喜欢看电影的朋友大家好 我们是ISDA(台湾资讯安全联合发展协会) 为了要让更多人了解资讯安全，除了基础资讯安全教育训练以外 我们将针对电影及影集里面会提到的技术作一系列的资讯安全解说 也欢迎认同我们的朋友给我们一点鼓励 到我们的ＦＢ粉丝页按个赞加分享 https://www.facebook.com/ISDA.tw/ ---------------------------废话分隔线------------------------- 图文好读版 https://www.isda.org.tw/index.php/2018/08/02/geostorm/ [撰文/Leaf] 前情提要：气象变迁剧烈，无人能幸免於难，气温骤升，飓风、海洋宛如野 兽般朝着城市狂拥而来，失去了城镇、良田，就在人类几乎快灭亡之际，人 们开始团结一心，在美国的带领下，终於找到了如何抵御气候的方法，并发 明了荷兰男孩来控制气候，伟大的研究始终遮掩邪恶的阴影，背後蕴藏着足 以毁天灭地的阴谋，在缓缓萌芽中... 哈罗大家好！最近我们才刚办完一场「白帽菁英萌芽计划」，藉由Wargame的 方式来推广资安教育，让学员从中学习骇客技术，确实...学习骇客技术这的 确是一个很好的方式，但一定得跟现实连结，要一步一步引导，而这也是我 们ISDA一直坚持的。 这次的看电影学资安比较特别，找了CSI Cyber以外的电影来撰写，只要片中 有资安桥段我们都可以拿来讨论和学习，当然如果有人想看我们写哪部电影 的资安情节，非常欢迎你告诉我们。 那我们开始来看看，气象战中有哪些资安情节，以及资讯人才会注意到的彩 蛋吧，Let's get it！ 1.网路连线背後的原理 在香港经历了一场地下天然气管连环爆炸事件後，麦斯发现他竟然不能登录 「荷兰男孩」的卫星通讯，看似只是普通的连线不稳导致的中断，但真的是 这样吗？经过一系列网路扫描後，他怀疑访问权限可能被有心人士撤销了。 了解网路扫描前，得先从网路连线开始说起...... 当网路程式需要一个稳定的连线时，都会先与目标做TCP三方交握，连接完毕 後，才会开始做稳定的资料传输，我们可以透过封包分析软体，协助我们理 解网路传输的过程。 可以看到三方交握一开始发送了SYN封包，在伺服器收到以後，会回应 SYN+ACK封包，这时就表示允许客户端连接，最後客户端再发送ACK封包，就 能完成TCP的连线了。 (图/後端软体工程工具箱：网路通讯协定篇 - Startup Engineering 新创工 程师的笔记) 片中麦斯的骇客朋友在检查卫星状况时，试图使用TCP协议连上卫星，却始终 连不上...... 这时候可以从检查远端主机的通讯埠是否存活来下手。 延伸阅读： [1] 後端软体工程工具箱：网路通讯协定篇 - Startup Engineering 新创 工程师的笔记 [2] 网路封包分析的好帮手—Wireshark　撷取分析、防范攻击无所不包 - 技术专栏 - 网管人NetAdmin 2.开越多洞越多的通讯埠 当主机启动一个网路服务时，也会启动一个通讯埠(port)来监听客户端传来 的连线请求，其中0~1023的通讯埠被保留给一些系统上固定的服务，例如通 讯埠80就是大家最常接触到的，网页伺服器几乎都会开启这个通讯埠，它用 来传输HTTP协定，也就是网页啦！ 使用netstat指令可以查看自己的电脑开启了哪些通讯埠，如果你发现某些通 讯埠被奇怪的程式开启，那个程式也许就是骇客植入的恶意程式。 攻击者也可以透过一些port scanner来得知目标主机开启了哪些可能有漏洞 的通讯埠。 以上就是骇客在攻击前会做的网路扫描，透过前面提到的TCP三方交握，当通 讯埠回应了连线请求，即代表该通讯埠是开启的，当然网管也可以拿来确认 网路状况，就像下图影片中的情节。 看出来了吗？跟nmap的介面还真的有几分像，有没有一种将电影中的高超技 术搬出来现实的感觉呢xD 最有趣得是，片中呈现普通线路中断的假象，在扫描结果中确实能看出一二 ，明明扫描的结果显示HOST IS UP，但是扫描的PORTS却显示SERVER REPLY ERROR。 不像之前看到的这个......，真是傻眼猫咪啊！ (图/《天下女人心》PPT入侵防火墙　网友：原来我也是骇客) 会出现这种扫描结果，是由於防火墙设定的关系，防火墙拒绝掉某些通讯埠 的请求，但并未拒绝掉ICMP的请求，大家可以试试看ping指令来对目标发出 ICMP封包，确认目标主机是否存活，顺便搭配前面提到的封包分析软体，来 观察ICMP封包的传输过程。 延伸阅读： [1] 通信埠445关了吗？「WannaCry」从这个地方侵入你的电脑 [2] 常用 TCP Port作用(各种Port介绍) [3] Nmap 网路诊断工具基本使用技巧与教学 - G. T. Wang 3.充满洋葱的对话是密文?! What the fuck!?...... 不知道的人根本会觉得，你XX到底在说什麽，首先我们先了解电影中的加密 法是怎样。 手机号码第一个数字是多少，就在密文中从第一个字往後数这个数，就是解 密後的第一个字，同样的道理，手机号码的第二个数，就从密文数到的地方 ，往後数这个数，就是解密後的第二个字，标点符号不算在内。 我把片中主角加密後的对话，贴出来让大家算算看。 看懂了吗？！ 经过一阵烧脑後，稍微题外话一下，让大家放个松...... 我个人觉得麦斯真的非常6666666。我就算不断该该叫，在厕所屎拉到长痔疮 又脱肛，也想不到这种加密法啊，结果我只想说：「哈搞笑喔，做一做白日 梦就有这种生活了。」是吧？！ (图/网路) 咦？刚刚似乎说了些什麽？！不小心把内心话，藏在闲聊中了XD 现实中网路传输的加密流程，也跟电影中的片段一样，「不可言喻的暗号」 是伺服器告诉客户端我要加密罗，「在比斯坎湾弄掉他的手机」是传送加密 金钥，「证明罗森一家不是渔夫，......」是传输的密文，「保重，麦斯」 是传输完毕。然後说完就潇洒离去，帅！ 我说完，大家可能只有这个表情。 (图/网路) 密码学能分成好几个种类，最简单的分法就是传统密码学跟现代密码学，传 统密码学最经典的是凯萨加密，将明文中每个字元按照字母表做位移，替换 後形成密文。 网路上有许多类似的线上加密工具，大家可以将它运用在生活中，我想应该 会蛮有趣的，我们替主角加密一下讯息，然後用邮件传给麦斯，看看情况会 变怎样吧！ 真的非常6，但是这个一看就知道不对劲啊，马上抓包，所以假如你是程式设 计员，要注意不要使用弱加密法，避免资料传输遭骇客破解。 密码学进展了许多年，发明了许多强大的现代密码学，即便如此，还是有些 程式并未加密，因此给了有心人士可趁之机，所以在使用网路时，要尽量避 免未加密的程式或网页。 (图/Chrome 68 正式推出，未加密网站强制标注「不安全」 - 电脑王阿达) 延伸阅读： [1] 七月起Chrome将会对未加密的HTTP网站标记"不安全连线" - 资安趋势 部落格 [2] 什麽是加密技术 (Encryption)? - 资安趋势部落格 [3] 凯撒密码 - Wikiwand [4] DES 加密、RC4 加密、AES 加密等加密算法的优势及应用 - V2EX 但是......，电影中12岁小孩想出的加密方式，真的能被定义为加密法吗？ 资安领域内有个类似的东西叫隐写术，透过将资料嵌入至图片或载体，达到 隐藏资料的效果，有些骇客为了避免资料或者恶意程式被发现或侦测，也会 使用隐写术。 延伸阅读： [1] 特别企划 | 冰山下的威胁：网路攻击中的隐写术-FreeBuf互联网安全新 媒体平台 | 关注黑客与极客 [2] 图像隐码术(Steganography)与恶意程式：原理和方法 - 资安趋势部落 格 最後，这一期的看电影学资安就到这边啦！除了电影中隐藏在细节的资安彩 蛋外，本篇从最基本的网路连线开始谈起，让大家了解到网路扫描的原理， 最後还提到网路传输中，使用强加密法的重要性，甚至还提到隐写术，这些 都与安全的网路互动息息相关，希望阅读此篇的人都能有所收获。 ------------------------------------------------------------ 我们是ISDA(台湾资讯安全联合发展协会)。 为了要让更多人了解资讯安全，除了基础资讯安全教育训练以外，我们将针 对影集里面会提到的技术作一系列的资讯安全解说。欢迎认同我们的朋友给 我们一点鼓励，到我们的FB粉丝页按个赞加分享。 https://www.facebook.com/ISDA.tw/ 有任何活动相关讯息，我们也会第一时间张贴在ISDA粉丝团喔！ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 49.217.132.99 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1533183818.A.B68.html