Transcript PowerPoint 프레젠테이션

網路資訊安全與案例探討
鄧達鈞
桃園縣仁和國小教務主任
交通大學教育研究所
教育部「安全上網與資訊倫理」推廣計畫成員
資安新聞案例
韓國-個人資料遭盜
一切都賴給 駭客
揭密者史諾登大逃亡
• 向媒體披露美國
政府的「三稜鏡」
（PRISM）監控
計畫
• 美國政府能夠對
即時通訊和既存
資料進行深度的
監聽，對象包含
美國人
美NSA再爆 駭侵雅虎Google近2億使用者
• 美國國家安全局（ＮＳＡ）前包商雇員史諾
頓披露國安局秘密侵入網路龍頭業者雅虎和
Google全球各地數據中心的重要通訊管道，
可任意蒐集包括美國人在內的近兩億名使用
者帳號資料。
• 稜鏡計畫須先獲法院許可才能從科技公司取
得資料，而此則是從公開網路與Google的「
雲端」伺服器之間攔截用戶資料。
背後意含
• 科技讓執法更容易，人治恐將主宰一切。
• 美國政府以聯邦刑法針對google、yahoo、
微軟等公司依照國家安全為理由調閱各項資
料。
• 蘋果公司共同創辦人佛尼亞克：對於政府利
用新科技監視民眾，他覺得「有點罪惡感」。
• 台灣呢？
台灣近日相關新聞(聯合報)
• 台灣監聽 臉書、Line、電郵全都錄
• 台灣監聽 日本的1,929倍 美國的50.8倍
駭客男大生竄改成績變第1名露餡
過去與現在
• 以往的電腦病毒目的是破壞，彰顯撰寫程
式者的功力高深。
• 後來的電腦病毒(木馬程式等犯罪軟體)，主
要是騙取你的帳號密碼、隱私、電腦控制
權。
• 現在則先以木馬程式盜用的社交軟體(如FB)，
再由「真人或程式」偽裝甲後與其好友借
用手機等認證工具，得手後進行網路消費，
被害者甲的好友被「信任」所害。
電腦犯罪型態改變
傳統：
破壞檔案
詐騙獲利
惡意程式與威脅類型介紹
惡意軟體猖獗
• 利用各式誘餌（盜版程式、遊戲
外掛、影音檔案等）隱藏惡意程
式，在不知情狀況下安裝。
• 使用惡意軟體(側錄程式)竊取密
碼，這些程式潛入電腦後，將資
料送給他人，你卻渾然不知。
威脅類別一
• 傳統電腦病毒(無寬頻)
• 多依附於其他程式中
威脅類別二
• 網路類型病毒：蠕蟲
• 蠕蟲不需依附其他程式
電腦病毒
• 依附程式
• 毀損電腦與資料
• USB病毒、CIH病毒
電腦蠕蟲
• 不需依附程式
• 大規模癱瘓網路
居多
• 分散式阻斷服務
攻擊
• 例如ILOVEYOU、
熊貓燒香等病毒
威脅類別三
犯罪軟體
• 間諜軟體、殭
屍電腦
• 竊取電腦資料
• 作為攻擊跳板
殭屍電腦、肉雞（Zombie computer）
• 利用受感染的電腦發動針對目標進行攻擊
•
很多「殭屍電腦的擁有者」都沒有察覺到自己的系統已經被「殭屍化」，
就彷彿是沒有自主意識的殭屍一般。
殭屍電腦
電腦中毒的徵兆
•
•
•
•
•
•
•
執行速度比平常慢
常常鎖定或不回應
磁碟或磁碟機無法存取（常見如USB）
不斷打開新視窗
不斷的當機或重新啟動
印表機印不出來
畫面顯示不尋常的錯誤訊息
國小教師常見的電腦中毒狀況
• USB病毒：隨身碟打不開
• 防毒軟體一直顯示已中毒，但又無法完全清
除，使用者最後將防毒軟體關閉。
• 使用大陸網站觀看電視劇，安裝觀看軟體時
遭植入惡意軟體。
• Email釣魚信件：帳號被盜用。
• 好友帳號遭盜用：告訴對方yahoo認證密碼、
幫忙買遊戲點數等。
威脅類別四
• 電腦網路詐騙類（社交工程）
媒介
犯罪者
一般使用者
獲利
進行竊取
竊取密碼或認證
竊取個人資料
•
•
•
•
奇摩帳號密碼
遊戲帳號密碼
個資重要檔案
銀行帳號密碼
進行
• 拍賣網購詐騙
• 轉賣遊戲寶物
• 社交工程詐騙
• 財務盜取(晶片卡較難破解)
身分盜用
名詞解釋：何謂社交工程？
• 社交工程（social engineering ）陷阱，通常
是利用大衆的疏於防範的小詭計，讓受害
者掉入陷阱。該技巧通常以 交 談 、 欺 騙 、
假冒或口語用字等方式，從合法用
戶中套取用戶系統的秘密，例如：
帳號、密碼、手機或認證碼等。
社交工程要小心
• 如果你接到這種電話沒有確認對方的身分，就會輕易
的把資料給別人，造成資料外洩，被有心人士利用
請您稍後…
我是陳經理，我
在外面但忘了帳
號密碼能否幫我
查詢？
社交工程陷阱（social engineering）
• 是一種利用人際關係間的互動特性
• 利用偽裝身份的電話、郵件等方式進行密碼
或身份詐欺，取得信任後騙取機密資料。
• 電影「全面啟動」中，主角利用身份詐欺騙
取商業機密。
• 常見案例：
– 盜用facebook帳號後，以訊息告知好友協助
購買遊戲點數，騙取金錢。
– 利用line騙取朋友之yahoo拍賣認證資料。
社交工程技巧極為有效
• 社交工程技巧的成功可歸因於它利用人類
先天具有的情感，例如信任、同理心、同
情心、好奇及心恐懼等。
• 社群網站、軟體推波助瀾：facebook、 twi
tter、MSN、line等讓人與人間緊密連結，
你能確定傳簡訊的對方「真的」是他本人？
或者是駭客假冒？
臉書帳號遭盜用
你知道有多少應用程式正在存取你的FB嗎?
• 心理測驗真神準，按讚全都露?
• 社群網站遊戲好好玩，我要比同學強?
• 購物社團一直加我為會員，我覺得無所謂?
我們真的都是好朋友嗎?
2015/4/13
30
資訊安全
• 心理測驗真神準，按讚全都露?
• 社群網站遊戲好好玩，我要比同學強?
• 購物社團一直加我為會員，我覺得無所謂?
社群緊密關係連結的風險
保護個人資訊安全
也保護好友的資訊安全
2015/4/13
31
釣魚網頁
• 假網頁「釣魚」上勾，詐騙集團輕鬆得手
• 點擊釣魚電子郵件裡的連結，就會在電腦中
安裝軟體，之後就等著用戶登入某個網路銀
行帳號，立刻儲存密碼後，送回駭客手中的
伺服器。
偽裝好友詐騙漫畫示意圖
詐騙遊戲點數
各式的媒介裝置
可能的媒介裝置
• 電腦、手機、伺服器、數位相機、電腦檔案
等數位裝置均有可能。
小心你的手機
手機APP有「後門」
假充電APP 盜手機個資
手機定位 隱私曝光
Google 為何知道即時路況？
另類資訊安全事件
資訊設備損壞、遺失
• 硬碟、隨身碟等儲存設備損壞
• 火災、水災、地震等天然災害
• 電腦、手機遭竊
Splick.it統計
• 12%成年人會在洗澡的時候使用智慧手機
• 75%的人會在盥洗室使用智慧手機。
• 19%的人曾有過手機掉馬桶裡的經歷。
常見防治方法介紹
安裝適當的工具
• 安裝防毒軟體與防火牆
• 缺點：速度會變慢，誤判機率高（不方便）
提高密碼複雜度
設定安全的密碼 1/2
常見第一名密碼是「password」
常見第二名密碼則是「123456」
人類的記憶力，才是密碼的最大弱點
密碼夠長，摻雜大寫字與數字，再加上驚嘆
號，以為一切就沒問題了
• 網路密碼淪陷方式眾多，包括猜測、傾印密
碼、強行破解、以側錄軟體竊取，甚至利用
社交工程，重新設定所有密碼。
• 犧牲「便利」與「隱私」才能保證安全
•
•
•
•
設定安全的密碼 2/2
• 一定長度與複雜的密碼
• 保存在安全的地方（勿寫於鍵盤或告知他人）
• 依照軟體或網站屬性設定兩道密碼（一般密
碼+手機簡訊認證）
• 瀏覽器使用安全加密傳輸
(網址開頭為HTTPS：//等方式)
備份重要資料
• 備份的重要性
– 預防重要資料或設備損壞遺失
– 確保可用性
• 可藉由不同的工具軟體達到備份的目的
– 異地備份
• 燒光碟
• 拷貝到隨身硬碟
• 拷貝到別台主機
• 網路硬碟….
防止電腦病毒及木馬的危害
• 勿隨意安裝不明軟體或外掛程式
• 勿開啟不明附檔或信件
• 下載檔案之前「停」「看」「聽」
• 勿瀏覽不良網站
• 小心他人或公共電腦
• 電腦不用要登出
• 機密資料要保護
安全的下載行為（軟體檔案、信件）
•
•
•
•
勿使用P2P軟體（如抓電影、mp3）
謹慎開啟信件附加檔案（先掃毒）
勿使用外掛、免費（盜版）軟體。
下載檔案之前「停」「看」「聽」。
安全的瀏覽網站
• 檢查網址正確性
www.landbank.com 與 www.1andbank.com
• 重要網站需有加密（https與金鎖）
應用系統要更新
• 駭客經常透過漏洞來入侵電腦，因此要時常
更新作業系統、應用程式及防毒軟體。
預防網路釣魚
•
•
•
•
•
•
不法人士偽造知名網站或是利用標題聳動的電子
郵件作為誘餌，騙取個人或機密資料。
最好不要下載及安裝未經授權軟體
避免下載不想要的軟體
點選連結網站要確認網址以免受騙
可能為詐騙之郵件標題
–「少年pi的奇幻漂流線上觀賞」
–「請確認您的帳戶資訊。」
–「要求更新信用卡資訊」
–「如果您不在48 小時內回應，您的帳戶將會關閉。」
–「親愛的客戶。」
–「請按一下下方的連結，進入您的帳戶。」
facebook
瞭解如何自保
•
•
•
•
•
刪除不必要的應用程式
啟用登入通知
隱私設定，避免標籤
隱私設定，避免他人亂加好友
封鎖/刪除/檢舉
2015/4/13
57
刪除不必要的應用程式
2015/4/13
58
刪除不必要的應用程式
2015/4/13
59
啟用登入通知
2015/4/13
60
隱私設定，避免標籤
2015/4/13
61
隱私設定，避免他人亂加好友
2015/4/13
62
封鎖/刪除/檢舉
• 隱私設定，避免標籤
• 刪除/封鎖，檢舉制度
– Youtube安全中心：http://www.youtube.com/
– Facebook檢舉功能
2015/4/13
63
隨時想一想
• 當我們在網路上隱蔽自己的真實身分時
• 別人也可以包裝個人資料
• 友善的網路社會
– 亦須留意網路特性帶來的風險
2015/4/13
64
資訊組長的重要性
• 網站系統的安全防護
• 老師們的資訊安全概念
– 老師的帳號被盜用，裝設釣魚網站
– 公用電腦容易中毒
– 學生資料外流（P2P軟體）
• 學生的資安基礎觀念
– 政令宣導？案例教學？哪個好？
網站系統的安全防護
• 以學務系統為例
–
–
–
–
–
–
定期更新程式碼
禁止校外電腦IP連線至重要模組與資料庫
謹慎設定群組的權限
移除離職人員的帳號
定期查看記錄檔
備份資料庫與程式檔
禁止校外電腦IP連線範例
• ee /usr/local/etc/apache2/httpd.conf
<Directory /home/www/tycx/modules/x_shepherd>
Order Deny,Allow
Deny from all
Allow from 163.30.102.128/255.255.255.128
</Directory>
備份資料庫與程式檔
• 使用tar搭配crontab定時打包資料庫
1. 如 tar zcvf mysql.tgz /var/lib/mysql
2. #/bin/sh
day=`date +%d`
#for centOS
/etc/rc.d/init.d/mysqld stop
cd /var/lib
tar zcvfp /home/backup/$day-mysql.tgz mysql
/etc/rc.d/init.d/mysqld start
• 也可使用rsync更方便(參考網址)
學生的資安基礎觀念
使用eteacher網站於學生教學說明
•
•
•
•
以新聞或案例切入（引起動機）
描述現況（調查學生有無此經驗）
討論後果（請學生分享）
導入原因及預防方法
以動畫引起學習動機
資安防護學園
• http://cissnet.edu.tw/safely/
全民資安素養網站
• https://isafe.moe.edu.tw/event/
結論
•
•
•
•
•
網路與現實世界一樣，需要隨時提高警覺
瀏覽網路、電子郵件或FB訊息需謹慎小心
謹防社交工程詐騙
使用必要的防護工具，並定期更新
沒有正確的資安觀念就沒有安全的電腦
謝謝你的聆聽
期待我們都是網路好公民
共同建立安全的資訊社會
Q&A
e-mail: [email protected]
2015/4/13
76