Download
1 / 112
1.12k likes | 1.25k Views
網路法律安全. 講者:陳建源 教授 國立高雄大學資訊工程系. 大綱. 一 . 簡介 技術 - 電腦病毒與入侵攻擊 三 . 實際案例與法條 四 . 結論. 一 . 簡介. 電腦病毒 入侵攻擊. 技術. 刑法第 36 章「妨害電腦使用入侵攻擊 」 電腦處理個人資料保護法 著作權法. 法律. 網路. 教育. 資訊安全. 一 . 簡介. 法律條文:刑法第三六章 妨害電腦使用. 本罪為告訴乃論罪. 一 . 簡介. 法律條文:刑法第三六章 妨害電腦使用. 本章之罪為告訴乃論罪. 一 . 簡介. 工業產權 著作權 .
E N D
網路法律安全 講者:陳建源 教授 國立高雄大學資訊工程系 大綱 • 一. 簡介 • 技術-電腦病毒與入侵攻擊 • 三.實際案例與法條 • 四. 結論
一.簡介 電腦病毒 入侵攻擊 技術 刑法第36章「妨害電腦使用入侵攻擊」 電腦處理個人資料保護法 著作權法 法律 網路 教育 資訊安全
一.簡介 法律條文:刑法第三六章 妨害電腦使用 本罪為告訴乃論罪
一.簡介 法律條文:刑法第三六章 妨害電腦使用 本章之罪為告訴乃論罪
一.簡介 工業產權 著作權 包括發明(專利)、商標、工業品外觀設計以及原產地地理標誌等專利保護期一般20年,工業設計保護至少10年,而商標則可無限期保護 智慧財產 指屬於文學、科學、藝術或其他學術範圍的創作,共11類。語文、音樂、戲劇和舞蹈、美術、攝影、圖形、視聽、錄音、建築、電腦程式、表演。 著作權持續到作者逝世後至少50年。 網路世界對智慧財產帶來的衝擊 1. copy 2. Hyperlink對著作權之影響 3. Open source之衝擊
二、技術-電腦病毒與入侵事件 1. 簡介 2. 電腦病毒的基本原理與結構分析 3.偵毒與解毒 4.預防重於治療 5.電腦病毒例子 6.入侵攻擊
二.技術-簡介 五官 額葉、顳葉、頂葉,枕葉 大腦皮層 海馬體 說,動作
二.技術-簡介 空間 執行力 視覺 聽覺和語言 大腦皮質據估計有大約一千億個神經元,而小小的小腦皮質甚至有更多神經元,估計大約有一兆個。而以整體來說,腦部實際存在的神經元應超過一兆個。每個神經元都還存在與其他神經元的多重連結。神經細胞會延伸出樹突,樹突又會增加刺突,以增進連結能力。沿著刺突,會有多個突觸。在神經元的軸突末梢,也會有包括突觸的軸突終端。突觸才是腦內真正發揮作用的地點。每個神經元在工作時都是透過突觸與多個神經元「交談」,而且大多都是「與多方同時交談」;而與自己交談的那些神經元,也正與其他神經元交談(這種互動中的神經元,專業上稱為「神經迴路」。 ref: http://www.chineseteachlearn.com/creativemind_lrbrain_networkhtm
二.技術-簡介 在第四個月時,就有2000億個神經元。 在第五個月時,一半的神經元未能與其他區域連結而凋亡 (防止過度擁擠)。 在第十個月時,未受髓鞘保護、未連結的就不活潑 (與營養有關)。 3歲以前,80%的突觸(synaptic)已經有連結。 3-10歲,環境愈豐富連結就愈多。 11-13歲青春期神經元連結放緩,二個過程啟動: 腦內有用的連結被永久保留。 沒用的被刪節(凋亡)。 形成獨特的腦神經結構模式。 硬體架構差不多建好 加強軟體建設 ref:http://residence.educities.edu.tw/wei3128/weicognition/brainbased1.htm
二.技術-簡介 記憶空間是否不足? 人的記憶好,運作的速度也快,如果一生中每一秒都儲存一千個位元新資訊到大腦的記憶體,也只用到全部儲存空間的一小部份而已.所以不必煩腦的記憶空間不足. 何時記憶最佳? 人在放鬆狀態下,大腦進入θ波狀態中,產生更大的能量波動,它會重組神經連接,使腦細胞間產生新的、更豐富、更複雜的互通, 醒睡之間
二.技術-簡介 如何產生短期記憶? 五官輸入,如閱讀。資料將存放在大腦皮層(memory)中 。 資料定義為input values 如何產生長期記憶? 執行copy動作,將資料由大腦皮層(memory)中 , 移至海馬體(disk)。 回想 -所讀的過程 如何執行copy動作呢? 此時存入海馬體仍為資料
二.技術-簡介 五官 額葉、顳葉、頂葉,枕葉 大腦皮層 海馬體 說,動作 Input鍵盤 (五官) CPU (額葉、顳葉、頂葉,枕葉) (Memory (大腦皮層) Disk (海馬體) Output螢幕 (說,動作)
二.技術-簡介 1. 何謂電腦病毒 電腦病毒(Computer Virus)一種能透過磁碟、網路等媒介,傳染給電腦中其他檔案的程式碼。 2. 電腦病毒有四種行為特性 • 寄生 ── 附加:長度增加,流行高;覆蓋:破壞程式,流行低 (2) 繁衍 (3) 感染 ── 以次數而言:分單一感染及重感染。 以行為而言:分常駐:(在memory中)life長,可由中斷 向量表比較得知;直接:life短,無跡可尋 以途徑而言:儲存媒體、網頁瀏覽與下載檔案、區域網路、 Email、即時傳訊軟體 (4) 發病 ── 以破壞的程度來分 徹底破壞:如磁碟格式被破壞,必需低階格式化。 部份破壞:如整個file被破壞。 選擇性破壞:如 .exe 檔。 網路飽和:消耗資源;惡作劇; 偷錢或盜打國際電話。
二.技術-簡介 NOTE1:潛伏期:從感染至發病之期間,正是一般偵毒程式之工作時。 NOTE2:只含有部份特性之程式,稱為類病毒(quasi-virus)。 類病毒的分類: (1) 非寄生:蠕蟲(自己複製自己),如1987之CHRISMAS。 (2) 非繁衍: (a) Torojon Horse 木馬或間碟,流行於BBS。 (b) 邏輯炸彈(報復之工具)依日期,時間引爆。 特洛伊木馬程式不像電腦病毒一樣會感染其他檔案,特洛伊木馬程式通常都會以一些特殊管道進入使用者的電腦系統中,然後伺機執行其惡意行為(如格式化磁碟、刪除檔案、竊取密碼等),Back Orifice特洛伊木馬程式便是一個案例,透過該程式電腦駭客便有機會入侵主機竊取機密資料。 一般會偽裝成某種有用的或有趣的程式,比如螢幕保護程式、算命程式、電腦遊戲等,但是實際上卻包藏禍心,暗地裡做壞事;它可以破壞資料、騙取使用者密碼。 • 電腦蠕蟲不會像電腦病毒程式一樣感染其他檔案,但『本尊』會複製出很多『分身』,就像西遊記中的孫悟空一樣,拔幾根毛就可以複製出幾個分身,然後像蠕蟲般在電腦網路中爬行,從一台電腦爬到另外一台電腦,最常用的方法是透過區域網路(LAN)、網際網路(Internet)或是 E-mail 來散佈自己。著名的電腦蠕蟲『VBS_LOVELETTER』就是一個例子。 NOTE3:Carrier 帶原者:含有 computer virus 之程式
二.技術-簡介 3. 電腦病毒的相關性質 生命週期: 創造期;孕育期 ;潛伏期 ;發病期 ;根除期 藏身之處: boot sector (啟動磁區),檔案配置表中“不良”記號之磁區,磁軌41(track 41),磁軌之空隙(gap),分區記號(partition record),exe,com,ovl,sys檔,hidden file,data file。 exe com, boot sector, partition record, device driver, overlay file 病毒入侵之所 病毒的徵狀(symptom) 螢幕異常,load time變長,memory 較正常為少,不正常hard disk 存取,file 消失,file 日期不正常修改,file 長度不正常增加。 病毒的命名 發現者、地,增加長度,中毒訊息,病發特性。
一.簡介 4. 電腦病毒的歷史 1960:第一個病毒,Hacker,出現於MIT,擾亂使用者工作。 1984:Cohen正式命名為Computer Virus。 1988:*Morris,康乃爾大學研究生,釋放一個worm。 四個途徑進入電腦系統: (1.) 利用電子郵件的SEND MAIL程式中的漏洞、錯誤(hole; bug); (2.) 利用finger demon程式;這個程式是用來讓網路上使用人可以藉由這個 程式來發現其他同時使用這個電腦網路的類似尋人程式; (3.) 利用授權(trusted host feature)的方式;這種網路使用行為是讓網路使用 人,在經自己網路的授權使用後,即可不必再有其他的通行碼 (password)就可以進入其他網路享受相同的使用權限; (4.) 利用猜解網路通行碼程式(program of password guessing)。 結果:1990年被判刑$10,000罰款,400小時社區服務,3年緩刑,共有6000台電腦shut down,損失金額10萬美金至9千7百萬元。
二.技術-簡介 4. 電腦病毒的歷史 美國《Techweb》網站日前評出了20年來,破壞力最大的10種電腦病毒:
二.技術-簡介 4. 電腦病毒的歷史
二.技術-簡介 4. 電腦病毒的歷史
二.技術-簡介 5.電腦病毒的分類 感染的對象:開機型病毒、檔案型病毒、混合型 傳染的方式:常駐型病毒 、非常駐型病毒 發病的情形:破壞磁碟資料 、開玩笑 • 開機型病毒是藏匿在磁碟片或硬碟的第一個磁區。因為DOS的架構設計,使得病毒可以於每次開機時,在作業系統還沒被載入之前就被載入到記憶體中,這個特性使得病毒可以針對DOS的各類中斷 (Interrupt) 得到完全的控制,並且擁有更大的能力去進行傳染與破壞。 • 軟碟──啟動磁區(boot sector) • 硬碟──分割表(partition table) • 如C-Brian,Disk-Killer • 傳統的執行檔, 如:.EXE、.COM 。 • 含有 VBA 巨集的文件檔案, 如 .DOC、.XLS 的檔案, 如 Taiwan NO.1。 • 由 VBScript 或 JAVAScript 描述語言撰寫出來的病毒, 這類病毒檔案的副檔名為 .VBS、.JS。 • 複合型病毒兼具開機型病毒以及檔案型病毒的特性。它們可以傳染 *.COM,*.EXE 檔,也可以傳染磁碟的開機系統區(Boot Sector)。由於這個特性,使得這種病毒具有相當程度的傳染力。一旦發病,其破壞的程度將會非常可觀! 例如:台灣曾經流行的大榔頭(Hammer),歐洲流行的Flip翻轉病毒和塑膠炸彈(plastique) 以特徵而分:傳統有病毒樣碼 、新生可更改病毒樣碼 以internet來分: 第一代病毒(傳統型病毒)的共同特色,就是一定有一個「寄主」程式 第二代病毒完全不需要寄主的程式,如果硬要說它寄生在哪裡,或許只能說它是寄生在「Internet」上。
二.技術-電腦病毒的基本原理與結構分析 1. 病毒感染的基本原理 (1)開機型 病毒進入點→ ←病毒進入點(1) ←病毒進入點(2)
二.技術-電腦病毒的基本原理與結構分析 1. 病毒感染的基本原理 (2) 檔案型-常駐型
二.技術-電腦病毒的基本原理與結構分析 1. 病毒感染的基本原理 (2) 檔案型-非常駐型 (2) 檔案型-混合型
二.技術-電腦病毒的基本原理與結構分析 為什麼病毒喜歡感染.EXE檔? 一般檔案分為資料檔、批次檔及可執行檔(.COM OR .EXE) 若感染資料檔,易被發現,且傳播將被中斷。 若感染批次檔,易被發現。 感染執行檔的優點:(1) 可繼續傳播 (2)不易被發現(原碼為機器碼) .COM與EXE之比較 .COM:其程式區(CODE)、資料區(DATA)、堆疊區(STACK)均在同節區(segment),最多有64K memory。 優點:程式少,載入速度快。 缺點:無法提供大程式執行。 .EXE:其3區均由使用者安排到不同節區,空間較大。 COM與EXE載入MEMORY不同。
二. 技術-電腦病毒的基本原理與結構分析 2.病毒的結構分析 病毒放在前端 (1)COM
二.技術-電腦病毒的基本原理與結構分析 2.病毒的結構分析 病毒放在前端直接覆蓋 (1)COM
二. 技術-電腦病毒的基本原理與結構分析 2.病毒的結構分析 (1)COM 病毒放在後端
二. 技術-電腦病毒的基本原理與結構分析 2.病毒的結構分析 (1)COM 病毒放在後端
二. 技術-電腦病毒的基本原理與結構分析 2.病毒的結構分析 (1)COM 病毒放在後端
二. 技術-電腦病毒的基本原理與結構分析 2.病毒的結構分析 (2)EXE檔
二. 技術-偵毒與解毒 1. 如何偵測電腦病毒 所謂的病毒樣碼其實可以想像成是犯人的特徵,當防毒軟體公司收集到一隻新的病毒時,他們就會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的二進位程式碼 (Binary Code),來當做偵測此病毒的依據,而這段獨一無二的二進位程式碼就是所謂的病毒樣碼。 病毒樣碼掃描法 有3種方式 連續式:病毒樣碼為一串連續的位元組。 間續式:病毒樣碼為幾串連續的位元組。 定址連續式:病毒樣碼為某固定位址之一串連續位元組。 優點:長度較短,固位址固定,不易誤判。 一般scan的次序:先scan .EXE .COM之樣碼比對。再BOOT與partition之樣碼比對。
二. 技術-偵毒與解毒 1. 如何偵測電腦病毒 加總比對法(Check-sum) 根據每個程式的檔案名稱、大小、時間、日期及內容,加總為一個檢查碼,再將檢查碼附於程式的後面 這種技術可偵測到各式的病毒,但最大的缺點就是誤判斷高,且無法確認是哪種病毒感染的。對於隱形飛機式病毒,亦無法偵測到。 人工智慧陷阱(Rule-based) 人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來,一旦發現記憶體的程式有任何不當的行為,系統就會有所警覺,並告知使用者。這種技術的優點是執行速度快、手續簡便,且可以偵測到各式病毒;其缺點就是程式設計難,且不容易考慮週全。不過在這千變萬化的病毒世界中,人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點。
二. 技術-偵毒與解毒 1. 如何偵測電腦病毒 軟體模擬掃描法 軟體模擬技術專門用來對付千面人病毒(Polymorphic /Mutation Virus)。千面人病毒在每次傳染時,都以不同的隨機亂數加密於每個中毒的檔案中,傳統病毒樣碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執行,在其設計的DOS虛擬機器(Virtual Machine)下假執行病毒的變體引擎解碼程式,安全並確實地將多型體病毒解開,使其顯露原本的面目,再加以掃描。 VICE(Virus Instruction Code Emulation)先知掃描法 VICE先知掃描技術是繼軟體模擬後的一大技術上突破。既然軟體模擬可以建立一個保護模式下的DOS虛擬機器,模擬CPU動作並假執行程式以解開變體引擎病毒,那麼應用類似的技術也可以用來分析一般程式檢查可疑的病毒樣碼。因此VICE將工程師用來判斷程式是否有病毒樣碼存在的方法,分析歸納成專家系統知識庫,再利用軟體工程的模擬技術(Software Emulation)假執行新的病毒,則可分析出新病毒樣碼對付以後的病毒。
二. 技術-偵毒與解毒 1. 如何偵測電腦病毒 即時的I/O掃描(Realtime I/O Scan) Realtime I/O Scan的目的在於即時地對資料的輸入/輸出動作做病毒樣碼比對的動作,希望能夠在病毒尚未被執行之前,就能夠防堵下來。理論上,這樣的即時掃描程式雖然會影響到整體的資料傳輸速率,但是使用Realtime I/O scan,檔案傳送進來之後,就等於掃過了一次毒,整體來說,是沒有什麼差別的。 文件巨集病毒陷阱(MacroTrapTM) MacroTrapTM 是結合了病毒樣碼比對與人工智慧陷阱的技術,依病毒行為模式(Rule base) 來偵測已知及未知的巨集病毒。 其中,配合OLE2技術,可將巨集與文件分開,使得掃描速度變得飛快,而且更可有效地將巨集病毒徹底清除
二. 技術-偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (1)線上型 自己以人工餵餌,再與中毒程式之備份,做比較,取得病毒樣碼。 => 只能得到常駐型的病毒樣碼(優點:親和力高)。 (2) 離線型 有一組原始程式與被感染的程式做為分析的樣本。 => 主要擷取非常駐型的病毒樣碼。 一般特別注意環境變數下的程式,如PATH COMSPEC,尤其是COMMAND.COM檔的變化。 (優點:分析的病毒較多)
二. 技術-偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 COM檔的病毒分析 (a)檔尾資料相同 ↑────相同────↑ 可得 1.病毒長度 2.病毒樣碼:為了避免取到堆疊(stack)的資料最好不要取前後的位元。
二. 技術-偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 COM檔的病毒分析 (a)檔尾資料不同
二. 技術-偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 COM檔的病毒分析 (a)檔尾資料不同
二. 技術-偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 COM檔的病毒分析
二. 技術-偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 EXE檔的病毒分析 處理檔頭資料,包含SS,SP,CS,IP的更改。 (a)四個值連續放置在病毒體中: 依SP,SS,IP,CS,次序放入。 (b)分兩組放置(SS,SP),(IP,CS) 得:病毒長度、病毒樣碼、SP,SS,IP,CS在病毒體中的位置。 (對於編碼型病毒wolf-man狼人無效)
二. 技術-偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (2) 離線型 EXE檔的病毒分析
二. 技術-偵毒與解毒 2. 如何取得病毒樣碼(病毒分析器) (3)開機型病毒分析 主要探討BOOT或partition table被移去那裡 固定位址:移到某一固定位址,如stoned。 變動位址(Disk-Killer,C-Brian) <1>磁片將尋找連續幾個未用之cluster,放置BOOT,再標示為壞軌, DOS即無法使用。 <2>硬碟BOOT與Partition Table放在PT之後未用之磁區, (如0 Head,0 Track,2-17 sector)其位址會記錄在病毒本體程式之某一固定位置上。
二. 技術-偵毒與解毒 3. 如何解毒 檔案型: COM檔 <1> 解毒資訊:病毒長度(來自SCAN) 無解 覆蓋型
二. 技術-偵毒與解毒 3. 如何解毒 檔案型: COM檔
二. 技術-偵毒與解毒 3. 如何解毒 檔案型: EXE檔
二. 技術-偵毒與解毒 3. 如何解毒
二. 技術-預防重於治療 1. 如何預防病毒感染? (1) 一般預防 第一種:修改程式,使病毒誤判此程式已受感染而放棄感染。 缺點:每個病毒辨識不同,修改結果造成程式無法執行。 第二種:當程式執行時,先執行疫苗程式檢查病毒,若有即將其刪除。
二. 技術-預防重於治療 1.如何預防病毒感染? (1) 一般預防 為什麼將MEMORY之程式碼重回DISK? 因為一般感染病毒之程式,在未發作之前,仍然要維持原程式的執行, 為了達到此一目的,病毒必須自己解毒,即MEMORY的程式是正常的,但是放在DISK的程式仍然是有感染的。
二. 技術-預防重於治療 1.如何預防病毒感染? (1) 一般預防
