資訊安全防護 (基礎班) - im.taichung.gov.tw · 資訊安全防護 (基礎班) 講師...
TRANSCRIPT
資訊安全防護( 基礎班 )
講師 呂守箴
大綱
�APT駭客攻擊防護作業
�郵件社交工程演練作業
�電腦操作需注意的資安事項
APT駭客攻擊防護作業&
郵件社交工程演練作業
APT(Advanced Persistent Threat,進階持續性威脅)
� 所以APT(Advanced Persistent Threat,進階
持續性威脅)一詞指的是一種“有計劃性的攻擊行為”,是多種面向的攻擊路徑而不是一種病毒或惡意程式。
� 參考資料:� http://en.wikipedia.org/wiki/Advanced_Persistent_Threat
APT(Advanced Persistent Threat,進階持續性威脅)
� 為取得『關鍵資料』,例如:帳號/密碼、聯絡人名單、未公佈資料、系統設定文件等,會透過以下幾種路徑取得:
� 郵件社交工程:�為目前最常見,但非唯一。
� 簡訊社交工程:�為近期新手法。
� 網路釣魚/網路詐騙:
� 使用漏洞進行對外主機的入侵:
APT & 郵件社交工程攻擊模式
1. 駭客設計攻擊陷駭客設計攻擊陷駭客設計攻擊陷駭客設計攻擊陷阱程式阱程式阱程式阱程式(如如如如特殊特殊特殊特殊Word檔案或檔案或檔案或檔案或外部外部外部外部惡意連結惡意連結惡意連結惡意連結)
2. 將攻擊程式將攻擊程式將攻擊程式將攻擊程式置入置入置入置入電子郵件中電子郵件中電子郵件中電子郵件中
3. 寄發電子郵件給寄發電子郵件給寄發電子郵件給寄發電子郵件給特定的目標特定的目標特定的目標特定的目標
4. 受害者受害者受害者受害者開啟開啟開啟開啟電子電子電子電子郵件郵件郵件郵件
5. 啟動駭客設計的啟動駭客設計的啟動駭客設計的啟動駭客設計的陷阱陷阱陷阱陷阱,,,,將被將被將被將被植入植入植入植入後門程式後門程式後門程式後門程式
6. 後門程式後門程式後門程式後門程式逆向連逆向連逆向連逆向連接接接接,,,,向遠端駭客向遠端駭客向遠端駭客向遠端駭客報到報到報到報到
Internet
近期常見 APT /郵件社交工程詐騙範本:
郵件社交工程攻擊之定義� 利用人性弱點、人際交往或互動特性所發展出來的一種
攻擊方法
� 早期社交工程是使用電話或其他非網路方式來詢問個人資料,而目前社交工程大都是利用電子郵件或網頁來進行攻擊
� 透過電子郵件進行攻擊之常見手法◦ 假冒寄件者◦ 使用與業務相關或令人感興趣的郵件內容◦ 含有惡意程式的附件或連結◦ 利用應用程式之弱點(包括零時差攻擊)
假冒寄件者方式 – 原理
� SMTP 通信規範, 沒有辦法限制驗證寄件人的身份. 雖然可以用身份驗證機制確保信是由特定人員寄出(例如加上簽章), 但沒辦法防止別人偽造你的 EMAIL 寄出信件. 頂多只能分辨出信是否為假的...
� 寄件人名稱可以是假的� 超連結的狀態列可以是假的
� 所以整封信件,都是假的!!!!!!!!!
郵件社交工程:寄件者/收件者� 偽造寄件者/收件者
� 特徵:◦ 只有出現@信箱
◦ 別人的名字� 認識的人(同事、家人)
� 不認識的人(廣告、隨機取樣)
◦ 自己的名字� 利用程式撰寫取得自己名字
◦ 寄件者/收件者是空白的� 匿名寄送的
假冒寄件者方式-郵件帳號假冒
12
用數字的零來假冒成英文的O
假冒寄件者方式-完全假冒
� 由於電子郵件傳送協定弱點,駭客可完全假冒寄件者的名稱以及電子郵件位址,甚至可透過入侵寄件者的電腦來寄發電子郵件。
使用者
受駭電腦
駭客
1.入侵受駭電腦
2.透過受駭電腦發送惡意信件
3.發送含有惡意程式電子郵件
1.完全假冒的電子郵及寄件者名稱寄送惡意信件 4.讀取信任來源郵件
使用讓人感興趣的主旨與內文
� 駭客會使用讓人感興趣的資料消息,來欺騙使用者去開啟這些附件或超連結,造成木馬程式開始動作。
14
郵件社交工程:主旨� 誘使你開啟的主題� 特徵:
◦ 情色
◦ 健康、飲食
◦ 折價、消費
◦ 新聞、時事
◦ 公務、意見表達、陳情
� 出現 RE: 與 FW: 之不同點。
� 單純從主旨是無法判斷真假的,除非事先有設定約定俗成的記號。
郵件社交工程方式
� 寄發不同主題之電子郵件(其內含惡意程式碼)。
� 郵件內容區分為:「演藝八卦新聞」、「政治」、「養生保健」、 「休閒娛樂」、「教育新聞相關」、「情色」等主題。
� 郵件類型區分為: 「網頁類型」、「Word檔案」、「圖檔」等3種類型。
郵件社交工程:郵件內容� 文字:
� 超連結:
� 內嵌圖片:
郵件社交工程:郵件內容:文字� 文字:
� 眼睛所看到的文字,並非『純』的文字。而是由HTML 網頁語法所產生的效果。
� 因此可撰寫惡意的HTML來產生病毒傳輸的效果。
� 變更成『純文字』的設定,才能避免在眼睛看不見下被動手腳!
郵件社交工程:郵件內容:超連結� 超連結:
� 利用網路釣魚的手法將含有惡意程式的網址,採用偽裝的技巧詐騙使用者點選。
� 進階偽裝:◦ 網址編碼◦ 短網址◦ QR Code
含有惡意程式附件
� 駭客在電子郵件附帶一個含有惡意程式的檔案,這個檔案不一定是執行檔,可能是各種類型的應用程式,甚至是壓縮檔。駭客會夾帶任何在應用程式上存在可攻擊弱點的文件檔案類型,並誘使使用者開啟附件,以啟動木馬程式。
20
郵件社交工程:附加檔案� 誘使你開啟/點選的名稱
� 誘使你開啟/點選的副檔名(請問那些副檔名可能會暗藏病毒?)◦ Exe,com,bat,vbs◦ Doc,xls,ppt,pdf◦ Zip,rar◦ Jpg,bmp◦ Mp3,mpg,avi
� 防毒軟體掃毒機制◦ 收到信在主機端就掃描?◦ 收到信在使用者端掃描?
� 打開收信軟體時掃描?� 點選信件時掃描?� 打開附件檔才掃描?� 偵測到有毒時才掃描?
傳送郵件的考量
� 傳送郵件的考量之一
� 傳送郵件的考量之二
� 自然人憑證的應用
傳送郵件的考量之一
� 請勿在私人信件傳送個人資訊
� 寄件人請選擇用密件副本寄給收件人的信箱
� 公務用([email protected]) 與 個人E-Mail ([email protected])信箱請分開使用
密件副本
針對 Outlook 2003/2010
傳送郵件的考量之二
� 可行的話將郵件傳送格式從「HTML」格式改用「純文字txt」格式。(工具�選項�讀取 及 傳送)
�關閉「啟動時傳送及接收郵件」、「每隔幾分鐘傳送及接收郵件」的功能。
� 搭配「自然人憑證」確認身份。� 寄件人改用「密件副本」。
純文字模式
針對 Outlook 2003/2010
接收郵件的考量
� 關閉郵件預覽功能
� 避免垃圾郵件?
� 網路謠言?
� 好康郵件、連鎖信手法
� 垃圾郵件、匿名郵件及偽造郵件攻擊
� 落實郵件附件檔掃毒與可疑檔案上傳分析
關閉郵件預覽功能?
� 為什麼要關閉「郵件預覽的功能」?
� 一、沒有關閉該功能容易在收信時,不小心就看到該信內容。
� 二、沒有關閉該功能容易在閱讀其它正常信件時,不小心點到。
� 三、名稱叫預覽信件其實該功能等同於點閱信件。
關閉預覽窗格
針對 Outlook 2010
好康郵件、連鎖信手法
� 好康郵件:� 利用附件檔案例如:office文件、圖片、小遊戲
,挾帶或綑綁木馬程式使期點選就植入,進而竊取資料。
� 連鎖信(勵志小故事、協尋失蹤兒):� 利用同情心使得收信人願意將這些文件傳播出去
,其實這些文件都是改過的文件,要嘛收集所有轉寄人的個人資料及E-Mail或者是將這些資料植入木馬程式,透過轉寄來傳播。
垃圾郵件、匿名郵件及偽造郵件攻擊
� 利用匿名郵件 (例如:要求回信)
� 利用好康郵件 (例如:程式下載、中獎)
� 利用連鎖信 (例如:佛像郵件)
� 利用尋人郵件 (例如:尋找失蹤兒)
� 利用愛心郵件 (例如:骨髓配對、勵志小故事)
� 利用銀行郵件� 利用廣告郵件 (例如:折價卷)
� 利用情色郵件
落實郵件附件檔掃毒
� 將附件檔「另存新檔」後掃描病毒,不可以直接點選2下打開。
� 修補「Microsoft Office」、 「Adobe Reader」等的相關讀取程式的弱點。
� 如果不確定所收到的檔案是否有問題,使用「可疑檔案上傳分析」確認。
可疑檔案上傳分析:� 利用各家防毒軟毒軟體的掃描引擎,同時對單一一個檔
案,作是否為病毒、木馬檔案的分析可協助檢測確認檔案本身是否異常。
� VirusTotal:免費線上病毒和惡意軟體掃瞄� http://www.virustotal.com/zh-tw/
� VirSCAN.org:線上防毒引擎掃描網站 v1.00 目前支援 36 款防毒引擎
� http://www.virscan.org/
� Online malware scan� http://virusscan.jotti.org/
WebMail的傳送與接收� WebMail的使用原則,跟本機Mail的注意事項也是一樣的。
� 但WebMail更需要注意「預覽視窗」以及「超連結」的點選。
� 雖然WebMail的附件檔並沒有收下來,但若不注意仍有可能發生點選到有毒附件檔。
� WebMail更需要經常「變更密碼」,來避免被他人竊取。
�盡量避免在他人或公用電腦中使用WebMail,有可能該電腦
已經中毒。如果一定要用,使用前先掃毒、離開前請『登出』並要「清除瀏覽器的Cookie」,避免帳號密碼被記住。
上網與E-Mail:
� iOS 系統內建的上網 & E-Mail其安全設定,是在『設定』中。APP 內是找不到相關安全設定。
� 而 Android 系統的郵件APP則有許多版本,以目前使用最高的 Gmail 來舉例。
調整 Android / Gmail 相關設定:
調整 iPhone / iPad 相關設定:
� 調整『隱私』的設定� 調整『郵件、聯絡資訊、行事曆』的設定
調整『郵件、聯絡資訊、行事曆』的設定:
使用者防護停看聽(1)
� 停 ─ 使用任何電子郵件軟體前,必須先確認◦ 執行各種作業系統、應用軟體設定更新
� Windows Update
� Office Update
� Internet Explorer 安全性設定◦ 必須安裝防毒軟體,並確實更新病毒碼◦ 收信軟體安全性設定
� 如果可行的話以純文字模式開啟郵件� 必須取消郵件預覽功能
◦ 防止垃圾郵件� 設定過濾垃圾郵件機制
◦ 啟用個人防火牆
交通部管理資訊中心 45
使用者防護停看聽(2)
� 看 ─ 開啟電子郵件前應先依序檢視:(1)、【寄件者】的信箱來源(2)、【郵件主旨】是否與公務相關(3)、【附加檔案】不要直接點選打開,應另存新檔掃
毒。
☺【寄件者】或【郵件主旨】與公務無關者,建議應立即刪除,連預覽都不要開啟郵件。
交通部管理資訊中心 46
使用者防護停看聽(3)
� 聽 ─ 若懷疑郵件來源,必須進行確認
◦ 透過電話或電子郵件向寄件人確認郵件真偽
交通部管理資訊中心 47
防騙停看聽
停
安裝防毒軟體,確實更新病毒碼
關閉信件自動下載圖片及其他內容
以純文字模式開啟信件
取消信件預覽功能
設定過濾垃圾郵件機制
看信件是否來自政府單位(gov.tw)或教育單位(edu.tw)標題或內容是否與本身業務相關
其餘信件應視為垃圾郵件
聽透過電話向對方確認信件真偽
透過電子郵件再次確認
郵件社交工程防護停看聽
�請勿開啟及預覽任何人所寄來的匿名、垃圾郵件。
�就算是開啟了也請勿點選「超連結」。
�開啟任何郵件的附件檔前,請記得「另存新檔」掃毒後再開啟。
電腦操作需注意的資安事項
上網的注意事項:
� 設定Internet Explorer 安全性地區
� 關閉 JavaScript 防止竊取密碼
� 針對小朋友上網的安全性
上網的注意事項:
� 不要輕易按下同意與接受的按鈕� 絕對不按 [同意] 或 [確定] 按鈕來關閉視窗, 務
必使用視窗角落的紅色 [X] 按鈕
IE 瀏覽器的版本
� 無論使不使用,均需更新到作業系統能支援的最新版本!(除非移除IE,不然就算不使用,惡意程式依然能夠觸發)
� 每家公司所推出的瀏覽器都有『漏洞』,所以沒有最安全的瀏覽器,只有不安全的設定與不良操作習慣。
� Windows XP � IE 8� Windows Vista � IE 9� Windows 7,8 � IE 10,11
� 最基本的安全常識,至少不要再使用舊版的 IE 6,一方面漏洞繁多、二方面原廠也不維護更新了。
各版本 IE 瀏覽器的下載網址:� http://www.microsoft.com/zh-tw/download/internet-explorer.aspx
IE 瀏覽器的安全設定:
� 外掛程式(附加元件):
� 盡量保持瀏覽器環境的乾淨不要安裝,裝的越少外掛程式自然穩定度越高。
� 必要的外掛程式:FLASH撥放程式
� 爭議的外掛程式:瀏覽器工具列 (ToolBar)
IE 瀏覽器的安全設定:
� Adobe Flash Player 官方下載更新:� http://get.adobe.com/tw/flashplayer/
無痕瀏覽/無痕模式/無痕視窗
� 什麼是無痕瀏覽?◦ 在無痕模式中開啟的網頁與下載的檔案,都不會出現
在瀏覽記錄與下載記錄中,所有新的 Cookie 都會在您關閉無痕視窗後刪除。
� 為什麼要使用無痕瀏覽?◦ 因為很多大型網站/社交網站,都在使用者瀏覽網站當
下,收集使用者的隱私資料(例:對什麼感興趣、那些網頁停留較久、喜好哪些網站等等),來做為之後投放廣告的統計,或者追蹤使用者習慣。
如何啟用各家瀏覽器的無痕瀏覽功能
� IE 瀏覽器:� 這個功能叫做「InPrivate瀏覽」,從選單的「
工具」>「InPrivate瀏覽」裡啟用。而啟用的那一個瀏覽器就變成私密瀏覽模式。
� Google Chrome
� 這個功能叫做「無痕式視窗」,從右邊的工具選單 裡選「新增無痕式視窗」啟用,它會跳出一個新的視窗來提供私密瀏覽的功能。
如何啟用各家瀏覽器的無痕瀏覽功能
� Firefox� 這個功能叫做「私密瀏覽」,從選單的「工具」
>「開始私密瀏覽」裡來啟用,一旦啟用之後,之後再新開啟的 Firefox 瀏覽器也都會啟用「私密瀏覽」功能,直到關閉為止。
IE 瀏覽器的安全設定:
「開啟」網際網路選項
1
IE 瀏覽器的安全設定:
「勾選」結束時刪除瀏覽紀錄
� 優點:� 保護隱私與個人資料,不將
敏感資訊留在瀏覽器的暫存檔中。(尤其是密碼)
� 缺點:� 由於瀏覽器不紀錄密碼,所
以需另外紀錄/抄錄,以免忘記。
2
3
IE 瀏覽器的安全設定:
「提高」安全性等級
� 確認安全性等級為「中高」,部分感染惡意程式的瀏覽器會被調為「低」。
� 如經常產生瀏覽器異常,建議調整到「高」,來確保安全。(缺點:可能部分網站動畫、特效功能會消失)
4
5
IE 瀏覽器的安全設定:
「開啟」網際網路選項
IE 瀏覽器的安全設定:
「勾選」結束時刪除瀏覽紀錄
� 優點:� 保護隱私與個人資料,不將
敏感資訊留在瀏覽器的暫存檔中。(尤其是密碼)
� 缺點:� 由於瀏覽器不紀錄密碼,所
以需另外紀錄/抄錄,以免忘記。
IE 瀏覽器的安全設定:
「勾選」隱私相關設定
� 確認網際網路區域為「中」,來封鎖惡意的Cookie,但如果要更加安全應調為「高」比較恰當。
� 確認「勾選」位置、快顯封鎖程式、InPrivate。
Facebook的帳號安全
� 點選首頁右上角,選『設定』
Facebook的帳號安全
Facebook的帳號安全
Facebook的帳號安全
Facebook的帳號安全
上網與E-Mail:
� iOS 系統內建的上網 & E-Mail其安全設定,是在『設定』中。APP 內是找不到相關安全設定。
� 而 Android 系統的上網APP則有許多版本,以目前使用最高的 Chrome 來舉例。
調整 Android / Chrome 相關設定:
調整 Android / Chrome 相關設定:
調整 iPhone / iPad 相關設定:
� 調整『隱私』的設定� 調整『Safari』的設定
調整『Safari』的設定:
評估風險再決定使不使用!
� 應該這麼說,這是一個跨國的企業、� 韓國的公司、日本發行、台灣代理。
� 並非完全不能使用Line,而應該是說想用這種通訊軟體,就必須知道它的風險。
� 了解它所造成的影響再根據自己能接受的風險(被側錄、過濾、詐騙簡訊、違法貼圖),再決定使不使用。
� 如同前一陣子討論公務機關到底開不開放使用MSN、雅虎奇摩即時通等通訊軟體一樣,需要事先評估資安風險。
� 註:Line 有提供『電腦版(桌面版)』可以安裝,也須評估資安風險。
LINE 更新:
iOS Android
LINE 防毒軟體:
iOS Android
� 因 APPLE 公司軟體管控政策,所以不提供!
其實最好不要用(可惜大多數人辦不到),那麼要用就要先學保護自己的方法。
� Line 台灣官方「問題反應表」:� https://line.naver.jp/cs/zh-hant/
� 說明:� Line帳號被盜的情況頻傳,甚至衍生出詐騙案件
,經過刑事局和Line公司協調之後,基於打擊犯罪的共同目標,即日起民眾可以透過Line問題反應表的連結,就可以立刻請求 LINE 公司處理,同時讓被害人拿回原帳號。
結論
�APT駭客攻擊防護作業
�郵件社交工程演練作業
�電腦操作需注意的資安事項
• 講師: 呂守箴• E-Mail:[email protected]
• 部落格:• 網路攻防戰:http://anti-hacker.blogspot.com
• Plurk噗浪: http://www.plurk.com/openblue
• FB粉絲團:https://www.facebook.com/NetWarGame� G+專頁:https://plus.google.com/u/0/118062628172252352420
• Youtube影片頻道:http://www.youtube.com/user/openblue• 網路直播頻道:http://zh-tw.justin.tv/openblueTV