Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
Inndy @ NTUOSC / 2018 Dec.
Slide 2
Slide 2 text
About Me • Inndy(a.k.a. 木棍) • 台科資工大五進行中 • 努力成為興趣使然的Security Master • 專長是寫程式與搞破壞 • 我愛柯基犬
Slide 3
Slide 3 text
No content
Slide 4
Slide 4 text
No content
Slide 5
Slide 5 text
No content
Slide 6
Slide 6 text
間諜軟體 / Spyware • 俗稱木馬程式 • 竊取資料檔案 • 遠端操作、監看畫面 • 就是沒有介面的 TeamViewer
Slide 7
Slide 7 text
廣告軟體 / Adware • 安裝軟體時︐《下一步》按到底很容易中獎 • 幫你安裝很多你並不需要的軟體 • 時不時的跳出廣告視窗 • 360 全家桶
Slide 8
Slide 8 text
勒索軟體 / Ransomware • 加密你的檔案︐付錢換解密的密鑰 • 有時付錢不一定可以解密 • 做不好的話有機會直接解密 • 駭客太菜不知怎麼正確加密你的檔案
Slide 9
Slide 9 text
殭屍網路 / BotNet • 大量入侵各種連網的設備 • 用於發動各種網路攻擊 • 暴力猜密碼 • 網路掃描 • DDoS
Slide 10
Slide 10 text
No content
Slide 11
Slide 11 text
工作模式 行為驅動檢查 定期檢查
Slide 12
Slide 12 text
惡意程式偵測技術 • 特徵碼 • 偵測特定的文字、資料︐ 或是機器碼片段 • 海關看到像恐怖份子的人︐ 就通通請去小房間
Slide 13
Slide 13 text
惡意程式偵測技術 • 行為偵測 • 對於可疑的行為加以檢查 • 警察在路上看到有人企圖打 開路邊的每一輛車門...
Slide 14
Slide 14 text
惡意程式偵測技術 • 沙箱 • 把程式放在隔離虛擬環境下執行︐ 看它會不會做壞事 • 把人關進 Sword Art Online 看看他會不會變成紅色玩家
Slide 15
Slide 15 text
反偵測技術(免殺) • 駭客有些招數可以偽裝自己的病毒... • 想辦法抹除特徵 • 做壞事的時候掩人耳目 • 如果環境看起來不像有使用痕跡︐就不發病 • 先冬眠一個月再起床搞破壞
Slide 16
Slide 16 text
所以到底要不要裝防毒? • 雖然沒辦法 100% 的偵測和阻擋所有惡意程式 • 但是對於大肆流行的惡意程式有保護效果 • 現在的防毒不只有阻止惡意程式的功能 • 還會有偵測釣魚網站或是阻擋網路攻擊的效果 • 你不知道該不該裝的話... • 就裝吧︕
Slide 17
Slide 17 text
No content
Slide 18
Slide 18 text
軟體漏洞?能吃嗎? • 軟體漏洞是指︐軟體設計的過程中有錯誤(Bug) • 並且這個錯誤存在可以利用(Exploit)的方式 • 就可以使軟體發生了預期之外的結果或行為 • 還沒有修補程式的漏洞稱為 Zero-day (0day)
Slide 19
Slide 19 text
具體一點? • 駭客電影裡面演的︐敲敲鍵盤就可以入侵就是在利 用軟體漏洞的攻擊 • 拿一個奇怪的小裝置或是手機︐靠近其他人的手機 就可以留下後門來遠端竊聽 • 這些東西大多數是有可能做到的︐但是通常不會有 那麼炫砲的畫面 • 總之︐畫面上跑很多你看不懂的文字︐敲鍵盤很快 都是駭客入侵的過程
Slide 20
Slide 20 text
上網也會中毒? • 小時候用 Windows XP 跟 IE 6 上網︐打開網頁就會 中毒︖古老的 Android 也有類似漏洞︕ • 瀏覽器內的 JavaScript 引擎有漏洞︐導致 JavaScript 可以執行任何的程式 • Ex: Array.length = 9999999; • Linux 核心的漏洞導致普通使用者可以拿到 root • Ex: dirty COW
Slide 21
Slide 21 text
上網也會中毒? • 整個故事串起來︓ • 打開一個網頁︐透過 JavaScript 引擎漏洞逃出瀏 覽器的監管 • 利用 Linux 核心 root 你的手機︐植入後門 • → 在不被察覺的狀況就可以監聽你的手機 • 不解鎖 bootloader 的 root 程式就是利用 Android 系統漏洞達成的
Slide 22
Slide 22 text
打開文件也會中毒? • 都市傳說︓打開的 PDF / Office 文件就會中毒 • 這是真的︕ • PDF 裡面可以放 JavaScript • → 跟瀏覽器一樣的下場 • Office 文件裡面可以放 VBScript • → 現在預設是不開的
Slide 23
Slide 23 text
打開文件也會中毒? • 最恐怖的狀況是︓ • PDF 閱讀器、Office 本身在讀取檔案的過程有漏洞 • → 構造特殊的文件來觸發漏洞︐執行惡意程式
Slide 24
Slide 24 text
NSA軍火外流! • 2016︐一個叫做 Shadow Brokers 的組織在網路上發 布一批來自美國國家安全局(NSA)的攻擊程式 • 披露了很多的 Zero-day 漏洞 • 其中一個最知名的攻擊程式︓《EternalBlue》 • 針對 Windows 的檔案分享協定 SMBv1 進行攻擊︐透 過網路就可以在有漏洞的電腦上執行任何程式
Slide 25
Slide 25 text
NSA軍火外流! • 《EternalBlue》的可怕之處在於︐可以通殺當時所 有的 Windows 作業系統。(Vista之後的所有版本 都有發布修補程式) • WannaCry 這個勒索軟體就利用了這個漏洞來散播 • 當時影響了很多的電腦
Slide 26
Slide 26 text
保護自己的方法? • 永遠更新到最新版的軟體 • 包括作業系統、防毒軟體、Office、瀏覽器 • 還有每次升級大家都唉唉叫的 iOS • Windows 10 強迫自動更新很討厭 • 但是其實用是一種混亂善良的方法來保護你 • 大家都怕最新版會出包︐你可以選擇延遲個幾週
Slide 27
Slide 27 text
未知軟體的風險 • 破解版軟體 • 註冊機、補釘程式常常伴隨著惡意程式 • 奇怪的小程式 • 使用者不多︐如果藏了奇怪的東西不易發現 • 自行下載 APK 檔案安裝 • 例如什麼 a?k.tw 論壇︐上面可以抓到很多破解版、 作弊版的遊戲︐但你不知道裡面可能有追蹤程式
Slide 28
Slide 28 text
開源軟體的風險(!) • NPM: event-stream • 開放原始碼社群會在 GitHub、BitBucket... 等平台 上分享自己的程式作品 • 不要重新發明輪子︐重複利用它人的智慧 • 駭客利用了開源社群的生態劫持了 event-stream 這個 nodejs 的程式庫︐在裡面加入了偷 BitCoin 的程式碼
Slide 29
Slide 29 text
使用可信任的軟體 • 不要使用盜版、破解版 • 從市集上下載軟體 • 官方軟體市集上的軟體經過一定程度的審核 • Google Play, App Store, Windows Store • 使用開源軟體 • 至少原始碼看得到︐大家都可以參與開發與查核
Slide 30
Slide 30 text
No content
Slide 31
Slide 31 text
手機應用程式權限 • 修圖軟體需要存取你的聯絡人資料和GPS位置︖ • 計算機需要麥克風和照相機︖ • 這不管怎麼看都是在偷資料 • 平常應該要給 Facebook GPS 的權限嗎︖ • 開著︐然後你就會看到精準廣告推播了
Slide 32
Slide 32 text
最近很紅的捏臉 App
Slide 33
Slide 33 text
• 防毒軟體需要... • GPS、打電話、檢查你的照片︖ 防毒軟體...
Slide 34
Slide 34 text
手機應用程式權限 • 新版的 Android 和 iOS 都有動態的權限管理 • 可以個別調整不同的權限要不要放行 • 要求過多的權限︐代表這個 App 有不好的意圖︐ 乾脆別用了
Slide 35
Slide 35 text
手機應用程式權限
Slide 36
Slide 36 text
• EXIF 是圖檔的附加資料 • 相機型號 • 拍攝時間 • … • GPS 座標︕ • Samsung 相機廣告被發現是用 Nikon 拍的 相機App會紀錄GPS資訊
Slide 37
Slide 37 text
• 約在 2015 之前︐FB Messenger 預設有 GPS 權限 • 在訊息裡面附加 GPS 資訊 • Chrome 裡面檢查元素就能看到 • 然後就知道了高中同學家住哪裡︕ FB Messenger…
Slide 38
Slide 38 text
• 很多軟體會有個「附近的人」這樣的功能 • 告訴你跟那個人距離多遠 • 如果你可以偽造手機的位置資訊 • 高中數學問題︓ • 某點 p(x, y) 與三個定點的距離已知︐求 p 的座標 通訊、交友軟體
Slide 39
Slide 39 text
No content
Slide 40
Slide 40 text
No content
Slide 41
Slide 41 text
政府網站、購物網站 • Google Dork / Google Hacking • insite:edu.tw filetype:xls 姓名 • 多虧了學校資訊化的推動 • 1990 後出生的台灣人︐個資都跟公開資料沒兩樣 • 身分證字號、住址、聯絡電話…
Slide 42
Slide 42 text
貝殼放大資料外洩事件 • AWS S3 Bucket 沒鎖
Slide 43
Slide 43 text
T??ZE、露?拍賣詐騙電話 • 都市傳說︓在某網站消費過的人都接過詐騙電話 • 「你訂的書訂了50本」 • 「你買的商品不小心設定成了分期付款」 • 沒有直接證據不能亂講怕被吿
Slide 44
Slide 44 text
Have I Been Pwned • https://haveibeenpwned.com/
Slide 45
Slide 45 text
No content
Slide 46
Slide 46 text
避免使用公用 WiFi • 你的通訊資料完全沒有任何保護的在空氣中飛 • 連接到同一個 WiFi 的人可以看到你傳的資料 • 看我如何得到iTaiwan帳號密碼 by DuckLL • 還好現在的 App 跟網站有 SSL/TLS 的保護 (https) • 學校常用的 PEAP 熱點相對安全 • 就怕有豬隊友明文傳輸你的個資...
Slide 47
Slide 47 text
No content
Slide 48
Slide 48 text
家用 WiFi 設定 • 種花電信預設使用電話號碼當作密碼 • 使用 WPA2 加密標準 • WEP 強度不夠會被破解 • 連進 WiFi 之後可能會被偷開 VPN
Slide 49
Slide 49 text
No content
Slide 50
Slide 50 text
外洩會損失慘重就不要存 • 密碼 • 裸照 • 信用卡資料 • 證件照片 • 包含過多個人資料的文件 • 例如 104 的範本履歷
Slide 51
Slide 51 text
帳號及密碼的原則 • 長度 > 複雜度 • 至少 15 個字 • 一個句子 + Leet • 重要的服務或網站使用獨立的強密碼 • 少用或不會用第二次的服務︐讓瀏覽器產生密碼 • 「我也不知道我的密碼是什麼」 • 使用二階段驗證 (2FA)
Slide 52
Slide 52 text
No content
Slide 53
Slide 53 text
• 使用具有歷史紀錄功能的雲端來存資料 • 複製一份檔案到D槽不叫備份 • 只複製一份放隨身碟不叫做備份 • NAS vs 外接硬碟 正確的備份資料方法
Slide 54
Slide 54 text
No content
Slide 55
Slide 55 text
人肉搜索 • 社群網站貼文權限 • 別在家裡設定打卡地點 • 個人資料要填多少︖ • 電話︖Email︖學校︖ • 帳號最好別帶有生日 • 第三人角度看自己帳號︐會不會洩漏太多資訊︖
Slide 56
Slide 56 text
No content
Slide 57
Slide 57 text
• 這份簡報除了設計、手繪、圖片以外︐文字的內 容均以 CC BY-SA 4.0 授權釋出 • 整份簡報內容以 CC BY-NC-ND 4.0 授權釋出 • 設計 / 繪圖︓Mo • #opensourcerocks • Contact:
[email protected]