電腦安全防護工具中正大學電算中心 2008.08.27 yungshin@NSC

電腦安全防護工具中正大學電算中心2008.08.27yungshin@NSC電腦安全防護工具中正大學電算中心2008.08.27yungshin@NSC yungshin@cna.ccu.edu.tw

Outline • 資訊安全概念的演進 • 安全漏洞的來源 • Web 2.0帶來的資安衝擊 • 常見的攻擊工具 • 電腦安全防護小程式 • USB大作戰

傳統的資訊安全概念 • 病毒滿天飛 • 以破壞性的攻擊方式為主 • 只要有防毒軟體就安全了 • 方便比較重要，平時的安全性較不被在乎

中世紀的安全概念 • 網路發掘之後才有的 • 程式也是會有漏洞的 • 壞人們通常主動的去挖掘對方服務裡的漏洞加以攻擊 • 遠端控制，後門程式開始出現

新世代的安全概念 • 程式還是會有漏洞 • 防火牆盛行，或是相關的資安設備(IPS、IDS) • 挖掘他人的服務漏洞相對不易，為何不讓使用者自己來觸發惡意程式呢？ • Rootkit技術開始盛行 • 什麼都可以隱藏

安全漏洞的來源 • 第一個︰作業系統(OS) • 每個人都一定會有的 • Windows • Linux • FreeBSD • etc… • Service Pack, Update…

安全漏洞的來源 • 第二個︰ 3rd party softwares • Office • apache, lighttpd • ftp daemon • php • mysql, sybase • 網路上眾多的懶人包… • Service Pack, Update…

Web 2.0 的衝擊 • 大家的生活漸漸離不開網路 • 網路可以實現更多的事情 • 交友 • 購物 • etc… • 你真的放心把你的私密資料key in進網頁裡嗎？ • 網頁的攻擊層出不窮 • 我自己的親身經驗

OWASP 2007排名 • OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。

OWASP 2007排名 • A1 - Cross-site scripting • A2 - Injection Flaws • A3 - Malicious File Execution • A4 - Insecure Direct Object Reference • A5 - Cross Site Request Forgery (CSRF)

OWASP 2007排名 • A6 - Information Leakage and Improper Error Handling • A7 - Broken Authentication and Session Management • A8 - Insecure Cryptographic Storage • A9 - Insecure Communications • A10 - Failure to Restrict URL Access

常見的攻擊工具 • Paros • Nessus • Cain & Abel

網頁弱點掃描-Paros • http://www.parosproxy.org/index.shtml • Java開發的www弱點掃描軟體 • Man-in-middle proxy • Spider • 自動掃描SQL injection, XSS, Dictionary Browsing等問題

網頁弱點掃描-Paros • Spider

網頁弱點掃描-Paros • Scan

全系統弱點掃描-Nessus • 免費弱點掃描軟體，可依其plugins進行弱點測試，列出潛在的安全問題，建議的解決方法 • http://www.nessus.org/nessus/ • 分為兩個部份︰ • Server端︰掃描的主機 • Client端︰下達指令、觀測掃描結果

全系統弱點掃描-Nessus • Client端 • 可支援多種掃描範圍 • 單一IP • 指定範圍 • 整個網段 • 從檔案匯入

全系統弱點掃描-Nessus • Server端 • 設定Server IP • Plugins更新方式

密碼破解工具-Cain & Abel • 強大的密碼破解工具

電腦防護小程式 • Sysinternals Suite • 被微軟併購 • Process Explorer • TCP view • Rootkit revealer • http://technet.microsoft.com/en-us/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a693683.aspx • HackAlert • Armorize X-solve Laboratory

Process Explorer • 工作管理員的超級加強完整版 • 可以看見更多更完整的訊息 • dll 也可以看得見

TCP view • 詳細的列出電腦中所有的連線 • 即時更新

Hack Alert • Armorize X-solve Laboratory • 線上網站惡意程式監測 • Trial Account可一次監測兩個網站，24hr掃描一次

USB大作戰 • 有名的kavo.exe & ntdelect.com • 感染症狀： • 除了網路磁碟機外，會在每個可以有效寫入的磁碟機代號的根目錄( \ ) 處寫入 autorun.inf、ntdelect.com 兩個檔案，並將檔案屬性設定成唯讀、隱藏、系統。病毒檔 ntdelect.com 與 XP 系統檔 ntdetect.com 檔名類似。中間的 l 與 t 僅一個字母的差異。誤刪系統檔的話會不斷重新開機。 • 在 C:\Winddows\System32 中，留下三個駐留檔案，分別是 kavo.exe、kavo0.dll、kavo1.dll 三個檔案，並將檔案屬性設定成唯讀、隱藏、系統。那個KAVO.EXE 則是仿知名的防毒軟體 KAV 而來，實際上防毒軟體 KAV 的執行檔不見得就是 KAV.EXE 而是其他的檔名。 • 在系統登錄檔寫入病毒相關資訊。

USB大作戰 • 關閉AutoRun的方式 • 放入隨身碟時請趕緊壓按 shift 鍵以暫時(非永久)取消 autorun 的功能。 • 開啟隨身碟請用 "滑鼠右鍵" → "內容" 或以"檔案總管" 瀏覽切勿用滑鼠左鍵雙擊。 • 選擇有防寫開關的隨身碟產品，在他人電腦上使用前即先將隨身碟切至防寫模式。 • 使用本機群組原則關閉：(也可使用於AD的群組原則GPO)

USB大作戰 • 本機群組原則關閉法 • 開始 → 執行 → 輸入 gpedit.msc (Windows XP Home Edition 不適用)→ 確定 • 出現 "群組原則" 視窗, 依序選左邊電腦設定 → 系統管理範本 → 系統 • 找到右邊視窗的 → 關閉自動播放滑鼠左鍵雙擊 • 出現 "關閉自動播放內容" 對話窗, 點選 "已啟用" • 再下來在 "停用自動播放在" 的下拉選單, 選擇 "所有裝置" • 完成,插上隨身碟就不會再自動執行了

USB大作戰 • 使用變更系統機碼來關閉 • 開始 → 執行 → 輸入 regedit 並尋找如下面的機碼 • 所有媒體含USB插入磁碟機或光碟機後，停止自動執行與開始讀取功能 • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 登錄機碼中，加入了下列登錄值。 • 按右鍵自行輸入 NoDriveTypeAutoRun 格式DWORD值十六進位值為255 • 將下列設定的值設為 1 可以僅停用 CD/DVD 的自動執行。 • HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Cdrom\ 登錄機碼中，加入了下列登錄值。 • Autorun 格式 DWORD值十六進位值由1改為0

結語 • 最佳的防護方式還是養成良好的使用習慣，並勤作更新，尤其是第三方軟體的漏洞更新 • 來路不明的網站，信件不要亂開亂點 • 可以藉由一些瀏覽器的extension來防護一些惡意網站的惡意程式碼 • 良好的程式寫作習慣

電腦安全防護工具中正大學電算中心 2008.08.27 yungshin@NSC