合法、免費、安心的解決方案
「資 訊安全」概要
隨著資訊通訊科技(Infomation Comminucation Technology)的發達, 電腦與網路已逐漸的滲入我們的日常生活中。比如:上網看新聞、網路購物及使用 Yahoo 找資料等,可能已經成為日常生活中的一部份了。更進一步來看:學生學籍管理、成績處理、相關業務之網路填報、網路證卷下單及網路WebATM等,也是很多 人會接觸到的工作。
在此前提之下,便會有一些存心不良的人,想到要以惡意程式(malware),透過網路,來竊取或破壞個人資料,以牟取 其個人利益。因此,個人資料的安全維護,更是顯得重要。
個 人資料保密
個人資料之風險
資訊安全是學校網管(資訊組長)的事情,與我無關嗎?個人資料之風險
- 成績處理系統被入侵取得學生個人資料
- 奇摩等拍賣網被取得密碼
A. 別人用您的帳號拍賣物品,他收錢,你要出貨
B. 用您的帳號寄廣告信
C. 待您消費後,立即來電詐騙 - 把個人照片及真實姓名 Post 上公開網頁,會讓有心人士,有機可趁
- 個人保管之帳號密碼直接貼在公共區域之電腦螢幕上
取得個人資料之手法
- 社交工程
類似詐騙集團常用的手法;打電話給相關人員,騙取個人保管之帳號密碼。例如:以長官(親友、多年沒見的好友...等)之名義,打電話過來,套取某種系統之 帳號密碼。
案例探討:美國2008年總統大選副總統候選人裴林的 yahoo 帳號被駭 - 植入木馬程式盜取密碼
- 網路釣魚程式,釣到您的帳號密碼
保護個人資料
走過,不要留下痕跡
- 清除上網資料,例如:Cookie、密碼、瀏覽記錄等
- 共用電腦,要採用「多使用者環境」,每個人皆有自己的帳號與密碼,不使用時,要記得「登出」。
個人資料之加密(TrueCrypt)
使用加密工具,使別人無法開啟重要檔案(當年陳x希如果有用這個工具,下場就會不同)- 加密工具: TrueCrypt
- 功能概述:把重要的資料檔案,放在一個有密碼保護的地方,就算機器(NB、隨身碟)遺失,別人也看不到內容。
系統會以「磁碟機」的方式來管理加密區,因此,要開啟某個重要檔案,必須先掛載加密磁區,再打開受保護區內的檔案。 - 官方網頁與下載: http://www.truecrypt.org/
- 參考文件
- 註:Linux 上也可以用,使用方法與 Windows 版一樣,適合安裝雙系統的高手們
電 腦安全危機
安全危機圖解
掃不到惡意程式就安全嗎?
很多人,裝了一套「很好用、很強」的資安防護軟體,便高枕無憂。殊不知,現今惡意程式的行為,已從「破壞」轉於「隱藏」。也就是說,已前那種秀個「訊息」或「破壞」資料的方式,早也不足以滿足 Cracker 們的需求。取而代之的是,他們要有實質的「利潤」,亦即:「能【偷】到多少密碼、個資而不被發現」才是工作重點。
在這樣的邏輯思考之下寫出的惡意程式,不求「快速大量自我複製、癱瘓網路掃瞄別人與破壞宿主」,以避免被發現。取而代之的是,默默的把資料送出去給特定的地點。因此,底下筆者介紹兩種工具,協助您判斷,電腦內是否有那種「默默無聞」的惡意軟體:
檢查對外連線(TCPView)
- 下載:http://technet.microsoft.com/zh-tw/sysinternals/bb897437(en-us).aspx
- 下載二
1. 到: http://www.softking.com.tw
2. 搜尋「tcpview」
3. 到了下載頁面後,選「國內HTTP站下載」或「國內FTP站下載」 - 使用說明
基本上,它就是用來檢查,電腦內是否有不正常的對外連線,但這會產生另外個問題,就算發現異常的連線 IP ,我們怎麼知道它是誰。比如,MSN也是一上網就會去註冊連線,那我怎麼知道這些運作中的連線,那個是 MSN ? 那個是駭客工具?
答案是:查「WHOIS」http://www.oyetools.com/search.php,若查詢出來的結果,正在連線中的目的地是大陸地區的 ip ,那麼就要有已被駭的心理準備了。
檢查網路封包 WireShark(尤其是廣播封包,以防 ARP類病毒)
- 下載與官網:http://www.wireshark.org/
- 功能概述:該軟體其實是「封包分析器」
- 正面用途
- 查看有無不正常的廣播封包
- 查看 TCPView 中發現的連線,到底在送些什麼資料
- 參考文件一:http://blog.shaolin.tw/2008/03/wireshark.html(推薦)
- 參考文件二:http://zh.wikipedia.org/wiki/Wireshark
- 參考文件三:http://netgames123.blogspot.com/2007/10/ethereal.html
- 參考文件四:http://blog.roodo.com/ystuan/archives/4264887.html
惡 意程式(malware)分類
- 開機型病毒:已不常見
- USB隨身碟病毒:利用 Windows 在使用者插入 USB 隨身碟(含數位相機、MP3播放機...etc)時,會自動抓取 autorun.inf 設定檔,並執行其內含指令的特性,來散播惡意程式。
- 巨集病毒:依套裝軟體之巨集語言(如MS Office VBScript、Flash ActionScript...etc)所寫成的病毒,只要使用者開啟檔案,立即中毒。
- 檔案型病毒:受到惡意程式所感染的可執行檔(或動態程式連結庫)
- 蠕蟲(worms):經由網路擴散的病毒。會大量複製自己,透過郵件或主動掃描他人的網路 IP 來達成攻擊的目的。
- 後門程式(Back Door):為電腦開後門,控制你的電腦,再以此去攻擊別人。
- 木馬程式(Trojan Horse)
- Windows Rootkit
- 間諜軟體(spyware):與木馬程式雷同,但主要目的是竊取個人隱私或機密。
- 廣告軟體(adware):強迫顯示某些廣告。
- 網頁式:舉凡 JavaScript、ActiveX或是隱藏式框架強迫下載的各式惡意程式。
預 防勝於治療
預防策略
- 勤於更新,杜絕漏洞:無論是 Windows 本身或是所使用的各式工具程式,皆要勤於更新。
- 安裝防火牆(FireWall):阻止駭客及主動掃描攻擊的惡意程式。
- 安裝防毒軟體(AntiVirus):阻止惡意程式運作,例如:阻擋來自郵件、Message 軟體傳檔、USB儲存裝置或惡意網頁下載的惡意程式。
- 反間碟軟體(Anti-Spyware ):一般防毒軟體皆著重在 Virus 及 worm 等惡意程式,對於 adware 及 spyware 較不重視,因此,我們可以利用反間碟軟體來補足小雨傘的不足。在此,我們介紹了 spyware timinator 及 spyware doctor 這兩套工具,大家只要選用一種就好。
- 網頁檢查器(SiteAdvisor):若不確定該網頁是否安全,可先利用 Yahoo(或 Google)+ McaFee SiteAdvisor 檢視。
- 不要下載來路不明的軟體、影片、圖片及音樂等。
- 關閉 Windows XP 的 AutoRun 功能
資安軟體安裝建議
- 現在市售的資安軟體,皆已整合上述功能在單一套件中,學校可以依財力及資安軟體評比,採購適合的軟體,安裝至學校公用 MS Windows 作業系統的電腦。
- 若是個人使用,可以依「防火、防毒、瀏覽保護」三個防護點,來評估選用以下所介紹的各式免費軟體
防 火牆(firewall)介紹
防火牆可以阻擋來自網路上的非法入侵。
網路上的應用程式,只要使用相同的溝通方法 (通訊協定) ,透過固定的「通訊埠」,就可以讓分隔兩地的程式彼此交換資 料。比如說,不同的電腦及不同的瀏覽器,卻一樣可以看到 Yahoo 首頁,就是因為他們都遵循相同的通訊協定(HTTP),使用相同的通訊埠(TCP 80)。
依上述的觀念為基礎,如果您所使用的網路軟體,程式有了瑕疵(漏洞),別人便可以透過該軟體所使用的通訊埠,自由的存 取您的資料, 那麼您的電腦便處理一個危險的狀態。但是,惡意程式怎會知道您安裝的軟體有漏洞呢?自然,它沒那麼聰明,它只是從被感染的電腦隨機抓一段網路區段,每個 IP 都狠狠的掃描一次,只要掃到一台有軟體漏洞,便攻一台。
防火牆的原理為,預設先關閉全部通訊埠,再依使用者本人的意願,放行部份的程式及其所使用到的通訊埠。這樣做,可以把 一些預設開啟 但使用者用不到也不知道的網路軟體,做一個基本的保護。當然,那些被放行的軟體,仍然暴露在攻擊的陰影之下。此時,就必須要勤於更新所使用的軟體,杜絕軟 體漏洞的產生。以下是筆者,對一般使用者在防火牆上的建議:
家 裡及工作場所之防火牆安裝
只要不是網路主機,通通放在含防火牆功能之 IP 分享器後面,使用私有 IP 上網。比如在家裡,不要直接 ADSL 撥接上網,而是要在 ADSL 數據機後面,先接一台 IP 分享器,其他的電腦再接到此分享器上面,取用網路資源。
這樣做也會有一個好處,全家的電腦,自然處在一個受保護的網段內。因此,每台電腦可以彼此交換資料,也可以共用一台網路 印表機,節省支出。
若您所買的 IP 分享器夠強大,甚至可以當「不當資訊」阻隔器使用,以避免家中未成年的小孩太早熟。
單 機防火牆
另外,每台電腦,皆須安裝軟體防火牆。以避免「一台中毒,全部都遭殃」。在此,筆者推薦安裝免費的 ZoneAlarm firewall。 它具有「占用資源小」、「功能強大」及「自動更新」等特色。只是全英文的介面,或許會令人有點卻步。
免 費防毒軟體(Anti-Virus)
防毒軟體的功能,有:(一)即時阻止惡意程式的執行,(二)掃描清除儲存裝置內的惡意程式。而一個好的防毒軟體必須要有 以下特色:
- 占用系統資源少,速度快
- 惡意程式辯識率高
- 全自動化的更新
防 毒軟體排行榜
以下,筆者列出幾個公平的第三人組織,他們會定期評比市面上的防毒軟體。防 毒軟體推薦一:Avira AntiVir PersonalEdition classic
此套防毒軟體是由德國著名的資訊安全公司 Ariva GmbH 所開發,具有強大的防護能力,但是依其授權原則,只限個人使用,不得在公司行號內使用。
該公司共有三等級的個人資安防護產品:(1). Avira AntiVir PersonalEdtion classic,(2). Avira AntiVir PersonalEdition Premium,(3). Avira Premium Security Suite。其中只有第一套是免費版本,也因此,其功能僅局限於防堵「病毒(viruses), 蠕蟲(worms) , 特洛依(Trojans), 盜撥(dialers)及網路釣魚(phishing)」等類型的惡意程式,對於 spyware 及 adware 等其他類型的攻擊,必須付費購買 其他兩個版本才行。
防 毒軟體推薦二:avast! 4 Home Edition
avast! 4 Home Edition 是一個專 為家用和非商業用途而設(兩個條 件都必須符合!)的全功能防毒程序包.
內建有HTTP、EMAIL、P2P防護、MSN、即時通等聊天工具的安全防護、網路攻擊防護免 費反間碟軟體(Anti-Spyware)
在我們的資安規劃裡,使用 Avira GmbH AntiVir 來進行即時的防毒功能。但是其免費版本對於 spyware 及 adware 並無法提供較好的防護策略。因此,以下筆者介紹兩套免費的反間碟軟體。
(1). Spyware Terminator
我們從邱春樹先生創立之 malware-test 網站,找到 2007 年 1 月份之反間碟軟體評比資料,其中 Spyware Terminator 1.5 版,有著不錯的成績。除此之外,它具有以下幾個特色:
- 免費(Freeware),不限在家中或是公司使用
- 可以即時保護及掃描清除
- 快速掃描
以下是筆者的動畫教學:
- 官方網頁:http://www.spywareterminator.com/
- 下載與安裝(動畫示範)
- 設定:以下兩組設定,請依個人需求決定是否採用
- 啟用主機入侵防禦系統( Host Intrusion
Prevention System; HIPS)
啟用後,它會全面掃描目前所安裝的可執行程式。爾後,如果有不明的程式或函式想要安裝至系統時,即時保護盾(Real-Time Shield)會進行分析,若它認為有問題,便會跳出詢問視窗。 - 優點:加強變種及未知的惡意程式入侵
- 缺點:會影響系統效能
- 啟用免疫系統(Immunize)
本功能在於阻止網際網路上的惡意程式或網頁內容的執行 - 更新(動畫示範)
- 掃描與清除(動畫示範)
(2). Spyware doctor
本套軟體是由 pctools 公司開發,並與 Google 合作,放在【Google軟體集】內,供使用者自由下載。本軟體最主要的強項在於 spyware 及 adware 的阻擋與清除。除此之外,它可以掃描暨清除下面所列,各種惡意程式類型:
鍵盤記錄器(Keyloggers)、身份竊取(Identity Theft)、劫持(Hijackers)、
跟蹤威脅(Tracking Threats)、惡意反間諜(Rogue Anti-Spyware)、有害軟體(Unwanted Software)、
網路釣魚(Phishing)、彈出式廣告和有害網站(Popups and Bad Websites)
其入門版有兩套:
- Spyware-Doctor:可以掃描清除,沒辨法即時監控保護。
- Spyware-Doctor with Antivirus:可以即時監控,但無法清除,如果要完整功能,必須付費升級。
- 官方網頁:http://www.pctools.com/zh/spyware-doctor/
- 下載與安裝(動畫示範)
- 設定(動畫示範)
把【開 機時掃描】及【掃隱 藏 rootkit 檔】兩個功能打開,不過會使開機時間拉長。若無此需求,此部分不必處理。 - 掃描與清除(動畫示範)
網 頁檢查器(SiteAdvisor)
從前面的介紹得知,「網頁」也是惡意程式重要的來源之一。如果,我們可以預知未來所要瀏覽網站的安全性,便可以減少很多 資安上的困擾。這樣的 工具,已經有人寫出來,而且幸運的是:它是免費的。由著名的 McaFee 公司所研發的軟體 Site Advisor,會在搜尋到的網頁上註解其安全性,供使用者判斷是否要點選進入。其運作過程如下:
- SiteAdvisor 官方網頁
- 安 裝瀏覽器的 Site Advisor 外掛程式
- 啟動瀏覽器
- 利用 Google 或 Yahoo 搜尋目標網頁,SiteAdvisor 會標示清單內各個站台的安全性
防 隨身碟病毒,關閉 Windows XP 之隨身碟 AutoRun 功能
隨身碟惡意程式的原理為,利用 Windows XP 會去搜尋並執行部份 autorun.inf 內某些設定值,如 shell 及 ico 等特性。進而把惡意程式載入記憶體中執行,並修改系統設定值,使得使用者無法用正常方式找到病毒本身。而且,在使用者插入其他隨身碟時,把自己複製過去, 以伺機感染下一台電腦。
依上述原則,若我們在「未中毒前」, 就關閉此一功能,便可以避免在插入 USB 隨身碟的同時,立即感染惡意程式的可能。記住,只有在「未中毒前」才有效,若已中 毒,會因惡意程式已常駐於記憶體中而失敗。
永久關 閉本功能
- 方法一:使用 TweakUI 關閉 USB 隨身碟之 autorun 功能(推薦)
- 官方網頁下載最新版(英文)
http://www.microsoft.com/taiwan/windowsxp/downloads/powertoys/xppowertoys.mspx - 在此有 2.10 中文版
- 關閉 USB 隨身碟之自動執行功能
- 方法二:修改登錄檔 regedit 找出以下兩組 KEY 值
[HKEY_CURRENT_USER\Software\Micorsoft\Winidows\CurrentVersion\Policies\Explorer]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
修改「NoDriveTypeAutoRun」的值為「0x00000095」 - 方法三:執行群組原則管理「gpedit.msc」(Windows XP Home 版不適用)
(1). 點選「電腦設定 → 系統管理範本 → 系統」,在右邊的畫面找到「關閉自動播放」
(2). 雙擊(DobuleClick)「關閉自動播放」 → 點「已啟用」,並使「停止自動播放在:所有磁碟機」
中 毒了!怎麼辨?
徹 底清毒
- 方法一:把硬碟拔除,放至乾淨的主機,用強力防毒軟體掃描清除
- 優:可以徹底清除
- 缺:可能把系統檔也刪掉,導致無法開機。只能重新安裝作業系統才可以解決。
- 方法二:製作內含 Avast! AntiVirus 防護軟體之 B2D pureKGB
隨身碟開機版,來掃描清除惡意程式,或救出裡面的資料
製作方法,可參考 http://b2ddoc.tnc.edu.tw/yh/kgb2usb/ - 方法三:進入安全模式,用 AntiVir (小雨傘)徹底清除
- 先把 AntiVir 更新到最新
- 重新開機,按 F8 進入安全模式
- 從程式集找到 AntiVir ,執行並掃描
- 方法四:重新安裝 Windows 作業系統,順序如下:
- 先不要上網
- 用隨身碟備份資料,並下載妥各種資安軟體
- 重新安裝 Windows XP
- 先裝防火牆
- 再裝防毒軟體
- 啟動網路
- 更新防毒軟體
- 更新Windows XP
隨 身碟病毒大掃除
- 張書維先生的三秒殺工具
http://tw.myblog.yahoo.com/shu-wei/article?mid=2&sc=1 - 請自行到該站下載使用,十分有效
線 上掃毒
http://www.kaspersky.com.tw/virusscanner/#http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
網 路釣魚(phishing)
網路釣魚,是一騙取個人帳號密碼的偽網頁。鬼客會找一台容易入侵的網頁主機,先把偽網建置完成。再以下列幾個手段導引使 用者連結至假 的網頁。(一)寄假通知信,誘使民眾上網填帳號密碼,(二)利用 DNS cache 漏洞,欺騙電腦,對特定英文網址(ex: 某銀行;某線上購物),給出錯誤的 IP,(三)到各討論區或留言板留下看起來很像,但實際上是假的 URL,誘使人們去點選。
無論是何種方法,皆可以成功的讓使用者連結至「偽網頁」,此時使用者只要填入帳號、密碼,怪客便可以快樂的收集起來,再 加以利用。以下是筆者收集到的真實案例:
