從資安事件淺談資訊安全概念
This presentation is the property of its rightful owner.
Sponsored Links
1 / 77

從資安事件淺談資訊安全概念 PowerPoint PPT Presentation


  • 70 Views
  • Uploaded on
  • Presentation posted in: General

從資安事件淺談資訊安全概念. 陳鴻彬 [email protected] 社交工程是網路犯罪最具威力的工具. 社群交友網站成幫兇. 微軟:電腦被駭 遭騙居多. 垃圾郵件減少,駭客轉向開發社交惡意程式. 社交網站虛擬豔諜 讓300官員中計. 2010-7-20. Facebook 安全再添疑慮. 最常被封鎖的網站是 Facebook. Facebook 開放廠商讀取用戶聯絡資訊. 在 Cyber Space 裡千萬別輕易相信任何人. 在網路上別亂交不認識的朋友. 你相信網路銀行的安全機制嗎?. RSA 遭駭被竊,雙因素認證產品安全性受質疑.

Download Presentation

從資安事件淺談資訊安全概念

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


3360940

從資安事件淺談資訊安全概念

[email protected]


3360940

社交工程是網路犯罪最具威力的工具

社群交友網站成幫兇


3360940

微軟:電腦被駭 遭騙居多


3360940

垃圾郵件減少,駭客轉向開發社交惡意程式


3360940

社交網站虛擬豔諜 讓300官員中計

2010-7-20


Facebook

Facebook安全再添疑慮


Facebook1

最常被封鎖的網站是Facebook


Facebook2

Facebook開放廠商讀取用戶聯絡資訊


Cyber space

在Cyber Space裡千萬別輕易相信任何人

在網路上別亂交不認識的朋友


3360940

你相信網路銀行的安全機制嗎?


3360940

RSA遭駭被竊,雙因素認證產品安全性受質疑

EMC執行總裁Art Coviello在官網上發出公開信表示,該公司SecurID技術資料遭竊。


3360940

RSA遭駭被竊,雙因素認證產品安全性受質疑

  • Art Coviello在官網上發出一封「致RSA客戶的公開信」表示,該公司在3月17日遭受類似先前Google所受的APT(先進持續威脅)網路攻擊,其中,包括該公司OTP(一次性密碼)Token產品SecurID的雙因素認證技術資料遭到外洩。

    RSA遭駭客入侵,資料外洩事件波及SecurID雙因素認證的Token產品。

  • Art Coviello則在公開信中強調,根據所清查的外洩資料,目前使用SecurID硬體Token產品的企業用戶不用擔心遭到任何攻擊,RSA除會立即提供客戶後續的因應對策外,RSA客戶和員工的個人資料也沒有遭到外洩。同樣的,EMC RSA臺灣分公司對此一遭受攻擊事件,目前皆不能對外發表任何意見。

  • RSA可能喪失客戶的信任

  • 這種APT的攻擊手法,很難在第一時間被發現,但對於以資訊安全為業的資安公司RSA而言,這起外洩事件,也讓RSA面對有史以來最大的客戶信心崩盤危機。

  • 相較於EMC RSA公司的信誓旦旦,許多國外媒體與資安研究員認為,該公司揭露的資訊不足,企業應該要事先對SecurID的安全性存疑。像是設計Blowfish加密演算法的資安專家Bruce Schneier便撰文表示,資安是一種信任的行業,在RSA沒有公開真正被偷的資料內容為何,以及了解SecurID的加密演算機制時,無從評估這起事件的受害範圍,RSA的作法也失掉原有客戶的信任。

  • RSA的SecurID是一種硬體的、一次性密碼的Token(權杖),其密碼產生方式則可以分成時間性(Time-Based)和事件性(Event-Based)兩種,所謂的時間性就是指在一定時間內,例如1分鐘內,就會亂數產生1組6位數的密碼,事件性則是指,在Token上每按1次按鈕後,就會產生1組密碼。

  • 當企業員工要登入一些比較機敏性高的系統,例如企業VPN連線或者是機敏的IT系統,為了強化身分認證的安全性,除了要求員工輸入原本已知的帳號、密碼之外,還要求員工輸入另外手邊所擁有的認證密碼,目前最被普遍使用的就是OTP一次性密碼,而這種一次性的動態密碼除了類似RSA SecurID的硬體Token外,另外還有軟體OTP兩種形式。


3360940

RSA遭駭被竊,雙因素認證產品安全性受質疑

  • 並非所有RSA客戶都第一時間被通知到

  • EMC RSA在臺灣使用SecurID的企業用戶,據了解,包括中華電信、Yahoo奇摩、銀行業者、電子商務業者、航空運輸業者、線上遊戲業者、高科技製造業與化妝品業者等。

  • RSA在公開信中表示,將在第一時間主動與客戶聯繫相關事宜。中華電信表示,他們的確在第一時間就有收到系統廠商對此一事件的通知,也要求原廠進一步清查中華電信所產生的金鑰序號,是否也包含在此次外洩的資料範圍中,所幸並不在外洩的資料清單中。至於EMC RSA發生系統被駭、資料遭外洩的事件,對中華電信而言,他們更關心的是企業用戶認證金鑰的保管,會不會因為相關技術資料文件的外洩而出問題而已。

  • 但也有企業未獲原廠或代理商相關通知。電源管理IC設計公司立錡科技資訊處處長王德劭表示,第一時間並沒有收到來自原廠或系統廠商,主動對於RSA SecurID技術資料外洩的任何說明,反而是從相關國外媒體報導上才知道這件事情。

  • 另外,也有某全球性化妝保養品公司資訊部主管則表示,該公司依照全球一致的IT政策規範,在登入VPN時,都必須鍵入RSA SecurID上的一次性密碼以確保連線的安全性。但他指出,可能因為該公司只是全球的一間分公司而已,目前尚未接到來自總公司IT部門對使用RSA SecurID時的任何提醒。

  • EMC RSA美國總公司應美國證管會要求,提供企業用戶後續的因應建議,據了解,EMC RSA也有提供一條直通美國總部的熱線,供既有的客戶做相關的資料查詢,甚至還可以更細部的提供EMC RSA因為這次攻擊事件所做的各種資安補強措施,以協助企業做好後續的資安強化動作。

  • 企業客製化參數強化金鑰安全性

  • 立錡科技雖然沒有第一時間被通知到相關的事件始末,但王德劭表示,就該公司既有的安全機制而言,還不用太擔心,因為該公司在使用RSA的產品時,就深信沒有百分之百的安全,所以在金鑰產生時,有客製化加入屬於該公司獨有的數值以提高金鑰的安全性。

  • 某銀行業資訊處的中階主管也有類似的觀點。他表示,企業建置這種雙因素認證系統時,金鑰會保管在企業內部。他說,除非駭客竊取EMC RSA的技術文件,還能夠同時知道企業本身的金鑰,否則,對企業安全性的影響有限。


3360940

RSA遭駭被竊,雙因素認證產品安全性受質疑

  • 第一銀行雖然不是採用RSA SecurID的產品,但該公司通路系統開發部經理王致平表示,企業建置這樣的雙因素認證系統,每個使用者拿到的每一支Token會有不同的產品序號,所以在Token使用前,都必須和後端認證系統作同步登錄。他說,企業的認證伺服器本身也會有一組獨特的機碼,藉此去產生不同的金鑰數值,對於必須使用Token登入的系統,也會針對不同的系統加入不同的時間值、交易值和參數等,以確保系統和使用者的安全性。

  • 企業應立即強化金鑰保存

  • RSA和其他加密認證的公司一樣,所採用的加密演算法都是公開的演算法邏輯。臺灣科技大學資訊管理系教授吳宗成表示,就密碼學而言,只要有時間、成本和效能上的限制,這世上就沒有絕對安全的密碼。他認為,類似EMC RSA的事件發生,有兩種解決方式,第一種就是更換其他加密的演算法,另外就是加強金鑰的組成與保護。

  • 吳宗成說,更換加密演算法不見得每個人都知道怎麼做,也不見得有其他更好的替代方案,但是,如果能夠做到強化金鑰的保管,可做到藉由強化管理補強技術的不足,包括強化認證系統所產生加密金鑰亂數必須具有不可預測性,以及這個亂數金鑰必須妥善的被保管在企業內,例如認證伺�A器做加密等,才是目前企業對於類似EMC RSA資安事件最務實的應對方式。

  • 歷經此一事件,企業用戶對於EMC RSA還有信心嗎?王德劭表示,之前該公司是百分百使用RSA SecurID,未來會在成本與安全分散的考量下,搭配其他廠牌的Token產品。但他強調,即便認為該公司對企業用戶第一時間的危機處理方式並不好,但後續還是要看外洩資料內容為何,以及後續的處理方式,才能夠確認對RSA是否還具有足夠的信心,才知道未來選商時,是否還會納入該公司。文☉黃彥棻


3360940

使用網路銀行線上交易要非常小心

網路銀行最好只用來查詢帳戶往來內容,盡量避免線上交易

若非得要採用線上交易,建議採用指定轉帳方式


3360940

別在IE上記憶帳號資料


Google ie

Google揭露的IE零時差漏洞出現攻擊


3360940

不安全的已不只是PC而已

MAC、智慧型手機,

未來的資訊家電,物聯網…..


Mac os x

Mac OS X木馬套件蠢蠢欲動


Skype for mac

Skype for Mac含有零時差攻擊漏洞


3360940

資安公司首度發現OSX殭屍套件


Apple android

連Apple也淪陷了,那Android呢?

小心Apple Store上的應用程式


P2p stream media

P2P、Stream Media 好用、方便…背後潛藏的危機與代價

FOXY、BT、迅雷(Thunder)…

PPStream (PPS)….


3360940

發現大量企業資料P2P網路外洩


3360940

維基解密利用P2P網絡竊取機密信息

網路安全專家研究發現,維基解密一直在利用P2P網路搜索機密資訊


Foxy p2p

Foxy P2P造成線民資料外洩


3360940

Ctrl + Alt+ Delete


P2p stream media1

天下沒有白吃的午餐,用P2P、Stream Media會有潛在的代價

電腦上的機密資料會不小心分享出去

個人電腦會變成網路上的伺服器

除了影響下載的頻寬,還會吃掉上傳頻寬,結果就是網路會變很慢(ADSL更嚴重)


3360940

個資外洩事件與個資法探討


Sony 25 5 psn

Sony個資外洩:台灣25.5萬PSN會員受累


3360940

人事行政說明個資外洩 :內部疏失


3360940

案例

  • 2009年3月,香港聯合醫院一位醫師,遺失了存有47名病患個人資料的隨身碟

    • 引起相關單位重視

  • 2009年5月,美國加洲柏克萊醫療中心的資料庫,遭到駭客入侵

    • 竊取了社會安全卡號和健保資訊

    • 估計近16萬人受到影響

  • 2009年11月,台大醫院發生了近年來第2次的電腦當機事件

    • 造成掛號、病歷查詢和領藥系統的失效

    • 影響上千名病患的就醫權益

    • 幸好未造成延誤就醫而影響生命安全的事件發生

資料引用:2010年3月號網管人雜誌


3360940

資料外洩三要素


3360940

各產業對資料外洩防護的不同需求


3360940

違反個資法之計算


3360940

個資法第二十七條

個資法第二十九條

非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。

中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。


3360940

醫療資訊安全防護架構

IPS入侵防禦系統

內網流控系統

內容備份/側錄系統

記錄存查外流資訊

終端實體隔離

雙網電腦

醫療機構

辦公網

醫療資訊網

IPS入侵防禦

抵禦外來威脅

內網流控檢視

控管內部流量

Botnet活動監控

HIS/PACS

CIS/RIS…

自動線路

切換裝置


Botnet

問題嚴重的殭尸網路(BotNet)


3360940

駭客天堂!臺灣名列全球第四


Top 10

台大雲林分院資安健診高度與嚴重攻擊事件列表 TOP 10


Botnet1

BotNet的組成

  • 殭屍電腦(zombie)

    • 遭受bot入侵感染的電腦

    • 於背景執行惡意程式

      • 常為木馬程式或蠕蟲

      • 這些惡意程式統稱為bot

  • 控制命令伺服器(C&C Server)

    • Control & Command Server

    • 駭客下達命令及接收資訊的中繼站

    • 殭屍惡意程式及組態更新來源

  • 殭屍網路操控者(botmaster)

    • 透過C&C Server下達指令控制殭屍電腦的駭客

    • 透過C&C Server瞭解BotNet版圖


3360940

BotNet的危害

  • SPAM

  • 廣告軟體

  • DDoS

  • 竊取金融帳號密碼

  • 間諜網路

  • 竊取個資


1 botnet ddos 1 3

1. BotNet是DDoS攻擊的幕後黑手 1/3

殭屍電腦:嗨!我是殭屍電腦第XX號,我已經受到感染,向指定C&C伺服器報到註冊

48


1 botnet ddos 2 3

1. BotNet是DDoS攻擊的幕後黑手 2/3

Botmaster:向 x.x.x.x 電腦發動DDoS攻擊

49


1 botnet ddos 3 3

1. BotNet是DDoS攻擊的幕後黑手 3/3

無辜第三者遭到大量殭屍電腦的DDoS攻擊!!

50


2 botnet 1 3

2. BotNet技術已用於竊取金融帳號 1/3

Zeus BotNet是知名的金融犯罪木馬程式,主要目的是竊取銀行網站、電子商務交易之帳號及密碼

美國FBI估計Zeus BotNet

回報FBI案件次數:390

預估造成損失:2億2千萬美金

已經造成損失:7千萬美金

(統計日期:2010.10.1)

資料來源:美國FBI網站http://www.fbi.gov/news/stories/2010/october/cyber-banking-fraud

51


2 botnet 3 3

2. BotNet技術已用於竊取金融帳號 3/3

美國FBI全力追緝的Zeus BotNet幕後操縱者

資料來源:美國FBI網站http://www.fbi.gov/news/stories/2010/october/cyber-banking-fraud

53


Botnet2

BotNet犯罪集團抓不勝抓

中國時報,2010.10.15


3 botnet

3. BotNet技術已用於間諜網路

2010年4月國際知名研究機構提出的<<Shadows in the Cloud>>網路間諜研究報告中指出,大陸已利用BotNet技術發展間諜網路系統

以竊取重要政府機構的機密文件為目的

搭配高針對性之目標鎖定式攻擊,針對特定政府人員展開入侵活動

有30%遭感染電腦為高度政治敏感性電腦

軍事機構、大使館、國際組織、達賴喇麻辦公室、新聞媒體、及非政府組織

http://www.infowar-monitor.net/2010/04/shadows-in-the-cloud-an-investigation-into-cyber-espionage-2-0/

55


4 botnet

4. BotNet技術可輕易竊取民眾個資

竊取經由HTTP 表單所傳送的資料

竊取存放 Windows Protected Storage的帳號密碼資料

Microsoft Outlook, Microsoft Outlook Express, Internet Explorer表單資料

竊取FTP以及POP之帳號密碼資料

將Victim欲瀏覽的網頁轉向駭客所指定的網頁

瀏覽Victim電腦,並竊取檔案

蒐集Victim電腦系統資訊

作業系統版本、Service Pack、語言…

56


5 botnet spam

5. BotNet是SPAM郵件主要來源

研究人員發現感染Bot的電腦為83.2% SPAM郵件的主要來源

http://www.internetnews.com/security/article.php/3827546/Botnet-Blight-Hacked-PCs-Create-832-of-Spam.htm

57


7 botnet

7. BotNet可用於大量安裝廣告軟體

殭屍電腦會自動下載並安裝廣告軟體,惡意軟體會分析使用者的瀏覽網站習慣,不時彈跳廣告畫面,或誘導使用者瀏覽特定網站

58


3360940

BotNet的入侵、擴散、連結

  • 入侵

  • 擴散

  • 與C&C伺服器連線


1 bot

1. Bot透過各種管道讓使用者執行安裝

  • SPAM

  • IM/P2P

  • 網頁瀏覽/無界(釣魚網站)

  • 社交網站

  • 使用者攜入USB

  • 自行安裝偽裝正常程式之木馬


Mass sql injection

Mass SQL Injection來襲,百萬網址受駭


2 client side bot 1 2

2. 透過Client Side漏洞直接入侵植入Bot (1/2)

檔案格式漏洞入侵

  • 當存有client-side漏洞的電腦 讀取惡意格式PDF、Word、Flashplayer等檔案時就會自動遭到植入bot而不自知


2 client side bot 2 2

2. 透過Client Side漏洞直接入侵植入Bot (2/2)

當存有client-side漏洞瀏覽器瀏覽惡意網站時就會自動遭到植入bot而不自知

瀏覽器漏洞入侵


3360940

BotNet的入侵、擴散、連結

  • 入侵

  • 擴散

  • 與C&C伺服器連線


3360940

3. 掃瞄同網段電腦擴散

遭感染的殭屍電腦會掃瞄同網段的其他電腦入侵,以擴大版圖

入侵存在系統漏洞的電腦

因不經過防火牆,可直接利用Server Side及Client Side漏洞

入侵使用懶人密碼的電腦

65


3360940

4. 用盡各種辦法穿透防火牆擴散

  • Bot會用盡各種辦法穿透防火牆擴散

    • SPAM

    • IM

    • 社交網站 (Youtube、Facebook、Twitter)


3360940

BotNet的入侵、擴散、連結

  • 入侵

  • 擴散

  • 與C&C伺服器連線


5 c c 1 2

5. 與C&C伺服器連線(1/2)

當主機感染bot成為殭屍電腦後,會定期與C&C伺服器連線

接受駭客的指令

機密資訊經由C&C伺服器輾轉外洩


5 c c 2 2

5. 與C&C伺服器連線(2/2)

  • 殭屍電腦與C&C伺服器連線管道

    • IRC

    • IM/P2P

    • Tunnel

    • 社交網站

    • HTTP/ HTTPS


3360940

傀儡網路改用臉書控制

  • 新聞來源:iThome

  • 校園學術網路中,2010年初估有6成以上的電腦,都曾被植入惡意程式,淪為傀儡網路,目前發現,已經有駭客開始利用社交網路,例如改以臉書報到取代以往IRC的報到功能,迴避現行防毒軟體的偵測與封鎖

  • 負責控管學術網路(TANET)的國家高速網路與計算中心副研究員蔡一郎表示,校園學術網路中,2010年初估有6成以上的電腦,都曾被植入惡意程式,淪為傀儡網路(Botnet)。蔡一郎表示,從學術網路使用的狀況中也發現,已經有駭客開始利用社交網路,例如改以臉書報到取代以往IRC的報到功能,迴避現行防毒軟體的偵測與封鎖。

  • 所謂的「報到」指的是,駭客會從指令與控制伺服器(Command and Control Server)下指令,要求傀儡電腦回應指令,例如在臉書按讚等,以確認傀儡電腦的有效性。

  • 蔡一郎說,觀察這個擔任傀儡網路報到的臉書帳號,塗鴉牆留下的語言都不是人類的語言,都像是下指令的程式語言,而該臉書使用者的朋友們,也都不像有正常活動,都像是機器人程式一樣,彼此沒有互動,卻會定期出現看不懂的指令語言。他指出,長期觀察發現,這樣的臉書就是駭客�峔茩n求其他傀儡網路報到的指令與控制伺服器。

  • 除了利用社交網路外,賽門鐵克中國區技術支援部首席解決方案顧問林育民也說,在2011年,該公司也發現,陸續有駭客利用P2P的通訊協定作為傀儡網路報到的工具,而非使用常見的P2P工具,因為許多公司都封鎖常見的P2P軟體,但不一定封鎖未知的P2P通訊協定。林育民認為,傀儡網路P2P通訊協定報到將會是2011年駭客最常使用的手法之一。文☉黃彥棻


3360940

如何自保?

個人使用上網系統與機密系統雙系統隔離

使用具私密碟的隨身碟

避免使用線上交易

或採用指定帳戶轉帳


3360940

2008 威播科技新產品發表會


3360940

2008 威播科技新產品發表會


3360940

2008 威播科技新產品發表會


  • Login