770 likes | 961 Views
網路資訊安全與案例探討. 鄧達鈞 桃園縣仁和國小教務主任 交通大學教育研究所 教育部「安全上網與資訊倫理」推廣計畫成員. 資安新聞案例. 韓國 - 個人資料遭盜. 一切都賴給 駭客. 揭密者史諾登大逃亡. 向媒體披露美國政府的「三稜鏡」( PRISM )監控計畫 美國政府能夠對即時通訊和既存資料進行深度的監聽,對象包含美國人. 美 NSA 再爆 駭侵雅虎 Google 近 2 億使用者. 美國國家安全局(NSA)前包商雇員史諾頓披露國安局秘密侵入網路龍頭業者雅虎和 Google 全球各地數據中心的重要通訊管道,可任意蒐集包括美國人在內的近兩億名使用者帳號資料。
E N D
網路資訊安全與案例探討 鄧達鈞 桃園縣仁和國小教務主任 交通大學教育研究所 教育部「安全上網與資訊倫理」推廣計畫成員
揭密者史諾登大逃亡 • 向媒體披露美國政府的「三稜鏡」(PRISM)監控計畫 • 美國政府能夠對即時通訊和既存資料進行深度的監聽,對象包含美國人
美NSA再爆 駭侵雅虎Google近2億使用者 • 美國國家安全局(NSA)前包商雇員史諾頓披露國安局秘密侵入網路龍頭業者雅虎和Google全球各地數據中心的重要通訊管道,可任意蒐集包括美國人在內的近兩億名使用者帳號資料。 • 稜鏡計畫須先獲法院許可才能從科技公司取得資料,而此則是從公開網路與Google的「雲端」伺服器之間攔截用戶資料。
背後意含 • 科技讓執法更容易,人治恐將主宰一切。 • 美國政府以聯邦刑法針對google、yahoo、微軟等公司依照國家安全為理由調閱各項資料。 • 蘋果公司共同創辦人佛尼亞克:對於政府利用新科技監視民眾,他覺得「有點罪惡感」。 • 台灣呢?
台灣近日相關新聞(聯合報) • 台灣監聽 臉書、Line、電郵全都錄 • 台灣監聽 日本的1,929倍 美國的50.8倍
過去與現在 以往的電腦病毒目的是破壞,彰顯撰寫程式者的功力高深。 後來的電腦病毒(木馬程式等犯罪軟體),主要是騙取你的帳號密碼、隱私、電腦控制權。 現在則先以木馬程式盜用的社交軟體(如FB),再由「真人或程式」偽裝甲後與其好友借用手機等認證工具,得手後進行網路消費,被害者甲的好友被「信任」所害。
電腦犯罪型態改變 詐騙獲利 傳統: 破壞檔案
惡意軟體猖獗 • 利用各式誘餌(盜版程式、遊戲外掛、影音檔案等)隱藏惡意程式,在不知情狀況下安裝。 • 使用惡意軟體(側錄程式)竊取密碼,這些程式潛入電腦後,將資料送給他人,你卻渾然不知。
威脅類別一 刪除檔案 電腦當機 速度變慢 感染其他電腦 傳統電腦病毒(無寬頻) 多依附於其他程式中
威脅類別二 快速自我複製 癱瘓網路 使電腦變慢 網路類型病毒:蠕蟲 蠕蟲不需依附其他程式
電腦蠕蟲 • 不需依附程式 • 大規模癱瘓網路居多 • 分散式阻斷服務攻擊 • 例如ILOVEYOU、熊貓燒香等病毒 電腦病毒 • 依附程式 • 毀損電腦與資料 • USB病毒、CIH病毒
威脅類別三 犯罪軟體 • 間諜軟體、殭屍電腦 • 竊取電腦資料 • 作為攻擊跳板
殭屍電腦、肉雞(Zombie computer) • 利用受感染的電腦發動針對目標進行攻擊 • 很多「殭屍電腦的擁有者」都沒有察覺到自己的系統已經被「殭屍化」,就彷彿是沒有自主意識的殭屍一般。
電腦中毒的徵兆 • 執行速度比平常慢 • 常常鎖定或不回應 • 磁碟或磁碟機無法存取(常見如USB) • 不斷打開新視窗 • 不斷的當機或重新啟動 • 印表機印不出來 • 畫面顯示不尋常的錯誤訊息
國小教師常見的電腦中毒狀況 • USB病毒:隨身碟打不開 • 防毒軟體一直顯示已中毒,但又無法完全清除,使用者最後將防毒軟體關閉。 • 使用大陸網站觀看電視劇,安裝觀看軟體時遭植入惡意軟體。 • Email釣魚信件:帳號被盜用。 • 好友帳號遭盜用:告訴對方yahoo認證密碼、幫忙買遊戲點數等。
威脅類別四 媒介 犯罪者 一般使用者 獲利 進行竊取 竊取密碼或認證 電腦網路詐騙類(社交工程)
竊取個人資料 • 奇摩帳號密碼 • 遊戲帳號密碼 • 個資重要檔案 • 銀行帳號密碼 • 拍賣網購詐騙 • 轉賣遊戲寶物 • 社交工程詐騙 • 財務盜取(晶片卡較難破解) 進行
名詞解釋:何謂社交工程? • 社交工程(social engineering )陷阱,通常是利用大衆的疏於防範的小詭計,讓受害者掉入陷阱。該技巧通常以 交 談 、 欺 騙 、 假 冒 或 口 語 用 字 等 方 式 , 從 合 法 用 戶 中 套 取 用 戶 系 統 的 秘 密 , 例 如 : 帳號、密碼、手機或認證碼等。
社交工程要小心 • 如果你接到這種電話沒有確認對方的身分,就會輕易的把資料給別人,造成資料外洩,被有心人士利用 我是陳經理,我在外面但忘了帳號密碼能否幫我查詢? 請您稍後…
社交工程陷阱(social engineering) • 是一種利用人際關係間的互動特性 • 利用偽裝身份的電話、郵件等方式進行密碼或身份詐欺,取得信任後騙取機密資料。 • 電影「全面啟動」中,主角利用身份詐欺騙取商業機密。 • 常見案例: • 盜用facebook帳號後,以訊息告知好友協助購買遊戲點數,騙取金錢。 • 利用line騙取朋友之yahoo拍賣認證資料。
社交工程技巧極為有效 社交工程技巧的成功可歸因於它利用人類先天具有的情感,例如信任、同理心、同情心、好奇及心恐懼等。 社群網站、軟體推波助瀾:facebook、 twitter、MSN、line等讓人與人間緊密連結,你能確定傳簡訊的對方「真的」是他本人?或者是駭客假冒?
你知道有多少應用程式正在存取你的FB嗎? • 心理測驗真神準,按讚全都露? • 社群網站遊戲好好玩,我要比同學強? • 購物社團一直加我為會員,我覺得無所謂? 我們真的都是好朋友嗎?
資訊安全 • 心理測驗真神準,按讚全都露? • 社群網站遊戲好好玩,我要比同學強? • 購物社團一直加我為會員,我覺得無所謂? • 社群緊密關係連結的風險 • 保護個人資訊安全 • 也保護好友的資訊安全
釣魚網頁 • 假網頁「釣魚」上勾,詐騙集團輕鬆得手 • 點擊釣魚電子郵件裡的連結,就會在電腦中安裝軟體,之後就等著用戶登入某個網路銀行帳號,立刻儲存密碼後,送回駭客手中的伺服器。
可能的媒介裝置 • 電腦、手機、伺服器、數位相機、電腦檔案等數位裝置均有可能。
資訊設備損壞、遺失 • 硬碟、隨身碟等儲存設備損壞 • 火災、水災、地震等天然災害 • 電腦、手機遭竊
Splick.it統計 • 12%成年人會在洗澡的時候使用智慧手機 • 75%的人會在盥洗室使用智慧手機。 • 19%的人曾有過手機掉馬桶裡的經歷。
安裝適當的工具 • 安裝防毒軟體與防火牆 • 缺點:速度會變慢,誤判機率高(不方便)
設定安全的密碼 1/2 • 常見第一名密碼是「password」 • 常見第二名密碼則是「123456」 • 人類的記憶力,才是密碼的最大弱點 • 密碼夠長,摻雜大寫字與數字,再加上驚嘆號,以為一切就沒問題了 • 網路密碼淪陷方式眾多,包括猜測、傾印密碼、強行破解、以側錄軟體竊取,甚至利用社交工程,重新設定所有密碼。 • 犧牲「便利」與「隱私」才能保證安全
設定安全的密碼 2/2 • 一定長度與複雜的密碼 • 保存在安全的地方(勿寫於鍵盤或告知他人) • 依照軟體或網站屬性設定兩道密碼(一般密碼+手機簡訊認證) • 瀏覽器使用安全加密傳輸 (網址開頭為HTTPS://等方式)
備份重要資料 • 備份的重要性 – 預防重要資料或設備損壞遺失 – 確保可用性 • 可藉由不同的工具軟體達到備份的目的 • 異地備份 • 燒光碟 • 拷貝到隨身硬碟 • 拷貝到別台主機 • 網路硬碟….