wireless communications and networks 講義 · 98/6/3 3 中共網軍 ...

網路使用安全

–Location: 國立暨南國際大學

–Speaker: 麥毅廷

–Date:2009/06/04–Contact Info.: [email protected]

2

Outline

資訊安全案例

資訊安全基本概念

攻擊的類型

自我安全防護

98/6/3 3

中共網軍

http://n.yam.com/tlt/china/200812/20081209393328.html

中國軍方吸收民間頂尖駭客視其專長編組，依任務別使用「間諜程式」、「蠕蟲程式」、「木馬程式」、「釣魚程式」與「電腦病毒」等，透過網路入侵各國。受害者包含德國、美國、英國等政府官方網站，但中國官方對外一概否認到底。

98/6/3 4

民進黨官網遭駭 ! 五星旗變首頁

http://www.itis.tw/node/2419

民進黨中央黨部的網站，驚傳遭到中國駭客入侵 !2008-12-23 日上午 7 點多，民進黨官網首頁竟然出現中國五星旗圖樣

98/6/3 5

彩虹橋程式窺女子房內舉止

http://tw.news.yahoo.com/article/url/d/a/081201/78/1ad71.html

新竹縣的曾姓大學生，坦承於 97 年 4 月 10 日自不詳來源取得「彩虹橋木馬程式」，藉由不詳影片散佈在網路上各大論壇，供人下載藉機植入他人電腦，因陳女的電腦中此木馬程式，訊號即傳回曾某電腦系統。

98/6/3 6

鍵盤駭客入侵網路銀行安全堪虞

http://www.cib.gov.tw/news/news01_2.aspx?no=790

陳姓駭客專門在網路上販賣虛擬銀行、ATM 的讀卡機，然後在驅動程式中加入自己設計的鍵盤側錄程式，只要民眾在網路上使用晶片卡，條碼就會被完全側錄。

98/6/3 7

資訊安全的基本概念(Information Security Concept)

98/6/3 8

資訊安全三要素

機密性(Confidentiality)完整性 (Integrity)可用性

(Availability)C.I.A.

98/6/3 9

機密性 (Confidentiality)

確保資訊不可被未授權的個人、實體或流程所取得的特性。

如學生資料的就屬於有機密性

98/6/3 10

完整性 (Integrity)

將資訊資產依風險等級分類，並提供適當的保護以確保資訊資產的完整性。

如學生資料、學籍資料就必須有足夠的完整性，不可輕易被更改

98/6/3 11

可用性 (Availability)

確保被授權的個體要求時可取得並使用的特性。

當被授權承辦人員必須可有足夠權限去使用

98/6/3 12

資訊資產 (Asset)

http://www.pvbtconsulting.com/Chinese/publish.htm

電子化資訊

軟體

硬體

技術服務

書面文件

人員

98/6/3 13

安全是一種程序而非產品

防毒軟體

–Basic but Intruder?防火牆

–Avoid inside attack?入侵偵測

–Exception?漏洞掃描

–Update and repair?策略管理

–People

存取控制

–Something you know智慧卡

–Something you have生物特徵

–Something you are加密

–Easy to use?實體安全機制

–People

98/6/3 14

資訊安全的弱點


弱點是導致威脅發生的原因，不會直接導致資訊資產的損害。

常見的弱點如下 :–未受訓練或具備安全認知的人員

–錯誤的選擇及使用密碼

–缺乏存取控制、資料沒有備份 ...

98/6/3 15

資訊安全最弱的一環是什麼 ?

如果你有美金一百萬元，你會如何破解最高等級的安全系統

98/6/3 16

Ex.1 網路芳鄰

98/6/3 17

Ex.2 個人資料

在公用電腦上操作任何文件，請記得帶什麼來，要帶什麼走 !!

以免個資外洩

98/6/3 18

Ex.3 個人 mail 外漏

98/6/3 19

資訊安全的威脅


威脅是直接導致資訊資產受到損害的人、事、物。

常見的威脅如下 :–人員操作錯誤、惡意破壞資訊及設備

–病毒感染、駭客入侵

–社交工程

98/6/3 20

攻擊的類型 (Types of Attacks)

http://www.pccenter.com.tw/docent_intro/Teacher_Infor/Teacher_Infor_8.php?id=4

98/6/3 21

攻擊的類型 (Types of Attacks)

http://www.pccenter.com.tw/docent_intro/Teacher_Infor/Teacher_Infor_8.php?id=4

監聽 (Eavesdropping)掃描 (Scanning)社交工程 (Social

Engineering)密碼破解 (Password

Cracking)漏洞 (Vulnerability)惡意軟體 (malicious

code, malware)

病毒 (Virus)阻斷服務 (Denial of

Service)IP欺騙 (IP Spoofing)會議劫持 (Hijacking)

98/6/3 22

監聽 (Eavesdropping)

https://www.owasp.org/index.php/Network_Eavesdropping

鍵盤記錄攻擊(Keylogger attack)

98/6/3 23

監聽 (Eavesdropping)


●封包監聽 (Sniffer)

98/6/3 24

掃描 (Scanning)


Port ScanOS FingerprintVersion Detection

98/6/3 25

社交工程 (Social Engineering)


非技術手段，利用人性弱點

騙術，假冒身分，假冒情境

98/6/3 26

密碼破解 (Password Cracking)

http://www.itis.tw/node/1023

以暴力攻擊 (brute force attack)法設計的密碼破解器 Ophcrack能在 160秒內破解『 Fgpyyih804423』這個密碼

攻擊者可以用 Rainbow Hash Tables 來攻擊密碼透過龐大的、針對各種可能的字母組合，預先計算好其雜湊值

98/6/3 27

漏洞 (Vulnerability)


緩衝區溢位攻擊(buffer overflow)零時差攻擊 (Zero

day attack)Web 安全威脅

(Web Threats)定期修補漏洞

98/6/3 28

Web 安全威脅 (Web Threats)

跨站腳本攻擊 (Cross-Site Scripting, XSS)–網路釣魚 (Phishing)

SQL注入式攻擊 (SQL Injection)Cracker為何喜歡攻擊 Web AP

–防火牆與入侵偵測系統無法阻擋

–Web 程式設計師忙於功能與效能，缺乏資安素養

–只要入侵一個知名網站，等於成功入侵數十萬台 PC

98/6/3 29

惡意軟體 (malicious code, malware)


特洛伊木馬程式 (Trojan Horses)–有特別的目的

–不會感染其他程式，也不會自我複製

邏輯炸彈 (Logic bombs)義大利臘腸式詭計 (Salami

Methods)後門程式 (Backdoor)資料竄改 (Data diddling)

98/6/3 30



間諜軟體(spyware)–在未經使用者同意的情況之下，藉由網路對使用者進行廣告，或者會收集使用者的電腦操作行為或個人資訊，甚至進而修改電腦設定的程式。

–Cookie

98/6/3 31



蠕蟲 (Worm)–蠕蟲的行為和病毒非常類似 ( 會複製 ) ，但是病毒會感染並依附著「宿主」程式，而蠕蟲不需要宿主，是個可以獨立執行的程式

–蠕蟲病毒會利用一些媒介大量的自我複製。例如郵件通訊錄

98/6/3 32



病毒 (Virus)–電腦病毒的特徵是根據生物界的病毒而來

–通常具備潛伏、繁殖、觸發、執行等特性，而當病毒進入執行階段，往往也就開始竊取或破壞使用者資料，甚至損毀系統而造成無法開機

郵件炸彈 (Email bombs)

98/6/3 33

自我安全防護

資訊保護全體動員 .資訊安全人人有責

98/6/3 34

微軟安全情報報告

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=b2984562-47a2-48ff-890c-edbeb8a0764c

微軟安全情報報告（Microsoft Security Intelligence Report）軟體弱點逐漸減少，但

更容易被利用。

木馬程式仍是最大的威脅。

中國的電腦感染瀏覽器惡意軟體的比率最高。

98/6/3 35

資訊安全新知

資安之眼

大砲開講

資通安全會報

http://www.itis.tw/

http://rogerspeaking.com/

http://www.icst.org.tw/

98/6/3 36

防毒軟體 (AntiVirus Software)

免費還是授權？

– AntiVir– http://freesf.tnc.edu.tw/

antivir/

– Avast– http://www.avast.com/index_

cnt.html

病毒碼更新

–

98/6/3 37

個人防火牆 (Personal Firewall)

免費還是授權？

內建防火牆

port, TCP, UDPAP base

98/6/3 38

安全的密碼 (Robust Password)

定期更新

密碼強度

–利用特殊符號

–避免使用簡單且字典查得到的單字或學校名稱縮寫

避免重複使用已使用過的密碼

98/6/3 39

螢幕保護程式 (Screen Saver)

設定電腦不使用後幾分鐘啟動螢幕保護程式

需輸入密碼解除螢幕保護程式

06/03/09 40

作業系統更新 (OS Update)

Windows Update設定自動更新

避免弱點攻擊

41

結論

定期更新軟體、密碼

安裝防毒軟體、防火牆

正確瀏覽網站，不任意下載來路不明的軟體

資訊安全，不僅是資訊技術 !!

wireless communications and networks 講義 · 98/6/3 3 中共網軍 ...

Documents