1 / 77

從資安事件淺談資訊安全概念

從資安事件淺談資訊安全概念. 陳鴻彬 hbc@broadweb.com. 社交工程是網路犯罪最具威力的工具. 社群交友網站成幫兇. 微軟:電腦被駭 遭騙居多. 垃圾郵件減少,駭客轉向開發社交惡意程式. 社交網站虛擬豔諜 讓300官員中計. 2010-7-20. Facebook 安全再添疑慮. 最常被封鎖的網站是 Facebook. Facebook 開放廠商讀取用戶聯絡資訊. 在 Cyber Space 裡千萬別輕易相信任何人. 在網路上別亂交不認識的朋友. 你相信網路銀行的安全機制嗎?. RSA 遭駭被竊,雙因素認證產品安全性受質疑.

robbin
Download Presentation

從資安事件淺談資訊安全概念

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 從資安事件淺談資訊安全概念 陳鴻彬hbc@broadweb.com

  2. 社交工程是網路犯罪最具威力的工具 社群交友網站成幫兇

  3. 微軟:電腦被駭 遭騙居多

  4. 垃圾郵件減少,駭客轉向開發社交惡意程式

  5. 社交網站虛擬豔諜 讓300官員中計 2010-7-20

  6. Facebook安全再添疑慮

  7. 最常被封鎖的網站是Facebook

  8. Facebook開放廠商讀取用戶聯絡資訊

  9. 在Cyber Space裡千萬別輕易相信任何人 在網路上別亂交不認識的朋友

  10. 你相信網路銀行的安全機制嗎?

  11. RSA遭駭被竊,雙因素認證產品安全性受質疑 EMC執行總裁Art Coviello在官網上發出公開信表示,該公司SecurID技術資料遭竊。

  12. RSA遭駭被竊,雙因素認證產品安全性受質疑 • Art Coviello在官網上發出一封「致RSA客戶的公開信」表示,該公司在3月17日遭受類似先前Google所受的APT(先進持續威脅)網路攻擊,其中,包括該公司OTP(一次性密碼)Token產品SecurID的雙因素認證技術資料遭到外洩。 RSA遭駭客入侵,資料外洩事件波及SecurID雙因素認證的Token產品。 • Art Coviello則在公開信中強調,根據所清查的外洩資料,目前使用SecurID硬體Token產品的企業用戶不用擔心遭到任何攻擊,RSA除會立即提供客戶後續的因應對策外,RSA客戶和員工的個人資料也沒有遭到外洩。同樣的,EMC RSA臺灣分公司對此一遭受攻擊事件,目前皆不能對外發表任何意見。 • RSA可能喪失客戶的信任 • 這種APT的攻擊手法,很難在第一時間被發現,但對於以資訊安全為業的資安公司RSA而言,這起外洩事件,也讓RSA面對有史以來最大的客戶信心崩盤危機。 • 相較於EMC RSA公司的信誓旦旦,許多國外媒體與資安研究員認為,該公司揭露的資訊不足,企業應該要事先對SecurID的安全性存疑。像是設計Blowfish加密演算法的資安專家Bruce Schneier便撰文表示,資安是一種信任的行業,在RSA沒有公開真正被偷的資料內容為何,以及了解SecurID的加密演算機制時,無從評估這起事件的受害範圍,RSA的作法也失掉原有客戶的信任。 • RSA的SecurID是一種硬體的、一次性密碼的Token(權杖),其密碼產生方式則可以分成時間性(Time-Based)和事件性(Event-Based)兩種,所謂的時間性就是指在一定時間內,例如1分鐘內,就會亂數產生1組6位數的密碼,事件性則是指,在Token上每按1次按鈕後,就會產生1組密碼。 • 當企業員工要登入一些比較機敏性高的系統,例如企業VPN連線或者是機敏的IT系統,為了強化身分認證的安全性,除了要求員工輸入原本已知的帳號、密碼之外,還要求員工輸入另外手邊所擁有的認證密碼,目前最被普遍使用的就是OTP一次性密碼,而這種一次性的動態密碼除了類似RSA SecurID的硬體Token外,另外還有軟體OTP兩種形式。

  13. RSA遭駭被竊,雙因素認證產品安全性受質疑 • 並非所有RSA客戶都第一時間被通知到 • EMC RSA在臺灣使用SecurID的企業用戶,據了解,包括中華電信、Yahoo奇摩、銀行業者、電子商務業者、航空運輸業者、線上遊戲業者、高科技製造業與化妝品業者等。 • RSA在公開信中表示,將在第一時間主動與客戶聯繫相關事宜。中華電信表示,他們的確在第一時間就有收到系統廠商對此一事件的通知,也要求原廠進一步清查中華電信所產生的金鑰序號,是否也包含在此次外洩的資料範圍中,所幸並不在外洩的資料清單中。至於EMC RSA發生系統被駭、資料遭外洩的事件,對中華電信而言,他們更關心的是企業用戶認證金鑰的保管,會不會因為相關技術資料文件的外洩而出問題而已。 • 但也有企業未獲原廠或代理商相關通知。電源管理IC設計公司立錡科技資訊處處長王德劭表示,第一時間並沒有收到來自原廠或系統廠商,主動對於RSA SecurID技術資料外洩的任何說明,反而是從相關國外媒體報導上才知道這件事情。 • 另外,也有某全球性化妝保養品公司資訊部主管則表示,該公司依照全球一致的IT政策規範,在登入VPN時,都必須鍵入RSA SecurID上的一次性密碼以確保連線的安全性。但他指出,可能因為該公司只是全球的一間分公司而已,目前尚未接到來自總公司IT部門對使用RSA SecurID時的任何提醒。 • EMC RSA美國總公司應美國證管會要求,提供企業用戶後續的因應建議,據了解,EMC RSA也有提供一條直通美國總部的熱線,供既有的客戶做相關的資料查詢,甚至還可以更細部的提供EMC RSA因為這次攻擊事件所做的各種資安補強措施,以協助企業做好後續的資安強化動作。 • 企業客製化參數強化金鑰安全性 • 立錡科技雖然沒有第一時間被通知到相關的事件始末,但王德劭表示,就該公司既有的安全機制而言,還不用太擔心,因為該公司在使用RSA的產品時,就深信沒有百分之百的安全,所以在金鑰產生時,有客製化加入屬於該公司獨有的數值以提高金鑰的安全性。 • 某銀行業資訊處的中階主管也有類似的觀點。他表示,企業建置這種雙因素認證系統時,金鑰會保管在企業內部。他說,除非駭客竊取EMC RSA的技術文件,還能夠同時知道企業本身的金鑰,否則,對企業安全性的影響有限。

  14. RSA遭駭被竊,雙因素認證產品安全性受質疑 • 第一銀行雖然不是採用RSA SecurID的產品,但該公司通路系統開發部經理王致平表示,企業建置這樣的雙因素認證系統,每個使用者拿到的每一支Token會有不同的產品序號,所以在Token使用前,都必須和後端認證系統作同步登錄。他說,企業的認證伺服器本身也會有一組獨特的機碼,藉此去產生不同的金鑰數值,對於必須使用Token登入的系統,也會針對不同的系統加入不同的時間值、交易值和參數等,以確保系統和使用者的安全性。 • 企業應立即強化金鑰保存 • RSA和其他加密認證的公司一樣,所採用的加密演算法都是公開的演算法邏輯。臺灣科技大學資訊管理系教授吳宗成表示,就密碼學而言,只要有時間、成本和效能上的限制,這世上就沒有絕對安全的密碼。他認為,類似EMC RSA的事件發生,有兩種解決方式,第一種就是更換其他加密的演算法,另外就是加強金鑰的組成與保護。 • 吳宗成說,更換加密演算法不見得每個人都知道怎麼做,也不見得有其他更好的替代方案,但是,如果能夠做到強化金鑰的保管,可做到藉由強化管理補強技術的不足,包括強化認證系統所產生加密金鑰亂數必須具有不可預測性,以及這個亂數金鑰必須妥善的被保管在企業內,例如認證伺�A器做加密等,才是目前企業對於類似EMC RSA資安事件最務實的應對方式。 • 歷經此一事件,企業用戶對於EMC RSA還有信心嗎?王德劭表示,之前該公司是百分百使用RSA SecurID,未來會在成本與安全分散的考量下,搭配其他廠牌的Token產品。但他強調,即便認為該公司對企業用戶第一時間的危機處理方式並不好,但後續還是要看外洩資料內容為何,以及後續的處理方式,才能夠確認對RSA是否還具有足夠的信心,才知道未來選商時,是否還會納入該公司。文☉黃彥棻

  15. 使用網路銀行線上交易要非常小心 網路銀行最好只用來查詢帳戶往來內容,盡量避免線上交易 若非得要採用線上交易,建議採用指定轉帳方式

  16. 別在IE上記憶帳號資料

  17. Google揭露的IE零時差漏洞出現攻擊

  18. 不安全的已不只是PC而已 MAC、智慧型手機, 未來的資訊家電,物聯網…..

  19. Mac OS X木馬套件蠢蠢欲動

  20. Skype for Mac含有零時差攻擊漏洞

  21. 資安公司首度發現OSX殭屍套件

  22. 連Apple也淪陷了,那Android呢? 小心Apple Store上的應用程式

  23. P2P、Stream Media 好用、方便…背後潛藏的危機與代價 FOXY、BT、迅雷(Thunder)… PPStream (PPS)….

  24. 發現大量企業資料P2P網路外洩

  25. 維基解密利用P2P網絡竊取機密信息 網路安全專家研究發現,維基解密一直在利用P2P網路搜索機密資訊

  26. Foxy P2P造成線民資料外洩

  27. Ctrl + Alt+ Delete

  28. 天下沒有白吃的午餐,用P2P、Stream Media會有潛在的代價 電腦上的機密資料會不小心分享出去 個人電腦會變成網路上的伺服器 除了影響下載的頻寬,還會吃掉上傳頻寬,結果就是網路會變很慢(ADSL更嚴重)

  29. 個資外洩事件與個資法探討

  30. Sony個資外洩:台灣25.5萬PSN會員受累

  31. 人事行政說明個資外洩 :內部疏失

  32. 案例 • 2009年3月,香港聯合醫院一位醫師,遺失了存有47名病患個人資料的隨身碟 • 引起相關單位重視 • 2009年5月,美國加洲柏克萊醫療中心的資料庫,遭到駭客入侵 • 竊取了社會安全卡號和健保資訊 • 估計近16萬人受到影響 • 2009年11月,台大醫院發生了近年來第2次的電腦當機事件 • 造成掛號、病歷查詢和領藥系統的失效 • 影響上千名病患的就醫權益 • 幸好未造成延誤就醫而影響生命安全的事件發生 資料引用:2010年3月號網管人雜誌

  33. 資料外洩三要素

  34. 各產業對資料外洩防護的不同需求

  35. 違反個資法之計算

  36. 個資法第二十七條 個資法第二十九條 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。

  37. 醫療資訊安全防護架構 IPS入侵防禦系統 內網流控系統 內容備份/側錄系統 記錄存查外流資訊 終端實體隔離 雙網電腦 醫療機構 辦公網 醫療資訊網 IPS入侵防禦 抵禦外來威脅 內網流控檢視 控管內部流量 Botnet活動監控 HIS/PACS CIS/RIS… 自動線路 切換裝置

  38. 問題嚴重的殭尸網路(BotNet)

  39. 駭客天堂!臺灣名列全球第四

  40. 台大雲林分院資安健診高度與嚴重攻擊事件列表 TOP 10

  41. BotNet的組成 • 殭屍電腦(zombie) • 遭受bot入侵感染的電腦 • 於背景執行惡意程式 • 常為木馬程式或蠕蟲 • 這些惡意程式統稱為bot • 控制命令伺服器(C&C Server) • Control & Command Server • 駭客下達命令及接收資訊的中繼站 • 殭屍惡意程式及組態更新來源 • 殭屍網路操控者(botmaster) • 透過C&C Server下達指令控制殭屍電腦的駭客 • 透過C&C Server瞭解BotNet版圖

  42. BotNet的危害 • SPAM • 廣告軟體 • DDoS • 竊取金融帳號密碼 • 間諜網路 • 竊取個資

  43. 1. BotNet是DDoS攻擊的幕後黑手 1/3 殭屍電腦:嗨!我是殭屍電腦第XX號,我已經受到感染,向指定C&C伺服器報到註冊 48

  44. 1. BotNet是DDoS攻擊的幕後黑手 2/3 Botmaster:向 x.x.x.x 電腦發動DDoS攻擊 49

  45. 1. BotNet是DDoS攻擊的幕後黑手 3/3 無辜第三者遭到大量殭屍電腦的DDoS攻擊!! 50

More Related