Slide 1

Slide 1 text

Inndy @ NTUOSC / 2018 Dec.

Slide 2

Slide 2 text

About Me • Inndy(a.k.a. 木棍) • 台科資工大五進行中 • 努力成為興趣使然的Security Master • 專長是寫程式與搞破壞 • 我愛柯基犬

Slide 3

Slide 3 text

No content

Slide 4

Slide 4 text

No content

Slide 5

Slide 5 text

No content

Slide 6

Slide 6 text

間諜軟體 / Spyware • 俗稱木馬程式 • 竊取資料檔案 • 遠端操作、監看畫面 • 就是沒有介面的 TeamViewer

Slide 7

Slide 7 text

廣告軟體 / Adware • 安裝軟體時︐《下一步》按到底很容易中獎 • 幫你安裝很多你並不需要的軟體 • 時不時的跳出廣告視窗 • 360 全家桶

Slide 8

Slide 8 text

勒索軟體 / Ransomware • 加密你的檔案︐付錢換解密的密鑰 • 有時付錢不一定可以解密 • 做不好的話有機會直接解密 • 駭客太菜不知怎麼正確加密你的檔案

Slide 9

Slide 9 text

殭屍網路 / BotNet • 大量入侵各種連網的設備 • 用於發動各種網路攻擊 • 暴力猜密碼 • 網路掃描 • DDoS

Slide 10

Slide 10 text

No content

Slide 11

Slide 11 text

工作模式 行為驅動檢查 定期檢查

Slide 12

Slide 12 text

惡意程式偵測技術 • 特徵碼 • 偵測特定的文字、資料︐
 或是機器碼片段 • 海關看到像恐怖份子的人︐
 就通通請去小房間

Slide 13

Slide 13 text

惡意程式偵測技術 • 行為偵測 • 對於可疑的行為加以檢查 • 警察在路上看到有人企圖打 開路邊的每一輛車門...

Slide 14

Slide 14 text

惡意程式偵測技術 • 沙箱 • 把程式放在隔離虛擬環境下執行︐ 看它會不會做壞事 • 把人關進 Sword Art Online
 看看他會不會變成紅色玩家

Slide 15

Slide 15 text

反偵測技術(免殺) • 駭客有些招數可以偽裝自己的病毒... • 想辦法抹除特徵 • 做壞事的時候掩人耳目 • 如果環境看起來不像有使用痕跡︐就不發病 • 先冬眠一個月再起床搞破壞

Slide 16

Slide 16 text

所以到底要不要裝防毒? • 雖然沒辦法 100% 的偵測和阻擋所有惡意程式 • 但是對於大肆流行的惡意程式有保護效果 • 現在的防毒不只有阻止惡意程式的功能 • 還會有偵測釣魚網站或是阻擋網路攻擊的效果 • 你不知道該不該裝的話... • 就裝吧︕

Slide 17

Slide 17 text

No content

Slide 18

Slide 18 text

軟體漏洞?能吃嗎? • 軟體漏洞是指︐軟體設計的過程中有錯誤(Bug) • 並且這個錯誤存在可以利用(Exploit)的方式 • 就可以使軟體發生了預期之外的結果或行為 • 還沒有修補程式的漏洞稱為 Zero-day (0day)

Slide 19

Slide 19 text

具體一點? • 駭客電影裡面演的︐敲敲鍵盤就可以入侵就是在利 用軟體漏洞的攻擊 • 拿一個奇怪的小裝置或是手機︐靠近其他人的手機 就可以留下後門來遠端竊聽 • 這些東西大多數是有可能做到的︐但是通常不會有 那麼炫砲的畫面 • 總之︐畫面上跑很多你看不懂的文字︐敲鍵盤很快 都是駭客入侵的過程

Slide 20

Slide 20 text

上網也會中毒? • 小時候用 Windows XP 跟 IE 6 上網︐打開網頁就會 中毒︖古老的 Android 也有類似漏洞︕ • 瀏覽器內的 JavaScript 引擎有漏洞︐導致 JavaScript 可以執行任何的程式 • Ex: Array.length = 9999999; • Linux 核心的漏洞導致普通使用者可以拿到 root • Ex: dirty COW

Slide 21

Slide 21 text

上網也會中毒? • 整個故事串起來︓ • 打開一個網頁︐透過 JavaScript 引擎漏洞逃出瀏 覽器的監管 • 利用 Linux 核心 root 你的手機︐植入後門 • → 在不被察覺的狀況就可以監聽你的手機 • 不解鎖 bootloader 的 root 程式就是利用 Android 系統漏洞達成的

Slide 22

Slide 22 text

打開文件也會中毒? • 都市傳說︓打開的 PDF / Office 文件就會中毒 • 這是真的︕ • PDF 裡面可以放 JavaScript • → 跟瀏覽器一樣的下場 • Office 文件裡面可以放 VBScript • → 現在預設是不開的

Slide 23

Slide 23 text

打開文件也會中毒? • 最恐怖的狀況是︓ • PDF 閱讀器、Office 本身在讀取檔案的過程有漏洞 • → 構造特殊的文件來觸發漏洞︐執行惡意程式

Slide 24

Slide 24 text

NSA軍火外流! • 2016︐一個叫做 Shadow Brokers 的組織在網路上發 布一批來自美國國家安全局(NSA)的攻擊程式 • 披露了很多的 Zero-day 漏洞 • 其中一個最知名的攻擊程式︓《EternalBlue》 • 針對 Windows 的檔案分享協定 SMBv1 進行攻擊︐透 過網路就可以在有漏洞的電腦上執行任何程式

Slide 25

Slide 25 text

NSA軍火外流! • 《EternalBlue》的可怕之處在於︐可以通殺當時所 有的 Windows 作業系統。(Vista之後的所有版本 都有發布修補程式) • WannaCry 這個勒索軟體就利用了這個漏洞來散播 • 當時影響了很多的電腦

Slide 26

Slide 26 text

保護自己的方法? • 永遠更新到最新版的軟體 • 包括作業系統、防毒軟體、Office、瀏覽器 • 還有每次升級大家都唉唉叫的 iOS • Windows 10 強迫自動更新很討厭 • 但是其實用是一種混亂善良的方法來保護你 • 大家都怕最新版會出包︐你可以選擇延遲個幾週

Slide 27

Slide 27 text

未知軟體的風險 • 破解版軟體 • 註冊機、補釘程式常常伴隨著惡意程式 • 奇怪的小程式 • 使用者不多︐如果藏了奇怪的東西不易發現 • 自行下載 APK 檔案安裝 • 例如什麼 a?k.tw 論壇︐上面可以抓到很多破解版、 作弊版的遊戲︐但你不知道裡面可能有追蹤程式

Slide 28

Slide 28 text

開源軟體的風險(!) • NPM: event-stream • 開放原始碼社群會在 GitHub、BitBucket... 等平台 上分享自己的程式作品 • 不要重新發明輪子︐重複利用它人的智慧 • 駭客利用了開源社群的生態劫持了 event-stream 這個 nodejs 的程式庫︐在裡面加入了偷 BitCoin 的程式碼

Slide 29

Slide 29 text

使用可信任的軟體 • 不要使用盜版、破解版 • 從市集上下載軟體 • 官方軟體市集上的軟體經過一定程度的審核 • Google Play, App Store, Windows Store • 使用開源軟體 • 至少原始碼看得到︐大家都可以參與開發與查核

Slide 30

Slide 30 text

No content

Slide 31

Slide 31 text

手機應用程式權限 • 修圖軟體需要存取你的聯絡人資料和GPS位置︖ • 計算機需要麥克風和照相機︖ • 這不管怎麼看都是在偷資料 • 平常應該要給 Facebook GPS 的權限嗎︖ • 開著︐然後你就會看到精準廣告推播了

Slide 32

Slide 32 text

最近很紅的捏臉 App

Slide 33

Slide 33 text

• 防毒軟體需要... • GPS、打電話、檢查你的照片︖ 防毒軟體...

Slide 34

Slide 34 text

手機應用程式權限 • 新版的 Android 和 iOS 都有動態的權限管理 • 可以個別調整不同的權限要不要放行 • 要求過多的權限︐代表這個 App 有不好的意圖︐ 乾脆別用了

Slide 35

Slide 35 text

手機應用程式權限

Slide 36

Slide 36 text

• EXIF 是圖檔的附加資料 • 相機型號 • 拍攝時間 • … • GPS 座標︕ • Samsung 相機廣告被發現是用 Nikon 拍的 相機App會紀錄GPS資訊

Slide 37

Slide 37 text

• 約在 2015 之前︐FB Messenger 預設有 GPS 權限 • 在訊息裡面附加 GPS 資訊 • Chrome 裡面檢查元素就能看到 • 然後就知道了高中同學家住哪裡︕ FB Messenger…

Slide 38

Slide 38 text

• 很多軟體會有個「附近的人」這樣的功能 • 告訴你跟那個人距離多遠 • 如果你可以偽造手機的位置資訊 • 高中數學問題︓ • 某點 p(x, y) 與三個定點的距離已知︐求 p 的座標 通訊、交友軟體

Slide 39

Slide 39 text

No content

Slide 40

Slide 40 text

No content

Slide 41

Slide 41 text

政府網站、購物網站 • Google Dork / Google Hacking • insite:edu.tw filetype:xls 姓名 • 多虧了學校資訊化的推動 • 1990 後出生的台灣人︐個資都跟公開資料沒兩樣 • 身分證字號、住址、聯絡電話…

Slide 42

Slide 42 text

貝殼放大資料外洩事件 • AWS S3 Bucket 沒鎖
 
 
 
 


Slide 43

Slide 43 text

T??ZE、露?拍賣詐騙電話 • 都市傳說︓在某網站消費過的人都接過詐騙電話 • 「你訂的書訂了50本」 • 「你買的商品不小心設定成了分期付款」 • 沒有直接證據不能亂講怕被吿

Slide 44

Slide 44 text

Have I Been Pwned • https://haveibeenpwned.com/

Slide 45

Slide 45 text

No content

Slide 46

Slide 46 text

避免使用公用 WiFi • 你的通訊資料完全沒有任何保護的在空氣中飛 • 連接到同一個 WiFi 的人可以看到你傳的資料 • 看我如何得到iTaiwan帳號密碼 by DuckLL • 還好現在的 App 跟網站有 SSL/TLS 的保護 (https) • 學校常用的 PEAP 熱點相對安全 • 就怕有豬隊友明文傳輸你的個資...

Slide 47

Slide 47 text

No content

Slide 48

Slide 48 text

家用 WiFi 設定 • 種花電信預設使用電話號碼當作密碼 • 使用 WPA2 加密標準 • WEP 強度不夠會被破解 • 連進 WiFi 之後可能會被偷開 VPN

Slide 49

Slide 49 text

No content

Slide 50

Slide 50 text

外洩會損失慘重就不要存 • 密碼 • 裸照 • 信用卡資料 • 證件照片 • 包含過多個人資料的文件 • 例如 104 的範本履歷

Slide 51

Slide 51 text

帳號及密碼的原則 • 長度 > 複雜度 • 至少 15 個字 • 一個句子 + Leet • 重要的服務或網站使用獨立的強密碼 • 少用或不會用第二次的服務︐讓瀏覽器產生密碼 • 「我也不知道我的密碼是什麼」 • 使用二階段驗證 (2FA)

Slide 52

Slide 52 text

No content

Slide 53

Slide 53 text

• 使用具有歷史紀錄功能的雲端來存資料 • 複製一份檔案到D槽不叫備份 • 只複製一份放隨身碟不叫做備份 • NAS vs 外接硬碟 正確的備份資料方法

Slide 54

Slide 54 text

No content

Slide 55

Slide 55 text

人肉搜索 • 社群網站貼文權限 • 別在家裡設定打卡地點 • 個人資料要填多少︖ • 電話︖Email︖學校︖ • 帳號最好別帶有生日 • 第三人角度看自己帳號︐會不會洩漏太多資訊︖

Slide 56

Slide 56 text

No content

Slide 57

Slide 57 text

• 這份簡報除了設計、手繪、圖片以外︐文字的內 容均以 CC BY-SA 4.0 授權釋出 • 整份簡報內容以 CC BY-NC-ND 4.0 授權釋出 • 設計 / 繪圖︓Mo • #opensourcerocks • Contact: [email protected]