資安宣導 文長 - 流亡黯道
By Heather
at 2014-09-05T21:42
at 2014-09-05T21:42
Table of Contents
看到最近一堆人被盜,來試著做點資安宣導好了,原本想寫短一點,但不知不覺就這麼長
啦XD 手機發文,排版差見諒。
我們就先從駭客怎麼取得你的帳號密碼說起好了。
一般來說,要獲取帳密不外乎三個途徑,伺服器端,傳輸層面,客戶端。伺服器端的漏洞
常出現在我們獲取資訊的網頁和討論區,會員登入的輸入區塊,還有儲存資料的區塊。
網頁討論區遭到入侵大都是安放廣告,強制轉址到釣魚網頁,背景下載程式執行這種好處
理到不行的小兒科,防範方法其實觀察網址列網域是否正常,還有現在瀏覽器遇到檔案下
載都會提醒,搭配高偵測率的防毒軟體就能有效阻擋。
伺服器端的處理方法就是安裝防毒,硬體軟體防火牆等,而這塊很多公司都是外包,畢竟
資安人員不好養,而且沒事的時候這筆人事支出老闆很不爽啊!台灣企業這麼愛COSTDOWN
,當然是能省則省嘍!不過這塊就連白宮,五角大廈,甚至物理隔絕都不知道哪天會倒下
,就不要太苛求了。
關於一些基礎的驗證機制,以帳號密碼為基礎,我認為一家公司應該做到的有短時間登入
次數限制和驗證碼機制以避免機器人,兩步驟驗證,還有https加密協定。
這篇會寫出來的原因很大一部分的因素是因為POE,那我們就用雞舍的做法當例子吧!登
入次數限制因為我從來沒有因為登錯被暫時禁止登入過,假定沒有,驗證碼沒有,現在正
夯的通訊鎖就是兩步驟驗證的應用,然後登入介面看來是沒加密明碼傳送,所以雞舍打算
靠通訊鎖打天下?在網頁登入這塊,不及格!
再來我們知道雞舍遊戲都是綁競時通(不了解大家這麼反對大陸流氓軟體,雞舍做差不多
的事時,怎麼一堆人都轉彎了?),所以我們可以合理推測通訊鎖在信任裝置時應該是透
過競時通,然後驗證途徑應該是認IP或是認MAC,台灣浮動IP這麼多,認MAC應該是比較好
的選擇,也有可能是由競時通產生一組金鑰儲存在本地端,登入前以此做驗證。當我們申
請玩通訊鎖後,這時駭客應該要怎麼盜你帳號呢?首先,他必須知道你的帳號密碼,再來
他需要確定你的位置突破你的防火牆在你的電腦安裝木馬,取得你電腦的MAC或是金鑰(有
加密還要解密喔)然後在他的電腦模擬出你電腦的環境欺騙驗證機制來盜你帳號,花費的
時間成本頗不划算,所以大家有空就裝一下吧,保障絕對大幅提升。
現在我們來聊聊加密這檔事,有朋友認為當你忘記密碼時,系統不會直接給你密碼,而是
寄給你一串網址或是密碼要你以此來修改密碼就是加密了,我覺得挺可愛的XDꀊ這其實也是以當初驗證信箱為基礎的兩步驟驗證罷了。沒有加密的檔案你可以當作一個人
欸和認知都能讀取的文字檔,我們稱為明碼,PTT就是明碼傳送的,而獲取的方法就只要
攔截封包就好。加密過後的除非取得解密方法,不然他就是一串看不懂的亂碼而已,所以
加密是保障我們隱私和安全很重要的一步。再次以雞舍為例,我們常用到帳密的地方就是
官網和競時通,在官網論壇登錄介面我們看不到常用的加密方式(儲值那塊除外),競時通
除了噁心的背景常駐程式外,究竟他對我們的資訊是以何種方式傳送,加密的層級是否足
夠這都是值得商榷的。
好了,我們已經把能怪公司的幾乎都怪完了,該來檢討我們該做的做好了嗎?你有裝防毒
嗎?你是否只靠暈到死提供的基礎防火牆?你是不是用了一堆流氓軟體?電腦裏充滿了盜
版?你也按時更新作業系統嗎?安裝軟體永遠無腦按下一步?貪圖方便大陸軟體一堆?從
來不注意手機APP要求的權限?再來是不是永遠一套帳密走天下,密碼是不是超好猜的生
日?等等一堆不良的使用習慣,別再那說我沒有上奇怪的網站之類的話來推卸責任了,在
要求別人之前自己是不是應該先把該做的做好?
下面來說我是怎麼做的給大家參考一下,作業系統不論是不是正版都請按時更新,防毒沒
錢就用小紅傘,有錢就去買卡巴斯基網路安全版,別用一堆破解盜版然後說小紅傘誤報。
再來懂電腦的就跟我一樣用HIPS吧。我是用COMODO,以此控制監控我電腦裡程式,我不同
意,你不准做。免費替代軟體明明一大堆(記得從官網下載),偏偏要用破解,用破解也不
去了解一下它的作用原理,防毒報毒也請你信任你的防毒,而不是關掉他或移除他。我也
三個帳號飛在不同的地方使用,奇摩的用在領優惠,註冊論壇等高風險環境,社交方面我
是用微軟的,因為這是從以前MSN還在時的習慣,現在也就沿用下來了,工作方面我都是
用谷歌,然後有4套密碼輪替,隨我心情替換,但是有一個是常用服務專用,只有少數服
務才會用他。定時重灌,COOKIE有空要清一下,配上優秀的防毒以及防火牆提供一個良好
的環境,對外註冊帳號密碼小心,雖然這樣不算完美,但我覺得這是便利性與安全妥協的
成果了。
=我是分隔線=
給看不完的人:
雞舍的確在資安沒做好,但通訊鎖是有用的,別鐵齒,快去申請吧!
自己的資訊安全要自己先努力,你完全不做功課,不去了解,被盜時怨天尤人很難讓人支
持你啊!
--
Sent from my Android
--
啦XD 手機發文,排版差見諒。
我們就先從駭客怎麼取得你的帳號密碼說起好了。
一般來說,要獲取帳密不外乎三個途徑,伺服器端,傳輸層面,客戶端。伺服器端的漏洞
常出現在我們獲取資訊的網頁和討論區,會員登入的輸入區塊,還有儲存資料的區塊。
網頁討論區遭到入侵大都是安放廣告,強制轉址到釣魚網頁,背景下載程式執行這種好處
理到不行的小兒科,防範方法其實觀察網址列網域是否正常,還有現在瀏覽器遇到檔案下
載都會提醒,搭配高偵測率的防毒軟體就能有效阻擋。
伺服器端的處理方法就是安裝防毒,硬體軟體防火牆等,而這塊很多公司都是外包,畢竟
資安人員不好養,而且沒事的時候這筆人事支出老闆很不爽啊!台灣企業這麼愛COSTDOWN
,當然是能省則省嘍!不過這塊就連白宮,五角大廈,甚至物理隔絕都不知道哪天會倒下
,就不要太苛求了。
關於一些基礎的驗證機制,以帳號密碼為基礎,我認為一家公司應該做到的有短時間登入
次數限制和驗證碼機制以避免機器人,兩步驟驗證,還有https加密協定。
這篇會寫出來的原因很大一部分的因素是因為POE,那我們就用雞舍的做法當例子吧!登
入次數限制因為我從來沒有因為登錯被暫時禁止登入過,假定沒有,驗證碼沒有,現在正
夯的通訊鎖就是兩步驟驗證的應用,然後登入介面看來是沒加密明碼傳送,所以雞舍打算
靠通訊鎖打天下?在網頁登入這塊,不及格!
再來我們知道雞舍遊戲都是綁競時通(不了解大家這麼反對大陸流氓軟體,雞舍做差不多
的事時,怎麼一堆人都轉彎了?),所以我們可以合理推測通訊鎖在信任裝置時應該是透
過競時通,然後驗證途徑應該是認IP或是認MAC,台灣浮動IP這麼多,認MAC應該是比較好
的選擇,也有可能是由競時通產生一組金鑰儲存在本地端,登入前以此做驗證。當我們申
請玩通訊鎖後,這時駭客應該要怎麼盜你帳號呢?首先,他必須知道你的帳號密碼,再來
他需要確定你的位置突破你的防火牆在你的電腦安裝木馬,取得你電腦的MAC或是金鑰(有
加密還要解密喔)然後在他的電腦模擬出你電腦的環境欺騙驗證機制來盜你帳號,花費的
時間成本頗不划算,所以大家有空就裝一下吧,保障絕對大幅提升。
現在我們來聊聊加密這檔事,有朋友認為當你忘記密碼時,系統不會直接給你密碼,而是
寄給你一串網址或是密碼要你以此來修改密碼就是加密了,我覺得挺可愛的XDꀊ這其實也是以當初驗證信箱為基礎的兩步驟驗證罷了。沒有加密的檔案你可以當作一個人
欸和認知都能讀取的文字檔,我們稱為明碼,PTT就是明碼傳送的,而獲取的方法就只要
攔截封包就好。加密過後的除非取得解密方法,不然他就是一串看不懂的亂碼而已,所以
加密是保障我們隱私和安全很重要的一步。再次以雞舍為例,我們常用到帳密的地方就是
官網和競時通,在官網論壇登錄介面我們看不到常用的加密方式(儲值那塊除外),競時通
除了噁心的背景常駐程式外,究竟他對我們的資訊是以何種方式傳送,加密的層級是否足
夠這都是值得商榷的。
好了,我們已經把能怪公司的幾乎都怪完了,該來檢討我們該做的做好了嗎?你有裝防毒
嗎?你是否只靠暈到死提供的基礎防火牆?你是不是用了一堆流氓軟體?電腦裏充滿了盜
版?你也按時更新作業系統嗎?安裝軟體永遠無腦按下一步?貪圖方便大陸軟體一堆?從
來不注意手機APP要求的權限?再來是不是永遠一套帳密走天下,密碼是不是超好猜的生
日?等等一堆不良的使用習慣,別再那說我沒有上奇怪的網站之類的話來推卸責任了,在
要求別人之前自己是不是應該先把該做的做好?
下面來說我是怎麼做的給大家參考一下,作業系統不論是不是正版都請按時更新,防毒沒
錢就用小紅傘,有錢就去買卡巴斯基網路安全版,別用一堆破解盜版然後說小紅傘誤報。
再來懂電腦的就跟我一樣用HIPS吧。我是用COMODO,以此控制監控我電腦裡程式,我不同
意,你不准做。免費替代軟體明明一大堆(記得從官網下載),偏偏要用破解,用破解也不
去了解一下它的作用原理,防毒報毒也請你信任你的防毒,而不是關掉他或移除他。我也
三個帳號飛在不同的地方使用,奇摩的用在領優惠,註冊論壇等高風險環境,社交方面我
是用微軟的,因為這是從以前MSN還在時的習慣,現在也就沿用下來了,工作方面我都是
用谷歌,然後有4套密碼輪替,隨我心情替換,但是有一個是常用服務專用,只有少數服
務才會用他。定時重灌,COOKIE有空要清一下,配上優秀的防毒以及防火牆提供一個良好
的環境,對外註冊帳號密碼小心,雖然這樣不算完美,但我覺得這是便利性與安全妥協的
成果了。
=我是分隔線=
給看不完的人:
雞舍的確在資安沒做好,但通訊鎖是有用的,別鐵齒,快去申請吧!
自己的資訊安全要自己先努力,你完全不做功課,不去了解,被盜時怨天尤人很難讓人支
持你啊!
--
Sent from my Android
--
Tags:
PoE
All Comments
By Genevieve
at 2014-09-09T07:55
at 2014-09-09T07:55
By Belly
at 2014-09-13T22:08
at 2014-09-13T22:08
By Jack
at 2014-09-15T00:44
at 2014-09-15T00:44
By Caroline
at 2014-09-16T13:17
at 2014-09-16T13:17
By Bennie
at 2014-09-19T08:53
at 2014-09-19T08:53
By Belly
at 2014-09-20T06:17
at 2014-09-20T06:17
By Michael
at 2014-09-23T07:05
at 2014-09-23T07:05
By Tom
at 2014-09-24T07:18
at 2014-09-24T07:18
By Brianna
at 2014-09-28T20:20
at 2014-09-28T20:20
By Adele
at 2014-10-02T09:12
at 2014-10-02T09:12
By Blanche
at 2014-10-02T22:25
at 2014-10-02T22:25
By Liam
at 2014-10-04T01:03
at 2014-10-04T01:03
By Odelette
at 2014-10-04T21:30
at 2014-10-04T21:30
By Thomas
at 2014-10-07T01:19
at 2014-10-07T01:19
By Elma
at 2014-10-09T06:45
at 2014-10-09T06:45
By Odelette
at 2014-10-10T06:47
at 2014-10-10T06:47
By Ida
at 2014-10-10T16:24
at 2014-10-10T16:24
By Skylar DavisLinda
at 2014-10-10T18:27
at 2014-10-10T18:27
By Ida
at 2014-10-13T14:04
at 2014-10-13T14:04
By George
at 2014-10-15T01:19
at 2014-10-15T01:19
By Carolina Franco
at 2014-10-16T09:13
at 2014-10-16T09:13
By Zenobia
at 2014-10-18T03:36
at 2014-10-18T03:36
By Tracy
at 2014-10-21T21:57
at 2014-10-21T21:57
By Dorothy
at 2014-10-23T06:27
at 2014-10-23T06:27
By Ida
at 2014-10-25T14:27
at 2014-10-25T14:27
By Adele
at 2014-10-28T13:46
at 2014-10-28T13:46
By Rachel
at 2014-10-28T18:52
at 2014-10-28T18:52
By Carolina Franco
at 2014-10-31T00:25
at 2014-10-31T00:25
By Ursula
at 2014-10-31T01:53
at 2014-10-31T01:53
By Todd Johnson
at 2014-11-03T23:38
at 2014-11-03T23:38
By Edward Lewis
at 2014-11-05T21:54
at 2014-11-05T21:54
By Rae
at 2014-11-07T22:15
at 2014-11-07T22:15
By Genevieve
at 2014-11-10T22:37
at 2014-11-10T22:37
By Ingrid
at 2014-11-12T21:00
at 2014-11-12T21:00
By Linda
at 2014-11-16T02:10
at 2014-11-16T02:10
By Rosalind
at 2014-11-19T10:03
at 2014-11-19T10:03
Related Posts
技能寶石及玩具傳奇給掱
By Carol
at 2014-09-05T21:25
at 2014-09-05T21:25
密碼鎖與信任裝置
By Damian
at 2014-09-05T21:08
at 2014-09-05T21:08
贈送技能石
By Quintina
at 2014-09-05T21:07
at 2014-09-05T21:07
項鍊尋價
By Charlotte
at 2014-09-05T21:07
at 2014-09-05T21:07
一堆不稀有的技能寶石給掱
By Olivia
at 2014-09-05T20:50
at 2014-09-05T20:50