Upgrade to Pro — share decks privately, control downloads, hide ads and more …

資訊安全:麻瓜的黑魔法防禦術

Inndy
December 14, 2018

 資訊安全:麻瓜的黑魔法防禦術

Inndy

December 14, 2018
Tweet

More Decks by Inndy

Other Decks in Technology

Transcript

  1. Inndy @ NTUOSC / 2018 Dec.

    View full-size slide

  2. About Me
    • Inndy(a.k.a. 木棍)
    • 台科資工大五進行中
    • 努力成為興趣使然的Security Master
    • 專長是寫程式與搞破壞
    • 我愛柯基犬

    View full-size slide

  3. 間諜軟體 / Spyware
    • 俗稱木馬程式
    • 竊取資料檔案
    • 遠端操作、監看畫面
    • 就是沒有介面的 TeamViewer

    View full-size slide

  4. 廣告軟體 / Adware
    • 安裝軟體時︐《下一步》按到底很容易中獎
    • 幫你安裝很多你並不需要的軟體
    • 時不時的跳出廣告視窗
    • 360 全家桶

    View full-size slide

  5. 勒索軟體 / Ransomware
    • 加密你的檔案︐付錢換解密的密鑰
    • 有時付錢不一定可以解密
    • 做不好的話有機會直接解密
    • 駭客太菜不知怎麼正確加密你的檔案

    View full-size slide

  6. 殭屍網路 / BotNet
    • 大量入侵各種連網的設備
    • 用於發動各種網路攻擊
    • 暴力猜密碼
    • 網路掃描
    • DDoS

    View full-size slide

  7. 工作模式
    行為驅動檢查 定期檢查

    View full-size slide

  8. 惡意程式偵測技術
    • 特徵碼
    • 偵測特定的文字、資料︐

    或是機器碼片段
    • 海關看到像恐怖份子的人︐

    就通通請去小房間

    View full-size slide

  9. 惡意程式偵測技術
    • 行為偵測
    • 對於可疑的行為加以檢查
    • 警察在路上看到有人企圖打
    開路邊的每一輛車門...

    View full-size slide

  10. 惡意程式偵測技術
    • 沙箱
    • 把程式放在隔離虛擬環境下執行︐
    看它會不會做壞事
    • 把人關進 Sword Art Online

    看看他會不會變成紅色玩家

    View full-size slide

  11. 反偵測技術(免殺)
    • 駭客有些招數可以偽裝自己的病毒...
    • 想辦法抹除特徵
    • 做壞事的時候掩人耳目
    • 如果環境看起來不像有使用痕跡︐就不發病
    • 先冬眠一個月再起床搞破壞

    View full-size slide

  12. 所以到底要不要裝防毒?
    • 雖然沒辦法 100% 的偵測和阻擋所有惡意程式
    • 但是對於大肆流行的惡意程式有保護效果
    • 現在的防毒不只有阻止惡意程式的功能
    • 還會有偵測釣魚網站或是阻擋網路攻擊的效果
    • 你不知道該不該裝的話...
    • 就裝吧︕

    View full-size slide

  13. 軟體漏洞?能吃嗎?
    • 軟體漏洞是指︐軟體設計的過程中有錯誤(Bug)
    • 並且這個錯誤存在可以利用(Exploit)的方式
    • 就可以使軟體發生了預期之外的結果或行為
    • 還沒有修補程式的漏洞稱為 Zero-day (0day)

    View full-size slide

  14. 具體一點?
    • 駭客電影裡面演的︐敲敲鍵盤就可以入侵就是在利
    用軟體漏洞的攻擊
    • 拿一個奇怪的小裝置或是手機︐靠近其他人的手機
    就可以留下後門來遠端竊聽
    • 這些東西大多數是有可能做到的︐但是通常不會有
    那麼炫砲的畫面
    • 總之︐畫面上跑很多你看不懂的文字︐敲鍵盤很快
    都是駭客入侵的過程

    View full-size slide

  15. 上網也會中毒?
    • 小時候用 Windows XP 跟 IE 6 上網︐打開網頁就會
    中毒︖古老的 Android 也有類似漏洞︕
    • 瀏覽器內的 JavaScript 引擎有漏洞︐導致
    JavaScript 可以執行任何的程式
    • Ex: Array.length = 9999999;
    • Linux 核心的漏洞導致普通使用者可以拿到 root
    • Ex: dirty COW

    View full-size slide

  16. 上網也會中毒?
    • 整個故事串起來︓
    • 打開一個網頁︐透過 JavaScript 引擎漏洞逃出瀏
    覽器的監管
    • 利用 Linux 核心 root 你的手機︐植入後門
    • → 在不被察覺的狀況就可以監聽你的手機
    • 不解鎖 bootloader 的 root 程式就是利用 Android
    系統漏洞達成的

    View full-size slide

  17. 打開文件也會中毒?
    • 都市傳說︓打開的 PDF / Office 文件就會中毒
    • 這是真的︕
    • PDF 裡面可以放 JavaScript
    • → 跟瀏覽器一樣的下場
    • Office 文件裡面可以放 VBScript
    • → 現在預設是不開的

    View full-size slide

  18. 打開文件也會中毒?
    • 最恐怖的狀況是︓
    • PDF 閱讀器、Office 本身在讀取檔案的過程有漏洞
    • → 構造特殊的文件來觸發漏洞︐執行惡意程式

    View full-size slide

  19. NSA軍火外流!
    • 2016︐一個叫做 Shadow Brokers 的組織在網路上發
    布一批來自美國國家安全局(NSA)的攻擊程式
    • 披露了很多的 Zero-day 漏洞
    • 其中一個最知名的攻擊程式︓《EternalBlue》
    • 針對 Windows 的檔案分享協定 SMBv1 進行攻擊︐透
    過網路就可以在有漏洞的電腦上執行任何程式

    View full-size slide

  20. NSA軍火外流!
    • 《EternalBlue》的可怕之處在於︐可以通殺當時所
    有的 Windows 作業系統。(Vista之後的所有版本
    都有發布修補程式)
    • WannaCry 這個勒索軟體就利用了這個漏洞來散播
    • 當時影響了很多的電腦

    View full-size slide

  21. 保護自己的方法?
    • 永遠更新到最新版的軟體
    • 包括作業系統、防毒軟體、Office、瀏覽器
    • 還有每次升級大家都唉唉叫的 iOS
    • Windows 10 強迫自動更新很討厭
    • 但是其實用是一種混亂善良的方法來保護你
    • 大家都怕最新版會出包︐你可以選擇延遲個幾週

    View full-size slide

  22. 未知軟體的風險
    • 破解版軟體
    • 註冊機、補釘程式常常伴隨著惡意程式
    • 奇怪的小程式
    • 使用者不多︐如果藏了奇怪的東西不易發現
    • 自行下載 APK 檔案安裝
    • 例如什麼 a?k.tw 論壇︐上面可以抓到很多破解版、
    作弊版的遊戲︐但你不知道裡面可能有追蹤程式

    View full-size slide

  23. 開源軟體的風險(!)
    • NPM: event-stream
    • 開放原始碼社群會在 GitHub、BitBucket... 等平台
    上分享自己的程式作品
    • 不要重新發明輪子︐重複利用它人的智慧
    • 駭客利用了開源社群的生態劫持了 event-stream
    這個 nodejs 的程式庫︐在裡面加入了偷 BitCoin
    的程式碼

    View full-size slide

  24. 使用可信任的軟體
    • 不要使用盜版、破解版
    • 從市集上下載軟體
    • 官方軟體市集上的軟體經過一定程度的審核
    • Google Play, App Store, Windows Store
    • 使用開源軟體
    • 至少原始碼看得到︐大家都可以參與開發與查核

    View full-size slide

  25. 手機應用程式權限
    • 修圖軟體需要存取你的聯絡人資料和GPS位置︖
    • 計算機需要麥克風和照相機︖
    • 這不管怎麼看都是在偷資料
    • 平常應該要給 Facebook GPS 的權限嗎︖
    • 開著︐然後你就會看到精準廣告推播了

    View full-size slide

  26. 最近很紅的捏臉 App

    View full-size slide

  27. • 防毒軟體需要...
    • GPS、打電話、檢查你的照片︖
    防毒軟體...

    View full-size slide

  28. 手機應用程式權限
    • 新版的 Android 和 iOS 都有動態的權限管理
    • 可以個別調整不同的權限要不要放行
    • 要求過多的權限︐代表這個 App 有不好的意圖︐
    乾脆別用了

    View full-size slide

  29. 手機應用程式權限

    View full-size slide

  30. • EXIF 是圖檔的附加資料
    • 相機型號
    • 拍攝時間
    • …
    • GPS 座標︕
    • Samsung 相機廣告被發現是用 Nikon 拍的
    相機App會紀錄GPS資訊

    View full-size slide

  31. • 約在 2015 之前︐FB Messenger 預設有 GPS 權限
    • 在訊息裡面附加 GPS 資訊
    • Chrome 裡面檢查元素就能看到
    • 然後就知道了高中同學家住哪裡︕
    FB Messenger…

    View full-size slide

  32. • 很多軟體會有個「附近的人」這樣的功能
    • 告訴你跟那個人距離多遠
    • 如果你可以偽造手機的位置資訊
    • 高中數學問題︓
    • 某點 p(x, y) 與三個定點的距離已知︐求 p 的座標
    通訊、交友軟體

    View full-size slide

  33. 政府網站、購物網站
    • Google Dork / Google Hacking
    • insite:edu.tw filetype:xls 姓名
    • 多虧了學校資訊化的推動
    • 1990 後出生的台灣人︐個資都跟公開資料沒兩樣
    • 身分證字號、住址、聯絡電話…

    View full-size slide

  34. 貝殼放大資料外洩事件
    • AWS S3 Bucket 沒鎖





    View full-size slide

  35. T??ZE、露?拍賣詐騙電話
    • 都市傳說︓在某網站消費過的人都接過詐騙電話
    • 「你訂的書訂了50本」
    • 「你買的商品不小心設定成了分期付款」
    • 沒有直接證據不能亂講怕被吿

    View full-size slide

  36. Have I Been Pwned
    • https://haveibeenpwned.com/

    View full-size slide

  37. 避免使用公用 WiFi
    • 你的通訊資料完全沒有任何保護的在空氣中飛
    • 連接到同一個 WiFi 的人可以看到你傳的資料
    • 看我如何得到iTaiwan帳號密碼 by DuckLL
    • 還好現在的 App 跟網站有 SSL/TLS 的保護 (https)
    • 學校常用的 PEAP 熱點相對安全
    • 就怕有豬隊友明文傳輸你的個資...

    View full-size slide

  38. 家用 WiFi 設定
    • 種花電信預設使用電話號碼當作密碼
    • 使用 WPA2 加密標準
    • WEP 強度不夠會被破解
    • 連進 WiFi 之後可能會被偷開 VPN

    View full-size slide

  39. 外洩會損失慘重就不要存
    • 密碼
    • 裸照
    • 信用卡資料
    • 證件照片
    • 包含過多個人資料的文件
    • 例如 104 的範本履歷

    View full-size slide

  40. 帳號及密碼的原則
    • 長度 > 複雜度
    • 至少 15 個字
    • 一個句子 + Leet
    • 重要的服務或網站使用獨立的強密碼
    • 少用或不會用第二次的服務︐讓瀏覽器產生密碼
    • 「我也不知道我的密碼是什麼」
    • 使用二階段驗證 (2FA)

    View full-size slide

  41. • 使用具有歷史紀錄功能的雲端來存資料
    • 複製一份檔案到D槽不叫備份
    • 只複製一份放隨身碟不叫做備份
    • NAS vs 外接硬碟
    正確的備份資料方法

    View full-size slide

  42. 人肉搜索
    • 社群網站貼文權限
    • 別在家裡設定打卡地點
    • 個人資料要填多少︖
    • 電話︖Email︖學校︖
    • 帳號最好別帶有生日
    • 第三人角度看自己帳號︐會不會洩漏太多資訊︖

    View full-size slide

  43. • 這份簡報除了設計、手繪、圖片以外︐文字的內
    容均以 CC BY-SA 4.0 授權釋出
    • 整份簡報內容以 CC BY-NC-ND 4.0 授權釋出
    • 設計 / 繪圖︓Mo
    • #opensourcerocks
    • Contact: [email protected]

    View full-size slide