https://www.youtube.com/watch?v=L-3BCVtw76E
Inndy @ NTUOSC / 2018 Dec.
View Slide
About Me• Inndy(a.k.a. 木棍)• 台科資工大五進行中• 努力成為興趣使然的Security Master• 專長是寫程式與搞破壞• 我愛柯基犬
間諜軟體 / Spyware• 俗稱木馬程式• 竊取資料檔案• 遠端操作、監看畫面• 就是沒有介面的 TeamViewer
廣告軟體 / Adware• 安裝軟體時︐《下一步》按到底很容易中獎• 幫你安裝很多你並不需要的軟體• 時不時的跳出廣告視窗• 360 全家桶
勒索軟體 / Ransomware• 加密你的檔案︐付錢換解密的密鑰• 有時付錢不一定可以解密• 做不好的話有機會直接解密• 駭客太菜不知怎麼正確加密你的檔案
殭屍網路 / BotNet• 大量入侵各種連網的設備• 用於發動各種網路攻擊• 暴力猜密碼• 網路掃描• DDoS
工作模式行為驅動檢查 定期檢查
惡意程式偵測技術• 特徵碼• 偵測特定的文字、資料︐ 或是機器碼片段• 海關看到像恐怖份子的人︐ 就通通請去小房間
惡意程式偵測技術• 行為偵測• 對於可疑的行為加以檢查• 警察在路上看到有人企圖打開路邊的每一輛車門...
惡意程式偵測技術• 沙箱• 把程式放在隔離虛擬環境下執行︐看它會不會做壞事• 把人關進 Sword Art Online 看看他會不會變成紅色玩家
反偵測技術(免殺)• 駭客有些招數可以偽裝自己的病毒...• 想辦法抹除特徵• 做壞事的時候掩人耳目• 如果環境看起來不像有使用痕跡︐就不發病• 先冬眠一個月再起床搞破壞
所以到底要不要裝防毒?• 雖然沒辦法 100% 的偵測和阻擋所有惡意程式• 但是對於大肆流行的惡意程式有保護效果• 現在的防毒不只有阻止惡意程式的功能• 還會有偵測釣魚網站或是阻擋網路攻擊的效果• 你不知道該不該裝的話...• 就裝吧︕
軟體漏洞?能吃嗎?• 軟體漏洞是指︐軟體設計的過程中有錯誤(Bug)• 並且這個錯誤存在可以利用(Exploit)的方式• 就可以使軟體發生了預期之外的結果或行為• 還沒有修補程式的漏洞稱為 Zero-day (0day)
具體一點?• 駭客電影裡面演的︐敲敲鍵盤就可以入侵就是在利用軟體漏洞的攻擊• 拿一個奇怪的小裝置或是手機︐靠近其他人的手機就可以留下後門來遠端竊聽• 這些東西大多數是有可能做到的︐但是通常不會有那麼炫砲的畫面• 總之︐畫面上跑很多你看不懂的文字︐敲鍵盤很快都是駭客入侵的過程
上網也會中毒?• 小時候用 Windows XP 跟 IE 6 上網︐打開網頁就會中毒︖古老的 Android 也有類似漏洞︕• 瀏覽器內的 JavaScript 引擎有漏洞︐導致JavaScript 可以執行任何的程式• Ex: Array.length = 9999999;• Linux 核心的漏洞導致普通使用者可以拿到 root• Ex: dirty COW
上網也會中毒?• 整個故事串起來︓• 打開一個網頁︐透過 JavaScript 引擎漏洞逃出瀏覽器的監管• 利用 Linux 核心 root 你的手機︐植入後門• → 在不被察覺的狀況就可以監聽你的手機• 不解鎖 bootloader 的 root 程式就是利用 Android系統漏洞達成的
打開文件也會中毒?• 都市傳說︓打開的 PDF / Office 文件就會中毒• 這是真的︕• PDF 裡面可以放 JavaScript• → 跟瀏覽器一樣的下場• Office 文件裡面可以放 VBScript• → 現在預設是不開的
打開文件也會中毒?• 最恐怖的狀況是︓• PDF 閱讀器、Office 本身在讀取檔案的過程有漏洞• → 構造特殊的文件來觸發漏洞︐執行惡意程式
NSA軍火外流!• 2016︐一個叫做 Shadow Brokers 的組織在網路上發布一批來自美國國家安全局(NSA)的攻擊程式• 披露了很多的 Zero-day 漏洞• 其中一個最知名的攻擊程式︓《EternalBlue》• 針對 Windows 的檔案分享協定 SMBv1 進行攻擊︐透過網路就可以在有漏洞的電腦上執行任何程式
NSA軍火外流!• 《EternalBlue》的可怕之處在於︐可以通殺當時所有的 Windows 作業系統。(Vista之後的所有版本都有發布修補程式)• WannaCry 這個勒索軟體就利用了這個漏洞來散播• 當時影響了很多的電腦
保護自己的方法?• 永遠更新到最新版的軟體• 包括作業系統、防毒軟體、Office、瀏覽器• 還有每次升級大家都唉唉叫的 iOS• Windows 10 強迫自動更新很討厭• 但是其實用是一種混亂善良的方法來保護你• 大家都怕最新版會出包︐你可以選擇延遲個幾週
未知軟體的風險• 破解版軟體• 註冊機、補釘程式常常伴隨著惡意程式• 奇怪的小程式• 使用者不多︐如果藏了奇怪的東西不易發現• 自行下載 APK 檔案安裝• 例如什麼 a?k.tw 論壇︐上面可以抓到很多破解版、作弊版的遊戲︐但你不知道裡面可能有追蹤程式
開源軟體的風險(!)• NPM: event-stream• 開放原始碼社群會在 GitHub、BitBucket... 等平台上分享自己的程式作品• 不要重新發明輪子︐重複利用它人的智慧• 駭客利用了開源社群的生態劫持了 event-stream這個 nodejs 的程式庫︐在裡面加入了偷 BitCoin的程式碼
使用可信任的軟體• 不要使用盜版、破解版• 從市集上下載軟體• 官方軟體市集上的軟體經過一定程度的審核• Google Play, App Store, Windows Store• 使用開源軟體• 至少原始碼看得到︐大家都可以參與開發與查核
手機應用程式權限• 修圖軟體需要存取你的聯絡人資料和GPS位置︖• 計算機需要麥克風和照相機︖• 這不管怎麼看都是在偷資料• 平常應該要給 Facebook GPS 的權限嗎︖• 開著︐然後你就會看到精準廣告推播了
最近很紅的捏臉 App
• 防毒軟體需要...• GPS、打電話、檢查你的照片︖防毒軟體...
手機應用程式權限• 新版的 Android 和 iOS 都有動態的權限管理• 可以個別調整不同的權限要不要放行• 要求過多的權限︐代表這個 App 有不好的意圖︐乾脆別用了
手機應用程式權限
• EXIF 是圖檔的附加資料• 相機型號• 拍攝時間• …• GPS 座標︕• Samsung 相機廣告被發現是用 Nikon 拍的相機App會紀錄GPS資訊
• 約在 2015 之前︐FB Messenger 預設有 GPS 權限• 在訊息裡面附加 GPS 資訊• Chrome 裡面檢查元素就能看到• 然後就知道了高中同學家住哪裡︕FB Messenger…
• 很多軟體會有個「附近的人」這樣的功能• 告訴你跟那個人距離多遠• 如果你可以偽造手機的位置資訊• 高中數學問題︓• 某點 p(x, y) 與三個定點的距離已知︐求 p 的座標通訊、交友軟體
政府網站、購物網站• Google Dork / Google Hacking• insite:edu.tw filetype:xls 姓名• 多虧了學校資訊化的推動• 1990 後出生的台灣人︐個資都跟公開資料沒兩樣• 身分證字號、住址、聯絡電話…
貝殼放大資料外洩事件• AWS S3 Bucket 沒鎖
T??ZE、露?拍賣詐騙電話• 都市傳說︓在某網站消費過的人都接過詐騙電話• 「你訂的書訂了50本」• 「你買的商品不小心設定成了分期付款」• 沒有直接證據不能亂講怕被吿
Have I Been Pwned• https://haveibeenpwned.com/
避免使用公用 WiFi• 你的通訊資料完全沒有任何保護的在空氣中飛• 連接到同一個 WiFi 的人可以看到你傳的資料• 看我如何得到iTaiwan帳號密碼 by DuckLL• 還好現在的 App 跟網站有 SSL/TLS 的保護 (https)• 學校常用的 PEAP 熱點相對安全• 就怕有豬隊友明文傳輸你的個資...
家用 WiFi 設定• 種花電信預設使用電話號碼當作密碼• 使用 WPA2 加密標準• WEP 強度不夠會被破解• 連進 WiFi 之後可能會被偷開 VPN
外洩會損失慘重就不要存• 密碼• 裸照• 信用卡資料• 證件照片• 包含過多個人資料的文件• 例如 104 的範本履歷
帳號及密碼的原則• 長度 > 複雜度• 至少 15 個字• 一個句子 + Leet• 重要的服務或網站使用獨立的強密碼• 少用或不會用第二次的服務︐讓瀏覽器產生密碼• 「我也不知道我的密碼是什麼」• 使用二階段驗證 (2FA)
• 使用具有歷史紀錄功能的雲端來存資料• 複製一份檔案到D槽不叫備份• 只複製一份放隨身碟不叫做備份• NAS vs 外接硬碟正確的備份資料方法
人肉搜索• 社群網站貼文權限• 別在家裡設定打卡地點• 個人資料要填多少︖• 電話︖Email︖學校︖• 帳號最好別帶有生日• 第三人角度看自己帳號︐會不會洩漏太多資訊︖
• 這份簡報除了設計、手繪、圖片以外︐文字的內容均以 CC BY-SA 4.0 授權釋出• 整份簡報內容以 CC BY-NC-ND 4.0 授權釋出• 設計 / 繪圖︓Mo• #opensourcerocks• Contact: [email protected]
inndy
oracle4engineer
matsujirushi
kohbis
yumayabe
hankehly
yoshidashingo
hiroshinakagawa
sat
kthrtty
iwamot
andpad
yuya4
jeffersonlam
marktimemedia
tanoku
smashingmag
jasonvnalue
lara
addyosmani
mojombo
bcantrill
danielanewman
brianwarren