資安宣導上網行為安全

講師簡介

郭洺坤 Damon Kuo

Experience◦ 漢昕科技 資安顧問

◦ 樹德科技大學 兼任講師

◦ 國家高速網路與計算中心 助理研究員

Certified：

◦ BS 10012:2009 LA (PIMS)

◦ CEH (Certified Ethical Hacker)

◦ ECSA(EC-Council Certified Security Analyst)

◦ CHFI(Computer Hacking Forensic Investigator)

◦ ISO 27001:2005 LA (ISMS)

◦ ISO 9001:2008 LA (QMS)

Contact

◦ daemonbsd@gmail.com

授課/演講單位(時數500+)：◦ 經濟部加工出口區管理處

◦ 國立海洋生物博物館

◦ 台灣自來水公司

◦ 高雄市政府

◦ 高雄市警察局

◦ 高雄市政府地方稅務局

◦ 高雄縣政府地方稅務局

◦ GETRIGHT SOLUTIONS COMPANY(MALAYSIA)

◦ 聚和國際股份有限公司

◦ 高雄應用科技大學

◦ 高雄第一科技大學

◦ 中華醫事科技大學

◦ 樹德科技大學

◦ 國立中山大學附屬國光高級中學

大綱

•資安概念宣導

•資安案例分享

•上網行為管理

資安概念宣導

什麼叫資訊安全？

資安 = 密碼管理？

資安 = 表單管理？

資安 = ?

資安案例分享

郵件門泄密門

郵件門

希拉蕊.羅德姆.柯林頓

1947/10/26出生

美國第67任國務卿

美國第42任第一夫人

2016美國總統候選人

為什麼會有郵件外流

希拉蕊有兩個習慣◦ 習慣看紙本信

◦ 習慣用有鍵盤的手機(黑莓)

可是呢◦ 她有一個得力助手胡瑪·阿貝丁（Huma Abedin)，負責幫她把信弄成紙本。

◦ 任國務卿時，國務院因為”資安規定”，列印紙本是非常麻煩的事。

◦ 透過基金會名義申請了幾個域名(clintonemail.com、wjcoffice.com、presidentclinton.com等,申請人為Eric Hoteham,希拉蕊前助手)

為什麼會有郵件外流

可是呢(cont.)◦ 阿貝丁在柯林頓家地下室弄了兩台MAC Server(Outlook exchange)，當作郵件伺服器，並且將信件列印成紙本供希拉蕊閱讀。

◦ 而後這些伺服器被轉到一家叫Platte River的資訊公司。

另一方面◦ 因為班加西事件(13Hour)後，多方勢力想要拿到希拉蕊下指示的信件。

郵件外流的關鍵點

班加西事件在201510接受國會的聽證會調查後希拉蕊獲得不起訴的處份。

引來維基解密-朱利安.阿桑奇的不滿，釋出相關文件約20000筆信件。來源為民主黨公關主任等七位重要官員。

FBI調查結果發現無實質證據，但說明有33000封被刪除的信件無法取得。

201607民主黨資料總監在自家門口被槍殺。

郵件外流的關鍵點

希拉蕊的競選經理John Podesta，點到了一封釣魚郵件，大量信件外流。黑客把信件內容交給維基解密。

201610阿貝丁的前夫，安東尼.韋納(Anthony Weiner, 紐約州前民主黨議員)，因為曾對15歲女孩發過色情短信，引來監控兒童色情犯罪的FBI調查。

韋納的電腦裡發現662781封信件，其中有11112封是阿貝丁的，其中有一部分是希拉蕊的，而且是先前被刪掉33000封中的一部分。

郵件外流的關鍵點

20161028，mega老闆Kim Dotcom說他知道那33000封信在猶他州NSA內部的spy cloud上。

20161029，FBI局長科米宣布重啟郵件門調查。

這個案例我們學到什麼？

希拉蕊犯了什麼錯？

嚴重嗎？

怎麼做才避免？

宣導一下

行政院及所屬各機關資訊安全管理要點第 27 條：「各機關應訂定電子郵件使用規定，機密性資料及文件，不得以電子郵件或其他電子方式傳送。機密性資料以外之敏感性資料及文件，如有電子傳送之需要，各機關應視需要以適當之加密或電子簽章等安全技術處理。機關業務性質特殊，須利用電子郵件或其他電子方式傳送機密性資料及文件者，得採用權責主管機關認可之加密或電子簽章等安全技術處理。」

Case Study泄密門

猜猜這是什麼？

FLZX3000cY4yhx9day

hanshansi.location()!∈[gusucity]

hold?fish:palm

ppnn13%dkstFeb.1st

Tree_0f0=sprintf("2_Bird_ff0/a")

csbt34.ydhl12s

for_$n(@RenSheng)_$n+="die“

CSDN Top 10密碼

上網行為管理

個資與密碼隱私權管理

暫存資料清除

個資與密碼

你的資料安全嗎?

所有的網路雲端服務都會要一個資料◦ 不是mail就是手機號碼

你的mail是否重要?◦ 你的mail裡有沒有不能說的祕密?

你的密碼是否安全?◦ 你擁有幾組複雜度高的密碼?

你的雲端mail、雲端服務裡的資料，安全嗎?◦ 您的服務商保障您的資料安全嗎?

密碼設定的相關事項

需包含英文大小寫、數字及符號。

密碼需要 8~10 個字以上

不可以另外寫下 或 存在電腦檔案裏。

密碼背不起來怎麼辦？

用鍵盤上 注音符號 的位置。

ejiaup6djp

不會注音符號？

發音不正確導致密碼輸錯？

改用其他輸入法(倉頡、大易)等

測試密碼強度：https://www-

ssl.intel.com/content/www/us/en/forms/passwordwin.html

當然使用「自己的姓名」當密碼，是個『不好的建議』。

比較正確的方法是用：

古詩，例如：五言絕句

某個自己記得起來的語彙，例如：

1l3au4z;62u,6

你的密碼安全嗎?

以 Radeon HD 5770 為例，利用 GPU 密碼破解工具 ighashgpu，它能以每秒 33 億次運算速度，在一秒內破解出五位密碼「fjR8n」(如果有 4 個HD 5970 顯卡，破解速度可以提昇到每秒 331 億次)， 而一般的 CPU 的速度只有每秒 980 萬次，需要耗時 24 秒。對於六位密碼「pYDbL6」，CPU 需要耗時 90 分鐘，GPU 只需 4 秒。對於七位密碼「fh0GH5h」，CPU 需要連續運算 4 天，而 GPU 只需 17.5 分。對於九位、混合大小寫的隨機密碼，CPU 需要 43 年，而 GPU 只需 48 天。

SplashData

Top 25 worst password

來自Intel的建議

建立高強度密碼：大小寫、空格、數字、符號、密碼長度等元素交錯使用，可大幅增加密碼強度。

使用多組密碼：銀行帳戶、網路論壇，根據不同目的可使用多組密碼，別老是只用一組密碼闖天下。

為社交網路密碼添增多種變化：即便同一組密碼，也可以依據不同網頁輸入特定字元增加變化。◦ My1stP@ssWord2Facebook

◦ My2ndP@ssWord2info

信用卡 OTP

豔照門(?)

iCloud Brute Force

iCloud Brute Force

Case Study

PlayStation NetworkSony Online Entertainment

58

PSN?

59

Geohot?

本名George Hotz

2007年，17歲，成功獨立破解iPhone，這支手機在ebay換到一台350z及3支iPhone

Apple iOS JB軟體紫雨(purplera1n)的作者

60

“If someone really want to get your information, and

finally be able to get their hands on, you can take

precautions yes, but if the other party is not made up

his mind not to take the final will be able to succeed ...”

-- 「Hacker Cracker」(台譯：黑街駭客)

任何放在網路上的資料都有外洩的風險!!

65

隱私權管理

常見的app

Instagram

Facebook

Twitter

Foursquare

Line

Juiker

FB security

password

FB account Security

FB privaty Setting

LINE Private

Edward Joseph Snowden

愛德華。史諾登◦ 前美國中央情報局（CIA）職員，美國國家安全局（NSA）外部技術員。

◦ 於2013年6月在香港將美國國家安全局關於稜鏡計劃(Prism)監聽專案的秘密文件披露給了英國《衛報》和美國《華盛頓郵報》，遭到美國和英國的通緝。

◦ 2013年6月23日，史諾登離開香港前往莫斯科，俄羅斯給予他一年臨時難民身分。2014年8月7日，史諾登獲得俄羅斯三年的居留許可證。

Prism

全面導入Juiker

CVE-2014-6693

The Juiker (aka org.itri) application 3.2.0829.1 for Android does not verify X.509 certificates from SSL servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate.

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6693

Juiker

暫存資料清除

離開公用電腦：清除IE 的上網暫存資料

定期刪除 Cookies

定期刪除暫存檔

定期清除記錄

方法：

在 IE 中

工具\網際網路選項

離開公用電腦：清除其它暫存資料

刪除 Temp 資料夾裡面的資料

刪除 Temporary Internet Files 裡面的資料

WIN XP 檔案總管中

C:\Documents and Settings\帳號\Local Settings

離開公用電腦：清除其它暫存資料

刪除 Temp 資料夾裡面的資料

刪除 Temporary Internet Files 裡面的資料

WIN 7 檔案總管中 C:\User\帳號\AppData\Local\Microsoft\Windows\

Temporary Internet Files\

C:\Users\帳號\AppData\Local\Temp

CCleaner 資料清除軟體

官方下載： http://www.ccleaner.com

功能： 刪除Cookies，保護隱私。也可以自訂清理時不要刪除的

Cookies。

［清道夫］功能針對網路瀏覽器、系統記錄檔、系統暫存檔、系統垃圾檔、和各種應用程式的無用檔案進行清潔的工作。有效增加硬碟空間，避免垃圾檔案影響硬碟效率。

［登錄檔］清理功能可以有效刪除無用的登錄資料，保持電腦的穩定性與執行效率。如果你發生因登錄檔錯誤而造成不能安裝某些軟體的狀況時，到這裡清潔一下，有時候問題就解決了。

Recuva 檔案救援軟體

官方下載： http://www.recuva.com

功能： 每個檔案儲存在硬碟時都會占據一個位置，當你在硬碟刪除檔案後，其實檔案的痕跡還是會遺留在原本的磁區上，只要這個磁區位置還沒有被新的檔案占去，那麼妳就有機會救回誤刪的檔案。而「Recuva」正是利用了這個原理，幫你去掃描、搶救已經刪除的檔案（已經從資源回收桶中移除、或直接刪除的檔案），而從其原理來看，一個很重要的前提是，Recuva 通常只能救回最近刪除的檔案，當你發現不小心誤刪了某個檔案時，不要去進行其它操作，立刻搶救檔案比較有效。

正常使用：

搶救硬碟內誤刪資料。

搶救隨身碟內的誤刪資料。

搶救記憶卡內的誤刪資料。

異常使用：

竊取硬碟內誤刪資料。 (維修時？)

竊取隨身碟內的誤刪資料。 (COPY資料時？)

竊取記憶卡內的誤刪資料。 (沖洗照片時？)

File Shredder 檔案銷毀軟體

官方下載： http://www.fileshredder.org

功能： 是一套免付費的軟體，檔案大小約1.15MB，安裝便利、操作也很簡單。安裝只要利用加入檔案或資料匣的方式，選擇要完全清除的檔案或資料匣。

這套軟體具備5種不同的檔案覆寫等級，包含簡單的單次與兩次複寫，以及合乎美國國防部標準的「DoD5220-22.M」，或是7次複寫的「NSA」與35次複寫的最高粉碎等級「Guttman」。

不僅可以銷毀單一檔案或資料夾，也可清除無用檔案，騰出硬碟空間。

硬碟銷毀

硬碟銷毀七大法◦ 格式化

◦ 滴鹽酸

◦ 火燒

◦ 鐵鎚敲

◦ 泡水

◦ 消磁

◦ 刀割碟片

消磁對SSD可能無效

Hard Drive shredder

https://www.youtube.com/watch?v=sQYPCPB1g3o

清除、救援、銷毀個人資料的注意事項

使用這些軟體可以有效清除在「家用電腦」上，所存放的個人資料。如果是「辦公室電腦」則需參考資訊安全政策的規定。

但如果個人資料是放在相簿網站、購物網站、交友網站上，則這些軟體是清除不到的，所以仍然需要注意上網、收發信件的個資安全。

使用「資料銷毀軟體」時請特別留意，因為如果被拿來惡作劇，是沒有藥可以救的。

電腦安全性的七大步驟

1. 評估使用電腦的風險，隨時提高警覺不要亂點選

2. 使用防毒軟體及防間諜軟體，並搭配線上掃毒

3. 保持更新作業系統及應用程式等軟體為最新狀態

4. 檢查您的作業系統及IE安全性設定

5. 使用個人(單機)防火牆

6. 建立穩固的密碼

7. 執行日常工作安全性維護，例如：更新、掃毒

你該如何自保？

使用者◦確保所有的安全軟體處於最新版本：◦將手機納入安全保護中Safe IP、防毒軟體

◦提高密碼複雜度並定期更改 12碼混合英數字大小寫及符號

◦減少提供過度的資訊給網路服務◦定期確認自己的銀行帳戶和行動付費使用單一信用卡進行網路付費必要的壯士斷腕決心

◦留意你的網路使用行為任意平台的附件與連結

小結

•資安概念宣導

•資安案例分享

•上網行為管理

問題與討論