<style> .slides img{background-color:grey!important} .slides img[title^='"']{filter:invert(100%)} hr, .slides [title^='*']{display:none} summary h1{display:inline;border-bottom:0!important} </style> ###### [資安入門課程 教學/](/@NCHUIT/infosec) # 資安簡介 ###### @muyue ###### 10/2 1900-2100 線上~~@圖書館B1 蝶舞教室~~ [English version hangout here](https://hackmd.io/Gk0RQL9jT2eA9zKUW7oRVQ) [English version slide here](https://hackmd.io/@NCHUIT/B1kDLGdep#/) ---- ## 前言 - [中華民國刑法第三十六章妨害電腦使用罪§358-§363](https://law.moj.gov.tw/LawClass/LawParaDeatil.aspx?pcode=C0000001&bp=54) - 本系列課程教授宗旨為提升學員之資安意識及能力，以增加學員對資安領域興趣，並無勸導或教唆違法之情事 ---- ## 本次課程簡介 基本上就是跟大家介紹一下資安領域。 還有下次希望大家準備好的環境。 然後**可能**會提早結束 ---- ### 開始上課之前 如果講太快請直接跟我說 ~~因為上個環境需要比較快的速度~~ ---- ## 什麼是資訊安全 ----  ---- ### 駭客類型可以分成 - 黑帽：簡單來說就是，非法的 - 白帽：合法而且對企業或個人好 - 灰帽：看利益做事的人 ---- ### 為什麼要駭啦QQ - 研究或測試：[2019台大CEIBA 87分事件](https://news.ltn.com.tw/news/life/breakingnews/2971370) - 政治關係：[烏俄戰爭](https://www.taiwannews.com.tw/en/news/4860493) - 啊就好玩 ---- ### 攻擊手段 - 人 - 電腦 / 系統 / 伺服器 ---- ### 對人攻擊?  ---- #### 釣魚網站 ```mermaid graph LR; 駭客製作惡意網站 --> 受害者瀏覽網站 受害者瀏覽網站 --> 受害者對假網站輸入資訊 受害者對假網站輸入資訊 --> 背景執行程式碼 背景執行程式碼 --> 密碼被偷 ``` ---- #### 如何避免被釣魚 - 開啟二階段驗證：[FB雙重驗證](https://www.facebook.com/help/148233965247823) - 檢查網址會不會奇怪：[dQw4w9WgXcQ](https://www.youtube.com/watch?v=dQw4w9WgXcQ) - 確認訊息正確性：公車 vs 公交車 / 啟動 vs 激活 ---- ### 病毒 常偽裝成正常網站散佈，常見檔名為zip檔 (因為他不太能被防毒軟體掃出來)  ---- #### [VIRUSTOTAL](https://www.virustotal.com/gui/home/upload) 檢查檔案或網址有沒有問題 *Rickroll是沒問題的(小聲 ---- ### 對電腦攻擊  ---- ### 資安三角 (CIA Triad) - Confidentiality 機密性 - 未經授權看不到 - Integrity 完整性 - 資料不會被竄改 - Availability 可用性 - 授權者可以使用 ---- ### Alice and Bob的故事 今天Alice想跟Bob告白，於是傳了I love U給Bob ---- #### 正常情況 ```mermaid graph LR; Alice --I love U--> Bob ``` ---- #### 機密性 Confidentiality ```mermaid graph LR; Alice --I love U by Alice--> Bob Charlie ``` Charlie都看在眼裡，這就是缺乏機密性 (我就不會用圖w ---- #### 完整性 Integrity ```mermaid graph LR; Alice --I love U by Alice--> Charlie Charlie --I hate U by Alice--> Bob ``` 可惡的Charlie攔截了訊息並且竄改後傳給Bob，這就是缺乏完整性 ---- ---- #### 可用性 Availability Alice發現訊息會被Charlie看到 於是決定對訊息加密，但他忘了跟Bob講 ```mermaid graph LR; Alice --V ybir H by Alice--> Bob Charlie ``` 現在連Bob都不知道內容是什麼了，這就是缺乏可用性 ---- ### Google Hacking - 透過Google高階搜索檢索到未經授權的資料或網站 ---- ### 所以說資安是？ > 資安是保護數據、系統和信息免受未經授權的訪問、損壞和竄改的實踐和原則。 > -ChatGPT GPT3.5 ---- ### 怎麼練習資安技能 - 實作 - 上課 ( 來社課就對了 ) - 看資料 ---- ### 實作？難道要犯法OAO 除了真的去攻打別人之外 ( 請不要這樣做，謝謝 ) 也可以去玩玩CTF 我們課程會圍繞著CTF所需的各種技能喔ouo ---- ### CTF？ >資安CTF ( Capture the Flag ) 競賽是測試參賽者資訊安全技能的比賽，其中主要目標是尋找並抓取特定的旗幟（Flag）。 >-ChatGPT GPT3.5 ---- ### CTF技能分類大概長這樣 加粗是這學期會遇到的 - **Web Exploitation（Web安全）** - **Cryptography（密碼學）** - Reverse Engineering（逆向工程） - **Forensics（數據取證）** - Binary Exploitation（二進制安全） - Pwnable（可操控程式） - Mobile Security（移動安全） ---- ### 要打CTF，除了電腦外你需要... - Linux系統 - 一點程式能力 ---- ### 如何搞出Linux系統 1. 重灌電腦(X 2. 用虛擬機(O 虛擬機教學 https://www.youtube.com/watch?v=YBn7FCTM6lE 工具補包 https://github.com/fdff87554/Security-Resources/blob/main/install-tools.sh ---- ### 下次上課之前，你需要 - 一個[PicoCTF](https://play.picoctf.org/practice)帳號 - 電腦裡面有Linux VM ----  LINE群請加 ( 對，社群要慢慢停用了