<!-- - 2024/01/02 19:00 - 暨南大學 Google Developer Student Clubs --> # 資訊安全：麻瓜的黑魔法防禦術 --- ## 講者介紹 - 林昆立 / Inndy - 任職於 DEVCORE - 軟體工程師 --- ## 日常生活中存在什麼資安威脅？ - 個資外洩 - 盜用帳號 - 詐騙 --- ## 什麼是惡意程式？ - 以破壞、竊取資料或金錢為目的的程式軟體 --- ## 常見惡意程式類型 - 廣告軟體：在裝置上投放廣告，綁架瀏覽器首頁，甚至會蒐集個人資料來營利 - 木馬程式：能夠遠端操作你的裝置，竊取資料、執行其他程式 - 勒索軟體：加密資料並刪除備份，支付贖金才能解密還原資料，甚至會偷取企業營運機密 --- ## 惡意程式如何感染我們的裝置？ - 伴隨盜版軟體或遊戲一起被下載執行 - 裝置上的軟體或服務存在漏洞，導致攻擊者可以執行任意指令或程式 --- ## Bug 是什麼？  --- ## Bug 是什麼？ - 程式開發時寫錯邏輯，或者沒有檢查邊界條件，導致程式出現異常行為 - 當程式異常可以被人為操弄進而利用時， - 這件事情跟法律條文有點像，當條件設想不夠周全時，就會有可以操作的空間 - **程式不會照你想的跑，只會照你寫的跑** --- ## 程式漏洞可以做到什麼？ - 複製遊戲道具 - 讀取網站系統背後的資料庫，偷看你的私人相簿 - 透過網路連線，在你的電腦上跑我想執行的程式或指令 - 發動你的特斯拉汽車，並使用自動駕駛把車偷走 --- ## 防毒軟體是怎麼運作的？ - 靜態特徵掃描 - 擷取程式碼或者文字片段，就像通緝犯人會發布照片或外觀特徵一樣 - 動態行為偵測 - 建立檢查點，就像保全透過監視器觀察特定區域的人，或者交通警察設立酒駕臨檢點 --- ## 防毒軟體是怎麼運作的？ - 及時掃描：在特定事件發生的時候做檢查與掃描 - 例如：寫入檔案到硬碟時，檢查寫入的內容是否含有惡意程式 - 定期掃描：固定周期掃描一次電腦中所有的檔案，以便抓出過去的漏網之魚 - 防毒特徵碼會更新，回頭重新掃描一次有機會抓到以前沒發現的病毒 --- ## 防毒軟體可以被繞過！ - 靜態特徵掃描 - 移除特徵就可以躲過，就像間諜便裝就可以躲過追緝一樣 - 動態行為偵測 - 透過比較迂迴的方法去完成原本要做的事情，讓防毒軟體難以判斷意圖 --- ## 防毒軟體可以被繞過，那還需要裝嗎？ - Windows 10 開始內建 Defender，不一定需要安裝其他廠商的防毒軟體 - 雖然可以繞過，但仍然有一定的門檻與成本 - 就算現在的版本成功繞過防毒，但廠商也會跟進加入新的特徵 - 事後掃描還是能抓到這些病毒 --- ## 防毒軟體可以被繞過，那還需要裝嗎？ - 如果你有自信做到以下幾點，那可以考慮不用 - 不下載盜版資源，付費使用正版軟體或免費軟體 - 從官方網站下載安裝軟體 - 定期更新作業系統及所有軟體 - 及時掃描會拖累系統效能，並造成額外的耗電 - 但要是中毒會導致帳號盜用甚至金錢的損失，凡事都有代價 --- ## VPN 真的像廣告說的那麼厲害嗎？ - VPN 廣告會宣傳： - 跨區看影片 - 保護隱私 - 防止駭客入侵或中毒 - 但真的有那麼強大嗎？ --- ## VPN 能做到什麼？ - VPN 會轉發你的上網流量，透過服務方伺服器轉發到目的地 - 對連線目標而言，會看到你的 IP 來源是 VPN 服務供應商 - 隱藏上網 IP 只能隱藏部分資訊，資料分析與追蹤還有其他手段 - 「資安防護」功能是封鎖已知惡意 IP 或域名，效果有限 --- ## 密碼與個人資料為什麼會外洩？外洩後發生了什麼事？ - 攻擊者入侵網站系統，從資料庫中竊取登入密碼 - 人們會重複使用密碼，攻擊者可以拿 A 網站的密碼嘗試登入 B 系統 - 接下來就發生帳號盜用了 - 現代系統不太可能在資料庫中直接儲存密碼，一般來說會儲存密碼的雜湊 --- ## 什麼是雜湊 (Hash) - 對輸入資料進行運算，產出固定長度的數值 - 例如：MD5 就是一種常見的雜湊演算法 | 原文 | MD5 結果 | | ----- | ---------------------------------- | | 12345 | `827ccb0eea8a706c4c34a16891f84e7b` | | 12346 | `a3590023df66ac92ae35e3316026d17d` | --- ## 什麼是雜湊 (Hash) - 相同輸入資料會得到一樣的雜湊結果 - 從雜湊結果難以回推輸入內容 - 比對雜湊是否相同來判斷輸入是否相同 - Q: 輸入不同但雜湊結果會相同嗎？ --- ## [Have I Been Pwned](https://haveibeenpwned.com/)  --- ## 為什麼你該用二階段驗證？ - 使用簡訊、Email 或特定的 App 產生一組數字驗證碼 - 偷到密碼的攻擊者通常無法接觸到上述管道，藉此來守護帳號安全 --- ## 帳號盜用還有那些途徑？ - 相信大家都聽過 Cookie - 網站可以要求瀏覽器記錄一些資訊 - 下次回訪時，瀏覽器會把記錄下來的內容傳給網站 - 因此登入後，在接下來的一段時間不必重新輸入帳號密碼登入 --- ## 帳號盜用還有那些途徑？ - 萬一裝置遭到惡意程式感染，可以從瀏覽器中偷走已登入的帳號資訊 - 就像是小偷複製了你的飯店房卡，不用把鎖撬開也能進入你的房間 --- ## 網路釣魚是什麼？ - 攻擊者會製作一個網站，偽裝成政府單位、銀行或其他服務 - 要求你輸入個人資料、信用卡號、銀行帳戶資訊 - 甚至要求你輸入手機收到的簡訊驗證碼 --- ## 釣到的資訊會如何被利用？ - 直接盜刷信用卡現在不太容易 - 因為臺灣的信用卡都會有二階段驗證 - 接下來攻擊者可以拿你的資料登入特定的服務 - 或者綁定你的銀行帳號（各種電子支付服務） --- ## 保護自己免於釣魚的秘訣 - 檢查網址是否為真實的官方網站 - 自行搜尋前往相關活動頁面，或者聯絡客服確認訊息真偽 - 萬一你真的填寫了資料，收到驗證簡訊後檢查名目是否相符 - 檢查是否為繁體中文，並且檢查用語是否為臺灣習慣用詞 --- ## 資訊安全的本質 - 安全的本質是風險的管理 - 了解威脅的來源與種類 - 依據威脅的機率與嚴重性來排序 - 攻擊與防禦都有成本，你要守護的東西值得你花費多少成本？ - 了解壞人在想什麼才能保護自己 --- ## 資安三要素理論 - 機密性 - 被保密的資訊就只有被授權的人可以看 - 完整性 - 資訊在傳遞的過程中，或者儲存的生命週期內，不會被刪除、竄改或毀損 - 可用性 - 資訊服務系統不應該隨便中斷或故障 --- ## 資安三要素理論 - 機密性 - 網站有漏洞導致個資外洩 - 完整性 - 勒索病毒 - 可用性 - DDoS (分散式阻斷服務攻擊) --- # 資安業界簡介 --- ## 資安產業的樣貌 - 產品、服務、顧問 - 攻擊、防禦、法規 - 企業單位內部人員、資安專業廠商、顧問服務 --- ## 資安產業的樣貌 - 攻擊產品：[CobaltStrike](https://www.cobaltstrike.com/) - 防禦產品：[趨勢科技 PC-cillin](https://www.trendmicro.com/zh_tw/forHome/products/pccillin.html) - 攻擊服務：[DEVCORE](https://devco.re/) - 防禦服務：[奧義智慧科技](https://www.cycarrier.com/cycarrier/) - 法規顧問：[勤業眾信](https://www2.deloitte.com/) - 綜合顧問：[安永](https://www.ey.com/zh_tw/cybersecurity) --- ## 常見職種介紹 - 資安工程師 - 滲透測試/紅隊工程師 - 事件調查員 - 威脅分析師 --- ## 資安工程師 - 狹義來說： - 公司或組織內部人員 - 負責部署防禦軟體，建立偵測機制 - 與外部藍隊合作，協調其他單位排除攻擊者 - 包山包海的職稱，可能後述職種全部包辦 --- ## 滲透測試工程師 - 挖掘客戶軟體的弱點與漏洞 - 描述漏洞原因與利用方式 - 幫助客戶發現並修補漏洞 --- ## 紅隊演練工程師 - 與客戶約定檢測目標，扮演外部攻擊者 - 使用各種駭客手法與技術侵入到客戶環境內 - 溝通演練目標，控制特定機器或竊取指定資料 - 訓練資安團隊的反應，找出漏洞與脆弱的環節 --- ## 事件分析師 - 監測客戶環境是否有可疑行為出現 - 發現攻擊事件後調查入口、路徑、影響範圍 - 根據以上情報加強防護、修補弱點並清除後門 --- ## 威脅分析師 - 追蹤特定駭客組織的行動 - 研究惡意程式、攻擊者的軌跡、常被利用的漏洞 - 提供防禦方情報，要加強哪些方面的防護 --- ## 資安研究員 - 研究軟體漏洞、攻擊方法、偵測手法、防禦方式 - 挖到漏洞可以參與 Bug Bounty 計畫 - 回報給原廠修補，並且有獎金拿 - 挖掘新的技術與手法，推動攻防技術的演進 --- ## 學習管道 - 各大學資訊資安相關社團社課 - 教育部資訊安全人才培育計畫 - 在學學生有不少免費課程可以參與 - HITCON 台灣駭客年會 <- 資安主題研討會 - 臺灣資安大會 <- 眾多資安廠商參與 - 數位發展部資通安全署 <- 在職人士皆可參與 - 國家資通安全研究院 <- 政府機關職員