Instructor: Shu-Tsai Gue 顧 叔 財 單元四、資訊安全 Instructor: Shu-Tsai Gue 顧 叔 財 2018/11/20 參考書籍:

資訊安全 舉凡確保有關電腦使用安全的軟硬體設施都可歸納在資訊安全中 2018/11/20

電腦安全: 探討電腦主機中軟硬體的安全機制。例如：防火牆的設立、密碼檔的管理等，其目的在於確保電腦系統具防禦能力以及保護儲存資訊的安全。 愈長的密碼愈安全 2018/11/20

通訊安全: 網路傳輸時安全維護，例如：訊息加、解密、流量偵測等。 加密 防範資訊竊取的措施 將可讀取資料(明文)轉換成不可獨取字元(密文) 加密鍵值 (公式)常使用多項下列方法加密 若想要讀取資料，接受者必須解密或破解為可讀取形式 2018/11/20

2018/11/20

安全需求 機密性(Confideritiality) ：機密性是指唯有具授權者能獲得資訊的真實內容，例如，利用加密技術將機密資料加密，只有具授權的使用者則事先已擁有解密技術，可順利獲得資料的真實內容。 鑑別性(Authenticity)：鑑別性指的是確認資訊的傳送者的身份，例如，數位簽章技術可用來驗證傳送者的身份。 完整性(Integrity)：直覺的看法是資訊的接收者如何知道所接到的資訊是否完整？利用訊息驗證碼(Message Authentication Code MAC)技術可檢測訊息的完整性。 不可否認性(Non-repudiation)：不可否認性指的是資訊傳送的雙方無法否認訊息不是其所傳送或否認其所接到的訊息。數位簽章技術亦可做到不可否認性。 Example: CBC (Cipher Block Chaining) MAC Initialization Vector=1234567890abcdef Plain text: “Now is the time for all.” : XOR M2 M1 E key C2 C1  C0 2018/11/20

機密性(Confideritiality) 加密與解密的運作程序： 變數定義： M = 明文 C = 密文 K1 = 加密鑰匙，K2 = 解密鑰匙 E = 加密演算法 D = 解密演算法 運作程序： 加密運作：C = EK1 (M) 解密運作：M = DK2(C) = DK2(EK1(M)) 密碼系統： K1 = K2 ：對稱密碼系統 K1 <> K2 ：非對稱密碼系統 2018/11/20

駭客會怎麼做?! Think like a hacker 第1階段： 入侵前的準備 (資料收集、掃瞄等) 時間軸 第2階段： 入侵系統，取得受害主機控制權，並安裝後門程式以建立管道進入受害單位內部網路 第3-1階段： 擴散受害範圍 第3-2階段： 持續維護所取得之存取控制權 第3-3階段： 竊取重要資料及檔案 2018/11/20

一個假設的網路環境 2018/11/20

第1階段-入侵前的準備(1/2) 收集目標單位的資訊 E-Mail、News、Whois、討論區、搜尋引擎等 Ex. 輸入icst.org.tw 2018/11/20

2018/11/20

第2階段-入侵系統 寄送含有惡意程式之E-Mail至目標單位人員的E-Mail帳號，以欺騙使用者執行惡意程式，藉此駭客可取得系統之控制權。 攻擊對象：End-User (社交工程攻擊) 2018/11/20

E-Mail欺騙-實例一 2018/11/20

E-Mail欺騙-實例二 2018/11/20

2018/11/20

E-Mail欺騙-背後的真相 造成這個弱點的原因是 Word 沒有正確地驗證內嵌於文件中的資料值 (巨集名稱) 長度。如果攻擊者成功利用這個弱點，就可以執行具有權限的使用者能夠執行的動作。 在實例一及實例二中，附件的Word文件檔中含有一隻後門程式，若使用者將其開啟，後門程式會被執行且安裝至系統之中。 2018/11/20

第2階段-入侵系統 3.寄送會利用IE弱點攻擊使用者之網站連結至目標單位人員的E-Mail帳號，欺騙使用者進入該網站，藉此駭客得以利用IE弱點於使用者端安裝惡意程式，進而取得系統之控制權。 攻擊對象：End-User (社交工程攻擊) 2018/11/20

惡意網站攻擊-範例 2018/11/20

惡意網站攻擊-背後的真相 駭客利用IE弱點，於正常的網頁中嵌一個Object Data Tag，並利用Internet Explorer Object Data Remote Execution Vulnerability來執行一個Script，此Script能下載後門程式並自動執行安裝於系統之中。 2018/11/20

資訊安全攻防簡介 《孫子兵法》中語：“知己知彼，百戰不殆；不知彼而知己，一勝一負；不知彼，不知己，每戰必敗”。 2018/11/20

力求讓大家在攻防技術的實際運用中建立起對資訊安全深刻的認識運用，能夠更好地防範駭客的攻擊，確保個人電腦的安全防護措施 1.如何檢測入侵 2.解決的一系列網路安全問題。預防和緩解措施。 3.掌握防禦及抵抗其進攻的對策 4.“先下手為強”；萬無一失的防禦方法 2018/11/20

對策 關閉所有不要使用的服務。 系統及應用服務一定要及時更新版本。 多注意平時系統運行及資源狀況。 多注意網上的相關安全信息，及時了解安全狀況。 http://www.icst.org.tw/ 2018/11/20

電腦端開啟之服務 2018/11/20

停止服務 2018/11/20

系統在網路之安全性 系統更新 防毒軟體安裝與病毒碼更新 個人防火牆的架設 IE與網路安全 2018/11/20

電腦的安全防護 防─如何防? 掃─如何掃? 解─如何解? 先了解自己的弱點! 2018/11/20

防 確保電腦受到安全防護的三個步驟 使用網際網路防火牆 保持系統在最新狀況 隨時更新防毒軟體病毒碼 2018/11/20

系統更新 最方便的好朋友 Windows Update ! 修補系統先天存在的漏洞 2018/11/20

2018/11/20

2018/11/20

2018/11/20

WinXP Service Pack http://support.microsoft.com/kb/322389#appliesto 2018/11/20

網路防火牆 定義 防火巷用來隔絕火勢的蔓延，以保住戶的安全。 網路防火牆則用來保護電腦不被入侵，以保護電腦裡面所存放資料的安全。 網路防火牆可以看成是電腦與網路之間的一種機器或設備，它會控制、偵測網路上流通的資訊，透過對此資訊的管理來達到保護電腦資料的安全。 不過，架設了網路防火牆並不表示資料就百分之百的安全無虞。 2018/11/20

網路防火牆的基本功能 過濾封包(packet)阻止駭客入侵。 方便管理者對系統安全作集中式管理。 過濾系統安全所禁止的服務。 紀錄並分析封包警示系統管理者。 2018/11/20

2018/11/20

種類1:封包過濾型網路防火牆 可由路由器(Router)、一部個人電腦或一群主機組成。 通常設置於外部網路與私人網路之間，經由檢查封包標頭來過濾該封包是否可進入私人網路。 2018/11/20

What is “Port”? 簡單的說一個人要進出房子必須要從門(大門,前門,後門,甚至窗子)進出,電腦也一樣也有進出的窗口. netstat -n 2018/11/20

常用的port 2018/11/20

種類1:封包過濾型網路防火牆 一般封包標頭包含有：來源地址、目的地地址、通訊協定類型、來源通訊埠、等資訊。 一般的封包過濾型防火牆都會提供一介面供管理者設定各種過濾規則，而且大都以表格方式呈現，一簡單範例說明如下： 過濾規則 1： 禁止所有內部網路主機與外部網路主機 140.123.103.201 傳送任何封包。 過濾規則 2： 允許內部網路主機203.64.173.43與任何外部網路主機( * ) 相互傳送郵件( 25為郵件服務)。 2018/11/20

種類1:封包過濾型網路防火牆 Windows 防火牆的設定與應用 遠端桌面改埠設定 進入防火牆修改設定值 2018/11/20

種類2:網路服務代理型網路防火牆 此一類型防火牆利用一代理伺服器來管理封包的要求服務，這好比是郵差將信件交給大樓管理的警衛，再由警衛將郵件交給收件人。 因為所有服務都由代理伺服器來執行，所以，真正主機的位址不會暴露出來，如此可防止入侵。 使用此類型防火牆時，外部使用者必須使用支援具代理程式功能的客戶端程式，才能與代理伺服器溝通。目前，大部分網路程式都有支援代理服務功能。 2018/11/20

種類2:網路服務代理型網路防火牆 NAT: (Network Address Translator) IP寬頻分享器可算是此類型之防火牆 2018/11/20

IP分享器與其防火牆之說明與使用 IP:192.168.1.101 IP: 203.64.185.110 IP: 192.168.1.150 2018/11/20

http://www.zonealarm.com 2018/11/20

2018/11/20

2018/11/20

廣義之電腦病毒 電腦病毒是一種電腦程式，它可能以一程式片斷寄生在其他程式中伺機啟動。一般來說，病毒程式的目的大都是干擾或破壞電腦的正常使用。 主程式依附性(HP-dependent) 需要附著在另一主程式而成為該程式的一部份 非主程式依附性(HP-independent)。 非主程式依附性的惡意程式可以直接被執行，它就像一般應用程式可單獨的執行。 2018/11/20

主程式依附性惡意程式 邏輯炸彈(logic bombs)：早期之病毒，它會依照已經設定好的條件將炸彈引爆。例如，某年某月某日某時或某些觸發事件，炸彈引爆之後可能破壞檔案或系統。如米開朗基羅每年三月十六日會引爆，黑色星期五(只要是遇上日期是十三日又是星期五)。 暗門(trap door)：顧名思義，它是一種安全後門，在電腦系統或應用程式中，往往會留下暗門以方便系統維護或測試。反之，此暗門也可能被不肖外人或設計師所盜用，非法入侵系統，造成安全的威脅。 病毒(virus)：電腦病毒的行為和自然界的病毒行為相當類似，自然界的病毒感染寄主後會將自己的遺傳物質嵌入寄主的遺傳物質中，由此而產生一病毒。同樣地，電腦病毒將自己複製並常駐在其他程式或電腦系統中，當被感染的程式執行時，病毒就去感染其他未中毒的程式。 特洛依木馬(Trojan horse)：它是一種偽裝程式，就像披著羊皮的狼一樣，外表示正常的程式但裡面卻隱藏著其他功能的惡意程式，當外表程式被執行時，內部的惡意程式也開始執行其秘密目的，如竊取密碼檔、安裝後門程式等。 2018/11/20

非主程式依附性惡意病毒 兔子(rabbit)或細菌(bacteria)：這是一種消耗系統資源的惡意程式，利用不斷的複製使記憶體或儲存空間用完。這也是一種比較溫和的惡意程式。 蠕蟲(worm)：蠕蟲不同於病毒，它不會主動破壞，但會不斷地自動複製且在網路上流竄，因此，降低網路頻寬。 2018/11/20

電腦病毒的由來 有人說電腦病毒緣起於遊戲軟體，在牛頓雜誌中曾提到，美國貝爾實驗室的三名工程師設計出一種稱之為核心大戰的程式，該程式就像是一種電腦遊戲，該遊戲會佔用電腦中的其他程式所使用的記憶體，而造成原使用程式無法繼續執行。 該遊戲程式的基本操作為：參賽雙方將所開發的遊戲程式載入同一部電腦中執行，這兩個遊戲程式會搶奪電腦中的記憶體，亦即第一個程式所使用的記憶體可能會被第二個程式佔用，這時，第一個程式在記憶體中的資料可能會被趕走或覆蓋。 為了避免被消滅，遊戲程式會自我複製而且可以任意在記憶體內游走，當某一方被完全趕出記憶體時，遊戲便結束。此遊戲程式一經載入系統後便無法讓使用者操控，雙方只能從顯示器觀看戰況。 1986年第一隻個人電腦病毒 Brain問世，此病毒會佔用磁碟空間並將這些空間標示為壞軌，以避免再被覆蓋。所佔用磁碟空間則用來複製該病毒，當磁碟備用到其他電腦時，病毒即感染至另一部電腦。此電腦病毒的特性似乎呼應遊戲程式的特色。 2018/11/20

電腦病毒種類1：開機型 此類電腦病毒會駐存於硬碟的啟動磁區或分割磁區，因此導致開機失敗。 可能解決方法:利用清潔開機片先開機，開機成功後進行系統掃毒或是進行開機磁區格式化，徹底將開機型電腦病毒清除掉。常見的病毒如Brain、Stone 3、Disk killer 和 Fish都是。 2018/11/20

可從軟碟的DBR中讀到DOS的啟動程式嗎？ 載入DBR到0000:7C00，並執行DOS的啟動程式。 是 開機、BIOS自我測試 可從軟碟的DBR中讀到DOS的啟動程式嗎？ 載入DBR到0000:7C00，並執行DOS的啟動程式。 是 否 可從硬碟的MBR讀到資料且最後兩bytes為55AA？ 顯示訊息Disk Boot Failure Insert System Disk And Press Enter 否 是 可從硬碟的MBR中讀到主開機程式嗎？ 完全沒有訊息。 否 是 載入MBR到0000:7C00，並執行主開機程式。 2018/11/20

電腦病毒種類2：檔案型 寄生於一般的可執行檔案中(*.exe, *.com), 當此執行檔被執行時，病毒碼會先被執行並將自己安裝到記憶體中，伺機感染其他程式。 當被感染的程式被分享或傳送到其他電腦時，病毒就順此傳播出去。常見的病毒如CIH，Friday the 13th (黑色星期五)、Macgyver (馬蓋仙) 和耶路撒冷(Jerusalem) 2018/11/20

電腦病毒種類4：綜合型 可能同時包含病毒、蠕蟲、特洛依木馬等惡意程式的特性。 一般電腦若被感染病毒或蠕蟲，比較容易被發現，因為它有較明顯的徵候出現，如網路變慢、檔案無法使用、無法開機、出現特殊畫面等不一而足，這一些都會讓使用者有所警覺。 但對於被感染特洛依木馬，使用者可能不易察覺，因為它就是利用偽裝技巧來達到入侵的目的，被入侵的電腦大部分都成為攻擊的跳板，往往是攻擊事件爆發後才知道自己也是受害者。 2018/11/20

電腦中毒的徵兆 不具破壞型：執行程式的速度變慢了、出現開玩笑的字句、聲音等。 輕微破壞型：檔案名稱、屬性被更改，無法讀取硬碟資料，不斷開啟檔案直到記憶體被用盡等。 嚴重破壞型：格式化硬碟。 2018/11/20

掃 各式各樣的掃描工具 Symantec AntiVirus、Trend PC-cillin Spybot、Bps、Ad-aware 2018/11/20

Kaspersky Anti-Virus 6.0 2018/11/20

2018/11/20

2018/11/20

如何解毒 毫不猶豫地關閉電腦電源：用乾淨的光碟或隨身碟重新開機，千萬不要再從硬碟或使用 Ctrl+Alt+Del重新開機，以防範開機型病毒。 使用掃毒程式掃除病毒：如趨勢 PC-Cillin, 金帥 ZLOCK，賽們鐵克 Norton AntiVirus。 刪除、重新命名或清除病毒，使不再有中毒檔案存在。 從備份檔案恢復遭刪除檔案。 2018/11/20

如何防毒 建立正確的使用習慣：使用任何新檔案之前先掃毒，開啟(Enable)開機啟動磁區之保護功能(bios之設定)，備妥安全的開機片。 不任意下載來路不明軟體(難)。 開啟 E-mail 附加檔時，注意寄件人身份及附加檔。 注意新的病毒資訊。 使用防毒軟體並定時更新病毒碼。 重要資料作備份。 2018/11/20

TCPview 一個可以檢查級及時監測出你的電腦上哪些軟體，正透過哪一個PORT，連線到到哪個 IP，如此可防止或檢查出不明的程式正透過網路將你的資料偷偷傳送出去。 請使用google下載TCPview執行之 Process Explorer : http://www.sysinternals.com/Utilities/ProcessExplorer.html) Tcpview: http://www.microsoft.com/technet/sysinternals/utilities/tcpview.mspx 2018/11/20

電子憑證 電子憑證又叫數位憑證，它就像個人在網路活動中的身份識別證，利用此電子憑證來確保網路交易進行的可靠，例如，利用網路申報年度個人綜合所得稅時需先取得個人的電子憑證，利用此電子憑證可確認個人身份。另外，在日益普及的電子商務活動中，所有參與者都需事先取得一個人電子憑證才能加入交易活動。 2018/11/20