看到最近一堆人被盜,來試著做點資安宣導好了,原本想寫短一點,但不知不覺就這麼長
啦XD 手機發文,排版差見諒。
我們就先從駭客怎麼取得你的帳號密碼說起好了。
一般來說,要獲取帳密不外乎三個途徑,伺服器端,傳輸層面,客戶端。伺服器端的漏洞
常出現在我們獲取資訊的網頁和討論區,會員登入的輸入區塊,還有儲存資料的區塊。
網頁討論區遭到入侵大都是安放廣告,強制轉址到釣魚網頁,背景下載程式執行這種好處
理到不行的小兒科,防範方法其實觀察網址列網域是否正常,還有現在瀏覽器遇到檔案下
載都會提醒,搭配高偵測率的防毒軟體就能有效阻擋。
伺服器端的處理方法就是安裝防毒,硬體軟體防火牆等,而這塊很多公司都是外包,畢竟
資安人員不好養,而且沒事的時候這筆人事支出老闆很不爽啊!台灣企業這麼愛COSTDOWN
,當然是能省則省嘍!不過這塊就連白宮,五角大廈,甚至物理隔絕都不知道哪天會倒下
,就不要太苛求了。
關於一些基礎的驗證機制,以帳號密碼為基礎,我認為一家公司應該做到的有短時間登入
次數限制和驗證碼機制以避免機器人,兩步驟驗證,還有https加密協定。
這篇會寫出來的原因很大一部分的因素是因為POE,那我們就用雞舍的做法當例子吧!登
入次數限制因為我從來沒有因為登錯被暫時禁止登入過,假定沒有,驗證碼沒有,現在正
夯的通訊鎖就是兩步驟驗證的應用,然後登入介面看來是沒加密明碼傳送,所以雞舍打算
靠通訊鎖打天下?在網頁登入這塊,不及格!
再來我們知道雞舍遊戲都是綁競時通(不了解大家這麼反對大陸流氓軟體,雞舍做差不多
的事時,怎麼一堆人都轉彎了?),所以我們可以合理推測通訊鎖在信任裝置時應該是透
過競時通,然後驗證途徑應該是認IP或是認MAC,台灣浮動IP這麼多,認MAC應該是比較好
的選擇,也有可能是由競時通產生一組金鑰儲存在本地端,登入前以此做驗證。當我們申
請玩通訊鎖後,這時駭客應該要怎麼盜你帳號呢?首先,他必須知道你的帳號密碼,再來
他需要確定你的位置突破你的防火牆在你的電腦安裝木馬,取得你電腦的MAC或是金鑰(有
加密還要解密喔)然後在他的電腦模擬出你電腦的環境欺騙驗證機制來盜你帳號,花費的
時間成本頗不划算,所以大家有空就裝一下吧,保障絕對大幅提升。
現在我們來聊聊加密這檔事,有朋友認為當你忘記密碼時,系統不會直接給你密碼,而是
寄給你一串網址或是密碼要你以此來修改密碼就是加密了,我覺得挺可愛的XDꀊ這其實也是以當初驗證信箱為基礎的兩步驟驗證罷了。沒有加密的檔案你可以當作一個人
欸和認知都能讀取的文字檔,我們稱為明碼,PTT就是明碼傳送的,而獲取的方法就只要
攔截封包就好。加密過後的除非取得解密方法,不然他就是一串看不懂的亂碼而已,所以
加密是保障我們隱私和安全很重要的一步。再次以雞舍為例,我們常用到帳密的地方就是
官網和競時通,在官網論壇登錄介面我們看不到常用的加密方式(儲值那塊除外),競時通
除了噁心的背景常駐程式外,究竟他對我們的資訊是以何種方式傳送,加密的層級是否足
夠這都是值得商榷的。
好了,我們已經把能怪公司的幾乎都怪完了,該來檢討我們該做的做好了嗎?你有裝防毒
嗎?你是否只靠暈到死提供的基礎防火牆?你是不是用了一堆流氓軟體?電腦裏充滿了盜
版?你也按時更新作業系統嗎?安裝軟體永遠無腦按下一步?貪圖方便大陸軟體一堆?從
來不注意手機APP要求的權限?再來是不是永遠一套帳密走天下,密碼是不是超好猜的生
日?等等一堆不良的使用習慣,別再那說我沒有上奇怪的網站之類的話來推卸責任了,在
要求別人之前自己是不是應該先把該做的做好?
下面來說我是怎麼做的給大家參考一下,作業系統不論是不是正版都請按時更新,防毒沒
錢就用小紅傘,有錢就去買卡巴斯基網路安全版,別用一堆破解盜版然後說小紅傘誤報。
再來懂電腦的就跟我一樣用HIPS吧。我是用COMODO,以此控制監控我電腦裡程式,我不同
意,你不准做。免費替代軟體明明一大堆(記得從官網下載),偏偏要用破解,用破解也不
去了解一下它的作用原理,防毒報毒也請你信任你的防毒,而不是關掉他或移除他。我也
三個帳號飛在不同的地方使用,奇摩的用在領優惠,註冊論壇等高風險環境,社交方面我
是用微軟的,因為這是從以前MSN還在時的習慣,現在也就沿用下來了,工作方面我都是
用谷歌,然後有4套密碼輪替,隨我心情替換,但是有一個是常用服務專用,只有少數服
務才會用他。定時重灌,COOKIE有空要清一下,配上優秀的防毒以及防火牆提供一個良好
的環境,對外註冊帳號密碼小心,雖然這樣不算完美,但我覺得這是便利性與安全妥協的
成果了。
=我是分隔線=
給看不完的人:
雞舍的確在資安沒做好,但通訊鎖是有用的,別鐵齒,快去申請吧!
自己的資訊安全要自己先努力,你完全不做功課,不去了解,被盜時怨天尤人很難讓人支
持你啊!