※ [本文轉錄自 CSI 看板 #1OsE6qEk ] 作者: AIRY0812 (肥貓) 看板: CSI 標題: [閒聊] 看電影學資安-CSI Cyber S01E01 時間: Mon Mar 27 17:56:01 2017 喜歡CSI-Cyber的朋友大家好 我們是ISDA(台灣資訊安全聯合發展協會) 為了要讓更多人了解資訊安全，除了基礎資訊安全教育訓練以外 我們將針對CSI-Cyber 系列裡面會提到的技術作一系列的資訊安全解說 也歡迎認同我們的朋友給我們一點鼓勵 到我們的ＦＢ粉絲頁按個讚加分享 https://www.facebook.com/ISDA.tw/ -----------------------------廢話分隔線-------------------------- 圖文好讀版 http://www.isda.org.tw/index.php/2017/03/13/csi-cyber-s01e01/ 哈囉大家好～ 我是瓦特，一忙就富奸了好久，拖到自己都不好意思了XD 希望對影集或電影有興趣的朋友歡迎到ISDA的粉絲團按讚留言唷～ 讓我們知道你也喜歡這系列文，我們會更努力的寫出更優質的文章 也感謝共同作者Eric大大幫忙，希望大家會喜歡>"< 作者外出取材(? 接著與大家分享的影集是非常有名的CSI，但是主題不是一般的犯罪對象，而 是與這個Blog最為接近的主題Cyber Crime(網路犯罪)，內容也與生活都息息 相關，是學習資安的好選擇唷～ 左至右為 前黑帽駭客(Black-Hat Hacker)後來招募為FBI探員的Brody Nelson、號稱最強的白帽駭客(White-Hat Hacker)Daniel Krumitz、愛玩3C 玩具的Diebenkorn "D.B." Russell、心理專家兼網路犯罪專家Avery Ryan、 身手矯健的打手Elijah Mundo、一樣為前黑帽後來招募為探員的Raven Ramirez 此集從嬰兒於父母睡夢中被小偷偷走開始，父母從監看嬰兒的設備中聽到有 怪聲，趕往嬰兒房的時候已經看不到任何身影了，故事就從此開始，那麼這 集有什麼我們值得關注的重點呢？ 1. 數位證據的保留非常重要： 前來採證的菜鳥探員把WebCam電源都拔除以當證物，可是他不知道有些證據 是有可能仍存在記憶體當中，因此拔除了電源可能會導致那些數位證據都消 失，因此發生事件最佳的方法就是盡可能的保持原狀，如害怕駭客再進行攻 擊可以先行拔除網路，並且能進行備份就進行備份，但是如果處理勒索軟體 的話就又是另外一回事了 FBI收集數位證據的電子設備時還會特意用法拉第袋以保護數位證據，防止所 有的訊號傳出或傳入，以防設備再次被駭客入侵清除記錄等，每一份的數位 證據都非常的重要，因此都需要以最謹慎的方式處理! WebCam大部分皆有錄影功能，因此廠商都會設計有外接的儲存裝置，如 SDCard，但是歹徒非常有經驗的也把記憶卡拔走了，以免被錄影錄到蛛絲馬 跡，也算是反鑑識的一種方法，不過為什麼不整台直接拔走呢 (翻白眼) 2. 最了解駭客的就是駭客： 這次任務是Brody Nelson第一次出任務，他原本是位黑帽駭客，被FBI抓到後 改為FBI效命，個人認為光以技術而言讓黑帽駭客抓黑帽駭客是很好的思考模 式，因為最了解黑帽的就是黑帽，一些走過那些黑暗道路的人才會懂的事情 ，外加駭客總是想出一些奇奇怪怪的有趣攻擊手法，所以企業真的是要好好 善用這些可能誤入歧途的天才～救救駭客的人生也救救自己的企業XD 3.能力越強(安全)責任越大： 駭客最主要的攻擊目標是網路攝影機(WebCam)，而在此集當中的設備為專注 在監看嬰兒用的，因此又稱為BabyCam，因此多了一些麥克風功能，讓小孩子 可以聽到父母安撫的聲音較為安心，沒想到反而被駭客利用，利用來監看父 母及嬰兒的作息，趁父母鬆懈的時候偷竊嬰兒，所以開發這些網路攝影機的 廠商真的是需要多用點心於安全上，以免發生無法挽回的事情，看看之前台 灣大廠商某Ａ牌與Ｄ牌都被美國FTC控告，代表注意連網裝置的安全非常的重 要，現今智慧家庭裝置也越來越多，也可能將眾多使用者的隱私陷於危險之 中，真的是不可不慎 那麼消費者怎麼保護自己呢？ 1. 慎選廠商 - 如果廠商對於漏洞的問題漫不經心，經常出現問題或者修補 速度緩慢，那麼就將它列入黑名單吧 2. 經常更新韌體 - 負責任的廠商對於韌體有問題，不論是穩定性或者有弱 點都會進行修補，那麼消費者也要記得經常關心自己的設備是否有新的韌體 可以進行更新唷 3. 使用強密碼 - 即使設備再安全，使用弱密碼也會功虧一簣唷 4. 關閉不需要的功能 - 設備的功能越來越多樣，可是不見得每一項功能你 都需要，功能開得越多越容易讓攻擊者找到可以攻擊的點，如果不需要讓網 際網路可以連線的功能，就關閉它吧! 原始碼會解釋一切，功力高強的駭客從原始碼檢測(白箱)就可以找出大部分 的漏洞，建議有能力的企業們導入SSDLC，從一開始分析、設計、撰寫到測試 發布等每一步都謹慎小心的對待你的原始碼與系統，也建議企業除了努力提 高獲利以外也要將安全視為優先考量，別為了降低成本或急著推出產品就將 漏洞視而不見 拍拍，大部分工程師的痛 T_T 4.小心惡意軟體 FBI使用軟體檢測設備是否有被植入惡意軟體，畫面上面寫著Diagnosis, Executable Code Parse-Check，分析著有點像C++的程式碼，猜測可能以是 靜態分析的方式進行檢測，藉由判定某些特定行為來判定此軟體是否為惡意 軟體，例如修改系統特定設定以獲取特殊權限、存取敏感資訊等 分析執行畫面很酷炫，不過看畫面比對的方式有點奇怪，連等號都判定是惡 意行為嗎？（笑)，防禦惡意軟體的常見的方法為不下載安裝來歷不明的軟體 、不隨意開啟不明寄件者的電子郵件、安裝防毒軟體等，相信大家都很熟悉 就不多著墨了 攻擊者植入了遠端存取工具RAT(Remote Access Trojan/Remote Administration Tool)，RAT主要的功能就是讓使用者(攻擊者)可以遠端存取 目標的電腦設備、執行想要的動作，而此攻擊者最想要的就是獲取特定資訊 ，只要有特定的關鍵字都會在遠端收到資訊，如這次的攻擊者想要的就是小 寶寶的名字與小孩子當關鍵字，那麼他就可以持續追蹤小孩子相關的所有訊 息 5.慎用社群網站 以台灣而言最多人使用的社群網站一定就是Facebook了，吃大餐貼FB、出國 玩貼FB，可是你有沒有想過你可能把過多的訊息公布於社群網站了呢？以此 集的例子，FBI從社群網站中收集到了竊嬰者的關係者的社群網站帳號，更收 集到了車牌號碼。 那麼我們生活中使用FB需要注意什麼呢： 1.不要過度暴露自己行蹤 - 因為攻擊者可能利用你出國不在家偷竊，或者於 照片中透露你家的地址也容易讓心懷不軌的人有機可趁 2.不要過度暴露自己的個人資料 - 有些人喜歡把所有的資訊列出，攻擊者就 容易對你進行社交工程攻擊，或者是從你的資訊猜測你可能使用的密碼，最 近更有新聞指出自拍登機證可以讓駭客收集你的資訊，不僅能看到旅客的姓 名、在航空公司的會員編號都能一目瞭然，還包括班機號碼、出發地、目的 地以及預計搭乘的航班，甚至存在航空公司的個資都能進行竄改 當然不用到不使用社群網站這麼極端，但使用上真的是必須謹慎 順帶一提，其中猜測竊嬰者的路線與猜測綁匪主腦使用了不少心理學的技巧 就請各位觀眾自己探索囉～ 如果喜歡行為心理學的朋友可以看謊言終結者唷，也是一部相當有趣的影集 ! 6.各種設備無時無刻在透露你的資訊 其中某角色被暗殺就是因為手機的GPS資訊被暗殺者得知，但依劇情他是使用 一次性手機(在美劇中經常出現XD)，照理來說不應該那麼容易被追蹤才是， 猜測是被植入惡意程式 除了惡意程式以外還可以利用前陣子非常熱門的話題SS7漏洞，攻擊者利用此 漏洞可以竊聽你的電話、偷看你的簡訊、甚至利用基地台的三角定位得知你 最後定位的位置，所以去汽車旅館借廁所，或者去汽車旅館巧遇都記得要把 手機放在家裡唷 (咦?) 歹徒從鄰居小朋友的遊戲機中對FBI發出了警告，卻不知道遊戲機中每一台都 有獨特的編號，用以追蹤用戶是不是做壞事(歹徒愛裝屌又不先做好功課出事 了吧 UCCU ☜(ﾟ∀ﾟ(ﾟ∀ﾟ☜ )，不過我沒錢買遊戲機來研究，不知道實 際上是否遊戲機廠商是否都有此設計(跪求乾爹贊助PS4 Pro T_T) 你們這些蘿莉控還乖乖不束手就擒!(誤 7.密碼長度與複雜度很重要，使用習慣更重要 FBI抓到歹徒之後，發現他們追蹤嬰兒運送路線的系統，但系統使用密碼控管 權限，並且密碼長度最高20位(或者是只能20位!?)，就算只使用英文數字最 少也是62的20次方的可能性，如果使用暴力破解法慢慢Try可能要算到變白骨 呀呀呀，而常人所能記住的字串約在7±2，因此FBI心理學專家就猜測這些蠢 綁匪應該將密碼抄寫在某處，還真的"抄寫"在某個難以修改的地方，歹徒就 是這樣被從頭到尾都在犯蠢... 因此我們從蠢綁匪的例子可以知道即使你的 密碼讓人難以暴力破解，可是如果使用習慣不良還是很容易被攻擊成功的唷 XD 有夠不給綁匪面子的XD 結局如何就不在此爆雷拉，希望喜歡資安的你也喜歡此篇文章，從此篇文章 獲得一些知識或樂趣，如有任何意見歡迎到ISDA的粉絲團告訴我們唷～ 感謝 你～ 繼續富奸去～ (被比爾哥拖去打QQ) [撰文 Walter/ Eric] 歡迎認同我們的朋友給我們一點鼓勵 到我們的ＦＢ粉絲頁按個讚加分享 https://www.facebook.com/ISDA.tw/ 有任何活動相關訊息，我們也會第一時間張貼在ISDA粉絲團喔 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 115.82.233.65 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/CSI/M.1490608564.A.3AE.html

※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: AIRY0812 (115.82.233.65), 03/27/2017 18:29:47