Download presentation
Presentation is loading. Please wait.
Published byあきたけ おおふさ Modified 6年之前
1
網路法律安全 講者:陳建源 教授 國立高雄大學資訊工程系 大綱 一. 簡介 技術-電腦病毒與入侵攻擊 三. 實際案例與法條 四. 結論
2
一. 簡介 電腦病毒 入侵攻擊 技術 法律 網路 資訊安全 教育 刑法第36章「妨害電腦使用入侵攻擊」 電腦處理個人資料保護法 著作權法
Wiener 90 教育 資訊安全
3
一. 簡介 法律條文:刑法第三六章 妨害電腦使用 第358 條 無故輸入他人帳號密碼 破解使用電腦之保護措施 利用電腦系統之漏洞
而入侵他人之電腦 或其相關設備者 第359 條 無故取得、刪除、變更他人電腦或其相關設備之電磁紀錄 致生損害於公眾或 他人者 Wiener 90 本罪為告訴乃論罪
4
一. 簡介 法律條文:刑法第三六章 妨害電腦使用 第360條 無故以電腦程式 或其他電磁方式干擾他人電腦或其相關設備 致生損害於公眾
或他人者 第361 條 製作專供犯本章之罪之電腦程式,而供自己 或他人犯本章之罪 致生損害於公眾或 他人者 Wiener 90 本章之罪為告訴乃論罪
5
一. 簡介 網路世界對智慧財產帶來的衝擊 工業產權 著作權
包括發明(專利)、商標、工業品外觀設計以及原產地地理標誌等專利保護期一般20年,工業設計保護至少10年,而商標則可無限期保護 智慧財產 指屬於文學、科學、藝術或其他學術範圍的創作,共11類。語文、音樂、戲劇和舞蹈、美術、攝影、圖形、視聽、錄音、建築、電腦程式、表演。 著作權持續到作者逝世後至少50年。 網路世界對智慧財產帶來的衝擊 1. copy 2. Hyperlink對著作權之影響 3. Open source之衝擊
6
二、技術-電腦病毒與入侵事件 1. 簡介 2. 電腦病毒的基本原理與結構分析 3.偵毒與解毒 4.預防重於治療 5.電腦病毒例子
1. 簡介 2. 電腦病毒的基本原理與結構分析 3.偵毒與解毒 4.預防重於治療 5.電腦病毒例子 6.入侵攻擊
7
二. 技術-簡介 1. 何謂電腦病毒 2. 電腦病毒有四種行為特性
電腦病毒(Computer Virus)一種能透過磁碟、網路等媒介,傳染給電腦中其他檔案的程式碼。 2. 電腦病毒有四種行為特性 寄生 ── 附加:長度增加,流行高;覆蓋:破壞程式,流行低 (2) 繁衍 (3) 感染 ── 以次數而言:分單一感染及重感染。 以行為而言:分常駐:(在memory中)life長,可由中斷 向量表比較得知;直接:life短,無跡可尋 以途徑而言:儲存媒體、網頁瀏覽與下載檔案、區域網路、 、即時傳訊軟體 Wiener 90 (4) 發病 ── 以破壞的程度來分 徹底破壞:如磁碟格式被破壞,必需低階格式化。 部份破壞:如整個file被破壞。 選擇性破壞:如 .exe 檔。 網路飽和:消耗資源;惡作劇; 偷錢或盜打國際電話。
8
二. 技術-簡介 NOTE1:潛伏期:從感染至發病之期間,正是一般偵毒程式之工作時。
NOTE2:只含有部份特性之程式,稱為類病毒(quasi-virus)。 類病毒的分類: (1) 非寄生:蠕蟲(自己複製自己),如1987之CHRISMAS。 (2) 非繁衍: (a) Torojon Horse 木馬或間碟,流行於BBS。 (b) 邏輯炸彈(報復之工具)依日期,時間引爆。 特洛伊木馬程式不像電腦病毒一樣會感染其他檔案,特洛伊木馬程式通常都會以一些特殊管道進入使用者的電腦系統中,然後伺機執行其惡意行為(如格式化磁碟、刪除檔案、竊取密碼等),Back Orifice特洛伊木馬程式便是一個案例,透過該程式電腦駭客便有機會入侵主機竊取機密資料。 一般會偽裝成某種有用的或有趣的程式,比如螢幕保護程式、算命程式、電腦遊戲等,但是實際上卻包藏禍心,暗地裡做壞事;它可以破壞資料、騙取使用者密碼。 電腦蠕蟲不會像電腦病毒程式一樣感染其他檔案,但『本尊』會複製出很多『分身』,就像西遊記中的孫悟空一樣,拔幾根毛就可以複製出幾個分身,然後像蠕蟲般在電腦網路中爬行,從一台電腦爬到另外一台電腦,最常用的方法是透過區域網路(LAN)、網際網路(Internet)或是 來散佈自己。著名的電腦蠕蟲『VBS_LOVELETTER』就是一個例子。 NOTE3:Carrier 帶原者:含有 computer virus 之程式 Wiener 90
9
二. 技術-簡介 3. 電腦病毒的相關性質 生命週期: 創造期;孕育期 ;潛伏期 ;發病期 ;根除期 藏身之處:
boot sector (啟動磁區),檔案配置表中“不良”記號之磁區,磁軌41(track 41),磁軌之空隙(gap),分區記號(partition record),exe,com,ovl,sys檔,hidden file,data file。 exe com, boot sector, partition record, device driver, overlay file 病毒入侵之所 Wiener 90 病毒的徵狀(symptom) 螢幕異常,load time變長,memory 較正常為少,不正常hard disk 存取,file 消失,file 日期不正常修改,file 長度不正常增加。 病毒的命名 發現者、地,增加長度,中毒訊息,病發特性。
10
1988:*Morris,康乃爾大學研究生,釋放一個worm。
一. 簡介 4. 電腦病毒的歷史 1960:第一個病毒,Hacker,出現於MIT,擾亂使用者工作。 1984:Cohen正式命名為Computer Virus。 1988:*Morris,康乃爾大學研究生,釋放一個worm。 四個途徑進入電腦系統: (1.) 利用電子郵件的SEND MAIL程式中的漏洞、錯誤(hole; bug); (2.) 利用finger demon程式;這個程式是用來讓網路上使用人可以藉由這個 程式來發現其他同時使用這個電腦網路的類似尋人程式; (3.) 利用授權(trusted host feature)的方式;這種網路使用行為是讓網路使用 人,在經自己網路的授權使用後,即可不必再有其他的通行碼 (password)就可以進入其他網路享受相同的使用權限; (4.) 利用猜解網路通行碼程式(program of password guessing)。 Wiener 90 結果:1990年被判刑$10,000罰款,400小時社區服務,3年緩刑,共有6000台電腦shut down,損失金額10萬美金至9千7百萬元。
11
二. 技術-簡介 4. 電腦病毒的歷史 美國《Techweb》網站日前評出了20年來,破壞力最大的10種電腦病毒: Wiener 90
12
二. 技術-簡介 4. 電腦病毒的歷史 Wiener 90
13
二. 技術-簡介 4. 電腦病毒的歷史 Wiener 90
14
二. 技術-簡介 5.電腦病毒的分類 感染的對象:開機型病毒、檔案型病毒、混合型 傳染的方式:常駐型病毒 、非常駐型病毒
發病的情形:破壞磁碟資料 、開玩笑 開機型病毒是藏匿在磁碟片或硬碟的第一個磁區。因為DOS的架構設計,使得病毒可以於每次開機時,在作業系統還沒被載入之前就被載入到記憶體中,這個特性使得病毒可以針對DOS的各類中斷 (Interrupt) 得到完全的控制,並且擁有更大的能力去進行傳染與破壞。 軟碟──啟動磁區(boot sector) 硬碟──分割表(partition table) 如C-Brian,Disk-Killer 傳統的執行檔, 如:.EXE、.COM 。 含有 VBA 巨集的文件檔案, 如 .DOC、.XLS 的檔案, 如 Taiwan NO.1。 由 VBScript 或 JAVAScript 描述語言撰寫出來的病毒, 這類病毒檔案的副檔名為 .VBS、.JS。 複合型病毒兼具開機型病毒以及檔案型病毒的特性。它們可以傳染 *.COM,*.EXE 檔,也可以傳染磁碟的開機系統區(Boot Sector)。由於這個特性,使得這種病毒具有相當程度的傳染力。一旦發病,其破壞的程度將會非常可觀! 例如:台灣曾經流行的大榔頭(Hammer),歐洲流行的Flip翻轉病毒和塑膠炸彈(plastique) 以特徵而分:傳統有病毒樣碼 、新生可更改病毒樣碼 Wiener 90 以internet來分: 第一代病毒(傳統型病毒)的共同特色,就是一定有一個「寄主」程式 第二代病毒完全不需要寄主的程式,如果硬要說它寄生在哪裡,或許只能說它是寄生在「Internet」上。
15
二. 技術-電腦病毒的基本原理與結構分析 1. 病毒感染的基本原理 (1)開機型 病毒進入點→ ←病毒進入點(1) ←病毒進入點(2)
Wiener 90 ←病毒進入點(2)
16
二. 技術-電腦病毒的基本原理與結構分析 1. 病毒感染的基本原理 (2) 檔案型-常駐型 Wiener 90
17
二. 技術-電腦病毒的基本原理與結構分析 1. 病毒感染的基本原理 (2) 檔案型-非常駐型 Wiener 90 (2) 檔案型-混合型
18
二. 技術-電腦病毒的基本原理與結構分析 為什麼病毒喜歡感染.EXE檔? .COM與EXE之比較
一般檔案分為資料檔、批次檔及可執行檔(.COM OR .EXE) 若感染資料檔,易被發現,且傳播將被中斷。 若感染批次檔,易被發現。 感染執行檔的優點:(1) 可繼續傳播 (2)不易被發現(原碼為機器碼) .COM與EXE之比較 Wiener 90 .COM:其程式區(CODE)、資料區(DATA)、堆疊區(STACK)均在同節區(segment),最多有64K memory。 優點:程式少,載入速度快。 缺點:無法提供大程式執行。 .EXE:其3區均由使用者安排到不同節區,空間較大。 COM與EXE載入MEMORY不同。
19
二. 技術-電腦病毒的基本原理與結構分析 2.病毒的結構分析 (1)COM 病毒放在前端 Wiener 90
20
二. 技術-電腦病毒的基本原理與結構分析 2.病毒的結構分析 (1)COM 病毒放在前端直接覆蓋 Wiener 90
21
二. 技術-電腦病毒的基本原理與結構分析 2.病毒的結構分析 (1)COM 病毒放在後端 Wiener 90
22
二. 技術-電腦病毒的基本原理與結構分析 2.病毒的結構分析 (1)COM 病毒放在後端 Wiener 90
23
二. 技術-電腦病毒的基本原理與結構分析 2.病毒的結構分析 (1)COM 病毒放在後端 Wiener 90
24
二. 技術-電腦病毒的基本原理與結構分析 2.病毒的結構分析 (2)EXE檔 Wiener 90
25
二. 技術- 偵毒與解毒 1. 如何偵測電腦病毒 所謂的病毒樣碼其實可以想像成是犯人的特徵,當防毒軟體公司收集到一隻新的病毒時,他們就會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的二進位程式碼 (Binary Code),來當做偵測此病毒的依據,而這段獨一無二的二進位程式碼就是所謂的病毒樣碼。 病毒樣碼掃描法 Wiener 90 有3種方式 連續式:病毒樣碼為一串連續的位元組。 間續式:病毒樣碼為幾串連續的位元組。 定址連續式:病毒樣碼為某固定位址之一串連續位元組。 優點:長度較短,固位址固定,不易誤判。 一般scan的次序:先scan .EXE .COM之樣碼比對。再BOOT與partition之樣碼比對。
26
二. 技術- 偵毒與解毒 1. 如何偵測電腦病毒 加總比對法(Check-sum)
根據每個程式的檔案名稱、大小、時間、日期及內容,加總為一個檢查碼,再將檢查碼附於程式的後面 這種技術可偵測到各式的病毒,但最大的缺點就是誤判斷高,且無法確認是哪種病毒感染的。對於隱形飛機式病毒,亦無法偵測到。 人工智慧陷阱(Rule-based) Wiener 90 人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來,一旦發現記憶體的程式有任何不當的行為,系統就會有所警覺,並告知使用者。這種技術的優點是執行速度快、手續簡便,且可以偵測到各式病毒;其缺點就是程式設計難,且不容易考慮週全。不過在這千變萬化的病毒世界中,人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點。
27
二. 技術- 偵毒與解毒 1. 如何偵測電腦病毒 軟體模擬掃描法
軟體模擬技術專門用來對付千面人病毒(Polymorphic /Mutation Virus)。千面人病毒在每次傳染時,都以不同的隨機亂數加密於每個中毒的檔案中,傳統病毒樣碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執行,在其設計的DOS虛擬機器(Virtual Machine)下假執行病毒的變體引擎解碼程式,安全並確實地將多型體病毒解開,使其顯露原本的面目,再加以掃描。 VICE(Virus Instruction Code Emulation)先知掃描法 Wiener 90 VICE先知掃描技術是繼軟體模擬後的一大技術上突破。既然軟體模擬可以建立一個保護模式下的DOS虛擬機器,模擬CPU動作並假執行程式以解開變體引擎病毒,那麼應用類似的技術也可以用來分析一般程式檢查可疑的病毒樣碼。因此VICE將工程師用來判斷程式是否有病毒樣碼存在的方法,分析歸納成專家系統知識庫,再利用軟體工程的模擬技術(Software Emulation)假執行新的病毒,則可分析出新病毒樣碼對付以後的病毒。
28
二. 技術- 偵毒與解毒 1. 如何偵測電腦病毒 即時的I/O掃描(Realtime I/O Scan)
Realtime I/O Scan的目的在於即時地對資料的輸入/輸出動作做病毒樣碼比對的動作,希望能夠在病毒尚未被執行之前,就能夠防堵下來。理論上,這樣的即時掃描程式雖然會影響到整體的資料傳輸速率,但是使用Realtime I/O scan,檔案傳送進來之後,就等於掃過了一次毒,整體來說,是沒有什麼差別的。 文件巨集病毒陷阱(MacroTrapTM) Wiener 90 MacroTrapTM 是結合了病毒樣碼比對與人工智慧陷阱的技術,依病毒行為模式(Rule base) 來偵測已知及未知的巨集病毒。 其中,配合OLE2技術,可將巨集與文件分開,使得掃描速度變得飛快,而且更可有效地將巨集病毒徹底清除
29
二. 技術- 偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (1)線上型 自己以人工餵餌,再與中毒程式之備份,做比較,取得病毒樣碼。
=> 只能得到常駐型的病毒樣碼(優點:親和力高)。 (2) 離線型 Wiener 90 有一組原始程式與被感染的程式做為分析的樣本。 => 主要擷取非常駐型的病毒樣碼。 一般特別注意環境變數下的程式,如PATH COMSPEC,尤其是COMMAND.COM檔的變化。 (優點:分析的病毒較多)
30
二. 技術- 偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 COM檔的病毒分析 (a)檔尾資料相同 可得 1.病毒長度
病毒 原 檔尾 COM檔的病毒分析 (a)檔尾資料相同 原 檔尾 ↑────相同────↑ Wiener 90 可得 1.病毒長度 2.病毒樣碼:為了避免取到堆疊(stack)的資料最好不要取前後的位元。
31
二. 技術- 偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 COM檔的病毒分析 (a)檔尾資料不同 Wiener 90
32
二. 技術- 偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 COM檔的病毒分析 (a)檔尾資料不同 Wiener 90
33
二. 技術- 偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 COM檔的病毒分析 Wiener 90
34
(a)四個值連續放置在病毒體中: 依SP,SS,IP,CS,次序放入。
二. 技術- 偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 EXE檔的病毒分析 處理檔頭資料,包含SS,SP,CS,IP的更改。 (a)四個值連續放置在病毒體中: 依SP,SS,IP,CS,次序放入。 (b)分兩組放置(SS,SP),(IP,CS) Wiener 90 檔頭資料 (變更) 原 病毒 檔頭資料 原 得:病毒長度、病毒樣碼、SP,SS,IP,CS在病毒體中的位置。 (對於編碼型病毒wolf-man狼人無效)
35
二. 技術- 偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 EXE檔的病毒分析 Wiener 90
36
二. 技術- 偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (3)開機型病毒分析
主要探討BOOT或partition table被移去那裡 固定位址:移到某一固定位址,如stoned。 變動位址(Disk-Killer,C-Brian) <1>磁片將尋找連續幾個未用之cluster,放置BOOT,再標示為壞軌, DOS即無法使用。 <2>硬碟BOOT與Partition Table放在PT之後未用之磁區, (如0 Head,0 Track,2-17 sector)其位址會記錄在病毒本體程式之某一固定位置上。 Wiener 90
37
二. 技術- 偵毒與解毒 3. 如何解毒 檔案型: COM檔 解毒資訊:病毒長度(來自SCAN) 無解 病毒 原(剩) 病毒 原
<1> 病毒 原 病毒 原(剩) Wiener 90 解毒資訊:病毒長度(來自SCAN) 無解 覆蓋型
38
二. 技術- 偵毒與解毒 3. 如何解毒 檔案型: COM檔 Wiener 90
39
二. 技術- 偵毒與解毒 3. 如何解毒 檔案型: EXE檔 Wiener 90
40
二. 技術- 偵毒與解毒 3. 如何解毒 Wiener 90
41
二. 技術-預防重於治療 1. 如何預防病毒感染? (1) 一般預防 第一種:修改程式,使病毒誤判此程式已受感染而放棄感染。
缺點:每個病毒辨識不同,修改結果造成程式無法執行。 第二種:當程式執行時,先執行疫苗程式檢查病毒,若有即將其刪除。 Wiener 90
42
二. 技術-預防重於治療 1.如何預防病毒感染? (1) 一般預防 為什麼將MEMORY之程式碼重回DISK?
因為一般感染病毒之程式,在未發作之前,仍然要維持原程式的執行, 為了達到此一目的,病毒必須自己解毒,即MEMORY的程式是正常的,但是放在DISK的程式仍然是有感染的。 Wiener 90
43
二. 技術-預防重於治療 1.如何預防病毒感染? (1) 一般預防 Wiener 90
44
二. 技術-預防重於治療 1.如何預防病毒感染? (2) 注射病毒疫苗
(2) 注射病毒疫苗 如何注射電腦病毒疫苗? (注射疫苗後,該程式無法保証不被感染,但是一旦執行該程式就可以解回原程式) Wiener 90
45
二. 技術-預防重於治療 1.如何預防病毒感染? (2) 注射病毒疫苗 若此程式中毒將來如下:此程式仍可正常執行,WHY?
(2) 注射病毒疫苗 若此程式中毒將來如下:此程式仍可正常執行,WHY? Wiener 90
46
二. 技術-預防重於治療 1.如何預防病毒感染? (2) 注射病毒疫苗 將疫苗加入檔尾 修改檔頭資料,假設原程式之檔頭資料為:
(2) 注射病毒疫苗 將疫苗加入檔尾 修改檔頭資料,假設原程式之檔頭資料為: 檔案長度 filesize 檔頭長度 headersize,CS,IP,SS,SP Wiener 90 且疫苗長度 vac_size (16 bytes為單位) 新的檔案長度=((filesize+15)/16 * 16) + vac_size; (調為16bytes) CS(段位址)=((filesize+15)/16) – headersize IP指向疫苗的第一道指令 SS=CS SP=vac_size 堆疊區為疫苗之頂端
47
二. 技術- 電腦病毒例子 USB隨身碟病毒 USB隨身碟的病毒藏在Autorun.inf檔案,可感染電腦,常駐在作業系統中,伺機感染新的USB隨身碟(ㄧ般設定為可讀寫模式)之Autorun.inf檔案。 Wiener 90
48
二. 技術- 電腦病毒例子 USB隨身碟病毒 USB隨身碟的病毒藏在Autorun.inf檔案,可以感染電腦,常駐在作業系統中,並伺機感染乾淨的USB隨身碟之Autorun.inf。 1. 感染途徑 (1) 利用電子郵件傳播,或從瀏覽器漏洞,下載到個人電腦上執行。在C:\WINDOWS\system32建立一病毒執行檔(如sysudisk.exe),偽裝成開機常駐程式。受病毒感染的電腦(Windows )上,會在各分割區(c:\,d:\,e:\…)建立隱藏的系統檔案 autorun.inf (2) 乾淨的USB使用此系統,病毒將入侵此USB。 (3) 當受感染的USB裝置插入到其他電腦時,因Windows 作業系統內的自動播放或執行用功能預設是啟用,所以USB內的autorun.inf 內的指令會被執行,而成為繼續傳染其它電腦。 Wiener 90
49
二. 技術- 電腦病毒例子 USB隨身碟病毒 2. 解決方法 啟動唯讀功能 自行刪除autorun.inf 關閉自動播放功能
設置一個檔名為 autorun.inf 的資料夾,防止病毒寫入 autorun.inf 檔案。 Wiener 90
50
二. 技術-入侵攻擊 阻斷服務(Denial of service;DoS)攻擊事件 資料隱碼(SQL Injection) 攻擊法
網路釣魚(Phishing) Wiener 90
51
二. 技術-入侵攻擊 阻斷服務 阻斷服務(Denial of service;DoS)攻擊事件 影響 時間:2000/2/7
對象:Yahoo、Buy.com、CNN、Amazon、ZDNET、Datek、E-Trade 影響 網站系統陸續癱瘓數小時,造成約12億美金的損失 美國總統柯林噸要求國會撥款900萬美金協助成立電腦安全中心 Wiener 90
52
阻斷服務(Denial of service;DoS)
二. 技術-入侵事件 阻斷服務(Denial of service;DoS) 利用網路系統資源有限,加上部分網路系統或者相關通信協定等,在設計或實作上的漏洞,在一段期間內透過大量且密集的封包傳送,使被攻擊的網站無法處理,以致許多正常想要連上該網站的用戶都被阻絕在外連不上該網站。 Wiener 90
53
分散式阻斷服務 (Distributed Denial of service;DDoS)
二. 技術-入侵攻擊 分散式阻斷服務 (Distributed Denial of service;DDoS) 第一階段 在網路上入侵安全機制較差的系統 成為日後發動攻擊的主機 第二階段 植入一些特定的網路服務程式 由這些網站來發動攻擊 Wiener 90
54
二. 技術-入侵攻擊 Client(攻擊者所在的系統,簡稱C) Host (攻擊者發號施令的監控系統;攻擊者可以直接控制,簡稱H)
Wiener 90 Client(攻擊者所在的系統,簡稱C) Host (攻擊者發號施令的監控系統;攻擊者可以直接控制,簡稱H) Broadcaster (放大攻擊直接來源;被殖入攻擊程式者,簡稱B) Target (被攻擊者,簡稱T)
55
二. 技術-入侵攻擊 防止DDoS攻擊 透過Router 透過DNS 透過Server Wiener 90
56
資料隱碼(SQL Injection) 攻擊法
二. 技術-入侵攻擊 資料隱碼(SQL Injection) 攻擊法 事件 時間:2002/4/22[警政署刑事局] 對象:SQL Apache、IIS、Domino、Netscape的網站系統,透過APS、PHP與JSP等程式碼,攻擊破壞各種SQL資料庫,包括MS-SQL、MySQL、Oracle、Sybase與DB2等 Wiener 90
57
二. 技術-入侵攻擊 ID 123 變數1 Password 456 變數2
SQLStr=“Select * From Where id = ‘& 變數1 &’ “ && “password=‘& 變數2 &’” Wiener 90 If not recordset.eof then 帳號&&密碼正確 一般方式 SQLStr=“Select * From Where id = ‘123’ “ && “password=‘456’”
58
二. 技術-入侵攻擊 攻擊方式 ID ‘or”=‘ 變數1 Password 456 變數2
Wiener 90 SQLStr=“Select * From Where id = ‘‘or”=” “ && “password=‘456’”
59
二. 技術-入侵攻擊 網路釣魚(Phishing) 是源自飛客(Phreak)和釣魚(Fishing)的結合
網路釣魚為竊取個人身分資訊(最終目的為竊取金錢)意圖,所進行之任何透過電話、電子郵件、即時通訊(IM)或傳真等方式,嘗試取得您個人身分資訊的行為。 Wiener 90 賽門鐵克網路安全威脅研究報告 (2008)。
60
二. 技術-入侵攻擊 網路釣魚(Phishing)
網路釣魚工具組:是一套指令碼的集合,可讓攻擊者自動架設網路釣魚網站,用以詐騙不同產業的合法網站 Wiener 90
61
二. 技術-入侵攻擊 網路釣魚(Phishing) Wiener 90
62
二. 技術-入侵攻擊 網路釣魚(Phishing) 攻擊技術 1. 寄發網路釣魚郵件 (1) 針對不特定對象
Wiener 90 蒐集電子郵件帳號的方式有三:用郵址產生器、公開網站、、感染病毒方式
63
二. 技術-入侵攻擊 網路釣魚(Phishing) Wiener 90
64
二. 技術-入侵攻擊 網路釣魚(Phishing) (2) 針對特定對象
不再像以前一樣在網路上亂撒網,而是有計畫地針對某人或某特定團體,讓這些人以為此詐騙 真的是針對他們所發的,因而上當,這種高度目標性的詐騙攻擊手法稱為魚叉式網路釣魚(Spear Phishing)攻擊, Wiener 90
65
二. 技術-入侵攻擊 網路釣魚(Phishing) 2. 偽冒的網頁與網址 (1)利用近似網址混淆使用者
網路釣客事先註冊與官方網站極為相似之 DNS 域名,企圖混淆使用者視 覺,讓使用者一時難以辨別真偽,而誤入釣魚網站之陷阱。例如在 DNS 域名中增加或減少一個字母,數字 0 與英文字母 o、數字 1 與英文字母 l、n 與 h、vv 與 w、m 與 rn 的取代等。 Wiener 90
66
二. 技術-入侵攻擊 網路釣魚(Phishing) 2. 偽冒的網頁與網址 (2)利用瀏覽器漏洞
(i)利用 JavaScript 技術置換網址列 網路釣客利用 JavaScript 技術置換瀏覽器的網址列,使偽冒網站的網 址列被遮蔽,使用者看到的是與官方網站完全相同的網址列 Wiener 90
67
二. 技術-入侵攻擊 網路釣魚(Phishing) (i)利用 JavaScript 技術置換網址列 Wiener 90
68
二. 技術-入侵攻擊 網路釣魚(Phishing) (ii)使用 IP 位址其他表示法 (iii)用一些編碼策略對 URL 進行惡意偽裝
Wiener 90
69
二. 技術-入侵攻擊 網路釣魚(Phishing) 2. 偽冒的網頁與網址 (3)利用網址嫁接技術
網路釣魚與網址嫁接(Pharming)同樣是透過假網站的方式,來誘騙 受害者透露個人隱密資訊,但是兩者在誘騙技巧上卻有如天壤之別。更可怕的是,過去對付網路釣魚的法寶:直接在網址列中輸入官方網站之網址,如今用在網址嫁接上却完全無效。 Wiener 90 網址嫁接的最大特點,就是採用所謂「DNS 快取記憶體下毒」(DNS Cache Poisoning)的手法 直接攻擊網域名稱系統(Domain Name System, DNS)伺服器,一方面直接竄改 DNS 伺服器內容,另一方面向其他 DNS 伺服器或網路上任何查詢請求,提供假造的 DNS 遞迴(Recursion)資訊服務。所所以透過網址嫁接的駭客,完全不需大費周章地執行誘騙手法,受害者就會在毫無知覺的狀況下,被導入至駭客映射自原合法網站的假網頁中,也因為如此,即使透過直接輸入正確官方網址,依然沒有用。
70
二. 技術-入侵攻擊 網路釣魚(Phishing) 2. 偽冒的網頁與網址
(4)使用跨站腳本攻擊(Cross-Site Scripting, XSS) XSS 乃是駭客利用網站上允許使用者輸入字元或字串的欄位插入 HTML與 Script 語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部分惡意程式碼,或被暗地裡導入到惡意網站 Wiener 90 <IFRAME src="javascript:document.location.href=' HTML 與 JAVA Script 的混合語法,駭客則是利用類似語法輸入至某些查詢欄位或留言板,使用者若瀏覽含有此語法的網頁,就會被導入到 tw.yahoo.com 網站
71
二. 技術-入侵攻擊 網路釣魚(Phishing) 2. 偽冒的網頁與網址 (5)使用關鍵字廣告
犯罪集團以註冊相似網域名稱、購買主要入口網站關鍵字廣告等 方式,使假網站之廣告出現於搜尋結果之上方,利用使用者信任搜尋結果之心態,誘導使用者連上有惡意程式的網站,植入木馬或後門程式,盜取網路銀行帳號、密碼、憑證等,以進行轉帳等非法行為。 Wiener 90 (6)利用即時通訊軟體
72
二. 技術-入侵攻擊 網路釣魚(Phishing) 2. 偽冒的網頁與網址 (7)利用彈跳式視窗 Wiener 90
73
三. 實際案例與法條 個人或網站不當管理 利用技術犯罪 Wiener 90
74
三. 實際案例與法條 利用技術犯罪-網路色情 架設色情網站或販賣、散佈、張貼猥褻圖文 刑法第235 條第1 項:
散布、播送或販賣猥褻之文字、圖畫、聲音、影像或其他物品,或公然陳列,或以他法供人觀覽、聽聞者,處二年以下有期徒刑、拘役或科或併科三萬元以下罰金。 Wiener 90 兒童及青少年性交易防治條例第28 條第1項: 散布或販賣前條拍攝、製造之圖畫、錄影帶、影片、光碟、電子訊號或其他物品、或公然陳列,或以他法供人觀覽者,處三年以下有期徒刑,得併科新台幣五百萬元以下罰金。
75
三. 實際案例與法條 利用技術犯罪-網路色情 架設仲介色情網站 刑法第231 條:
意圖使男女與他人為性交或猥褻之行為,而引誘、容留或媒介以營利者,處五年以下有期徒刑,得併科十萬元以下罰金。 Wiener 90
76
三. 實際案例與法條 利用技術犯罪-網路色情 轉寄色情圖文、影像 刑法第235 條第1 項:散佈猥褻物罪。 援助交際
社會秩序維護法第80 條第1 項規定,意圖得利與人姦、宿者處三日以下拘留或新台幣三萬元以下罰鍰。 兒童及少年性交易防制條例第29 條: 以廣告物、出版品、廣播、電視、電子訊號、電腦網路或其他媒體,散布、播送或刊登足以引誘、媒介、暗示或其他促使人為性交易之訊息者,處五年以下有期徒刑,得併科新台幣一百萬元以下罰金。 Wiener 90
77
三. 實際案例與法條 利用技術犯罪-木馬程式入駭
2004年5月27日,國內公民營機構上千台電腦遭中國駭客植入惡意木馬程式 Peep.exe 和 PeepBrowser.exe , Wiener 90 利用這些惡意程式犯第358 條之無故入侵電腦罪、第359條之無故取得刪除變更電磁紀錄罪、第360條之無故干擾電腦罪 致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。
78
三. 實際案例與法條 利用技術犯罪-竊聽及盜截機密資料 在2004年8月時,我駐韓代表部辦公室電腦遭竊聽及盜截機密資料。
就駭客攻擊或入侵電腦的行為而言,可能會觸犯刑法第358條之無故入侵電腦罪及第360條之無故干擾電腦罪。 刑法第361規定:「對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。」 國防機密,刑法第111條或國家機密保護法第34條之刺探收集國防秘密罪。 Wiener 90
79
三. 實際案例與法條 利用技術犯罪-網頁被更改 2004年7月,財政部賦稅署網站遭中國駭客入侵,出現五星旗。 Wiener 90
80
三. 實際案例與法條 利用技術犯罪-木馬程式入駭搶錢
2004年5月,國內許多金融機構、科技公司等百大企業,遭到木馬程式入侵,竊取機密文件,且已有數十家網路銀行近三千萬元損失。 刑法「妨害電腦使用罪章」中之各罪,及偽造文書罪、詐欺罪等來處罰。 Wiener 90
81
三. 實際案例與法條 利用技術犯罪-盜刷集團 2005年2月,盜刷集團盜取的被害人資料,冒名向發卡銀行申辦信用卡,開通發卡銀行的網路銀行服務功能,在ezPay及PayPal線上付費網站上網註冊,取得授權碼後,立刻刷卡儲值。 嫌犯以盜取的被害人資料,偽填信用卡申請書後向發卡銀行冒名申辦信用卡的行為,乃將構成偽造署押及偽造文書罪。造成發卡銀行及線上付費網站損失,則可構成詐欺罪及偽造文書等罪。 Wiener 90
82
三. 實際案例與法條 利用技術犯罪-入侵虛擬世界
2004年10月初,多達400萬會員的天堂網路遊戲服務驚爆遊戲公司網站遭到駭客攻擊事件,許多玩家的帳號遭盜、寶物遭竊。 刑法359條:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金」 刑法第358條:「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」 Wiener 90
83
三. 實際案例與法條 利用技術犯罪-竊取密碼 2004年10月,一名大學肄業黃姓男子,利用「網路釣魚」(phishing)的變種手法「網路豬籠草」,涉嫌架設虛假的「中國信託」與「中華商業銀行」的網路銀行網頁,利用相似的網址,以魚目混珠的方式,誘騙兩家網路銀行的客戶誤信點選登入,從而套取其帳號、密碼,再憑此將被害人存款轉至人頭帳戶,被害人多達六百多人。 Wiener 90 刑法第359條之無故變更電磁紀錄罪 第339-3條之電腦詐欺罪。
84
三. 實際案例與法條 利用技術犯罪-手機病毒 自2004年6月全球出現第一隻以行動電話為攻擊目標的食人魚病毒(Cabir)後,具有無線網路功能的智慧型手機便開始成為駭客及病毒作者的新戰場。在2005年首季,更陸續出現第一隻會讓電腦與手機產生連鎖中毒效應的「雙響砲病毒」(PE_Vlasco.A),使電腦及部份手機應用程式無法運作;還有會利用MMS多媒體簡訊主動散播給通訊錄上朋友的「武士病毒」(SymbOS_Commwarrior);以及能摧毀手機作業系統的木馬病毒(Fontal.A)等。 Wiener 90 製作病毒的行為,刑法第362條規定,製作專供犯罪(例如利用病毒程式干擾電腦)之程式,而供自己或他人使用,致生損害於公眾或他人時,處5年以下有期徒刑、或科20萬元以下罰金。
85
三. 實際案例與法條 利用技術犯罪-個人資料外洩
2004年6月,台北市檢調偵破歷來筆數最龐大的個人資料外洩暨販售案,查知三家民間公司,疑勾結公務機關或特定民營公司不肖人員,長期不法蒐集、販售上千萬筆國內企業及個人資料。這個以劉嫌為首的集團,堪稱國內盜賣個人資料始祖,3個集團掌握的資料超過2000萬筆,經調查發現,資料外洩的單位包括政府機關、電信事業以及金融事業單位等 Wiener 90 可能觸犯「電腦處理個人資料保護法」第34條:「意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法輸出、干擾、變更、刪除或以其他非法方法妨害個人資料檔案之正確,致生損害於他人者,處3年以下有期徒刑、拘役或科新台幣5萬元以下罰金。」
86
三. 實際案例與法條 利用技術犯罪-網路賭博 有些網站業者可能認為,只要網站不設在台灣地區,便可以規避相關的刑責問題,但依據刑法第4條規定:「犯罪之行為或結果,有一在中華民國領域內者,為在中華民國領域內犯罪。」所以縱使網站位於國外,但使用者或網站操作者在我國領域內上站從事犯罪行為,司法機關一樣可以主張管轄權。 Wiener 90
87
三. 實際案例與法條 利用技術犯罪-垃圾郵件 2004年9月, 某男子為了替自己經營的網站行銷,竟利用網路發信軟體系統,侵入某軟體公司主機,大舉發送廣告郵件,造成該公司所管理之戶政機關網路系統癱瘓,嚴重影響民眾權益。 Wiener 90 刑法第360條,無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,須處3年以下有期徒刑、拘役或科或併科般10萬元以下罰金
88
三. 實際案例與法條 利用技術犯罪-報復行為 具有美國電腦碩士學位的張姓男子,遭美國知名網站購物公司開除後,為求報復,竟上網扮駭客,利用先前預留的後門,先後6次入侵網路伺服器主機,移除該網站伺服器內1830餘家電子商店網站之商業資料,導致這些電子商店無法繼續從事交易 刑法第358條,無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備,得處以3年以下有期徒刑、拘役或科或併科10萬元以下罰金; 移除電腦伺服器中之電磁紀錄,則違反刑法第359條無故取得、刪除或變更他人電腦或相關設備之電磁紀錄罪,依法得處5年以下有期徒刑、拘役或科或併科20萬元以下罰金。 Wiener 90
89
三. 實際案例與法條 利用技術犯罪-上網公佈不雅照片 2004年,某校研究生,上網公佈不雅照片。
刑法第310條規定:「意圖散布於眾,而指摘或傳述足以毀損他人名譽之事者,為誹謗罪,處一年以下有期徒刑、拘役或五百元以下罰金。散布文字、圖畫犯前項之罪者,處二年以下有期徒刑、拘役或一千元以下罰金。」 Wiener 90
90
三. 實際案例與法條 不當管理-警察筆錄P2P外洩 警察機關安裝P2P分享軟體Foxy,導致許多詳載個人資料的筆錄成為公共分享檔案。
Wiener 90
91
三. 實際案例與法條 不當管理-誹謗罪 轉寄未經證實的八卦信
2000年10月,某網友因轉寄一則「XXX 醫師草菅人命」的網路信件而遭起訴的案件 刑法第27 章「妨害名譽及信用罪」第310 條: 意圖散布於眾,而指摘或傳述足以毀損他人名譽之事者,為誹謗罪,處一年以下有期徒刑、拘役或五百元以下罰金。 散布文字、圖畫犯前項之罪者,處二年以下有期徒刑、拘役或一千元以下罰金。 對於所誹謗之事,能證明其為真實者,不罰。但涉於私德而與公共利益無關者,不在此限。 Wiener 90
92
三. 實際案例與法條 不當管理-公然侮辱罪 在網站、BBS 或電子郵件中轉貼或撰寫謾罵他人的文章
刑法第27 章「妨害名譽及信用罪」第309 條:「公然侮辱人者,處拘役或三百元以下罰金」以及第310 條: 意圖散布於眾,而指摘或傳述足以毀損他人名譽之事者,為誹謗罪,處一年以下有期徒刑、拘役或五百元以下罰金。 散布文字、圖畫犯前項之罪者,處二年以下有期徒刑、拘役或一千元以下罰金。對於所誹謗之事,能證明其為真實者,不罰。但涉於私德而與公共利益無關者,不在此限。 Wiener 90
93
三. 實際案例與法條 不當管理-偷窺 偷窺他人的電子郵件或資料 刑法第315 條妨害祕密罪:
無故開拆或隱匿他人之封緘信函、文書或圖畫者,處拘役或三千元以下罰金。無故以開拆以外之方法,窺視其內容者,亦同。 Wiener 90
94
三. 實際案例與法條 不當管理-任意公怖 未經同意將他人的私人資料,例如個人電話號碼,放在網站上 民法第195 條:
不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額。其名譽被侵害者,並得請求回復名譽之適當處分。 Wiener 90
95
三. 實際案例與法條 不當管理-分享軟體 使用者不能利用「分享軟體」來販售圖利,以免侵害「著作權」。 著作權法第91 條規定:
擅自以重製之方法侵害他人之著作財產權者,處六月以上三年以下有期徒刑,得併科新台幣二十萬元以下罰金。 Wiener 90
96
三. 實際案例與法條 不當管理-分享軟體 使用者不能利用「分享軟體」來販售圖利,以免侵害「著作權」。
1998年,被告鄒XX 因為將原告吳XX 提供在網路上的分享軟體大量燒拷成光碟,並且有販售圖利之行 為,遭判七個月的有期徒刑。 著作權法第91 條規定: 擅自以重製之方法侵害他人之著作財產權者,處六月以上三年以下有期徒刑,得併科新台幣二十萬元以下罰金。 意圖銷售或出租而擅自以重製之方法侵害他人之著作財產權者,處六月以上五年以下有期徒刑,得併科新台幣三十萬元以下罰金。 Wiener 90
97
三. 實際案例與法條 不當管理-光碟備份 未經著作權人同意,擅自重製其著作基本上是侵權行為 著作權法第51 條:
Wiener 90 著作權法第51 條: 供個人或家庭為非營利之目的,在合理範圍內,得利用圖書館及非供公眾使用之機器重製已公開發表之著作。
98
四. 結論 定期備份資料 製作救援磁片 安裝一套合法的防毒軟體, 並時常更新病毒碼 開啟電子郵件的附加檔案前,點選可疑網頁時,請三思。
四. 結論 定期備份資料 製作救援磁片 安裝一套合法的防毒軟體, 並時常更新病毒碼 開啟電子郵件的附加檔案前,點選可疑網頁時,請三思。 Wiener 90 愼選密碼。
99
四. 結論 尊重智慧財產權 不隨意轉寄來源不明檔案 請購買、使用正版軟體 未經許可,不使用他人帳號密碼登入網站 Wiener 90
100
參考文獻 張真誠,李鴻進,李維斌,王智弘(82):天山雪蓮開放式電腦毒診治 系統,凱立資訊公司,1992年8月
網路釣魚問題之研究 柯立明、林峻立 3.資通安全法律案例 宣導彙編 第四輯 4. 誤觸法網的阿豪 教學指引 Wiener 90
Similar presentations