Download
1 / 128
1.31k likes | 1.61k Views
資訊安全基礎認知. 主講人 查傳憲 . 資訊安全基礎認知. 前言 電子資料的特性與資訊安全 資訊世界的潛在威脅 電腦病毒簡介 自我安全防護 社交工程 網頁惡意掛馬 網路存取控制 Network Access Control ( NAC ) 媒體儲存安全 資訊安全管理系統認證簡史 資訊安全管理系統 資安案例說明. 一、前言. 由一個著名的作家 、一本超流行的著作-丹.布朗的 「 達文西密碼 」 說起. 丹.布朗的 5 部偉大的著作 - 「魔鬼與天使」、「數位密碼」、「大騙局」、「 達文西密碼 」與「失落的符號」 。 先知與大器晚成的作家。
E N D
資訊安全基礎認知 主講人 查傳憲
資訊安全基礎認知 前言 電子資料的特性與資訊安全 資訊世界的潛在威脅 電腦病毒簡介 自我安全防護 社交工程 網頁惡意掛馬 網路存取控制Network Access Control (NAC) 媒體儲存安全 資訊安全管理系統認證簡史 資訊安全管理系統 資安案例說明
由一個著名的作家、一本超流行的著作-丹.布朗的「達文西密碼」說起由一個著名的作家、一本超流行的著作-丹.布朗的「達文西密碼」說起 • 丹.布朗的5部偉大的著作-「魔鬼與天使」、「數位密碼」、「大騙局」、「達文西密碼」與「失落的符號」 。 • 先知與大器晚成的作家。 • 一本「駭客」與「悍克」的必讀的教戰手冊「數位密碼」 。 • 密碼的戰爭與資訊安全。
(一)電子資料的特性 1. 資訊內容是:磁性物質的磁化狀態及半導體物質的電子狀態 (0與1)電磁波或光、電訊號 2. 儲存媒體是:磁片或記憶體晶片、電纜線、光纖或大氣層(無 線通信) 3. 在處理、儲存及傳輸過程中容易被篡改、 變造 而不留痕跡
(二)資訊安全技術的普及 1. 十九世紀末期,電報日益普及,於軍事、外交商業等需要注意資訊安全的環境中,已大量使用密碼技術處理(例:清光緒五年(西元1879年),清朝已開始使用密電)。 2. 隨著電子科技的一日千里,資訊設備已進入社會大眾的生活中,密碼技術的日益普及已指日可待。 3. 資訊安全是科學(數學)、工程、社會學等的「跨領域」整合技術。
(三)資訊犯罪的特性 1. 具有高度專業性: 民國八十二年五月,台灣地區破獲的首次偽造金融卡案,即為典型。 2. 與行為人職務關係密切: 民國八十四年六月,台灣地區破獲有史以來人數最多的(32官、23商)的隱私權案,即為典型。 3. 具有經濟犯罪性質: 民國八十四年八月,台灣地區爆發的一百億元國票事件案,即為典型。
4.偵察困難、蒐證不易: 民國八十四年十二月,台灣地區發生的對美國柯林頓總統的電子郵件恐嚇信案,即為典型。 5. 犯罪技術可遙控犯罪且犯罪行為人常甚少或無犯罪感: 民國八十四年十一月,第一個被稱為悍客(Craker) 的資訊安全專家 Peal 駭客(Hacker)被捕例,即為典型。 6. 智慧型犯罪: 民國八十五年二月,台灣地區爆發的積體電路佈局被離職員工修改案,即為典型。
1. 環境的威脅:15~17%: ˙火災(10%~12%) ˙水災(5%~7%) ˙意外性災害如地震(比例很低,但會釀成巨禍) 2. 人的威脅:佔83%~85%: (1)內部人員(80~85%): ★人為疏忽及犯錯(約60%)。 ★不誠實的員工(約10%)。 ★心懷怨恨的員工(約10%)。 (2)外部人員(3%~5%) ★網路悍客(Hacker)。 ★電腦病毒(Viruses)及其他惡意的軟體。 ★網蟲(Worms)。 ★從電子佈告欄上抄來的非法軟體、檔案資料。 ★竊聽電波而譯出其上傳輸的訊息。
380,000件攻擊事件 133,000件被阻隔(35%) 安全防護機制 247,000件侵入成功(65%) 9880件被偵測到(4%) 237,120件未被偵測到(96%) 2668件被通報(27%) 7212件未被通報(73%) 美國國防部資訊系統防衛署(DISA)之資訊系統安全弱點評估 一、測試時間:2008~2009。 二、測試結果:
外部人員造成之資訊安全一些實例 • Nov. 1988 Morris Worm造成6000部以上之電腦當機每部 2小時以上。 • Mar. 1989 West German Spy Rings Attacks U.S.Computers。 • May 1990 Hackers Run Up 50 Million Phone Bill。 • Feb. 1995 Kevin Miltonic第三次因電腦犯罪就擒。 • Mar. 1995由2個美國人、2 個荷蘭人、1 個以色列人等6 人組成的電腦犯罪團體非法侵入花旗銀行現金管理電腦系統,將許多存戶2 仟8佰萬美金的存款轉到他們設在其他國家至少12個不同的銀行帳戶中,僅得手40萬美金的主嫌在AOSaturn軟體公司工作的俄羅斯人Vladimir Levin在倫敦機場被捕。
外部人員造成之資訊安全一些實例 • AOL釣魚客面臨101年刑期【譯自2007/1/16 CNET News. com】 Jeffrey Brett Goodin日前假冒AOL收款部門寄出電郵給他們的使用者,指引他們到一個偽裝的網站去更新帳戶資料,藉此得到這些客戶的信用卡號等重要資訊,再冒用信用卡購物。他被起訴多項罪名,包括:網路詐欺、未經授權冒用信用卡、濫用AOL商標等十項,被起訴刑期高達101年。
外部人員造成之資訊安全一些實例 • 木馬偷窺即時通駭客抓劈腿【2007/8/25 聯合報】十多名社會新鮮人,竟花6,000元向任職電子工程師的駭客求助,入侵女友或另一半的電腦,窺探她們在即時通訊與人對話的隱私,警方日前逮捕該名駭客移送偵辦,並將約談入侵女子電腦的男子到案函送法辦。
外部人員造成之資訊安全一些實例 • 熊貓燒香病毒製造者被批准逮捕【2007/3/17 新聞晨報】¡轟動全國的「熊貓燒香」病毒製造者李俊涉嫌「破壞電腦資訊系統罪」,15日被湖北省仙桃市檢察院批准逮捕。據李俊的辯護律師介紹,他對自己的行為非常後悔,並表示將來願意做義工向社會贖罪。
外部人員造成之資訊安全一些實例 • 讓沒有進入權利的人或系統能夠未經授權地使用他人資源。目的在破壞資訊的機密性。【例如:木馬偷窺即時通】 • 讓惡意的人或系統能夠干擾或阻斷他人網路或服務。目的在破壞資訊的可用性。【例如:熊貓燒香病毒】
外部人員造成之資訊安全一些實例 • Elk Cloner是最早期的電腦病毒(virus),1982年由一位15歲的學生Rich Skrenta寫在Apple II電腦上,以軟碟為感染媒介。 • 使用受感染的磁片開機50次,就會在銀幕上出現一首打油詩。
外部人員造成之資訊安全一些實例 • Melissa為1999年由電子郵件傳播的Word巨集病毒,他會利用受感染電腦的電子郵件通訊錄,發出50封病毒郵件,數小時之內就可以傳遍全球。 • Code Red蠕蟲(worm)利用當時微軟作業系統的瑕疵,在2001.7.19一天內,讓全球359,000台電腦同步受到感染。 • 2004年的Witty 蠕蟲攻擊Internet Security Systems(ISS)公司的防火牆及其他資訊安全產品的漏洞,在2個小時內癱瘓全球12,000 台電腦,受害者都是裝備有安全防護的主機。 • 其他案例將在下堂「法規與案例說明」中詳述。
是一個寄居在其他程式上的小軟體,通常他只有兩大目的:傳染給別台電腦並讓受害電腦不能運作。是一個寄居在其他程式上的小軟體,通常他只有兩大目的:傳染給別台電腦並讓受害電腦不能運作。
電腦病毒傳染有三個途徑: • 經由受感染的可移式媒體(removable media) 如軟碟、CD ROM、USB碟傳染給其他電腦。 • 經由電子郵件的附件傳染,這類病毒常再利用受害者的通訊錄傳送病毒給更多的潛在受害者。 • 附著在別的「正常」軟體上。尤其越來越多人肆意的從網路上下載軟體,卻未細究該軟體是否已受感染。
網路蠕蟲 • 雖然「蠕蟲」 (worm)與「病毒」(virus)兩個名詞常被混用。 • 在正式定義上,兩者的差異在於: • 蠕蟲可以自己存在,不需要寄生於別的程式或檔案。蠕蟲複製自己後,可以自行在網際網路上傳播,不需靠人的參與。 • 病毒則否。
網路蠕蟲 • 蠕蟲造成的傷害經常範圍極廣,因為蠕蟲在受害電腦上大量複製,再經由郵件通訊錄上的地址或TCP/IP位址傳播。 • 蠕蟲快速複製與傳播的能力常大規模地占用系統資源(如記憶體) 與網路頻寬,導致網站、網路服務、與電腦系統無法正常運作,形成阻斷服務(DoS) 的結果。
木馬程式 • 木馬程式可以自行存在,但不以複製或擴散為目的。它看似好的程式,卻暗藏惡意。例如一個網路上下載的電玩程式,卻同時在收集系統裡的密碼檔案。 • 偵測木馬程式有時並不容易,因為它執行起來像是一個正常的應用程式。 • 此外,較新的木馬程式也會使用躲避監視的手法。不同於病毒或蠕蟲只會產生破壞,木馬程式可能為攻擊者帶來利益,因此木馬攻擊似有凌駕前兩者的趨勢。
木馬程式 • 一位19歲的俄國駭客在1999年侵入CD Universe,盜取30萬筆信用卡資料。在勒索十萬美元贖金未遂後,他將其中的數千筆資料公布在網際網路上。 • 2000年9月,全球首屈一指的金融服務機構Western Union 關閉網站五天,因為遭到駭客入侵並盜走一萬五千筆信用卡資料。駭客利用系統維修時沒有防火牆的15分鐘空檔入侵。
木馬程式 中共駭客入侵五角大廈【2007/09/10 聯合報】 • 美國國防部的情治報告指出,中共計畫在2050年之前取得壓制全球敵人的「電子優勢」,尤其是針對美、英、俄與南韓等國;為了達成這項目標,中共解放軍的兩名空軍軍官已擬具發動毀滅性網路攻擊的計畫,企圖癱瘓美軍的航空母艦戰鬥群。 • 西方媒體上周報導,中共解放軍的駭客今年六月入侵美國國防部的電腦系統,並經常滲透英國政府十個部門的電腦,竊取軍事檔案等機密。中國駭客今年也曾滲透德國政府的電腦系統。
資訊安全弱點與威脅 • 弱點: • 是導致威脅發生的原因,不會直接導致資訊資產的損害 • 常見的弱點: - 未受訓練或未俱備安全認知的人員 - 錯誤的選擇及使用密碼 - 缺乏存取控制、資料沒有備份...
資訊安全弱點與威脅 • 威脅: • 任何會直接導致資訊資產受到損害的人事物 • 常見的威脅: - 人員操作錯誤、惡意破壞資訊及設備 - 病毒感染、駭客入侵 - 社交工程
防毒軟體 • 為什麼我需要防毒軟體? • 您的防毒軟體是否有定期更新病毒碼? • 有了防毒軟體是否還需要個人防火牆?
防毒軟體 防毒排名防毒軟體評比2010 June 1. G DATA 2008 version 18.2.7310.844 - 99.05% 2. F-Secure 2008 version 8.00.103 - 98.75% 3. Trust Port version 2.8.0.1835 - 98.06% 4. Kaspersk y version 8.0.0.357 - 97.95% 卡巴斯基 5. E Scan version 9.0.742.1 - 97.44% 6. The Shield 2008 - 97.43% 7. AntiVir version 8.1.00.331 Premium - 97.13% 8. Ashampoo version 1.61 - 97.09% 9. Ikarus version 1.0.82 - 96.05% 10. AntiVir version 8.1.00.295 Classic - 95.54% free top one 11. AVG version 8.0.100 Free - 94.85% 12. BitDefender 2008 version 11.0.16 - 94.70% 13. Avast version 4.8.1201 Professional - 93.78% 14. Nod32 version 3.0.650.0 - 93.36% 15. F-Prot version 6.0.9.1 - 91.87% 16. Bit Defender version 10 Free - 91.32%
防毒排名防毒軟體評比2010 June 17. ArcaVir 2008 - 88.65% 18. Norman version 5.92.08 - 87.72% 19. Vba32 version 3.12.6.6 - 87.21% 20. McAfee Enterpise version 8.5.0i - 86.57% 21. McAfee version 12.0.177 - 86.39% 22. Rising AV version 20.46.52 - 85.87% 23. Norton 2008 - 83.34% --------------- 諾頓 24. Dr. Web version 4.44.5 - 82.87% 25. Antiy Ghostbusters version 5.2.3 - 80.23% 26. VirusBuster version 5.002.62 - 77.19% 27. Outpost version 6.0.2294.253.0490 - 75.35% 28. V3 Internet Security version 2008.05.31.00 - 75.23% 29. ViRobot Expert version 5.5 - 74.50% 30. Virus Chaser version 5.0a - 73.65% 31. A-squared Anti-Malware version 3.5 - 71.66% 32. PC Tools version 4.0.0.26 - 69.82% 33. Trend Micro Antivirus + Antispyware 2008 version 16.10.1079 - 67.28% ----------趨勢
密碼猜測攻擊 • 使用者名稱(username) 與密碼(password) 是時下電腦、系統、與網路身分認證最常用的方法。 破解密碼的手法不外以下幾種: • 以電腦重複去試各種可能的密碼。 • 以社交工程、網路釣魚、或使用中間監看工具來騙取密碼。 • 由於許多使用者不願費心記憶密碼,故以直覺或觀察法也甚為有效: • 可以先試8////9,812349, abcd9, password之類的懶人密碼;或是輸入使用者名稱,許多人將這兩者設為相同。 • 若可取得私人資料,則試其配偶、子女之姓名拼音或生日,或以上合併。 • 觀察當下環境裡是否有適合做為密碼的字,例如網址、網名、廣告詞等。 • 看看鍵盤下面、螢幕後面的小紙條,說不定會有意外的驚喜。
設定密碼的小技巧 • 以注音輸入法按鍵來當成密碼: 你好嗎 → Su#cla#8& • 以英文字或數字穿插: Sister + 456789 → S4i5s6t7e8r9 • 將英文字母往前位移: Birthday往前位移1個字母 → Ahqsgczx • 以英文的一句諺語或一段歌詞取每個英文字字首當成密碼: Best wishes for a happy New Year!→BwfahNY!
電腦檔案安全 • 使用密碼保護:微軟Office系列-「工具」→「選項」,然後選擇「安全性」標籤,在「保護密碼」項目中輸入密碼
電腦檔案安全 • 將文件檔案加密: 選擇要加密的檔案或資料夾, 按滑鼠右鍵選擇「內容」→ 「進階」→ 勾選「加密內容,保護資料」
電腦檔案安全 • 設定檔案使用權限: 我的電腦→工具→ 資料夾選項→ 檢視→ 將「使用簡易檔案共用(建議使用)」打勾取消。接著,選取檔案按滑鼠右鍵後,點選內容→安全性,即可去對權限做修改。
小心隱私的潛在危機-cookie 去過哪些網站、輸入過哪些資料、帳號、密碼都是資料可能外洩的來源!(控制台→網際網路選項)
小心隱私的潛在危機 (工具→清除隱私資料選項)
解決惱人的彈出視窗 • 可利用Windows XP SP2,Explorer中的快顯阻擋選項(IE工具快顯封鎖程式) • 可安裝各入口網站所提供免費ToolBar,這些ToolBar 都具有阻擋彈跳視窗功能, 包括Google、Yahoo或MSN等 • 很多防毒軟體、網路防護工具亦提供阻擋彈跳視窗功能,若有安裝這些軟體,記得將阻擋彈跳視窗設定開啟
社交工程攻擊之定義 • 利用人性弱點、人際交往或互動特性所發展出來的一種攻擊方法 • 早期社交工程是使用電話或其他非網路方式來詢問個人資料,而目前社交工程大都是利用電子郵件或網頁來進行攻擊 • 透過電子郵件進行攻擊之常見手法 • 假冒寄件者 • 使用讓人感興趣的主旨與內文 • 含有惡意程式的附件 • 利用應用程式之弱點(包括零時差攻擊)
社交工程攻擊模式 Internet • 後門程式逆向連接,向遠端駭客報到 • 駭客設計攻擊陷阱程式(如特殊Word檔案) • 受害者開啟電子郵件 • 將攻擊程式埋入電子郵件中 • 啟動駭客設計的陷阱,並被植入後門程式 • 寄發電子郵件給特定的目標
只要是軟體即有可能存在弱點,若未能及時修補弱點,即可能讓駭客入侵成功只要是軟體即有可能存在弱點,若未能及時修補弱點,即可能讓駭客入侵成功 軟體弱點在沒有任何修補方式之前,出現相對應的攻擊行為時,此類攻擊稱為「零時差攻擊(Zero-day Attack)」 攻擊程式碼出現 軟體弱點與零時差攻擊 安全時期 危險時期 安全時期 弱點被發現 修補程式公告 18 個 月
社交工程範例 • 社交工程駭客(學務處的同仁嗎?您好!我這裡是電算中心,為測試系統新功能,可以給我您的密碼嗎?我幫你測試新系統是否可用。 )→ 內部員工
網路釣魚 • 網路釣魚(Phishing)是常見的透過電子郵件手段的一種網路社交工程;籍由誘惑使用者點選網頁連結(利用預覽功能,甚至不必等使用者點選!)或打開副加檔案以植入惡意程式(例如:木馬、後門等)。
網路釣魚範例 • http://www.paypal.com • http://www.paypa1.com
