網路威脅與資安產業之發展趨勢網路威脅與資安產業之發展趨勢洪偉淦 Bob Hung趨勢科技 台灣區總經理

趨勢科技簡介趨勢科技簡介

BackgroundBackground

1988 Oct: Founded in TW and US1998 Aug: Listed in Japan OTC1999 July: Listed in NASDAQ2000 Aug: Listed stock on the first section of

Tokyo Stock Exchange2002 Sept: Listed the 225-share

Nikkei Stock Average

Our Market ShareOur Market Share

#1 in the Internet gateway market

with 36% market share

#1 in the mail server market with over 20% market share

#1 in file server market with 26% market share

Trend’s Global CoverageTrend’s Global Coverage

JapanHeadquarters

Taiwan BU

Australia BU

USA BU

UK BU

Italy BU

Germany BU

France BU

Argentina BU

China BU

Brazil BU

Philippine Virus Research and Development Center

Business Unit

Headquarters

R&D

Virus R&D Center

Mexico BU

Hong Kong BU

Spain BU

Korea BU

Transnational Transnational

September 22, 2003

C.K. Prahalad, a professor at the University of Michigan Business School, calls this the fourth stage of globalization.

The company routinely is among the first responders to viruses, often delivering 30 minutes before market leader Symantec (SYMC) Corp., according to GEGA IT-Solutions in Germany, a response tester.

數位世界的演進數位世界的演進

The Digital World Around UsThe Digital World Around Us

8

Internet Email Debuts1993

Standalone PC Microsoft DOS Floppy Diskettes1980s

Ecommerce Takes Hold1998

Online Banking and MP3s Take Off1999

Blogging Becomes Hip2002

Laptops/Smartphones Plus Wireless Go Mainstream2003Mosaic allows people to

surf the Internet / “Web 1.0”1993/94

Macros Debut1995

Instant Messaging/ICQ Debuts1996

“Web 2.0”/User Centric Approach to Web 2006 1 Billion

Internet Users2007

Nils Nilsson, director of the Artificial Intelligence Center at SRI International, believes the personal computer, like television, can "greatly increase the forces of both good and evil." Marvin Minsky, another of M.I.T.'s computer expertsSays he: "The desktop revolution has brought the tools that only professionals have had into the hands of the public. God knows what will happen now."

Web 2.0 is a tool for bringing together the small contributions of millions of people and making them matter," Mr Grossman said.

Late 1980s Mid 1990s Late 1990s Early 2000s Mid 2000s

Now The Web Is The Platform To The World!Now The Web Is The Platform To The World!

9

Web 2.0 -- WiKIWeb 2.0 -- WiKI

10

It Is Also The Platform For The It Is Also The Platform For The Attackers!Attackers!

With the increasing popularity of Web 2.0 and an increasing global Internet population, expect the Web to increase significantly as a threat vector

- Multi-Vector- Multi-Component - Web Polymorphic- Rapid Variants- Single Instance- Single Target- Regional Attacks- Silent, Hidden - Hard to Clean- Botnet Enabled

惡意程式惡意程式 (Malware)(Malware) 演進演進

惡意程式演化階段惡意程式演化階段

• Before 2001– Virus, Trojan, Warm…– Mass mailing

• 2001– Vulnerabilities Warm

• Integrate Virus and Hacking• 2003

– Spam• 2004

– Spyware, Phishing, Pharming• 2005

– Botnet• 2006

– Web Threat

惡意程式種類惡意程式種類

電腦病毒電腦病毒

• 什麼是電腦病毒 (Virus)– 會將本身複製到其他檔案或開機區的惡性程式– 當電腦使用者在不自覺的情形執行到已受病毒感染的檔

案或磁片開機時，這個惡性程式就以相同方式繼續散播出去

– 至於電腦病毒是不是都會在某特定日期發作且破壞電腦資料 ? 這就和病毒的寫作者如何設計程式有關 ( 如： CIH) ，並不屬於電腦病毒的特性

特洛伊木馬特洛伊木馬

• 什麼是特洛伊木馬 (Trojan Horse)– 特洛伊木馬程式就不像電腦病毒一樣會感染其他檔案，

特洛伊木馬程式通常都會以一些特殊管道進入使用者的電腦系統中，比如螢幕保護程式、算命程式、電腦遊戲等，然後伺機執行其惡意行為（如格式化磁碟、刪除檔案、竊取密碼等）。在定義上，特洛伊木馬不會自我複製，也不會主動散播到別的電腦裡面

駭客工具通常會偽裝成一些有趣的小程式，然後由駭客送出或使用者自行從 Internet 下載

駭客

駭客工具是一種具有特殊目的惡性程式，它可以設計來做遠端遙控或挖掘某些系統的後門等等。

InternetInternet

Net Hack Tools are usually disguised as by hackers or

downloaded from the Internet

這些經過偽裝的程式可以取得使用者電腦系統中的重要資料

，並偷偷的回傳給駭客

These interesting programs can access

the User’s system, get

它也可以暗地打開某些通訊埠 (port) ，作為駭客自由進出你的電腦系統的後門，進而隨意存取你系統裡面各種重要的檔案

駭客入侵手法駭客入侵手法

按鍵竊聽器的運作方式按鍵竊聽器的運作方式

H123456789

H123456789

********

whatever

使用者在已經被植使用者在已經被植入竊聽木馬的入竊聽木馬的 PCPC 上上登入網路銀行登入網路銀行

網路身分竊犯在另網路身分竊犯在另一部一部 PCPC 利用接收器利用接收器竊聽的所有按鍵竊聽的所有按鍵

帳號和密碼得手！帳號和密碼得手！

什麼是 什麼是 DDoS - DDoS - 分散式阻絕服務攻擊？分散式阻絕服務攻擊？

攻擊目標

駭客

散播特洛伊木馬，潛伏在別人的電腦系統

集體發動攻擊集體發動攻擊集體發動攻擊

「 Call-in部隊」大量佔線，導致網站無法接

受其他連線

「 Call-in部隊」大量佔線，導致網站無法接

受其他連線

DDoS - Distributed Denial of Service

特洛伊木馬

電腦蠕蟲電腦蠕蟲

• 什麼是電腦蠕蟲 (Worm)– 電腦蠕蟲也不會像特洛伊木馬程式一樣感染其他檔案，但『本尊』會複制出很多『分身』，就像西遊記中的孫悟空一樣，拔幾根毛就可以複制出幾個分身，就像蟲一樣在網路系統裡面到處爬竄，所以稱為「蠕蟲」，從一台電腦爬到另外一台電腦，最常用的方法是透過區域網路（ LAN）、網際網路（ Internet ）或是 E-mail 來散佈自己

InternetInternet

Mail Server

ILOVEYOUILOVEYOUILOVEYOUILOVEYOU

Mass Mailing VirusMass Mailing Virus

疫情爆發 疫情爆發 !!!!!!電子郵件伺服器被灌爆

用戶端檔案被破壞

疫情爆發 疫情爆發 !!!!!!電子郵件伺服器被灌爆

用戶端檔案被破壞

網路蠕蟲興起網路蠕蟲興起

CodeCodeRedRed 病毒，病毒， CodeCodeRedRed 事件事件

• CodeRed 是病毒• CodeRed所造成的損害，是事件，是資訊災難• 大家所經歷以及媒體所談的，是 CodeRed事件，而非單指 CodeRed 病毒

• 系統安全漏洞• 敏感又脆弱的網路• 軟體廠商之社會責任

Internet Internet 上也會發生土石上也會發生土石流流

安全弱點安全弱點

• 什麼是安全弱點 (Vulnerability)– 安全弱點會讓攻擊者、病毒或其他網路安全威脅更容易傷害您的電腦。 Microsoft 已公開確認這些存在於其軟體中的安全弱點，並且發行其相對應的修正檔 (Patch)

– 修正安全弱點可協助您有效降低您電腦受到攻擊或病毒感染的機會

UnpatchedMachine

PatchedMachin

e

First InfectedMachine

中毒電腦會發散大量封包，導致網路癱瘓，即使電腦有安裝 Patch ，也會受到這些中毒電腦的封包攻擊影響，導致網路存取速度變慢，甚至無法存取

Internet網路型病毒網路型病毒作者、作者、散播者散播者

① 製造① 製造 ② 散播、感染、潛伏② 散播、感染、潛伏

③ 發作，發動隨機攻擊③ 發作，發動隨機攻擊 ④ 造成阻絕服務效應④ 造成阻絕服務效應

⑤ 透過系統漏洞感染⑤ 透過系統漏洞感染

弱點未補的系統

弱點已補的系統

隨機攻擊隨機攻擊

隨機攻擊隨機攻擊

隨機攻擊隨機攻擊

阻絕服務阻絕服務阻絕服務阻絕服務

阻絕服務阻絕服務阻絕服務阻絕服務

阻絕服務阻絕服務阻絕服務阻絕服務

阻絕服務阻絕服務阻絕服務阻絕服務

阻絕服務阻絕服務阻絕服務阻絕服務

阻絕服務阻絕服務阻絕服務阻絕服務阻絕服務阻絕服務阻絕服務阻絕服務

① 製造① 製造 ② 散播、感染、潛伏② 散播、感染、潛伏

③ 發作，發動隨機攻擊③ 發作，發動隨機攻擊 ④ 造成阻絕服務效應④ 造成阻絕服務效應

⑤ 透過系統漏洞感染⑤ 透過系統漏洞感染

藉由安全弱點進行攻擊藉由安全弱點進行攻擊

方興未艾的威脅方興未艾的威脅

Spam Problem: Worse Than EverSpam Problem: Worse Than Ever

• 絕大多數的信件都是垃圾郵件，而且不斷的增加

• Zombies 和 Botnets讓發送垃圾郵件變的更容易，現在垃圾郵件幾乎是利用此管道散播

• Spam新技術不斷的演進，例如 Image Spam

• 既使已經採取過濾垃圾郵件，大量的垃圾郵件訊仍然佔用了頻寬、伺服器容量和其他的網路問題

垃圾郵件氾濫垃圾郵件氾濫

• 亞洲的垃圾郵件數量持續上揚• 1/3非英文垃圾郵件為中文

Image Spam Image Spam 圖像式垃圾郵件圖像式垃圾郵件

• 圖像取代文字• 利用程式隨機改變影像• 結合釣魚郵件

網路釣魚攻擊網路釣魚攻擊

• 何謂網路釣魚 (phishing)？– 網路釣魚是一種偷取您身分的欺騙方式。詐騙人士利用各種矇騙手段讓您提供他們所需的個人資料；例如信用卡號碼、密碼、帳號或其他資料。網路釣魚的途徑可以透過人或電話、在線上則是經由垃圾信件或彈跳式視窗

• 網路釣魚詐騙的外觀像什麼？– 騙子的詐騙技術進步，他們的網路釣魚郵件與網頁也一

樣。他們通常複製官方網頁的圖像與其他重要特徵– 網路釣魚詐騙信件的範例：

網路釣魚攻擊網路釣魚攻擊

• 網路釣魚 (phishing)詐騙的電子郵件特徵 – 確認您的帳號– 親愛的重要客戶– 如果您不在 48 小時內回覆，您的帳號將被關閉– 按一下以下連結來存取您的帳號

• Masked URL 住址範例

• 對於可疑信件的應變方式– 檢舉可疑信件– 點選電子郵件中的超連結時請小心– 使用您個人書籤或直接在網址列上輸入網址– 當您在網站輸入個人或金融資料前確認安全簽章 (SSL)– 不要在跳出視窗中輸入個人或金融資料– 經常檢查您的信用卡與銀行明細

網路釣魚有多嚴重？網路釣魚有多嚴重？

• 美國– 根據 Consumer Reports USA的報告， 2005年美國公民因網路釣魚攻擊而導致的損失高達 6億 3千萬美元

• 德國– 幕尼黑警方估計，光是幕尼黑一地，線上詐騙活動造成

的損失 (2006年 1月至 7 月期間 ) 就已超過一百萬歐元• 全球

– 據Asia.Internet表示， Gartner Group 的報告顯示 2006 年網路釣魚攻擊造成的損失總金額高達 $28 億美元

– 據Anti-Phishing Working Group 統計， 2005年 9 月釣魚網站數量為 5242 個，到 2006年 9 月已激增至 24,565個

網路釣魚相關調查數據網路釣魚相關調查數據

年度 2005 2006

收到詐騙郵件人數 7900萬 1億 9 千萬

平均每年收到詐騙郵件總數年所得 10萬美金者： 112封一般收入者： 74封

平均每人損失 257美元 1244美元

假網站壽命 1週 1 小時

平均追回金額 損失的 80% 損失的 54%

詐騙內容 假銀行 賭金、樂透、禮品兌換

平均每月釣魚攻擊所發現的間諜軟體 約 80 個 188個

資料來源： Gartner Group 、 Anti-Phishing Working Group

更厲害的網域更厲害的網域 // 址嫁接 址嫁接 (pharming)(pharming)

• Pharming （網域 /址嫁接）跟 Phishing （網路釣魚）最大的不同是，後者仿冒銀行等金融機構發出帶有假網址連結的 E-mail ，而 Pharming （網域 /址嫁接）採用更難識破的網域 /址嫁接手法

• 因為它是藉由入侵 DNS （ Domain Name Server ）伺服器的方式，植入惡意程式修改 HOSTS 檔案。使用者即使輸入正確網址，經 DNS 的 IP 位址轉換，也會不知不覺地被導引到偽造網站

• 駭客有機會竊取個人的機密資料，在各大搜尋引擎、討論區以及社交網路網站發佈惡意連結，藉此感染廣大的使用者族群。網路罪犯還會利用別出心裁的社交工程手法引誘或欺騙受害者按下連結或造訪已遭感染的網站

Spyware ThreatSpyware Threat

• 什麼是間諜軟體– 所謂的「間諜軟體」是一個統稱，泛指會在未經使用者

同意的情況下進行廣告、收集私人資訊，或修改電腦設定等行為的軟體

• 間諜軟體的特徵– 我不斷看到廣告視窗– 我的設定遭到更改，而且無法恢復原本的設定– 我的網頁瀏覽器出現額外的元件，但我並不記得下載過

這些元件– 我的電腦變得反應遲緩甚至當機

Spyware ThreatSpyware Threat

• 分析公司 IDC 在 2004 年 11 月所做的研究，估計大約百分之 67 的消費者 PC 都已受到某種型式的間諜軟體的感染

• 間諜軟體可獲得利益，所以氾濫情形日益嚴重• 並非所有的間諜軟體都有明確的違法行為

– 使用者常常無心的同意免費軟體的 EULAs

Phishing.org Info

熱門的攻擊行為 – 熱門的攻擊行為 – Web ThreatWeb Threat

• Bot– 又稱為魁儡程式或魁儡蟲，遭受感染後常見的行為如同魁儡或殭屍般可受遠端有心人士操控此電腦

• Botnet– 又稱殭屍網路 Zombie Network ，或機器人網路 Robot Network ，即一群 Bot 所組成的電腦網路

– 駭客藉由 IRC 等管道遠端控制受感染的主機，可發動網路攻擊，包括竊取私密資料、網路釣魚 (Phishing) 、散布垃圾郵件 (Spam) 、發動阻斷式服務 (DDoS)—恐嚇被駭網站等犯罪行為

何謂 何謂 Bot & BotnetBot & Botnet

僵屍網路大行其道僵屍網路大行其道

• 估計有 7 百萬台的僵屍電腦• 超過 8成垃圾郵件的元兇• 一年至少引起超過 10億次的 click fraud• 平均每月成長 15%

熱門新聞熱門新聞

名 名 vs. vs. 利—病毒作者大不同利—病毒作者大不同

過去的犯罪者• 介於 14 至 34歲的男性• 對電腦狂熱• 沒有固定的女友• 證明自身之電腦能力

今天的犯罪者• 為了獲取不法利益• 利用僵屍網路• 竊盜他人之機密資料或帳戶密碼

• 擾亂金融或通訊系統

$500 Credit card number with PIN

$80-300 Change of billing data, including account number, billing address, SSN, name, address and birth date

$150 Driver's license number

Birth certificate

$100 Social security card

$7-25 Credit card number with security code and expiration date

$7 Paypal account ID and password

1000元美金可以買到什麼？$1000 – 5000 Trojan program to steal online account

information

地下經濟大行其道地下經濟大行其道

Malware for Profit is Driving Web ThreatsMalware for Profit is Driving Web Threats

The threat landscape is shifting to Web-borne attacks

Source: Trend Micro

Worms:Constant in the last 2 years

Web Threats:High Volume and Growing

作者、散播者

① 攻擊網站漏洞① 攻擊網站漏洞

② 植入惡意連結② 植入惡意連結

藉由知名網站散播藉由知名網站散播

知名網站

③背景導向惡意連結③背景導向惡意連結

瀏覽者散播散播

散播散播

散播散播

TROJ_ANICMOO惡意連結

④植入病毒下載器④植入病毒下載器

SQL injectionSQL injection

被植入下載器的病毒感染源

散播散播

連線至僵屍網路下載更多的惡意程式連線至僵屍網路下載更多的惡意程式

病毒下載器病毒下載器DownloaderDownloader

感染感染感染感染

感染感染感染感染

感染感染感染感染感染感染感染感染

植入病毒及下載器的僵屍電腦到處是病毒到處是病毒

資安產業的成長步伐資安產業的成長步伐

From Good To GreatFrom Good To Great

47

LAN Server Virus ProtectionServer Protect™

Server-based Email Virus ProtectionScanMail™

Web-based Centralized ManagementTrend Micro Virus Control System™

Threat Lifecycle Management Strategy Enterprise Protection Strategy (EPS) Trend Micro and

Cisco Integrated Security in the Network

Network Access ControlNetwork VirusWall™

Email Reputation Services

Gateway Virus ProtectionInterScan™

Web Filtering InterScan WebManager

2-Hour Virus ResponseSLA

Integrated Gateway Content Security InterScan Messaging Security SuiteWith Spam Prevention Solution

1995

1996

1997

1998

1999

2000

2001

2002

2003

2004

2005

2006 2007

Total Web Threat Protection

Web Reputation Services

Revenue Growth

Net Income Growth

~90B JPY

~20B JPY

危機與挑戰危機與挑戰

• 偵測率與誤判率的抉擇– 594 crisis

• 具經濟規模的組織犯罪• 10倍數成長的惡性程式• Web 2.0 structure

– “In the cloud” service

資安產業的工作型態資安產業的工作型態

• 動態的競爭環境– 新威脅– 新科技 / 新平台– 新對手

• 資訊爆炸• 隨時改變的專業技能

體驗科技最前線 !!

問題討論問題討論