1. 資訊安全入門
五聯國際企業股份有限公司
工程師 諶沛傑
CISSP, CEH
tyler@wulian.com.tw
Last Updated: 2010/7/30

2. 今天的大綱
1. 惡意程式 Malware
2. 常見的攻擊手法
3. 伺服器常見的威脅
4. 保護個人隱私
5. 無線網路安全
6. 實體環境安全
2

3. 惡意程式 Malware

4. 什麼叫做Malware？
任何會違背安全政策的程式。
病毒、後門、廣告軟體、間諜軟體、木
馬….
4

5. 我是目標嗎？
YES!!
每個公司或組織都有機會成為目標
任何連結上網的設備都有機會是目標
5

6. 惡意程式有多危險
偷取帳號密碼，偷取機密文件，破壞資
料，可以做出近乎任何事...
通常都很難解除安裝
可以一直潛伏，直到特定時間或事件觸
發…
6

7. 惡意程式甚至已經商業化販售…
7

8. 常見的惡意程式的分類
 木馬  RootKit
 病毒  鍵盤記錄器
 間諜軟體  自動撥號程式
 廣告軟體
 蠕蟲
 後門軟體
 疆屍網路
8

9. 特洛伊木馬 Trojan Horse
 通常隱藏於看似良
好的程式之中，執
行惡意的程式碼。
 例如網路傳送的小
遊戲, 線上遊戲的外
掛程式等。
 所能夠造成的惡意
舉動端看惡意程式
碼作者而定，很有
想像空間。
9

10. 10

11. 11

12. 電腦病毒 Computer Virus
 病毒常常為一串很小的程式碼。
 通常具備將本身程式碼插入其他程
式的能力，因此造成所謂的感染現
象。
 病毒的行為通常具備明顯破壞性，
例如格式化硬碟或是刪除重要檔案
等。
 基本上病毒能夠做的事情也端視作
者所想達到的目的而定。
 常見的散佈管道：USB隨身碟, E-
mail, Web, Office文件, 網路小遊
戲…
12

13. 病毒常透過網路自行複製感染
13

14. MSN常常會看到這個吧!
14

15. 蠕蟲 Worm
蠕蟲為大量透過網路所散佈的程式。
跟病毒一樣具備破壞性，差異在於會大量
透過網路散佈，因此容易造成組織內網路
癱瘓。
散佈管道：USB隨身碟, E-mail, OS漏洞,
網路伺服器漏洞…等
15

16. 間諜軟體 Spyware
間諜軟體會透過網路，將使用者的資訊偷
偷的回報給程式作者。
通常並不會進行破壞的動作，主要目的為
收集資訊(包含個人隱私)。
收集帳號密碼(keystroke), 收集信用卡資
料…等。
瀏覽器的Cookie也可當作收集用戶資訊的
管道。
16

17. GAIN Gator – 看來正常的間諜軟體
17

18. 3721網路實名 – 宣稱能加速網路
18

19. 間諜軟體常用的藉口
加速上網速度
快速搜尋資料
更方便上網瀏覽
增加點閱率
快速賺錢
第一手消息
19

20. 後門軟體 Backdoor
後門為一種不需要認證即可進行控制的概
念。
程式設計者有時會刻意留置後門於軟體內
方便除錯(例如God Mode)。
現在常見獨立撰寫的後門軟體，攻擊者想
辦法散佈安裝於其他系統內，進而控制該
系統。
20

21. 反向連結 Reverse Connection
為了規避防火牆的規則，目前多數後門軟
體會採用反向連結手法，將控制管道藏匿
於對外連結的連線內。
例如利用HTTP建立通訊管道，讓遠端使用
者可以秘密地潛入主機中做任何事情。
利用後門進入的攻擊者，可控制跳板，藉
以讓駭客攻擊其他的目標。
21

22. 反向連結示意圖
1. client上網站, 不阻擋
2. 網站回傳資料, 不阻擋
3. 攻擊者利用
既有通訊傳送
指令
22

23. 採用反向連結的程式(不一定為惡意軟體)
Team Viewer (遠端遙控/會議)
WebEx (遠端遙控/會議)
Netcat (NC)
SSH Tunneling
SoftEther (遠端分享)
23

24. 阻擋反向連結
採用IPS進行特徵值字串比對。
建置Proxy伺服器，控管上網HTTP行為(不
明之HTTP行為則不予放行)。
替所有內部主機安裝監測軟體，控管特定
軟體的網路行為。
24

25. 後門軟體: NetBus
25

26. 後門軟體: Back Orifice
26

27. 廣告軟體 Ad-ware
不停的放送廣告，強迫使用者接受。
例如綁架首頁，或是讓瀏覽器不定時跳出
小視窗。
主要的散佈途徑為安裝免費程式，其中夾
帶著廣告軟體，雖於安裝過程中會提示但
是使用者也按了接受。
但是也能利用各類型的漏洞強迫安裝，例
如惡意的JavaApplet/JavaScript或ActiveX。
27

28. 知名的廣告軟體(或者內含廣告的軟體)
 Kazaa  Yahoo! Messenger
 Gator  FlashGet
 AOL Instant Messenger  Windows Live Messenger
 Ask.com Toolbar  Foxit PDF Reader
 Bonzi Buddy More…
 DivX
 VirusProtect Pro
28

29. Java Applet & Active X & Java Script
Java為物件導向之程式語言，可以跨平台
運作。透過網路所傳送的Java小程式，稱
做Java Applet。
ActiveX (Active Control)為微軟所推出的語
言，能夠於網路環境下執行豐富的運用。
Java Script是用於WEB網站的一種簡單的
語言，能夠讓網站充滿更多豐富的功能。
以上三種語言皆能夠用於惡意用途，特別
是Java Script。
29

30. 垃圾郵件 Spam Mail
只要是你沒有主動要求過的資料，都叫做
垃圾信。
垃圾信件不見得是以單純文字為主，現在
甚至演變成以圖片顯示文字，藉以規避郵
件過濾條件。
惡意程式碼也都愛透過廣告信隨機散佈。
觀看郵件請關閉預覽功能，觀察信件主旨
跟寄件者，發現大概是廣告信請立即刪除。
30

31. Rootkit
此名詞來自Unix (Root Kit)
通常能夠將指令以及足跡完全遮蓋。
換句話說就是想辦法讓你抓不到有人在幫
你管理你的系統！
難以偵測，難以移除，通常下場都是格式
化磁碟機後重新安裝作業系統。
2005 Sony BMG CD防拷程式採用rootkit技術
31

32. 常見的攻擊手法

33. 誰會攻擊我？
Hacker:
原意為熱衷於電腦之高度專業人士，現在
多被當作惡意攻擊者。
Cracker:
專門破壞或入侵別人的電腦。
Black Hat:
同Cracker，主要為攻擊。
White Hat:
專主防禦技術的專業人士，主要為防守。
33

34. 他們如何辦到？
1. 首先撰寫惡意程式。
2. 進行散佈…
3. 等待使用者中獎！
4. 發揮程式所設計之目的(破壞，盜資訊)
34

35. 常見的散佈管道
1. E-Mail
2. Web Site
3. P2P
4. IM (MSN, Skype…)
5. 網路芳鄰
6. USB隨身碟
35

36. E-mail
Spam
Phishing
Worm/Virus generated mail
利用漏洞
36

37. E-mail的問題
協定很方便，也很鬆散，無法有效限制信
件來源。
豐富的應用內容也成為攻擊者最常利用的
部分，例如瀏覽器的預覽，自動下載等。
現在已經成為惡意軟體散佈的主要管道。
對應措施：不預覽，不開啟有疑慮的郵件
37

38. 關閉預覽 – Outlook Express
取消此核取方塊
38

39. 以純文字模式讀取郵件 - OE
39

40. 防止中間人讀取: 加密E-mail
加密e-mail可以確保只有寄信方跟讀信方可
以讀取信件，中間的駭客擷取到的信件內
容則是無法讀取。
E-mail的協定(SMTP, POP3)本身於設計時
無加密的功能。
現在可使用S/MIME或是PGP工具進行數位
簽章以及加密。
S/MIME: 使用一般的個人憑證機制。
PGP: 使用信任圈憑證機制。
40

41. Phishing:網路釣魚
 簡言之：騙術
 例如假造一封來自某某公司的信件，邀請使用者
更改帳號密碼，事實上郵件內的連結是導去惡意
網站。
 惡意網站看起來會跟原始網站非常類似，輸入帳
號密碼後會將頁面重新導入至原始網站，因此難
以察覺。
 CitiBank, eBay, PayPal, 土地銀行事件…
 防制方法：點選email內的超連結時需格外小心其
中的網址格式是否為正確，養成自己新開一個視
窗，並從書籤中連結至網站的習慣。
41

42. 真實誘騙網址舉例
偽裝目標 真實網址 假網址
無名小站 www.wretch.cc www.wretcn.cc
匯豐銀行 www.hsbc.com www.hkhsbc.com
遊戲橘子 www.gamania.com www.gamannia.com
www.lcbc.com.cn
中國工商銀行 www.icbc.com.cn
www.icbc.org.cn
PayPal www.paypal.com www.paypa1.com
美國白宮 whitehouse.gov whitehouse.com
Google www.google.com www.googkle.com
土地銀行 www.landbank.com.tw www.1andbank.com.tw
42

43. Yahoo拍賣詐騙案例 2007年11月
43

44. 44

45. 45

46. 詐騙網站還會提醒要啟
用安全圖章加強安全！
46

47. 輸入帳號密碼後隨即被導回原本的
Yahoo網站，當然之前輸入的帳號密碼
也已經被竊取走了！
47

48. Facebook釣魚郵件範例 2009年11月
48

49. 釣魚網址跟真實網址非常類似
49

50. 誘騙使用者下載並且執行程式
50

51. 程式名字看起來非常地善意
51

52. 線上掃毒軟體當時辨識率尚不高
52

53. Pharming
 攻擊者將網站的流量重新導向至惡意主機去。
 藉由偽裝或者入侵DNS主機，透過更改DNS記錄
或是本機Host檔案，可將瀏覽至原始網站的IP改
導向至惡意網站。
 若能夠入侵ISP網路則可透過更改IP路由的方式，
將IP封包轉向至惡意主機。
 此種攻擊手法難以防制，只能多注意連線內容是
否有不尋常。
 可導入DNSSEC機制防制。
53

54. Pharming 示意圖
54

55. 瀏覽網站的風險
討論區/Blog 暗藏玄機(看不見的程式碼)
Cross Site Scripting (CSS/XSS)
Java Applet/ActiveX, Java Script
利用漏洞自動執行惡意程式碼
對應措施：將瀏覽器的安全度調高，限制
Java Applet/ActiveX/Java Script的執行，
定期做軟體更新。
55

56. Cross Site Scripting (CSS/XSS)
網站被攻擊者植入惡意程式碼，導致讓來
此瀏覽網站的用戶執行惡意的程式。
實際案例：
2005年MySpace網站在一天內有一百萬人遭到
XSS蠕蟲影響。
2007年無名小站年初由於XSS的原因導致上百用
戶中木馬。
56

57. Cross Site Scripting 簡易示意圖
57

58. XSS簡易範例
一個惡意的使用者於商品留言板輸入
<script>alert(“Vulnerable”)</script>
或是<script>alert(document.cookie)</script>
或是<script>alert('XSS')</script><img src="javascript:alert('XSS')">
倒楣的其他用戶來到此頁面後，隨即執行該程式碼
58

59. 如何防制XSS攻擊？
 XSS是由於網站未有效防治第三方的惡意輸入所
導致的攻擊(網站被當跳板)。
 大部分攻擊者都採用Java Script的技術當成惡意
程式碼，但是同樣的概念可延伸到其他的程式語
言如Java, ActiveX, VBScript, Flash, HTML..
 用戶端可設定瀏覽器拒絕接受Java Script，或限
制此類程式的應用(但是網頁就再也不漂亮了，甚
至一些功能無法使用)。
 網站管理者應極力過濾使用者能夠輸入的字元，
避免讓第三者受到影響。
59

60. 降低Java Applet/ActiveX/Java Script的風險
60

61. IE:信任的網站
可於區域網路中自訂層級將上面的三個設
定調整為停用。
將不希望阻擋的網站網址，加入至信任的
網站中，則所有語法會完全執行。
透過信任的網站，可一方面方便的瀏覽需
要執行語法的網站，也可放心的瀏覽一般
的網站。
需注意：信任的網站若遭駭客成功入侵則
也可能被安插惡意語法，請考慮後果。
61

62. IE:信任的網站
62

63. 降低Java Applet/ActiveX/Java Script的風險
Firefox用戶可安裝免費的NoScript附加元件，
預設將Java Script關閉，遇到需要啟用的網
站則可針對該網站手動開啟。
63

64. Cookie的風險
網站利用cookie技術，儲存使用者的資訊於
使用者電腦中，下次再度連上網站後便可
直接提示cookie值，省略登入程序。
方便，好用(駭客也這麼覺得)
Cookie值通常會加密，但是鮮少使用”強加
密”因此有機會被破解。
攻擊者可使用一般帳號登入網站，想辦法
搞懂加密方式後，就可更改本機的cookie值，
欺騙伺服器。
64

65. Cookie的風險
惡意網站主甚至可以利用cookie紀錄使用者
瀏覽不同網站的資訊，再將資訊回傳(分析
使用者的上網習慣)。
個人於網站上所進行的機密資訊(例如帳號
密碼或信用卡卡號)，可以被存於cookie
內。
有心人士可以藉由偷取cookie並加以解密，
取得機密性資訊。
65

66. 你可以選擇不使用cookie(降低便利性)
66

67. P2P的風險
e-donkey, e-mule, BT, Foxy…
協定本身無罪但是坊間流傳的介面程式往
往暗藏木馬。
錯誤的預設分享常常導致機密資料外洩。
台灣警察機關由於Foxy而將筆錄洩漏出去。
對應措施：
最好不要使用，要使用請仔細調整，切勿不小心
分享出不該分享的東西。
67

68. IM的風險
MSN, Yahoo messenger, SKYPE, QQ…
傳送小遊戲或是檔案
利用軟體本身漏洞植入惡意程式
對應措施：
傳送的檔案開啟前請三思
好友傳網址後先詢問為何，避免開啟中毒的網頁。
68

69. IM訊息可被測錄
MSN, Yahoo Messenger, AOL, ICQ, QQ…
全部都能夠於網路傳輸中被輕易解析出訊
息內容。
若一定要使用IM傳輸機密訊息時(如帳號密
碼，IP地址)，請盡量使用Skype。
若自行安裝加密軟體(如MSN Shell)，請注
意該軟體本身也許會有竊取資料的風險。
69

70. 網路芳鄰
微軟專屬的協定，可以讓在區域網路以及
廣域網路間的微軟電腦方便的分享檔案。
開始 > 執行 > x.x.x.xc$
70

71. 網路芳鄰的問題
微軟有史以來最嚴重的弱點！
由於本身設計上的問題，攻擊者可以利用
網路芳鄰下載電腦的密碼檔，然後利用工
具破解，就可取得管理者密碼。
有了密碼之後就可享用C槽，或是利用其他
的漏洞取得電腦主權，安裝木馬，安裝後
門，安裝任何東西….
71

72. 強化網路芳鄰的安全性
安裝個人防火牆阻擋網路芳鄰
若決定再也不分享檔案，則可直接移除”File
and Printer Sharing for Microsoft
Networks”.
72

73. USB隨身牒
現在有許多專門針對隨身牒所設計的自動
散佈病毒。
透過寫入Autorun.ini，於插入隨身牒後自動
執行隱藏於隨身牒中的病毒。
自我對應措施:
安裝防毒軟體。
透過更改機碼的方式，關閉Autorun功能。
使用檔案總管瀏覽檔案而不要直接於我的電腦點
兩下開啟磁碟機，也可以避免自動執行。
73

74. WinXP中關閉Autorun (Vista版本也適用)
開始 > 執行 > regedit
找到
HKEY_CURRENT_USERSoftwareMicros
oftWindowsCurrentVersionExplorerMou
ntPoints2
點右鍵選擇”使用權限”
新增一個用戶叫做”everyone”然後將權限設
定拒絕。
74

75. WinXP中關閉Autorun
75

76. 也可採用微軟的Tweak UI關閉自動播放
76

77. 大量部署關閉USB自動執行功能
使用微軟的SubInACL工具：
下載安裝後執行以下指令或者用AD派送：
C:Program FilesWindows Resource
KitsTools>subinacl.exe /subkeyreg
HKEY_CURRENT_USERSoftwareMicros
oftWindowsCurrentVersionExplorerMou
ntPoints2 /deny=everyone=f
77

78. 對應措施摘要
 E-mail: 不預覽，不開啟有疑慮的郵件
 Web Site: 將瀏覽器的安全度調高
 P2P: 最好不要使用，要使用請仔細調整切勿不小
心分享出不該分享的東西
 IM: 傳送的檔案開啟前請三思，好友傳網址後先
詢問為何，避免開啟中毒的網頁
 網路芳鄰: 安裝個人防火牆阻擋網路芳鄰，移
除”File and Printer Sharing for Microsoft
Networks”.
 USB病毒：關閉系統的Autorun功能。
78

79. 電腦程式漏洞攻擊
 只要是程式難免有人為疏失，透過特定技巧就可
執行出程式人員當初沒想到的結果，導致造成所
謂的漏洞。
 漏洞常常為駭客於第一時間內發現，進而被利
用。
 例如：2007年四月的ANI漏洞，導致ESPN網站被
植入木馬，當時瀏覽ESPN的用戶若沒有立即更
新填補漏洞，則一律也被植入木馬。
79

80. 哪些東西會有漏洞？
作業系統:
Windows, Linux, Freebsd, unix…
應用程式:
IIS, Apache, IE, Firefox, Outlook, Office, M
SN, ICQ…
只要是”程式”都有可能有漏洞！
80

81. 常見的程式漏洞類型
 記憶體控管缺失  競賽
Buffer Overflows  權力混淆
Dangling pointers CSRF
 輸入驗證錯誤 Clickjacking
格式化字串缺失 FTP bounce attack
不當處理shell字元  權力意外提升
SQL injection
 使用者介面錯誤
Code injection
E-mail injection
HTTP response splitting
81

82. 防堵漏洞
根源解決辦法為程式設計者修改相關程式
永遠更新相關程式，例如微軟作業系統
使用網路防火牆或著個人防火牆，阻斷不
必要的通訊協定
安裝防毒軟體，定期更新定期掃瞄
軟體開發時應確實進行白箱檢驗(原始碼檢
測)以及黑箱檢驗(滲透測試)
82

83. 白箱檢驗 vs 黑箱檢驗
白箱檢驗：
將系統本體攤開詳加檢驗。
需要對程式語言與架構有相當程度瞭解。
需採用資訊安全的觀點檢驗方可查出弱點。
黑箱檢驗：
在不明白系統本體的前提下加以檢驗。
不需瞭解程式本體架構，靠經驗主導檢驗。
所需的時間遠遠高於白箱檢驗。
檢驗的正確度可能也不及白箱檢驗。
83

84. 84

85. 防毒軟體
需監控開機磁區 (Boot Sector)
除了即時監控外，尚須定期手動掃瞄，因
為即時監控不一定能夠辨識出病毒。
絕對要每天更新病毒碼！
Trend Micro, Symantec, MacAfee, F-
Secure, Sophos, AntiVir, Nod32….族繁不
及備載
思考: 是否要同時安裝兩套以上的防毒軟體？
85

86. 個人防火牆
Windows XP已經內建。
若希望功能豐富則可安裝大廠所推出的個
人防火牆套件。
Trend Micro, Symantec, MacAfee, F-
Secure, Zone Alarm, MS ForeFront…
86

87. 87

88. 清掃廣告軟體
 免費的掃廣告以及間諜程式軟體：
Ad-aware
SpyBot
Windows Defender(會檢驗系統驗證碼)
…
 商用軟體：
SpySweeper
Symantec
MacAfee
…
 可於google查詢anti-spyware reviews看看不同的
軟體測試討論。
88

89. 阻擋Phishing
 由於Phishing是騙術因此原則為小心至上。
 讀取郵件時以純文字方式開啟郵件檔，避免執行
其中的惡意網頁語法。
 不直接點選郵件檔的超連結，因為其中的超連結
可能是假的。
 Mozilla Thunderbird內建可分析是否為釣魚或者
詐騙信件。
 瀏覽網站時，可先安裝防Phishing的工具列程式，
當瀏覽到疑似Phishing的網站時會自動警告使用
者(IE 7內建網路釣魚篩選工具, Firefox 3內建偵測
惡意網站)。
89

90. 伺服器常見的威脅

91. Buffer Overflow
 也屬於一種程式漏洞。
 電腦程式會使用各自的記憶體空間，作所需要的
工作。
 當由於某些因素，導致程式寫入過多資料，進而
超過原本的記憶體空間後，就會造成緩衝區的溢
位。
 被溢位後通常會導致原本的程式作業停擺，但也
可影響其他程式的運作，藉而達到特定的惡意行
為。
 近年來由於程式語言本身的改良，緩衝區溢位攻
擊所發生的機率已經大大降低。
91

92. Buffer Overflow 示意圖
92

93. 著名的緩衝區溢位攻擊範例
Code Red – 2001, SQL Slammer – 2003
Xbox, PS2, WII等遊戲主機皆透過此方式破
解用以執行盜版遊戲。
93

94. Man-in-the-middle (MITM)
 用戶透過第三方與伺服器進行連線溝通的手法，
但此第三方往往為刻意隱瞞自己身份，進而讓雙
方以為彼此中間無任何人竊聽資訊。
 應用範例：Transparent Proxy, 防毒牆, 防火
牆, SSL加速器。
 範例：破解SSL連線
若憑證無採用身份驗證機制(也就是說你每次跳出警訊
都按接受)的話，那麼中間人就可完全竊聽甚至變造
SSL通道內的資料。
94

95. MITM 攻擊示意圖
95

96. 一些MITM應用範例
Squid HTTP Proxy
網路剪刀手 netcut
Cain & Abel
Paros
Airbase-ng
96

97. 97

98. 98

99. Session Hijacking
攻擊者等待使用者建立正常連線後，將原
本使用者的連線中斷，但是自身替代原本
使用者跟伺服器繼續進行工作，藉以接手
原本的連線。
常見搭配MITM手法混用。
範例：
攔截並接手管理者的telnet視窗
偷取cookie後偽裝成為既有管理者/使用者
99

100. Session Hijacking 示意圖
100

101. 一些Session Hijacking工具
網路剪刀手 netcut
Cain & Abel
webmitm
surfjack
101

102. 竊取控制權
寄發釣魚信件給網站人員騙取cookie或者帳
號密碼。
主機留下了後門管理介面，被駭客找出加
以利用。
猜測帳號密碼，以暴力破解法或者SQL
injection等方式進行登入。
102

103. DoS/DDoS
 泛指各種可以阻斷正常服務的攻擊手法。
 例如:
內部網路病毒散佈導致內部網路近乎停擺
駭客利用工具從網際網路發動SYN Flood攻擊
駭客控制大量疆屍電腦從網路各地正常連線至同一站台導
致服務停擺
行銷活動導致大量用戶同一時間連結至同一站台導致服務
停擺
 手法相當多樣化，防制手法也相當多樣化。
 應建置多種監測系統，依照不同的攻擊手法做出
不同的回應機制。
103

104. DDoS經銷攻擊體系示意圖
104

105. 知名的DoS/DDoS工具
Hping
Apache Benchmark(AB)
Curl
Smurf
TFN2K
Trinoo
Zombie Zapper
105

106. 2009/06~2010/06 估計全球疆屍電腦數量
資料來源: Shadowserver
106

107. 2009/06~2010/06 估計全球疆屍網路數量
資料來源: Shadowserver
107

108. SQL Injection
WEB程式常與專業之Database之間作搭配
運作，兩者之間的溝通會採用SQL指令。
SQL指令會儲存於WEB伺服器內，前端使
用者是看不到的。
當WEB伺服器執行某些動作時，會把使用
者輸入的字串以SQL指令送到資料庫去執
行。
攻擊者透過WEB輸入特定字串，可變相操
作資料庫，達到攻擊者的目的。
108

109. SQL Injection示意圖
109

110. 自動化測試SQL injection工具
110

111. 防制SQL Injection
嚴格執行字串過濾，控管經由WEB傳送至
DB的SQL指令。
建置Application Firewall過濾外來攻擊。
於WEB端使用低權限帳號連結資料庫。
111

112. Directory (Path) Traversal
 伺服器程式有其所在的工作路徑，其所運作的範
圍會被限制在該路徑或者資料夾內。
 當伺服器因為某些原因，嘗試切換工作路徑，甚
至去執行本來不該執行到的程式時，則會產生嚴
重威脅。
 普遍常見於攻擊WEB伺服器主機，不過同樣的攻
擊概念可延伸至其他類型的AP應用。
112

113. Path Traversal範例
 http://some_site.com.br/../../../../etc/shadow
 嘗試取得系統密碼檔
 http://some_site.com.br/get-files?file=/etc/passwd
 嘗試取得系統密碼檔
 http://test.webarticles.com/show.asp?view=../../../../../Win
dows/system.ini
 嘗試取得系統配置檔
113

114. 有Path Traversal漏洞的程式碼
<?php $template = ‘sample.php';
if ( is_set( $_COOKIE['TEMPLATE'] ) )
$template = $_COOKIE['TEMPLATE'];
include ( "/home/users/phpguru/templates/" . $template );
?>
透過以下連線方式即可利用該漏洞取得系統密碼檔:
GET /vulnerable.php HTTP/1.0
Cookie: TEMPLATE=../../../../../../../../../etc/passwd
114

115. 洩漏太多錯誤訊息
攻擊者常常可以因為伺服器洩漏太多的錯
誤訊息，進而猜測接下來的攻擊步驟。
程式開發時可開啟詳細錯誤訊息，但是上
線後應該關閉該功能。
網站伺服器也應盡量減少伺服器所透露之
訊息。
115

116. 洩漏太多錯誤訊息
116

117. 洩漏太多錯誤訊息
117

118. 保護個人隱私

119. 實體安全
 筆電, PDA, Smart Phone 等智慧型設備由於體積
小，容易失竊。
 坊間有賣筆電專用的鎖，使用簡單。
 電話以及PDA等裝置可安裝GPS，若失竊後可立
即定位搜尋。
 近年來的智慧型電話，已經新增可以遠端上鎖的
功能，例如發送特定簡訊後，即可將電話遠端上
鎖，直到輸入密碼才可解鎖。
Nokia E series
Blackberry甚至可遠端刪除電話內的資料
119

120. 筆電鎖
120

121. 資料安全
 加密保護
Windows XP內建檔案加密功能(磁區需為NTFS)
Windows Tool: TrueCrypt, EncryptFiles, Omziff
Linux Tool: Bcrypt, Ncrypt
 多數加密軟體內建文件/目錄隱藏功能
Microsoft Office文件可替文件本身設定加密
PDF製作軟體可替文件設定加密
 利用磁碟加密軟體將整顆磁碟加密
Windows Vista: BitLocker
可參考此軟體比較表：
http://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software
 避免使用敏感的檔名(password.txt,密碼表.xls)
121

122. 開機密碼
PDA, SmartPhone大部分皆可設定開機密
碼。
電腦以及筆電的BIOS, OS登入皆可設定密
碼
但是BIOS密碼可以被reset
OS密碼可以被bypass或破解
122

123. 密碼長度
密碼該多長才安全？
8字元以上，加入一個以上的特殊字元。
微軟的作業系統若密碼低於7字元以下，只
需5~10分鐘即可被破解。
亂數密碼產生器:
PC Tools Password Utilities
http://www.pctools.com/guides/password/
123

124. 通訊安全
TCP/IP網路具備可竊聽的特性，妥善使用
HTTPS通道則可確保不遭受竊聽。
網頁憑證需無任何警示，安全性才夠。
HTTPS頂多確保主機跟伺服器之間的資料
私密性，無法確保資料儲存的安全性。
例如PCHome的會員資料外洩事件
層出不窮的Yahoo奇摩拍賣詐騙事件
124

125. 網路交易最好使用OTP Token
125

126. OTP Token
OTP Token為強化身份認證的措施。
One Time
Password, Challenge/Respond, Time
Variant OTP…
若能於驗證身份時導入Token機制，則可大
幅提升密碼的安全度。 結
password !#$^%^*& 合
為
全
部
您所記得的密碼 Token所產生的密碼 的
不會變
+ 常常在變
密
碼 126

127. 網路銀行/網路交易
首要條件：HTTPS
最好能提供OTP Token以防密碼被竊取
盡量跟大廠商進行網路交易，因為他們較
具備足夠的資源保護主機端的資料。
OTP使用案例:
國內數間銀行已經導入OTP作為網路銀行登入的
驗證方式之一。
華義國際線上遊戲的隨身保鏢。
Hinet動態密碼鎖
127

128. 以生物特徵作為密碼
128

129. 儲存於網路上的資料
您是否常常在各網站留下您的個資？
例如：
網路人力銀行
參加市場調查
心理測驗等小遊戲
Facebook等社交網站
私密照片用密碼上鎖
用網咖的電腦輸入各種帳號密碼
129

130. 有時候不是您的錯…
130

131. 網路相簿上鎖也不見得看不到照片
131

132. 在網咖自保之道
 不使用網咖電腦進行需要輸入帳號密碼的行為。
收發email，網路銀行，線上遊戲
 瀏覽器採用私密瀏覽模式則不會留下使用過的資
訊，如連結過的網站，查詢過的內容等。
Firefox 3 – 私密瀏覽
Google Chrome – 無痕式瀏覽
Internet Explorer - InPrivate 瀏覽
Safari 4 – 私密瀏覽
 私密瀏覽模式無法防止木馬等惡意軟體測錄密碼
132

133. 如何強化資料安全
將資料以及文件加密。
鑰匙長度(密碼長度)需盡量複雜且長。
將資料儲存於值得信賴的場所。
在網路上輸入密碼時需注意是否為加密管
道。
定期備份資料!(災難復原)
133

134. 無線網路安全

135. 無線網路的問題
電波特性為廣播因此四周皆可收到
旁人皆有機會使用以及竊聽傳輸中資料
易遭受DoS攻擊
易插入偽造資料流
不同的AP可傳送相同SSID
惡意人士可偽造一個看起來相同的無線網路，竊
取其中所傳輸的資料
135

136. 無線網路加密
由於傳輸媒介為電波，因此若不進行加密
則極易竊取其中所傳輸的資料，如MSN帳
號密碼，或者郵件內容。
透過適當的加密機制後可降低被竊取資料
的風險。
常見加密機制：
WEP (最易被破解)
WPA (較難破解)
WPA2 (最難破解)
136

137. YouTube上面有很多破解WEP的範例影片
137

138. 無線網路身份驗證問題
網卡地址
網卡地址可以輕易竄改偽造
IP地址不自動配發
可藉由網路監聽技巧猜測可用IP，甚至搶奪使用
中IP地址
WEB身份驗證
藉由自動導向的WEB入口首頁讓使用者輸入帳
號密碼
其概念建立於應用程式層級，若WEB入口存在
有弱點則有安全上的疑慮(如暴力破解)
138

139. 對應措施
關閉廣播SSID
鎖MAC，手動指定可用IP
使用WPA2(802.11i)加密
使用Smartcard或者Token裝置，使用
802.1x協定搭配如Radius或EAP-TLS等身
份驗證主機，強化身份驗證機制
PCI-DSS建議使用WIPS用以強化無線網路
139

140. Wireless IPS的功能
能夠偵測且阻斷惡意AP
辨別設定錯誤的AP
監測client端是否連線到錯誤的AP
阻止未經授權的AP連線
偵測MITM行為
偵測偽造MAC的無線用戶行為
140

141. 破解無線網路的工具
Aircrack-ng
其中包含了多項破解需要的工具組
Netstumbler
搜尋無線網路，可偵測未廣播的SSID
Kismet
141

142. Aircrack破解範例
142

143. 實體環境安全

144. 實體控管為資安首道防線因此相當重要!
Physical Control
Administrative Control
Technical Control
Data Control
144

145. 實體安全的問題
竊賊
翻垃圾桶
偷窺密碼
社交工程騙術
電磁殘餘資料
145

146. 竊賊
在咖啡廳上網，上廁所時NB被偷
NB擺在公司被偷
存著機密資料的隨身碟被偷 • Revenge
• Political activism
對應措施： • Financial gain
各式鎖(例如外接式警報鎖)
開機密碼
指紋辨識
GPS定位系統
閒置5分鐘後自動鎖定…
146

147. 翻垃圾桶 Dumpster Diving
翻垃圾找資料的人(軍火之王電影情節)
2000年Oracle CEO雇用垃圾員收集微軟丟
棄的文件。
丟棄文件時請用碎紙機，最好焚燒銷毀。
147

148. 偷窺密碼 Shoulder Surfing
輸入機密資訊(帳號密碼)時，被惡意人士從
後方偷窺。
NB可用防窺貼片。
密碼按鍵可於測邊加裝檔版。
148

149. 社交工程騙術 Social Engineering
騙術千奇百怪
舉例：
打電話給MIS佯裝某某使用者，忘記密碼，要求
MIS重新設定密碼。
發送釣魚信件騙取帳號密碼。
竊取IM帳號密碼後詢問MIS機密訊息
對應措施：提高警覺，保密防諜
149

150. 電磁殘餘資料
 在電腦中刪除檔案，並不是真正的”刪除”了。
 很多還原軟體都可以簡易且快速地還原被刪除的
檔案。
 即使格式化硬碟後依然存在著被還原的風險。
 案例：某家銀行為了追查半年前離職員工所發的
信件，將資料作還原，此台電腦當初經過格式
化，且由不同的人使用長達半年，依舊被找出當
初的殘餘資料。
150

151. 為什麼刪不掉？
為求快速，大部分作業系統中的刪除檔案
動作，都只是改變FAT( File Allocation
Table )的配置。
硬碟儲存資料是依循寫入，因此前面曾經
寫過的資料，刪除後不一定會再度使用同
一個位置覆蓋。
檢警單位常使用資料還原(data recovery)的
技術蒐集證據。
151

152. 如何有效刪除檔案
利用專門清除檔案的工具。
“完整”格式化磁碟”7”次(美國國防部建議)。
USB隨身牒也是一樣完整格式化7次再給別
人。
光碟片可使用稀釋後的腐蝕性溶液(例如硫
酸)將表面腐蝕後丟棄。
採用磁碟加密技術，刪除私鑰。
152

153. 專業的硬碟消磁設備
153

154. 資安規範

155. 資訊安全能夠貫徹的兩大要點
組織高層的支持是很重要的
老闆或者主管對於下屬的宣示以及指令，才能夠
有效傳達推動資安的動能。
需要認知技術只能解決少部分的問題
人是最大的漏洞。
政策的宣導以及確實的執行，才是重點。
155

156. 資安規範機制
要做到一個完全安全的環境是不可能的！
但是靠著系統化的一套風險管理機制，卻
可以有效降低資訊風險，到可接受的程
度。
坊間已經有相當多的規範可以依循。
國人目前最常參考的資安規範為ISO/IEC
27000系列。
156

157. 資訊安全管理系統的觀念 (ISMS)
Information Security Management System
廣泛地敘述一套如何管理以及建置跟維護
資訊安全的方式。
主要概念為PDCA:
Plan – 適當地評估風險以及選擇對應的解決方案
Do – 建置以及執行控制風險的手法
Check – 檢驗以及評估效率跟效益
Act – 做出適當的修正以期優化整體ISMS
157

158. ISMS相關規範實例
ISO/IEC 27000系列規範(等同國人所制訂
的CNS 27001或CNS 17799等規範)
美國沙賓法案
PCI-DSS 支付卡產業資料保護標準
行政院及所屬各機關資訊安全管理要點
HIPAA 美國的醫療資訊管制法規
158

159. 導入ISMS後需注意事項
遵循規範可以有效降低資安風險。
各個ISMS規範內容不盡相同，但是都提供
了很好的依循方向。
不論組織選擇哪一種規範，最後都需請已
授權的第三方公正單位作驗證，以及核發
證照。
拿到證照後仍然需要繼續努力維護ISMS系
統的運作，才能夠持續管理風險。
159

160. Thank You!
懇請指教