Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
資訊安全:麻瓜的黑魔法防禦術
Search
Inndy
December 14, 2018
Technology
3
2.8k
資訊安全:麻瓜的黑魔法防禦術
https://www.youtube.com/watch?v=L-3BCVtw76E
Inndy
December 14, 2018
Tweet
Share
More Decks by Inndy
See All by Inndy
工程師一定要懂的 Text Encoding
inndy
1
600
HackmeCTF 平台背後的心酸血淚史
inndy
2
790
COSCUP 2018 Lightning Talk - 審稿好難,所以我們來寫程式吧
inndy
0
400
逆向工程:從入門到放棄
inndy
7
3.4k
HITCON 2017 Zeroday 發表會
inndy
0
1.3k
No More Crypto Fails
inndy
33
7.9k
你再共用密碼啊
inndy
1
710
CTF From Zero To One
inndy
5
4.9k
逆向工程基礎
inndy
4
1.4k
Other Decks in Technology
See All in Technology
alecthomas/kong はいいぞ / kamakura.go#7
fujiwara3
1
300
社内イベント管理システムを1週間でAKSからACAに移行した話し
shingo_kawahara
0
190
大幅アップデートされたRagas v0.2をキャッチアップ
os1ma
2
540
事業貢献を考えるための技術改善の目標設計と改善実績 / Targeted design of technical improvements to consider business contribution and improvement performance
oomatomo
0
100
マイクロサービスにおける容易なトランザクション管理に向けて
scalar
0
130
組織に自動テストを書く文化を根付かせる戦略(2024冬版) / Building Automated Test Culture 2024 Winter Edition
twada
PRO
17
4.5k
OpenAIの蒸留機能(Model Distillation)を使用して運用中のLLMのコストを削減する取り組み
pharma_x_tech
4
560
20241214_WACATE2024冬_テスト設計技法をチョット俯瞰してみよう
kzsuzuki
3
510
オプトインカメラ:UWB測位を応用したオプトイン型のカメラ計測
matthewlujp
0
180
新機能VPCリソースエンドポイント機能検証から得られた考察
duelist2020jp
0
220
.NET 9 のパフォーマンス改善
nenonaninu
0
990
ハイテク休憩
sat
PRO
2
160
Featured
See All Featured
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.4k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
0
98
A Tale of Four Properties
chriscoyier
157
23k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
RailsConf 2023
tenderlove
29
940
Unsuck your backbone
ammeep
669
57k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
Docker and Python
trallard
42
3.1k
Building an army of robots
kneath
302
44k
How to Think Like a Performance Engineer
csswizardry
22
1.2k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
29
2k
Transcript
Inndy @ NTUOSC / 2018 Dec.
About Me • Inndy(a.k.a. 木棍) • 台科資工大五進行中 • 努力成為興趣使然的Security Master
• 專長是寫程式與搞破壞 • 我愛柯基犬
None
None
None
間諜軟體 / Spyware • 俗稱木馬程式 • 竊取資料檔案 • 遠端操作、監看畫面 •
就是沒有介面的 TeamViewer
廣告軟體 / Adware • 安裝軟體時︐《下一步》按到底很容易中獎 • 幫你安裝很多你並不需要的軟體 • 時不時的跳出廣告視窗 •
360 全家桶
勒索軟體 / Ransomware • 加密你的檔案︐付錢換解密的密鑰 • 有時付錢不一定可以解密 • 做不好的話有機會直接解密 •
駭客太菜不知怎麼正確加密你的檔案
殭屍網路 / BotNet • 大量入侵各種連網的設備 • 用於發動各種網路攻擊 • 暴力猜密碼 •
網路掃描 • DDoS
None
工作模式 行為驅動檢查 定期檢查
惡意程式偵測技術 • 特徵碼 • 偵測特定的文字、資料︐ 或是機器碼片段 • 海關看到像恐怖份子的人︐ 就通通請去小房間
惡意程式偵測技術 • 行為偵測 • 對於可疑的行為加以檢查 • 警察在路上看到有人企圖打 開路邊的每一輛車門...
惡意程式偵測技術 • 沙箱 • 把程式放在隔離虛擬環境下執行︐ 看它會不會做壞事 • 把人關進 Sword Art
Online 看看他會不會變成紅色玩家
反偵測技術(免殺) • 駭客有些招數可以偽裝自己的病毒... • 想辦法抹除特徵 • 做壞事的時候掩人耳目 • 如果環境看起來不像有使用痕跡︐就不發病 •
先冬眠一個月再起床搞破壞
所以到底要不要裝防毒? • 雖然沒辦法 100% 的偵測和阻擋所有惡意程式 • 但是對於大肆流行的惡意程式有保護效果 • 現在的防毒不只有阻止惡意程式的功能 •
還會有偵測釣魚網站或是阻擋網路攻擊的效果 • 你不知道該不該裝的話... • 就裝吧︕
None
軟體漏洞?能吃嗎? • 軟體漏洞是指︐軟體設計的過程中有錯誤(Bug) • 並且這個錯誤存在可以利用(Exploit)的方式 • 就可以使軟體發生了預期之外的結果或行為 • 還沒有修補程式的漏洞稱為 Zero-day
(0day)
具體一點? • 駭客電影裡面演的︐敲敲鍵盤就可以入侵就是在利 用軟體漏洞的攻擊 • 拿一個奇怪的小裝置或是手機︐靠近其他人的手機 就可以留下後門來遠端竊聽 • 這些東西大多數是有可能做到的︐但是通常不會有 那麼炫砲的畫面
• 總之︐畫面上跑很多你看不懂的文字︐敲鍵盤很快 都是駭客入侵的過程
上網也會中毒? • 小時候用 Windows XP 跟 IE 6 上網︐打開網頁就會 中毒︖古老的
Android 也有類似漏洞︕ • 瀏覽器內的 JavaScript 引擎有漏洞︐導致 JavaScript 可以執行任何的程式 • Ex: Array.length = 9999999; • Linux 核心的漏洞導致普通使用者可以拿到 root • Ex: dirty COW
上網也會中毒? • 整個故事串起來︓ • 打開一個網頁︐透過 JavaScript 引擎漏洞逃出瀏 覽器的監管 • 利用
Linux 核心 root 你的手機︐植入後門 • → 在不被察覺的狀況就可以監聽你的手機 • 不解鎖 bootloader 的 root 程式就是利用 Android 系統漏洞達成的
打開文件也會中毒? • 都市傳說︓打開的 PDF / Office 文件就會中毒 • 這是真的︕ •
PDF 裡面可以放 JavaScript • → 跟瀏覽器一樣的下場 • Office 文件裡面可以放 VBScript • → 現在預設是不開的
打開文件也會中毒? • 最恐怖的狀況是︓ • PDF 閱讀器、Office 本身在讀取檔案的過程有漏洞 • → 構造特殊的文件來觸發漏洞︐執行惡意程式
NSA軍火外流! • 2016︐一個叫做 Shadow Brokers 的組織在網路上發 布一批來自美國國家安全局(NSA)的攻擊程式 • 披露了很多的 Zero-day
漏洞 • 其中一個最知名的攻擊程式︓《EternalBlue》 • 針對 Windows 的檔案分享協定 SMBv1 進行攻擊︐透 過網路就可以在有漏洞的電腦上執行任何程式
NSA軍火外流! • 《EternalBlue》的可怕之處在於︐可以通殺當時所 有的 Windows 作業系統。(Vista之後的所有版本 都有發布修補程式) • WannaCry 這個勒索軟體就利用了這個漏洞來散播
• 當時影響了很多的電腦
保護自己的方法? • 永遠更新到最新版的軟體 • 包括作業系統、防毒軟體、Office、瀏覽器 • 還有每次升級大家都唉唉叫的 iOS • Windows
10 強迫自動更新很討厭 • 但是其實用是一種混亂善良的方法來保護你 • 大家都怕最新版會出包︐你可以選擇延遲個幾週
未知軟體的風險 • 破解版軟體 • 註冊機、補釘程式常常伴隨著惡意程式 • 奇怪的小程式 • 使用者不多︐如果藏了奇怪的東西不易發現 •
自行下載 APK 檔案安裝 • 例如什麼 a?k.tw 論壇︐上面可以抓到很多破解版、 作弊版的遊戲︐但你不知道裡面可能有追蹤程式
開源軟體的風險(!) • NPM: event-stream • 開放原始碼社群會在 GitHub、BitBucket... 等平台 上分享自己的程式作品 •
不要重新發明輪子︐重複利用它人的智慧 • 駭客利用了開源社群的生態劫持了 event-stream 這個 nodejs 的程式庫︐在裡面加入了偷 BitCoin 的程式碼
使用可信任的軟體 • 不要使用盜版、破解版 • 從市集上下載軟體 • 官方軟體市集上的軟體經過一定程度的審核 • Google Play,
App Store, Windows Store • 使用開源軟體 • 至少原始碼看得到︐大家都可以參與開發與查核
None
手機應用程式權限 • 修圖軟體需要存取你的聯絡人資料和GPS位置︖ • 計算機需要麥克風和照相機︖ • 這不管怎麼看都是在偷資料 • 平常應該要給 Facebook
GPS 的權限嗎︖ • 開著︐然後你就會看到精準廣告推播了
最近很紅的捏臉 App
• 防毒軟體需要... • GPS、打電話、檢查你的照片︖ 防毒軟體...
手機應用程式權限 • 新版的 Android 和 iOS 都有動態的權限管理 • 可以個別調整不同的權限要不要放行 •
要求過多的權限︐代表這個 App 有不好的意圖︐ 乾脆別用了
手機應用程式權限
• EXIF 是圖檔的附加資料 • 相機型號 • 拍攝時間 • … •
GPS 座標︕ • Samsung 相機廣告被發現是用 Nikon 拍的 相機App會紀錄GPS資訊
• 約在 2015 之前︐FB Messenger 預設有 GPS 權限 • 在訊息裡面附加
GPS 資訊 • Chrome 裡面檢查元素就能看到 • 然後就知道了高中同學家住哪裡︕ FB Messenger…
• 很多軟體會有個「附近的人」這樣的功能 • 告訴你跟那個人距離多遠 • 如果你可以偽造手機的位置資訊 • 高中數學問題︓ • 某點
p(x, y) 與三個定點的距離已知︐求 p 的座標 通訊、交友軟體
None
None
政府網站、購物網站 • Google Dork / Google Hacking • insite:edu.tw filetype:xls
姓名 • 多虧了學校資訊化的推動 • 1990 後出生的台灣人︐個資都跟公開資料沒兩樣 • 身分證字號、住址、聯絡電話…
貝殼放大資料外洩事件 • AWS S3 Bucket 沒鎖
T??ZE、露?拍賣詐騙電話 • 都市傳說︓在某網站消費過的人都接過詐騙電話 • 「你訂的書訂了50本」 • 「你買的商品不小心設定成了分期付款」 • 沒有直接證據不能亂講怕被吿
Have I Been Pwned • https://haveibeenpwned.com/
None
避免使用公用 WiFi • 你的通訊資料完全沒有任何保護的在空氣中飛 • 連接到同一個 WiFi 的人可以看到你傳的資料 • 看我如何得到iTaiwan帳號密碼
by DuckLL • 還好現在的 App 跟網站有 SSL/TLS 的保護 (https) • 學校常用的 PEAP 熱點相對安全 • 就怕有豬隊友明文傳輸你的個資...
None
家用 WiFi 設定 • 種花電信預設使用電話號碼當作密碼 • 使用 WPA2 加密標準 •
WEP 強度不夠會被破解 • 連進 WiFi 之後可能會被偷開 VPN
None
外洩會損失慘重就不要存 • 密碼 • 裸照 • 信用卡資料 • 證件照片 •
包含過多個人資料的文件 • 例如 104 的範本履歷
帳號及密碼的原則 • 長度 > 複雜度 • 至少 15 個字 •
一個句子 + Leet • 重要的服務或網站使用獨立的強密碼 • 少用或不會用第二次的服務︐讓瀏覽器產生密碼 • 「我也不知道我的密碼是什麼」 • 使用二階段驗證 (2FA)
None
• 使用具有歷史紀錄功能的雲端來存資料 • 複製一份檔案到D槽不叫備份 • 只複製一份放隨身碟不叫做備份 • NAS vs 外接硬碟
正確的備份資料方法
None
人肉搜索 • 社群網站貼文權限 • 別在家裡設定打卡地點 • 個人資料要填多少︖ • 電話︖Email︖學校︖ •
帳號最好別帶有生日 • 第三人角度看自己帳號︐會不會洩漏太多資訊︖
None
• 這份簡報除了設計、手繪、圖片以外︐文字的內 容均以 CC BY-SA 4.0 授權釋出 • 整份簡報內容以 CC
BY-NC-ND 4.0 授權釋出 • 設計 / 繪圖︓Mo • #opensourcerocks • Contact:
[email protected]