資訊安全：麻瓜的黑魔法防禦術

Transcript

1. Inndy @ NTUOSC / 2018 Dec.

2. About Me • Inndy（a.k.a. 木棍） • 台科資工大五進行中 • 努力成為興趣使然的Security Master

   • 專長是寫程式與搞破壞 • 我愛柯基犬
3. None
4. None
5. None

6. 間諜軟體 / Spyware • 俗稱木馬程式 • 竊取資料檔案 • 遠端操作、監看畫面 •

   就是沒有介面的 TeamViewer

7. 廣告軟體 / Adware • 安裝軟體時︐《下一步》按到底很容易中獎 • 幫你安裝很多你並不需要的軟體 • 時不時的跳出廣告視窗 •

   360 全家桶

8. 勒索軟體 / Ransomware • 加密你的檔案︐付錢換解密的密鑰 • 有時付錢不一定可以解密 • 做不好的話有機會直接解密 •

   駭客太菜不知怎麼正確加密你的檔案

9. 殭屍網路 / BotNet • 大量入侵各種連網的設備 • 用於發動各種網路攻擊 • 暴力猜密碼 •

   網路掃描 • DDoS
10. None

11. 工作模式 行為驅動檢查 定期檢查

12. 惡意程式偵測技術 • 特徵碼 • 偵測特定的文字、資料︐
 或是機器碼片段 • 海關看到像恐怖份子的人︐
 就通通請去小房間

13. 惡意程式偵測技術 • 行為偵測 • 對於可疑的行為加以檢查 • 警察在路上看到有人企圖打 開路邊的每一輛車門...

14. 惡意程式偵測技術 • 沙箱 • 把程式放在隔離虛擬環境下執行︐ 看它會不會做壞事 • 把人關進 Sword Art

    Online
 看看他會不會變成紅色玩家

15. 反偵測技術（免殺） • 駭客有些招數可以偽裝自己的病毒... • 想辦法抹除特徵 • 做壞事的時候掩人耳目 • 如果環境看起來不像有使用痕跡︐就不發病 •

    先冬眠一個月再起床搞破壞

16. 所以到底要不要裝防毒？ • 雖然沒辦法 100% 的偵測和阻擋所有惡意程式 • 但是對於大肆流行的惡意程式有保護效果 • 現在的防毒不只有阻止惡意程式的功能 •

    還會有偵測釣魚網站或是阻擋網路攻擊的效果 • 你不知道該不該裝的話... • 就裝吧︕
17. None

18. 軟體漏洞？能吃嗎？ • 軟體漏洞是指︐軟體設計的過程中有錯誤（Bug） • 並且這個錯誤存在可以利用（Exploit）的方式 • 就可以使軟體發生了預期之外的結果或行為 • 還沒有修補程式的漏洞稱為 Zero-day

    (0day)

19. 具體一點？ • 駭客電影裡面演的︐敲敲鍵盤就可以入侵就是在利 用軟體漏洞的攻擊 • 拿一個奇怪的小裝置或是手機︐靠近其他人的手機 就可以留下後門來遠端竊聽 • 這些東西大多數是有可能做到的︐但是通常不會有 那麼炫砲的畫面

    • 總之︐畫面上跑很多你看不懂的文字︐敲鍵盤很快 都是駭客入侵的過程

20. 上網也會中毒？ • 小時候用 Windows XP 跟 IE 6 上網︐打開網頁就會 中毒︖古老的

    Android 也有類似漏洞︕ • 瀏覽器內的 JavaScript 引擎有漏洞︐導致 JavaScript 可以執行任何的程式 • Ex: Array.length = 9999999; • Linux 核心的漏洞導致普通使用者可以拿到 root • Ex: dirty COW

21. 上網也會中毒？ • 整個故事串起來︓ • 打開一個網頁︐透過 JavaScript 引擎漏洞逃出瀏 覽器的監管 • 利用

    Linux 核心 root 你的手機︐植入後門 • → 在不被察覺的狀況就可以監聽你的手機 • 不解鎖 bootloader 的 root 程式就是利用 Android 系統漏洞達成的

22. 打開文件也會中毒？ • 都市傳說︓打開的 PDF / Office 文件就會中毒 • 這是真的︕ •

    PDF 裡面可以放 JavaScript • → 跟瀏覽器一樣的下場 • Office 文件裡面可以放 VBScript • → 現在預設是不開的

23. 打開文件也會中毒？ • 最恐怖的狀況是︓ • PDF 閱讀器、Office 本身在讀取檔案的過程有漏洞 • → 構造特殊的文件來觸發漏洞︐執行惡意程式

24. NSA軍火外流！ • 2016︐一個叫做 Shadow Brokers 的組織在網路上發 布一批來自美國國家安全局（NSA）的攻擊程式 • 披露了很多的 Zero-day

    漏洞 • 其中一個最知名的攻擊程式︓《EternalBlue》 • 針對 Windows 的檔案分享協定 SMBv1 進行攻擊︐透 過網路就可以在有漏洞的電腦上執行任何程式

25. NSA軍火外流！ • 《EternalBlue》的可怕之處在於︐可以通殺當時所 有的 Windows 作業系統。（Vista之後的所有版本 都有發布修補程式） • WannaCry 這個勒索軟體就利用了這個漏洞來散播

    • 當時影響了很多的電腦

26. 保護自己的方法？ • 永遠更新到最新版的軟體 • 包括作業系統、防毒軟體、Office、瀏覽器 • 還有每次升級大家都唉唉叫的 iOS • Windows

    10 強迫自動更新很討厭 • 但是其實用是一種混亂善良的方法來保護你 • 大家都怕最新版會出包︐你可以選擇延遲個幾週

27. 未知軟體的風險 • 破解版軟體 • 註冊機、補釘程式常常伴隨著惡意程式 • 奇怪的小程式 • 使用者不多︐如果藏了奇怪的東西不易發現 •

    自行下載 APK 檔案安裝 • 例如什麼 a?k.tw 論壇︐上面可以抓到很多破解版、 作弊版的遊戲︐但你不知道裡面可能有追蹤程式

28. 開源軟體的風險（！） • NPM: event-stream • 開放原始碼社群會在 GitHub、BitBucket... 等平台 上分享自己的程式作品 •

    不要重新發明輪子︐重複利用它人的智慧 • 駭客利用了開源社群的生態劫持了 event-stream 這個 nodejs 的程式庫︐在裡面加入了偷 BitCoin 的程式碼

29. 使用可信任的軟體 • 不要使用盜版、破解版 • 從市集上下載軟體 • 官方軟體市集上的軟體經過一定程度的審核 • Google Play,

    App Store, Windows Store • 使用開源軟體 • 至少原始碼看得到︐大家都可以參與開發與查核
30. None

31. 手機應用程式權限 • 修圖軟體需要存取你的聯絡人資料和GPS位置︖ • 計算機需要麥克風和照相機︖ • 這不管怎麼看都是在偷資料 • 平常應該要給 Facebook

    GPS 的權限嗎︖ • 開著︐然後你就會看到精準廣告推播了

32. 最近很紅的捏臉 App

33. • 防毒軟體需要... • GPS、打電話、檢查你的照片︖ 防毒軟體...

34. 手機應用程式權限 • 新版的 Android 和 iOS 都有動態的權限管理 • 可以個別調整不同的權限要不要放行 •

    要求過多的權限︐代表這個 App 有不好的意圖︐ 乾脆別用了

35. 手機應用程式權限

36. • EXIF 是圖檔的附加資料 • 相機型號 • 拍攝時間 • … •

    GPS 座標︕ • Samsung 相機廣告被發現是用 Nikon 拍的 相機App會紀錄GPS資訊

37. • 約在 2015 之前︐FB Messenger 預設有 GPS 權限 • 在訊息裡面附加

    GPS 資訊 • Chrome 裡面檢查元素就能看到 • 然後就知道了高中同學家住哪裡︕ FB Messenger…

38. • 很多軟體會有個「附近的人」這樣的功能 • 告訴你跟那個人距離多遠 • 如果你可以偽造手機的位置資訊 • 高中數學問題︓ • 某點

    p(x, y) 與三個定點的距離已知︐求 p 的座標 通訊、交友軟體
39. None
40. None

41. 政府網站、購物網站 • Google Dork / Google Hacking • insite:edu.tw filetype:xls

    姓名 • 多虧了學校資訊化的推動 • 1990 後出生的台灣人︐個資都跟公開資料沒兩樣 • 身分證字號、住址、聯絡電話…

42. 貝殼放大資料外洩事件 • AWS S3 Bucket 沒鎖
 
 
 
 


43. T??ZE、露？拍賣詐騙電話 • 都市傳說︓在某網站消費過的人都接過詐騙電話 • 「你訂的書訂了50本」 • 「你買的商品不小心設定成了分期付款」 • 沒有直接證據不能亂講怕被吿

44. Have I Been Pwned • https://haveibeenpwned.com/

45. None

46. 避免使用公用 WiFi • 你的通訊資料完全沒有任何保護的在空氣中飛 • 連接到同一個 WiFi 的人可以看到你傳的資料 • 看我如何得到iTaiwan帳號密碼

    by DuckLL • 還好現在的 App 跟網站有 SSL/TLS 的保護 (https) • 學校常用的 PEAP 熱點相對安全 • 就怕有豬隊友明文傳輸你的個資...
47. None

48. 家用 WiFi 設定 • 種花電信預設使用電話號碼當作密碼 • 使用 WPA2 加密標準 •

    WEP 強度不夠會被破解 • 連進 WiFi 之後可能會被偷開 VPN
49. None

50. 外洩會損失慘重就不要存 • 密碼 • 裸照 • 信用卡資料 • 證件照片 •

    包含過多個人資料的文件 • 例如 104 的範本履歷

51. 帳號及密碼的原則 • 長度 > 複雜度 • 至少 15 個字 •

    一個句子 + Leet • 重要的服務或網站使用獨立的強密碼 • 少用或不會用第二次的服務︐讓瀏覽器產生密碼 • 「我也不知道我的密碼是什麼」 • 使用二階段驗證 (2FA)
52. None

53. • 使用具有歷史紀錄功能的雲端來存資料 • 複製一份檔案到D槽不叫備份 • 只複製一份放隨身碟不叫做備份 • NAS vs 外接硬碟

    正確的備份資料方法
54. None

55. 人肉搜索 • 社群網站貼文權限 • 別在家裡設定打卡地點 • 個人資料要填多少︖ • 電話︖Email︖學校︖ •

    帳號最好別帶有生日 • 第三人角度看自己帳號︐會不會洩漏太多資訊︖
56. None

57. • 這份簡報除了設計、手繪、圖片以外︐文字的內 容均以 CC BY-SA 4.0 授權釋出 • 整份簡報內容以 CC

    BY-NC-ND 4.0 授權釋出 • 設計 / 繪圖︓Mo • #opensourcerocks • Contact: [email protected]