※ [本文转录自 CSI 看板 #1OsE6qEk ] 作者: AIRY0812 (肥猫) 看板: CSI 标题: [闲聊] 看电影学资安-CSI Cyber S01E01 时间: Mon Mar 27 17:56:01 2017 喜欢CSI-Cyber的朋友大家好 我们是ISDA(台湾资讯安全联合发展协会) 为了要让更多人了解资讯安全，除了基础资讯安全教育训练以外 我们将针对CSI-Cyber 系列里面会提到的技术作一系列的资讯安全解说 也欢迎认同我们的朋友给我们一点鼓励 到我们的ＦＢ粉丝页按个赞加分享 https://www.facebook.com/ISDA.tw/ -----------------------------废话分隔线-------------------------- 图文好读版 http://www.isda.org.tw/index.php/2017/03/13/csi-cyber-s01e01/ 哈罗大家好～ 我是瓦特，一忙就富奸了好久，拖到自己都不好意思了XD 希望对影集或电影有兴趣的朋友欢迎到ISDA的粉丝团按赞留言唷～ 让我们知道你也喜欢这系列文，我们会更努力的写出更优质的文章 也感谢共同作者Eric大大帮忙，希望大家会喜欢>"< 作者外出取材(? 接着与大家分享的影集是非常有名的CSI，但是主题不是一般的犯罪对象，而 是与这个Blog最为接近的主题Cyber Crime(网路犯罪)，内容也与生活都息息 相关，是学习资安的好选择唷～ 左至右为 前黑帽骇客(Black-Hat Hacker)後来招募为FBI探员的Brody Nelson、号称最强的白帽骇客(White-Hat Hacker)Daniel Krumitz、爱玩3C 玩具的Diebenkorn "D.B." Russell、心理专家兼网路犯罪专家Avery Ryan、 身手矫健的打手Elijah Mundo、一样为前黑帽後来招募为探员的Raven Ramirez 此集从婴儿於父母睡梦中被小偷偷走开始，父母从监看婴儿的设备中听到有 怪声，赶往婴儿房的时候已经看不到任何身影了，故事就从此开始，那麽这 集有什麽我们值得关注的重点呢？ 1. 数位证据的保留非常重要： 前来采证的菜鸟探员把WebCam电源都拔除以当证物，可是他不知道有些证据 是有可能仍存在记忆体当中，因此拔除了电源可能会导致那些数位证据都消 失，因此发生事件最佳的方法就是尽可能的保持原状，如害怕骇客再进行攻 击可以先行拔除网路，并且能进行备份就进行备份，但是如果处理勒索软体 的话就又是另外一回事了 FBI收集数位证据的电子设备时还会特意用法拉第袋以保护数位证据，防止所 有的讯号传出或传入，以防设备再次被骇客入侵清除记录等，每一份的数位 证据都非常的重要，因此都需要以最谨慎的方式处理! WebCam大部分皆有录影功能，因此厂商都会设计有外接的储存装置，如 SDCard，但是歹徒非常有经验的也把记忆卡拔走了，以免被录影录到蛛丝马 迹，也算是反监识的一种方法，不过为什麽不整台直接拔走呢 (翻白眼) 2. 最了解骇客的就是骇客： 这次任务是Brody Nelson第一次出任务，他原本是位黑帽骇客，被FBI抓到後 改为FBI效命，个人认为光以技术而言让黑帽骇客抓黑帽骇客是很好的思考模 式，因为最了解黑帽的就是黑帽，一些走过那些黑暗道路的人才会懂的事情 ，外加骇客总是想出一些奇奇怪怪的有趣攻击手法，所以企业真的是要好好 善用这些可能误入歧途的天才～救救骇客的人生也救救自己的企业XD 3.能力越强(安全)责任越大： 骇客最主要的攻击目标是网路摄影机(WebCam)，而在此集当中的设备为专注 在监看婴儿用的，因此又称为BabyCam，因此多了一些麦克风功能，让小孩子 可以听到父母安抚的声音较为安心，没想到反而被骇客利用，利用来监看父 母及婴儿的作息，趁父母松懈的时候偷窃婴儿，所以开发这些网路摄影机的 厂商真的是需要多用点心於安全上，以免发生无法挽回的事情，看看之前台 湾大厂商某Ａ牌与Ｄ牌都被美国FTC控告，代表注意连网装置的安全非常的重 要，现今智慧家庭装置也越来越多，也可能将众多使用者的隐私陷於危险之 中，真的是不可不慎 那麽消费者怎麽保护自己呢？ 1. 慎选厂商 - 如果厂商对於漏洞的问题漫不经心，经常出现问题或者修补 速度缓慢，那麽就将它列入黑名单吧 2. 经常更新韧体 - 负责任的厂商对於韧体有问题，不论是稳定性或者有弱 点都会进行修补，那麽消费者也要记得经常关心自己的设备是否有新的韧体 可以进行更新唷 3. 使用强密码 - 即使设备再安全，使用弱密码也会功亏一篑唷 4. 关闭不需要的功能 - 设备的功能越来越多样，可是不见得每一项功能你 都需要，功能开得越多越容易让攻击者找到可以攻击的点，如果不需要让网 际网路可以连线的功能，就关闭它吧! 原始码会解释一切，功力高强的骇客从原始码检测(白箱)就可以找出大部分 的漏洞，建议有能力的企业们导入SSDLC，从一开始分析、设计、撰写到测试 发布等每一步都谨慎小心的对待你的原始码与系统，也建议企业除了努力提 高获利以外也要将安全视为优先考量，别为了降低成本或急着推出产品就将 漏洞视而不见 拍拍，大部分工程师的痛 T_T 4.小心恶意软体 FBI使用软体检测设备是否有被植入恶意软体，画面上面写着Diagnosis, Executable Code Parse-Check，分析着有点像C++的程式码，猜测可能以是 静态分析的方式进行检测，藉由判定某些特定行为来判定此软体是否为恶意 软体，例如修改系统特定设定以获取特殊权限、存取敏感资讯等 分析执行画面很酷炫，不过看画面比对的方式有点奇怪，连等号都判定是恶 意行为吗？（笑)，防御恶意软体的常见的方法为不下载安装来历不明的软体 、不随意开启不明寄件者的电子邮件、安装防毒软体等，相信大家都很熟悉 就不多着墨了 攻击者植入了远端存取工具RAT(Remote Access Trojan/Remote Administration Tool)，RAT主要的功能就是让使用者(攻击者)可以远端存取 目标的电脑设备、执行想要的动作，而此攻击者最想要的就是获取特定资讯 ，只要有特定的关键字都会在远端收到资讯，如这次的攻击者想要的就是小 宝宝的名字与小孩子当关键字，那麽他就可以持续追踪小孩子相关的所有讯 息 5.慎用社群网站 以台湾而言最多人使用的社群网站一定就是Facebook了，吃大餐贴FB、出国 玩贴FB，可是你有没有想过你可能把过多的讯息公布於社群网站了呢？以此 集的例子，FBI从社群网站中收集到了窃婴者的关系者的社群网站帐号，更收 集到了车牌号码。 那麽我们生活中使用FB需要注意什麽呢： 1.不要过度暴露自己行踪 - 因为攻击者可能利用你出国不在家偷窃，或者於 照片中透露你家的地址也容易让心怀不轨的人有机可趁 2.不要过度暴露自己的个人资料 - 有些人喜欢把所有的资讯列出，攻击者就 容易对你进行社交工程攻击，或者是从你的资讯猜测你可能使用的密码，最 近更有新闻指出自拍登机证可以让骇客收集你的资讯，不仅能看到旅客的姓 名、在航空公司的会员编号都能一目了然，还包括班机号码、出发地、目的 地以及预计搭乘的航班，甚至存在航空公司的个资都能进行窜改 当然不用到不使用社群网站这麽极端，但使用上真的是必须谨慎 顺带一提，其中猜测窃婴者的路线与猜测绑匪主脑使用了不少心理学的技巧 就请各位观众自己探索罗～ 如果喜欢行为心理学的朋友可以看谎言终结者唷，也是一部相当有趣的影集 ! 6.各种设备无时无刻在透露你的资讯 其中某角色被暗杀就是因为手机的GPS资讯被暗杀者得知，但依剧情他是使用 一次性手机(在美剧中经常出现XD)，照理来说不应该那麽容易被追踪才是， 猜测是被植入恶意程式 除了恶意程式以外还可以利用前阵子非常热门的话题SS7漏洞，攻击者利用此 漏洞可以窃听你的电话、偷看你的简讯、甚至利用基地台的三角定位得知你 最後定位的位置，所以去汽车旅馆借厕所，或者去汽车旅馆巧遇都记得要把 手机放在家里唷 (咦?) 歹徒从邻居小朋友的游戏机中对FBI发出了警告，却不知道游戏机中每一台都 有独特的编号，用以追踪用户是不是做坏事(歹徒爱装屌又不先做好功课出事 了吧 UCCU ☜(ﾟ∀ﾟ(ﾟ∀ﾟ☜ )，不过我没钱买游戏机来研究，不知道实 际上是否游戏机厂商是否都有此设计(跪求乾爹赞助PS4 Pro T_T) 你们这些萝莉控还乖乖不束手就擒!(误 7.密码长度与复杂度很重要，使用习惯更重要 FBI抓到歹徒之後，发现他们追踪婴儿运送路线的系统，但系统使用密码控管 权限，并且密码长度最高20位(或者是只能20位!?)，就算只使用英文数字最 少也是62的20次方的可能性，如果使用暴力破解法慢慢Try可能要算到变白骨 呀呀呀，而常人所能记住的字串约在7±2，因此FBI心理学专家就猜测这些蠢 绑匪应该将密码抄写在某处，还真的"抄写"在某个难以修改的地方，歹徒就 是这样被从头到尾都在犯蠢... 因此我们从蠢绑匪的例子可以知道即使你的 密码让人难以暴力破解，可是如果使用习惯不良还是很容易被攻击成功的唷 XD 有够不给绑匪面子的XD 结局如何就不在此爆雷拉，希望喜欢资安的你也喜欢此篇文章，从此篇文章 获得一些知识或乐趣，如有任何意见欢迎到ISDA的粉丝团告诉我们唷～ 感谢 你～ 继续富奸去～ (被比尔哥拖去打QQ) [撰文 Walter/ Eric] 欢迎认同我们的朋友给我们一点鼓励 到我们的ＦＢ粉丝页按个赞加分享 https://www.facebook.com/ISDA.tw/ 有任何活动相关讯息，我们也会第一时间张贴在ISDA粉丝团喔 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 115.82.233.65 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/CSI/M.1490608564.A.3AE.html

※ 发信站: 批踢踢实业坊(ptt.cc) ※ 转录者: AIRY0812 (115.82.233.65), 03/27/2017 18:29:47