121
行政檢查權的內容? 進入檢查 命相關人員為必要之說明 命相關人員為必要之配合措施 提供相關證明資料。 (個資§22Ⅰ) 122 122
查到違法的東西怎麼辦? 中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。(個資§22Ⅱ) 123 123
扣留與複製 中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。(個資§22Ⅱ) 行為義務:行政執行法§ 27-28 扣留屬於直接強制,代履行、怠金屬於間接強制。 扣留(行政執行法) 將東西扣押帶走或留在原地。省時、佔空間。 複製 複製一份帶走。應該製作Hash檔。費時。 124 124
扣留(複製)物之收據、紀錄 中央目的事業主管機關或直轄市、縣(市)政府依本法第22條第2項規定,扣留或複製得沒入或可為證據之個人資料或其檔案時,應掣給收據,載明其名稱、數量、所有人、地點及時間。(施細§25Ⅰ) 中央目的事業主管機關或直轄市、縣(市)政府依本法第22條規定實施檢查後,應作成紀錄。(施細§25Ⅱ) 前項紀錄當場作成者,應使被檢查者閱覽及簽名,並即將副本交付被檢查者;其拒絕簽名者,應記明其事由。(施細§25Ⅲ) 紀錄於事後作成者,應送達被檢查者,並告知得於一定期限內陳述意見。(施細§25Ⅳ) 125
扣留(複製)物之處置 對於本法第22條第2項扣留物或複製物,應加封緘或其他標識,並為適當之處置;其不便搬運或保管者,得命人看守或交由所有人或其他適當之人保管。(個資§23Ⅰ) 扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者,應發還之。但應沒入或為調查他案應留存者,不在此限。(個資§23Ⅱ) 126
扣押標的 得沒入或可為證據之個人資料或其檔案(個資§22Ⅱ) 紙本的好處理,數位檔案比較難處理。 只能扣硬碟嗎?如果扣回單一硬碟,事後可不可以打得開來呢?是否需要特殊設備、硬體環境才能打開? 複製硬碟該怎麼做?可否只複製特定檔案? 映射 有可能檔案遭到刪除,必須要將刪除的檔案還原,才可以找到相關事證。 127 127
什麼是hash值? Hash值是什麼? 是證明兩個檔案是一樣的好方法。 常見的方式,是透過md5的計算方式,求出一個hash值。 映射 Hash值 MD5 http://www.miraclesalad.com/webtools/md5.php 128 128
提出義務所產生的高額費用 電腦數位資料之高額提出費用: 如果是要求從70個磁帶中提出某些特定資料,因為磁帶的特性與硬碟不太一樣,必須要先將資料拷貝出來,才能進行一定程序之搜尋。(刑事案件委請專家,70個磁帶→還原→搜尋→製程特定報告,500餘萬台幣) 因此,所耗費的程序、時間,也許還要聘請專業人員協助取出,可能產生高額費用。這些費用若均由當事人負擔,亦非妥當。 129 129
比例原則 無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。(個資§22Ⅱ) 比例原則 權益最小的侵害=比例原則中的必要性原則 只要取走1G的檔案,就不需要抱走整台伺服器 當事人要求備份資料? 比例原則 適當性原則:可以達成目的 必要性原則:最輕微 狹義比例原則:損害<目的 130 130
會同專業人員 中央目的事業主管機關或直轄市、縣(市)政府為第1項檢查時,得率同資訊、電信或法律等專業人員共同為之。(個資§22Ⅲ) 資訊人員為主:最好是能有電腦鑑識專業證照、經驗。法律人員則說明相關行為之法令依據。 圖片引自http://www.ssgllc.org/ 131 131
保密義務 防竊 保密 參與檢查之人員,因檢查而知悉他人資料者,負保密義務。(個資§22Ⅴ) 檢查機關依本法第22條規定實施檢查時,應注意保守秘密及被檢查者之名譽。(施細§24) 如果資訊人員是委外,則應簽訂相關委外契約,並擬定相關採證資料的保存程序。 防竊 保密 132
聲明異議(1) 133
聲明異議(2) 134
聲明異議(3):個資法 非公務機關、物之所有人、持有人、保管人或利害關係人對前二條之要求、強制、扣留或複製行為不服者,得向中央目的事業主管機關或直轄市、縣(市)政府聲明異議。(個資§24Ⅰ) 前項聲明異議,中央目的事業主管機關或直轄市、縣(市)政府認為有理由者,應立即停止或變更其行為;認為無理由者,得繼續執行。經該聲明異議之人請求時,應將聲明異議之理由製作紀錄交付之。(個資§24Ⅱ) 對於中央目的事業主管機關或直轄市、縣(市)政府前項決定不服者,僅得於對該案件之實體決定聲明不服時一併聲明之。但第1項之人依法不得對該案件之實體決定聲明不服時,得單獨對第1項之行為逕行提起行政訴訟。(個資§24Ⅲ) 135
你還有多少個11小時? 扣留(行政執行法) 將東西扣押帶走或留在原地。省時、佔空間。 複製 複製一份帶走。應該製作Hash檔。費時。 136
行政機關之處分 非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分:(個資§25Ⅰ) 一、禁止蒐集、處理或利用個人資料。 二、命令刪除經處理之個人資料檔案。 三、沒入或命銷燬違法蒐集之個人資料。 四、公布非公務機關之違法情形,及其姓名或名稱與負責人。 中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。(個資§25Ⅱ) 137 137
行政機關之處分 中央目的事業主管機關或直轄市、縣(市)政府依第22條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。(個資§26) 138 138
拒絕主管機關之進入 、檢查或處分之處罰 非公務機關無正當理由違反第22條第4項規定者(拒絕主管機關之進入、檢查或處分),由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣2萬元以上20萬元以下罰鍰。(個資§49) 老闆的責任 非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條(47-49)規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。(個資§50) 139 139
代理人、管理人之處罰項目 140 140
預祝工作順心 聯絡方式 0915-024736 02-29112241 *2964