odp檔案 - 小麥個人網
Download
Report
Transcript odp檔案 - 小麥個人網
資訊人員面對個資安全
世代之探討
Location: 朝陽科技大學資訊學院
Speaker: 麥毅廷
Date:2012/12/13
Contact Info.: [email protected]
Outline
網路攻擊手法
網管人員資安防護
校園基本資安概念
自我安全防護
本投影片中圖片部分取自網路 2
殭屍病毒猖獗 側錄按鍵竊個資
中央社 -2011 年 11 月 16 日
趨勢科技提醒網路使用者,駭客持續用
「 SpyEye 殭屍網路」發動攻擊,一旦被
植入程式,使用者造訪特定網站時敲擊的
鍵盤會被側錄、竊取個資,目前 97% 受害
者在美國,用戶需小心。
http://tw.news.yahoo.com/ 殭屍病毒猖獗 - 側錄按鍵竊個資 -041118718.html
3
駭客大會示範破解地鐵卡
MIT 學生被告
2008/08/12
美國麻州地方法院在本月 9 日對三名麻省理工學
院( MIT )學生發出禁令,不准此三人公開,如
何利用波士頓地鐵系統的程式漏洞,入侵鐵路
局的收費卡好搭乘霸王車。
這三名學生原本計畫本月 10 日,在今年的拉斯維
加斯駭客大會上,示範如何從波士頓地鐵收費
系統上的設計漏洞,入侵竄改票卡的收費紀錄
,以達到免費搭乘地鐵的駭客任務。
http://www.epochtimes.com/b5/8/8/12/n2225609.htm
4
中共網軍
中國軍方吸收民間頂尖駭客
視其專長編組,依任務別使
用「間諜程式」、「蠕蟲程
式」、「木馬程式」、「釣
魚程式」與「電腦病毒」等
,透過網路入侵各國。受害
者包含德國、美國、英國等
政府官方網站,但中國官方
對外一概否認到底。
http://n.yam.com/tlt/china/200812/20081209393328.html
5
民進黨官網遭駭 ! 五星旗變首頁
民進黨中央黨部的網
站,驚傳遭到中國駭
客入侵 !2008-12-23 日
上午 7 點多,民進黨
官網首頁竟然出現中
國五星旗圖樣
http://www.itis.tw/node/2419
6
攻擊的類型 (Types of Attacks)
監聽 (Eavesdropping)
病毒 (Virus)
掃描 (Scanning)
阻斷服務 (Denial of
Service)
IP 欺騙 (IP Spoofing)
社交工程 (Social
Engineering)
密碼破解 (Password
Cracking)
漏洞 (Vulnerability)
會議劫持 (Hijacking)
惡意軟體 (malicious code,
malware)
http://www.pccenter.com.tw/docent_intro/Teacher_Infor/Teacher_Infor_8.php?id=4
7
攻擊的類型 (Types of Attacks)
http://www.pccenter.com.tw/docent_intro/Teacher_Infor/Teacher_Infor_8.php?id=4
8
惡意軟體 (malicious code, malware)
病毒 (Virus)
電腦病毒的特徵是根據生物
界的病毒而來
通常具備潛伏、繁殖、觸發
、執行等特性,而當病毒進
入執行階段,往往也就開始
竊取或破壞使用者資料,甚
至損毀系統而造成無法開機
郵件炸彈 (Email bombs)
https://www.owasp.org/index.php/Network_Eavesdropping
9
惡意軟體 (malicious code, malware)
蠕蟲 (Worm)
蠕蟲的行為和病毒非常類似
( 會複製 ) ,但是病毒會感染
並依附著「宿主」程式,而
蠕蟲不需要宿主,是個可以
獨立執行的程式
蠕蟲病毒會利用一些媒介大
量的自我複製。例如郵件通
訊錄
https://www.owasp.org/index.php/Network_Eavesdropping
10
惡意軟體 (malicious code, malware)
間諜軟體 (spyware)
在未經使用者同意的情況之
下,藉由網路對使用者進行
廣告,或者會收集使用者的
電腦操作行為或個人資訊,
甚至進而修改電腦設定的程
式。
Cookie
https://www.owasp.org/index.php/Network_Eavesdropping
11
惡意軟體 (malicious code, malware)
特洛伊木馬程式 (Trojan Horses)
有特別的目的
不會感染其他程式,也不會自我
複製
邏輯炸彈 (Logic bombs)
義大利臘腸式詭計 (Salami
Methods)
後門程式 (Backdoor)
資料竄改 (Data diddling)
https://www.owasp.org/index.php/Network_Eavesdropping
12
郵件攻擊
退信攻擊
假冒寄件者假冒寄件者
– 假冒的社群網站邀請信
– 假冒銀行通知
規避過濾技術
– 在關鍵字詞中插入字體小且暗藏的隨機文字
惡意程式附件檔
– HTML 附加檔
– Word 、 Excel 、 PDF 附件檔惡意超連結
偽裝知名網域的連結
– 透過轉址服務網站間接轉址
– 透過知名網站的 CrossSiteScript 漏洞夾帶網址
13
In te rn e t
14
掃描 (Scanning)
Port Scan
OS Fingerprint
Version Detection
https://www.owasp.org/index.php/Network_Eavesdropping
15
監聽 (Eavesdropping)
鍵盤記錄攻擊
(Keylogger attack)
https://www.owasp.org/index.php/Network_Eavesdropping
16
監聽 (Eavesdropping)
封包監聽 (Sniffer)
https://www.owasp.org/index.php/Network_Eavesdropping
17
●● 或 ** 都會
變成明碼了 !!
18
鍵盤駭客入侵網路銀行安全堪虞
陳姓駭客專門在網路
上販賣虛擬銀
行、 ATM 的讀卡機,
然後在驅動程式中加
入自己設計的鍵盤側
錄程式,只要民眾在
網路上使用晶片卡,
條碼就會被完全側錄
。
http://www.cib.gov.tw/news/news01_2.aspx?no=790
19
社交工程 (Social Engineering)
非技術手段,利用人
性弱點
騙術,假冒身分,假
冒情境
比多數侵入式的惡
意軟體攻擊更可怕
的是,社交工程陷
阱攻擊更加難以防
http://blog.trendmicro.com.tw/?p=958&securityterm/ 社交工程的運作原理好奇心是最大的安全
禦
20
漏洞
21
因應 PDF 攻擊的手法,原本對於呼叫不會
有警告的 Foxit Reader ,和 Adobe Reader 在
自動執行其他程式時,都會跳出警告框。
不過正如前面說到,這也能透過社交工程
去動手腳,欺騙使用者。目前看來,唯一
能夠阻止這種手法的防範 之道,只有透
過偏好設定裡的信任管理程式,把允許使
用外部應用程式開啟非 PDF 檔案附件的選
項關掉。
22
可疑檔案上傳分析
利用各家防毒軟毒軟體的掃描引擎,同時對單
一一個檔案,作是否為病毒、木馬檔案的分析
可協助檢測確認檔案本身是否異常。
VirusTotal :免費線上病毒和惡意軟體掃瞄
– http://www.virustotal.com/zh-tw/
VirSCAN.org :線上防毒引擎掃描網站 v1.00 目
前支援 36 款防毒引擎
– http://www.virscan.org/
Online malware scan
23
– http://virusscan.jotti.org/
密碼破解 (Password Cracking)
http://www.wkb.idv.tw/plog/post/1/182
以暴力攻擊 (brute force attack, 如 ssh attack) 法設計的密
碼破解器 Ophcrack 能在 160 秒內破解
『 Fgpyyih804423 』這個密碼
攻擊者可以用 Rainbow Hash Tables 來攻擊密碼透過龐大
的、針對各種可能的字母組合,預先計算好其雜湊值
http://www.itis.tw/node/1023
24
漏洞 (Vulnerability)
緩衝區溢位攻擊
(buffer overflow)
零時差攻擊 (Zero day
attack)
Web 安全威脅 (Web
Threats)
定期修補漏洞
https://www.owasp.org/index.php/Network_Eavesdropping
25
零時差攻擊 (Zero day attack)
根據賽門鐵克第 14 期網路安全威脅研究
在 2008 年分析的所有瀏覽器中, Safari 平
均要在漏洞出現 9 天後才會完成修補,需
時最久; Mozilla Firefox 平均短於 1 天,需
時最短。
http://www.digitimes.com.tw/tw/dt/n/shwnws.asp?
CnlID=10&id=0000142208_RD711B5S1W6I3579
387U8#ixzz1uDiSK4IM
26
Web 安全威脅 (Web Threats)
跨站腳本攻擊 (Cross-Site Scripting, XSS)
– 網路釣魚 (Phishing)
SQL 注入式攻擊 (SQL Injection)
Cracker 為何喜歡攻擊 Web AP ( 廣告商 )
– 防火牆與入侵偵測系統無法阻擋
– Web 程式設計師忙於功能與效能,缺乏資安
素養
– 只要入侵一個知名網站,等於成功入侵數十
27
萬台 PC
網站掛馬測試
URLVoid 為一個惡意掛馬檢查的網站,只要
使用者輸入可能被植入木馬網站的網址,即
可檢測出是否該網站是否被被植入木馬。
它可以幫我們將你輸入的網址丟到 Google
Diagnostic 、 McAfee
SiteAdvisor 、 MyWOT 、 Norton
SafeWeb 、 TrendMicro Web Reputation... 等等 20
種網頁檢測、掃毒服務
http://www.urlvoid.com/
28
29
APT 網路攻擊
網管人員最大的挑戰就是 APT (Advanced
Persistent Threat) :
APT — Advanced Persistent Threat ,一般稱為進階持續性威脅,
是針對特定組織進行複雜且多方位的攻擊。 APT 不似從前
的一般惡意程式攻擊:缺乏嚴格掌控;不限定目標地亂槍打
鳥。 APT 會花費較長的時間規劃、執行:偵查、蒐集資料
;發掘目標的安全漏洞或弱點。
特性
– 鎖定特定目標:針對特定政府或企業,長期間進行有計劃
性、組織性竊取情資行為 , 可能持續幾天,幾週,幾個月
,甚至更長的時間。
30
APT 網路攻擊 (cont.)
– 假冒信件:針對被鎖定對象寄送幾可亂真的社交工程惡意
郵件,如冒充長官的來信 , 取得在電腦植入惡意程式的第
一個機會
– 低調且緩慢:為了進行長期潛伏 , 惡意程式入侵後 , 具有
自我隱藏能力避免被偵測 , 伺機竊取管理者帳號、密碼。
– 客製化惡意元件:攻擊者除了使用現成的惡意程式外亦使
用客制化的惡意元件。
– 安裝遠端控制工具:攻擊者建立一個類似殭屍網路 / 傀儡
網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價
值文件的副本給命令和控制伺服器( C&C Server )審查。
– 傳送情資:將過濾後的敏感機密資料,利用加密方式外
傳
31
APT 攻擊案例 -1
2010 年 1 月 — Google :
在一起名為「極光行動」的事件中, Google 遭受 APT
攻擊。當時一位 Google 員工點了即時通訊訊息中的一
個連結,接著就連上了一個惡意網站,不知不覺下載了
惡意程式,開啟了接下來的一連串 APT 事件。
在此事件中,攻擊者成功滲透
Google 伺服器,竊取部分智慧財
產以及重要人士帳戶資料。
以線上更新軟體之名義 !!
http://tw.trendmicro.com/
32
APT 攻擊案例 -2
•RSA SecurID 竊取攻擊簡介:
-2011 年 3 月, EMC 公司下屬的 RSA 公司遭受入侵,部 SecurID 技術
及客戶資料被竊取。其後果導致很多使用 SecurID 作為認證憑據建立
VPN 網絡的公司受到攻擊,重要資料被竊取。
http://security.chinaitlab.com/hack/863937.html
33
• 攻擊過程回放:
攻擊者給 RSA 的母公司 EMC 的 4 名員工發送了兩組惡意郵
件,附件名為“ 2011 Recruitment plan.xls” ;
其中一位員工將其從垃圾郵件中取出來閱讀,被當時最新的
Adobe Flash 的 0day 漏洞( CVE-2011-0609 )命中;
該員工電腦被植入木馬,開始從 BotNet 的 C&C 服務器下
載指令執行任務;
首批受害的使用者並非“位高權重”人物,緊接著相關
聯的人士包括 IT 與非 IT 等服務器管理員相繼被黑;
RSA 發現開發用服務器( Staging server )遭入侵,攻擊
方立即撤離,加密並壓縮所有資料並以 FTP 傳送至遠程主
機,隨後清除入侵痕跡;
在拿到 SecurID 信息後,攻擊者開始對使用 SecurID 的公司
展開進一步攻擊。
34
好用免費工具列表
1. 檔案完整性檢查: WindMD5 , Tripwire
2. Process 監控: ProcessExplorer , Process
Monitor , KillBox
3. Registry 監控: RegMon
4. 開機監控: Autoruns , Autostart Viewer
5. File 監控: Filemon , FileDate Changer 5. File
監控: Filemon , FileDate Changer
6. Port 監控: TCPView , TDIMon , Fport
35
7. Network 監控: Wireshark( 以前稱
Ethereal), myNetMon , MRTG , NetTools
8.Rootkit 偵測: Icesword, RootkitRevealer,
Gmer
9. Windows Live CD : Kaspersky Rescue CD,
WinPE , BartPE
10. 多合一檢測工具: Hijackthis , SREng ,
AVZ , GetSystemInfo
36
網路技術攻擊如何防護 ?!
定期更新軟體、密碼
安裝防毒、個人防火牆軟體
正確瀏覽網站,不任意下載來路不明
的軟體
確認來信者是您的真朋友 !!
這些資安事件約佔 20~30%
37
非技術攻擊及漏洞才是令人擔心 !!
高達 70%~
38
房仲洩個資 5 千求職者受害
投訴組 / 台北報導 信義房屋總公司驚傳將今年 1 月至今的 5000 比求職者履歷資料
,夾帶在電子郵件中寄出,已寄出 200 多封,求職者的姓名、性別、出生年月日、
連絡電話一覽無遺,有外洩求職者個資之嫌。對此,信義房屋總公司坦承,承辦
人員誤將求職者資料夾帶在電子 郵件中寄出,已立即停止寄發,並予懲處。律師
表示,民眾可依 < 個人資料保護法 > 請求損害賠償。
已寄 200 多封電郵
王先生說,他 7 月初到信義房屋應徵工作 , 8 月 8 號收到信義房屋寄出的未錄
取通知電子郵件,開啟電子郵件夾帶的檔案,內容竟是近 5000 比求職者的個人資
料,其中也包含他的資料,讓他相當震驚,隨即向信義房屋反映,雖然信義房屋
有道歉,他仍無法接受,抱怨「萬一資料外流遭人盜用怎麼辦 ? 」
信義房屋總公司發言人周莊雲坦承疏失,表示是承辦人員疏失,誤將今年 1 月
起求職者的資料夾帶在電子 郵件中寄出,已寄出 200 多封,內部第一時間發現後
,立即停止發送,並緊急聯絡收到夾檔的求職者,請他們刪掉相關檔案,也會懲
處失職人員。
可請求損害賠償
宇國聯合律師事務所律師張智剛表示,依《個人資料保護法》規定,建造資料的
單位若有故意或過失而外洩個資,當事人可請求損害賠償,即使無法證明實際損
失,也可請求 2 萬元以上、 10 萬元以下賠償。
39
軍機外洩凸顯資安管理疏失
日前爆發的漢光演習軍機外洩事件,意外凸顯了常被忽略
在資安防護機制外的資訊安全管理問題。
根據媒體報導,一名國防大學教官違反資安管制規定,將
漢光演習機密資料藉由隨身碟帶回家「辦公」,雖無洩露
目的,但卻因家中電腦遭植入木馬,造成機密資料外洩,
引起高度重視。
雖然國防部立刻出面澄清外洩資料危害不大,但隨身碟卻
是企業員工常見設備,將公司資料帶回家加班,都早已司
空見慣,資安專家便警告,同樣的機密外洩風險也極可能
在企業部發生。
40
南韓個資外洩
•3500 萬人受害 當局指源頭來自中國
•【明報專訊】韓國(南韓)昨 日遭遇歷來最大規模網上襲擊,
該國第 3 大搜尋引擎及最大社交網站懷疑受中國黑客入侵,導
致多達 3500 萬名用戶的個人資料外泄,佔總人口約七成,衝擊
前所 未見。韓國傳媒形容其嚴重程度如同「除了不會使用網絡
的嬰幼兒和老人家,全國人民的個人情報外泄」。韓國通訊監
管機構指襲擊源頭來自中國,中方暫未有回 應。
•韓國通訊監管機關廣播通訊委員會昨發表聲明稱﹕「目前掌握
的證據顯示,源自中國的 IP 非法進入 SK Comms 系統, 3500 萬
客戶資料,包括姓名、登入名稱、電郵、電話號碼、住民登錄
號碼(即身分證)和秘密號碼泄漏。」
41
南韓個資外洩 (cont.)
上網須用身分證登記會籍
SK Comms 證實發生客戶資料外泄事件,總裁朱亨喆就事件道歉,
承諾協助警方調查及改善保安。該公司負責網絡監察的課長昨晨發
現,黑客周二通過惡意程式施 襲,導致客戶資料外泄。雖然仍在
調查黑客入侵規模,但該公司估計,其經營的搜尋引擎 Nate 和博
客社交網站 Cyworld ,合共有 3500 萬個會員的個人 資料外泄。 Nate
與 Cyworld 分別有 3300 萬和 2500 萬會員。兩個網站的服務,跟流動
電話服務商 SK 電訊有緊密關係。
韓國政府為 網絡保安考慮,規定民眾上網做會員時必須以住民登
錄號碼登記,所以原則上一個人只能做一個網站的會員。按此計算
,這次事件受影響人數佔韓國 5051 萬人口 的 69 %,約每三個人就
有兩人出事。而據韓國互聯網振興院數據,去年全韓國滿 3 歲的上
網人口,達 3701 萬人。當局擔心會歹徒利用竊取資料進行挪用銀
行帳 戶資金及詐騙等活動,造成第二波乃至第三波的損失。首爾42
市民金東根道﹕「我的資料全遭外泄,頗為徬徨。」
網購業者個資外洩
○ ○ home 網購個資外洩? 女網友:我被詐騙集團性騷擾!
•2009 年 10 月 22 日 10:01 記者蘇湘雲/台北報導網路購物讓資料外洩?○
○ home 線上購物被多名網友投訴,刷卡消費後卻接到詐騙集團電話威脅
核對銀行資料,甚至有大陸口音男子性騷擾詢問「三圍多少?晚上會不會
寂寞?」網友懷疑購物網站外洩了消費者交易資料,笑說「上○○ home
購物就會免費附送詐騙電話一通。」 Mobile 01 網路論壇從 18 日至 20 日,
出現 140 篇網友討論○ ○ home 線上購物個資外洩問題。多數網友表示
,接到開頭號碼為 +02270 的電話,有大陸人口音要求核對銀行帳戶資料,
還語帶威脅說,如果不核對就會連續收到 12 期的信用卡帳單記錄。另外
,也有網友 workcool 說,接到台灣女子口音電話,把她的○○ home 購物
帳單說的一清二楚,甚至問「三圍多少?住哪裡?有沒有男朋友?晚上會
不會寂寞?」讓人聽得火大。消費者馬小姐說,她在網購買隨身酒壺卻接
到大陸女子口音的詐騙集團電話,懷疑是駭客盜取交易個資,致電
○○ home 客服中心,客服人員向她坦承「最近確實接到很多諸如此類的
反應電話」,不過,客服卻說,網路有加密管理,不會發生外洩問題,
43
反而要她自己上網更改資料並把訂單取出,留言給客服報警處理。
個資文件保管失當 ?!
蘋果日報 2010 年 06 月 20 日姓名電話帳號全都露
•【突發、財經中心╱台北報導】銀行竟將民眾重要個資丟棄在
路邊,真是太離譜!北縣八里鄉西濱快速道路一處路段,前天
被人發現上千張前○ ○信託局開戶申請的文件散落一地,部分
還掉落下方涵洞,單據上除了姓名、電話,還有身分證號及銀
行帳戶等重要個資,《蘋果》依文件資料的電話號碼聯繫到數
名開戶人,一名開戶者驚呼:「若被壞人拿去,後果不堪設
想!」
44
個資文件再利用 ?!
丟棄文件管控失誤○ ○醫院錯將病歷當便條紙 2011-0805
為了避免資源浪費及撙節成本,許多企業都設有廢紙回收箱,回收只有單面列
印的 A4 紙張,做為列印紙或便條紙來用,這種做法雖然符合環保精神,但若
管控不當,很可能造成資料外洩。日前, ○ ○醫院被民眾檢舉,服務台提供
的便條紙背面竟然是另一名病患的就診資料,包括姓名、性別、年齡、體重、
生日、看診日、及相關診斷與檢查結果,雖然○ ○醫院事後清查,只有一張
病歷資料外流,但對醫院形象已經造成嚴重影響。
先就事發原因來看,根據○ ○醫院行政副院長陳○賢的說法,這張洩露病患
隱私的便條紙,很可能是批價單。按照醫院看診流程,電腦列印出批價單之後
,正本交給就診民眾、副本則貼在紙本病歷上保存,不過有時因為電腦問題,
可能會多印或重印,這些多出來的表單就會被當成廢棄文件。
至於廢棄文件的處理也有一定程序。○ ○醫院將廢棄文件分為機密與一般兩
種類別,總務處負責收取各單位廢棄的機密文件,再委託業者銷毀,至於一般
文件則做為影印回收紙或便條紙來使用。這次的意外應該是經手人員分錯類別
,沒有經院內正常程序銷毀,反而流到志工手中當成重複使用的便條。
45
個資外洩案例
○ 新銀 2 萬筆個資外洩受害人每月接詐騙電話警:不知轉賣幾
次
2011 年 12 月 24 日
•警方偵破詐騙集團,從查扣電腦中赫然發現多年前外洩的○新銀行客戶個資,達 2 萬筆。
翻攝畫面【都會、財經中心╱報導】警方月前破獲詐騙集團,查扣電腦中發現約 2 萬筆
○新銀行現金卡個資,數量多到需以身分證英文字母排序!《蘋果》從個資中隨機訪尋
,當事人痛批:「他們(銀行)沒有善盡保護(個資)責任,每個月都接詐騙電話,實
在可惡!」連新北市議員鄭金隆也因辦信用卡而受害。最令警方憂心的是,「歹徒得到
資料後,會不斷轉賣,根本無從得知資料轉賣了多少次?」
•警方 1 個多月前破獲詐騙集團,查扣電腦中赫然發現,有大量○新銀行客戶個資,數量
多達 2 萬筆,檔案夾以 A 、 B 、 C 、 D…… 等區分,並以身分證字號排序,滑鼠點入就
可看到客戶填寫的現金卡申請書,填寫時間約在 2003 至 2005 年間。一名警官透露:
「 A 資料夾檔案,就是身分證 A 開頭,也就是台北市, B 就是台中市,每個資料夾都有
上千筆內容,歹徒就像從銀行電腦裡直接把資料 copy 出來,實在離譜。」
•戶籍存摺全都有
•《蘋果》檢視,外洩個資被轉存影像檔,方便不法集團轉賣牟利,資料詳載客戶姓名、
卡號、身分證、電話及地址,甚至還有健保卡、戶籍、存摺。外流資料包括 Story 晶片
現金卡轉換申請書,還有軍人辦貸款時,提供的軍人身分證或薪資單,也有○新員工訪
46
查貸款者記錄。
個資外洩案例
個資外洩客遭騙十萬北市: ○坤要負責
中廣新聞網– 2012 年 1 月 5 日下午 3:51
網路詐騙案件不斷增加,台北市法規會提醒,最近有兩種詐
騙手法,民眾要小心注意,包括有詐騙集團,以網路購物刷
卡誤設為分期付款方式,要民眾解除 ATM 分期付款設定為由
,進行詐財;另外還有 MSN 即時通訊,假冒好友身份詐騙購
買遊戲點數,北市消保官最近也接獲六位民眾申訴,表示他
們在○坤消費,卻接到相關詐騙電話,甚至還有人因此被騙
十多萬元,提醒曾於燦坤網站刷卡消費的民眾,要小心留意。
( 林麗玉報導 )
47
資料儲存與銷毀
二手硬碟藏個資! 落實銷毀程序以免外洩資料
03/05/2012
買來的二手硬碟,竟然裝著滿滿的個人資料 ?! 日前有民眾向立委
陳情,自市場上採購的中古硬碟,不但沒有格式化,還存放著某家
銀行與客戶往來的業務資料,銀行局表示已著手調查中。
接獲民眾陳情的立法委員黃偉哲辦公室指出,這些內含民眾個資的
相關報表可從硬碟直接存取,提供硬碟的陳情民眾表示沒有透過還
原軟體還原。至於是哪一家銀行外洩?從報表資料可看出是來自某
銀行的某一個分行,其實陳情民眾陸續提供了五、六顆二手硬碟中
,每一顆都有類似狀況,由此來看,外洩個資的應不只一家銀行。
另有未經證實的消息指出,這些資料原始來源是銀行,但硬碟本身
是來自民間某債務整合業者。
48
入侵盜個資案例
補習業者涉僱駭客 竊 80 校個資
自由時報 2008/06/26
高雄檢方偵辦國中基測個資外洩案,發現剛
高中畢業的楊同學,受雇於補習業者,扮駭
客高手,侵入至少八十所國中小學網站,竊
取十多萬筆學生資料。
學校網站設計有缺陷,幫駭客開了另一扇門
。
http://www.twtimes.com.tw/html/modules/news/article.php?storyid=10505
49
49
低齡化 - 網童破 160 萬
聯合晚報 2009/03/18
學者公布『兒童網路安全趨勢報告』,指出國內網路
使用低齡化,國內 12 歲以下兒童上網人數 6 年來成
長 54 %,突破 160 萬人。
四成兒童不會管理上網時間。
五成會相信網友的身份描述。
兩成五的兒童會在網路上洩漏個人資料。
此外,有兩成五的兒童對數位智財權瞭解不足。
http://eteacher.edu.tw/ReadFocus.aspx?PostID=75
50
個資法
個人資料保護法
–
–
–
–
2010 年 4 月 27 日通過
根據中央法規標準法總統公布後 3 日後實施
陳院長認為有窒礙難行處退回
2012 年 5 月 ~6 月暫時不會實施
51
個資法部分條文
第 1 條 為規範個人資料之蒐集、處理及利用,以避免
人格權受侵害,並促進個人資料之合理利用,特制定本
法。
– 個人資料檔案:指依系統建立而得以自動化機器或其他
非自動化方式檢索、整理之個人資料之集合。
– 蒐集:指以任何方式取得個人資料。
– 處理:指為建立或利用個人資料檔案所為資料之記錄、輸
入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結
或內部傳送。
– 利用:指將蒐集之個人資料為處理以外之使用。
52
個資法部分條文 (cont.)
第 2 條 個資:一般資料、特種資料
– 一般資料 : 生存自然人、姓名、出生年月日、身分證、統
編、護照、特徵、指紋、婚姻、二等親內之血親或姻親、
家庭、教育、職業、病歷、聯絡方式、財務、社會活動
– 特種資料 :醫療 : 記錄醫療的相關資料、基因、性生活 :
Sexual orientation 、健檢、前科
第 5 條 個人資料之蒐集、處理或利用,應尊重
當事人之權益,依誠實及信用方法為之,不得
逾越特定目的之必要範圍,並應與蒐集之目的
具有正當合理之關聯。
53
個資法部分條文 (cont.)
公務機關或非公務機關應維護個人資料之正確,並應主
動或依當事人之請求更正或補充之。 ( 第 11 條 )
公務機關或非公務機關違反本法規定,致個人資料被竊
取、洩漏、竄改或其他侵害者,應查明後以適當方式通
知當事人。 ( 第 12 條 )
公務機關保有個人資料檔案者,應指定專人辦理安全維
護事項,防止個人資料被竊取、竄改、毀損、滅失或洩
漏。 ( 第 18 條 )
公務機關保有個人資料檔案者,應採行適當之安全措
施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
( 第 27 條 )
54
55
56
儲 存 媒 體
通 訊 傳 輸
列 印 設 備
隨 身 碟 /外 接 式 軟 硬 碟 機
硬 體 串 接 /
光 碟 燒 錄 器 /讀 卡 機 -記 憶
卡
W in d o w s / 3 . 5 G
B lu e t o o t h / R C A
轉 換 器 /數 據 機
印 表 機
內 部 網 路
網 路 芳 鄰
外 部 網 路
行 動 設 備
S m a rt P h o n e
筆 記 型 電 腦
F T P 軟 體 / M a il
W e b M a il /IM 軟 體
機 敏 資 料
研 發 機 密 /韌 體 脈 衝
版 權 機 密 /客 戶 資 料
財 政 資 料 /精 密 計 畫
由 內 而 外 的 資 料 外 洩 管 道
57
電腦帳號資料拷貝器
網路新聞 2008~
新的儲存設備安插在鍵盤和 PC 連接線的尾端 , 專
門用於保存鍵入的內容。大部分被用在網咖、
展覽館、酒店、機場,因此,在這些地方上網
並輸入銀行帳號或其它重要資訊的人要特別注
意。在你輸入銀行帳號並離開 PC 後,你的帳號
可被輕易地再次打開並且你所有鍵入的資訊已
經被保存在背後的裝置中。
http://examine.nownews.com/examine_detail.php?pageno=0&eid=4448
58
因此,當你在公眾場合 通
過網路處理重要資訊之前
,請檢查 PC 背後的
任何可疑裝置。
59
小心遭人從背後竊取資料
60
資訊安全的基本概念 (Information
Security Concept)
61
資訊安全三要素
機密性 (Confidentiality)
完整性 (Integrity)
可用性 (Availability)
C.I.A.
62
機密性 (Confidentiality)
確保資訊不可被未授
權的個人、實體或流
程所取得的特性。
如學生資料的就屬於
有機密性
63
完整性 (Integrity)
將資訊資產依風險等
級分類,並提供適當
的保護以確保資訊資
產的完整性。
如學生資料、學籍資
料就必須有足夠的完
整性,不可輕易被更
改
64
可用性 (Availability)
確保被授權的個體要
求時可取得並使用的
特性。
當被授權承辦人員必
須可有足夠權限去使
用
65
資訊資產 (Asset)
電子化資訊
軟體
硬體
技術服務
書面文件
人員
http://www.pvbtconsulting.com/Chinese/publish.htm
66
安全是一種程序而非產品
防毒軟體
Basic but Intruder?
防火牆
Avoid inside attack?
入侵偵測
Exception?
漏洞掃描
Update and repair?
策略管理
People
存取控制
Something you know
智慧卡
Something you have
生物特徵
Something you are
加密
Easy to use?
實體安全機制
People
67
資訊安全的弱點
弱點是導致威脅發生的
原因,不會直接導致資
訊資產的損害。
常見的弱點如下 :
未受訓練或具備安全認
知的人員
錯誤的選擇及使用密碼
缺乏存取控制、資料沒
有備份 ...
http://www.pvbtconsulting.com/Chinese/publish.htm
68
資訊安全最弱的一環是什麼 ?
如果你有美金一百萬元,
你會如何破解最高等級的安全系統
69
資訊安全資訊外洩
根據美國 CSI 的調查數據顯示,公司機密
資料外洩的狀況有 70% 是由內部合法使用
者所造成。
而 ICM 的研究報告亦指出,有 39% 的員工
曾將客戶資料寄出, 52% 曾在離職時帶走
工作資料, 86% 坦承習慣性將郵件轉寄他
人,因此「合法使用者」才是真正危害
公司安全的最大因素。
70
學校單位為第二大攻擊目標
賽門鐵克第 11 期全球網路安全威脅研究報告指出
駭客針對特定目標進行攻擊從中獲利,其中大受其
害的產業包括:
政府機構 (25%)
教育 (20%)
醫療 (14%)
金融 (9%)
保險 (6%) 等
edu.tw 網域中還包含了中小學,因預算和人力都有限,
校園網站設計老舊,並注重功能導向,不重視資通安
全,最容易被駭。
若學校管理單位對資安沒有足夠的認知,很可能成為
71
駭客用來犯罪的工具。
文件的
管理
文件的控管
72
個資法國際發展趨勢
資策會 http://gcis.nat.gov.tw/ec/knowledge/notes/
73
個人資料保護法現行法
與修正草案對照表
項目
現行法
修正草案
擴大保護客體
限經電腦處理之個人 任何形式之個人資料
資料
強化行政監督
無規範
妥適調整罰則
( 刑罰規定 )
僅處罰意圖營利侵害 違反規定雖未意圖營
個資隱私權益者, 刑 利,刑期最高 2 年以
期最高 2 年以下
下
若意圖營利者則加重
74
其刑最高 5 年以下
中央目的事業主管機
關或直轄市、 縣
( 市 ) 政府, 發現違
反本規定時, 得派員
進入檢查 , 並採取必
要處份
項目
現行法
修正草案
妥適調整罰則
( 民事損害賠償 )
每人每一事件 2 萬元
以上, 10 萬元以下
同一原因事實最高
2,000 萬元
每人每一事件 5,000
元以上, 10 萬元以
下
同一原因事實最高
5,000 萬元 ( 待定 )
妥適調整罰則
( 機關代表人同受罰
則)
無規範
單位代表人與管理人
未盡防止義務,應受
同一罰鍰之處罰
另 於修正條文第四十
九條規定之
妥適調整罰則
無規範
( 主動通知安全責任 )
當個資被竊取、 洩漏
、 竄改、 或侵害時,
若隱匿不通知當事人
者, 除限期改正外,
按次罰以 2 萬元以上
, 20 萬元以下 75
資安責任
資安問題只需交給資訊部門或資訊人員解
決,這是錯誤的觀念。
個資洩漏時,管理相關單位必須能證明已
盡力防止義務外,但仍可能因管理或保護
不當而造成個資外洩,將可能需負擔民、
刑事責任,並必須賠償受害者。
依個資法, 1 案 2 萬元,整體事件上限 2 億
元 ( 舉證之所在、敗訴之所在 !!)
76
教育單位三不政策 ?!
學校長官 – 不知道如何符合個資法
各級主管 – 不清楚何謂良善責任
資訊組長 – 請不要再煩我 !!
77
Ex.1 網路芳鄰
78
Ex.2 個人資料
在公用電腦上操作任
何文件,請記得帶
什麼來,要帶什麼
走 !!
以免個資外洩
但請小心 usb 病毒 !!
79
Ex.3 個人 mail 外漏
80
資訊人員自我資安防護
PCRD
– Plan ( 計畫與規定 )
– Cooperation ( 合作廠商 )
– Record ( 記錄 )
– Destruction ( 銷毀 )
81
Plan ( 計畫與規定 )
公文簽辦
訂定資安程序
資料收集聲明
機密個資使用及來源
資料分級
教育訓練
82
Cooperation ( 合作廠商 )
委外技術支援
– 提供資安設備建議、技術維謢
委外責任分擔
– 技術控管、設備更新
83
Record ( 記錄 )
各項系統記錄
活動、文件記錄
資料庫存取記錄
各項資安事件向上報告
資料備份
多方面資料、資訊收集留存
硬體儲存保護設備 ( 保險箱、上鎖櫃 )
84
Destruction ( 銷毀 )
硬體替換時之資料刪除
儲存設備之實體銷毀
85
大人,請原諒我們小小的資訊人員
86
自我安全防護
資訊保護全體動員 . 資訊安全人人有責
87
電子資料加密
◎ 基本防護 ( 密碼強度要夠 )
◎ 利用加密工具
◎OFFICE(WORD 及 EXCEL 加密 )
◎WINRAR
◎ 有些轉檔 (WDL 或 PDF) 時可以加密
◎ 備份的存放位置要上鎖
取自交通部教育訓練教材
88
電子資料加密 _WORD
△ 儲存工具一般選項
△ 版本不同所以加密的位置可能會不同
取自交通部教育訓練教材
89
電子資料加密 _EXCEL
△ 儲存工具一般選項
△ 版本不同所以加密的位置可能會不同
取自交通部教育訓練教材
90
電子資料加密 _WINRAR
取自交通部教育訓練教材
91
電子資料加密 _ 轉 WDL
取自交通部教育訓練教材
92
電子資料加密 _ 轉 PDF
取自交通部教育訓練教材
93
防毒軟體安裝
◎ 基本的防護
◎ 確定有運作正常
◎ 確認版本及病毒碼的更新
◎ 注意相關訊息
◎ 即時反應
取自交通部教育訓練教材
94
防火牆開啟
◎ 基本防護 ( 可利用 WINDOWS XP
以
上版本或免費防火牆軟體 )
◎ 防火牆有硬體及軟體
◎ 防毒軟體不一定等於防火牆
◎ 確定有開啟
◎ 設定正確
取自交通部教育訓練教材
95
取消檔案分享
取自交通部教育訓練教材
96
開機帳號及密碼
◎ 基本防護 ( 密碼強度要夠 )
◎BIOS 開機密碼
◎ 作業系統開機密碼
取自交通部教育訓練教材
97
微軟安全情報報告
微軟安全情報報告
( Microsoft Security
Intelligence Report )
軟體弱點逐漸減少,但更
容易被利用。
木馬程式仍是最大的威脅
。
中國的電腦感染瀏覽器惡
意軟體的比率最高。
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=b2984562-47a2-48ff-890c-edbeb8a0764c
98
資訊安全新知
資安之眼
大砲開講
資通安全會報
99
防毒軟體 (AntiVirus Software)
免費還是授權?
AntiVir
http://www.avira.com/zh-tw/
Avast
http://www.avast.com
病毒碼更新
100
個人防火牆 (Personal Firewall)
免費還是授權?
內建防火牆
port, TCP, UDP
AP base
101
安全的密碼 (Robust Password)
定期更新
密碼強度
利用特殊符號
避免使用簡單且字典查
得到的單字或學校名稱
縮寫
避免重複使用已使用
過的密碼
102
螢幕保護程式 (Screen Saver)
設定電腦不使用後幾
分鐘啟動螢幕保護程
式
需輸入密碼解除螢幕
保護程式
103
作業系統更新 (OS Update)
Windows Update
設定自動更新
避免弱點攻擊
104
結論
定期更新軟體、密碼
安裝防毒軟體、防火牆
正確瀏覽網站,不任意下載來路不明的
軟體
資訊安全,不僅是資訊技術,良好的習
慣是現代必須的資安素養 !!
105