Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

資訊安全:麻瓜的黑魔法防禦術

Inndy
December 14, 2018

 資訊安全:麻瓜的黑魔法防禦術

Inndy

December 14, 2018
Tweet

More Decks by Inndy

Other Decks in Technology

Transcript

  1. 上網也會中毒? • 小時候用 Windows XP 跟 IE 6 上網︐打開網頁就會 中毒︖古老的

    Android 也有類似漏洞︕ • 瀏覽器內的 JavaScript 引擎有漏洞︐導致 JavaScript 可以執行任何的程式 • Ex: Array.length = 9999999; • Linux 核心的漏洞導致普通使用者可以拿到 root • Ex: dirty COW
  2. 上網也會中毒? • 整個故事串起來︓ • 打開一個網頁︐透過 JavaScript 引擎漏洞逃出瀏 覽器的監管 • 利用

    Linux 核心 root 你的手機︐植入後門 • → 在不被察覺的狀況就可以監聽你的手機 • 不解鎖 bootloader 的 root 程式就是利用 Android 系統漏洞達成的
  3. 打開文件也會中毒? • 都市傳說︓打開的 PDF / Office 文件就會中毒 • 這是真的︕ •

    PDF 裡面可以放 JavaScript • → 跟瀏覽器一樣的下場 • Office 文件裡面可以放 VBScript • → 現在預設是不開的
  4. NSA軍火外流! • 2016︐一個叫做 Shadow Brokers 的組織在網路上發 布一批來自美國國家安全局(NSA)的攻擊程式 • 披露了很多的 Zero-day

    漏洞 • 其中一個最知名的攻擊程式︓《EternalBlue》 • 針對 Windows 的檔案分享協定 SMBv1 進行攻擊︐透 過網路就可以在有漏洞的電腦上執行任何程式
  5. 保護自己的方法? • 永遠更新到最新版的軟體 • 包括作業系統、防毒軟體、Office、瀏覽器 • 還有每次升級大家都唉唉叫的 iOS • Windows

    10 強迫自動更新很討厭 • 但是其實用是一種混亂善良的方法來保護你 • 大家都怕最新版會出包︐你可以選擇延遲個幾週
  6. 未知軟體的風險 • 破解版軟體 • 註冊機、補釘程式常常伴隨著惡意程式 • 奇怪的小程式 • 使用者不多︐如果藏了奇怪的東西不易發現 •

    自行下載 APK 檔案安裝 • 例如什麼 a?k.tw 論壇︐上面可以抓到很多破解版、 作弊版的遊戲︐但你不知道裡面可能有追蹤程式
  7. 開源軟體的風險(!) • NPM: event-stream • 開放原始碼社群會在 GitHub、BitBucket... 等平台 上分享自己的程式作品 •

    不要重新發明輪子︐重複利用它人的智慧 • 駭客利用了開源社群的生態劫持了 event-stream 這個 nodejs 的程式庫︐在裡面加入了偷 BitCoin 的程式碼
  8. 使用可信任的軟體 • 不要使用盜版、破解版 • 從市集上下載軟體 • 官方軟體市集上的軟體經過一定程度的審核 • Google Play,

    App Store, Windows Store • 使用開源軟體 • 至少原始碼看得到︐大家都可以參與開發與查核
  9. • EXIF 是圖檔的附加資料 • 相機型號 • 拍攝時間 • … •

    GPS 座標︕ • Samsung 相機廣告被發現是用 Nikon 拍的 相機App會紀錄GPS資訊
  10. • 約在 2015 之前︐FB Messenger 預設有 GPS 權限 • 在訊息裡面附加

    GPS 資訊 • Chrome 裡面檢查元素就能看到 • 然後就知道了高中同學家住哪裡︕ FB Messenger…
  11. 政府網站、購物網站 • Google Dork / Google Hacking • insite:edu.tw filetype:xls

    姓名 • 多虧了學校資訊化的推動 • 1990 後出生的台灣人︐個資都跟公開資料沒兩樣 • 身分證字號、住址、聯絡電話…
  12. 避免使用公用 WiFi • 你的通訊資料完全沒有任何保護的在空氣中飛 • 連接到同一個 WiFi 的人可以看到你傳的資料 • 看我如何得到iTaiwan帳號密碼

    by DuckLL • 還好現在的 App 跟網站有 SSL/TLS 的保護 (https) • 學校常用的 PEAP 熱點相對安全 • 就怕有豬隊友明文傳輸你的個資...
  13. 家用 WiFi 設定 • 種花電信預設使用電話號碼當作密碼 • 使用 WPA2 加密標準 •

    WEP 強度不夠會被破解 • 連進 WiFi 之後可能會被偷開 VPN
  14. 外洩會損失慘重就不要存 • 密碼 • 裸照 • 信用卡資料 • 證件照片 •

    包含過多個人資料的文件 • 例如 104 的範本履歷
  15. 帳號及密碼的原則 • 長度 > 複雜度 • 至少 15 個字 •

    一個句子 + Leet • 重要的服務或網站使用獨立的強密碼 • 少用或不會用第二次的服務︐讓瀏覽器產生密碼 • 「我也不知道我的密碼是什麼」 • 使用二階段驗證 (2FA)
  16. 人肉搜索 • 社群網站貼文權限 • 別在家裡設定打卡地點 • 個人資料要填多少︖ • 電話︖Email︖學校︖ •

    帳號最好別帶有生日 • 第三人角度看自己帳號︐會不會洩漏太多資訊︖