[閒聊] 資安宣導 文長

作者ja881213 (Theodore039)

看板PathofExile

標題[閒聊] 資安宣導文長

時間Fri Sep 5 21:42:25 2014

看到最近一堆人被盜，來試著做點資安宣導好了，原本想寫短一點，但不知不覺就這麼長啦XD 手機發文，排版差見諒。我們就先從駭客怎麼取得你的帳號密碼說起好了。一般來說，要獲取帳密不外乎三個途徑，伺服器端，傳輸層面，客戶端。伺服器端的漏洞常出現在我們獲取資訊的網頁和討論區，會員登入的輸入區塊，還有儲存資料的區塊。網頁討論區遭到入侵大都是安放廣告，強制轉址到釣魚網頁，背景下載程式執行這種好處理到不行的小兒科，防範方法其實觀察網址列網域是否正常，還有現在瀏覽器遇到檔案下載都會提醒，搭配高偵測率的防毒軟體就能有效阻擋。伺服器端的處理方法就是安裝防毒，硬體軟體防火牆等，而這塊很多公司都是外包，畢竟資安人員不好養，而且沒事的時候這筆人事支出老闆很不爽啊！台灣企業這麼愛COSTDOWN ，當然是能省則省嘍！不過這塊就連白宮，五角大廈，甚至物理隔絕都不知道哪天會倒下，就不要太苛求了。關於一些基礎的驗證機制，以帳號密碼為基礎，我認為一家公司應該做到的有短時間登入次數限制和驗證碼機制以避免機器人，兩步驟驗證，還有https加密協定。這篇會寫出來的原因很大一部分的因素是因為POE，那我們就用雞舍的做法當例子吧！登入次數限制因為我從來沒有因為登錯被暫時禁止登入過，假定沒有，驗證碼沒有，現在正夯的通訊鎖就是兩步驟驗證的應用，然後登入介面看來是沒加密明碼傳送，所以雞舍打算靠通訊鎖打天下？在網頁登入這塊，不及格！再來我們知道雞舍遊戲都是綁競時通(不了解大家這麼反對大陸流氓軟體，雞舍做差不多的事時，怎麼一堆人都轉彎了？)，所以我們可以合理推測通訊鎖在信任裝置時應該是透過競時通，然後驗證途徑應該是認IP或是認MAC，台灣浮動IP這麼多，認MAC應該是比較好的選擇，也有可能是由競時通產生一組金鑰儲存在本地端，登入前以此做驗證。當我們申請玩通訊鎖後，這時駭客應該要怎麼盜你帳號呢？首先，他必須知道你的帳號密碼，再來他需要確定你的位置突破你的防火牆在你的電腦安裝木馬，取得你電腦的MAC或是金鑰(有加密還要解密喔)然後在他的電腦模擬出你電腦的環境欺騙驗證機制來盜你帳號，花費的時間成本頗不划算，所以大家有空就裝一下吧，保障絕對大幅提升。現在我們來聊聊加密這檔事，有朋友認為當你忘記密碼時，系統不會直接給你密碼，而是寄給你一串網址或是密碼要你以此來修改密碼就是加密了，我覺得挺可愛的XDꀊ這其實也是以當初驗證信箱為基礎的兩步驟驗證罷了。沒有加密的檔案你可以當作一個人欸和認知都能讀取的文字檔，我們稱為明碼，PTT就是明碼傳送的，而獲取的方法就只要攔截封包就好。加密過後的除非取得解密方法，不然他就是一串看不懂的亂碼而已，所以加密是保障我們隱私和安全很重要的一步。再次以雞舍為例，我們常用到帳密的地方就是官網和競時通，在官網論壇登錄介面我們看不到常用的加密方式(儲值那塊除外)，競時通除了噁心的背景常駐程式外，究竟他對我們的資訊是以何種方式傳送，加密的層級是否足夠這都是值得商榷的。好了，我們已經把能怪公司的幾乎都怪完了，該來檢討我們該做的做好了嗎？你有裝防毒嗎？你是否只靠暈到死提供的基礎防火牆？你是不是用了一堆流氓軟體？電腦裏充滿了盜版？你也按時更新作業系統嗎？安裝軟體永遠無腦按下一步？貪圖方便大陸軟體一堆？從來不注意手機APP要求的權限？再來是不是永遠一套帳密走天下，密碼是不是超好猜的生日？等等一堆不良的使用習慣，別再那說我沒有上奇怪的網站之類的話來推卸責任了，在要求別人之前自己是不是應該先把該做的做好？下面來說我是怎麼做的給大家參考一下，作業系統不論是不是正版都請按時更新，防毒沒錢就用小紅傘，有錢就去買卡巴斯基網路安全版，別用一堆破解盜版然後說小紅傘誤報。再來懂電腦的就跟我一樣用HIPS吧。我是用COMODO，以此控制監控我電腦裡程式，我不同意，你不准做。免費替代軟體明明一大堆(記得從官網下載)，偏偏要用破解，用破解也不去了解一下它的作用原理，防毒報毒也請你信任你的防毒，而不是關掉他或移除他。我也三個帳號飛在不同的地方使用，奇摩的用在領優惠，註冊論壇等高風險環境，社交方面我是用微軟的，因為這是從以前MSN還在時的習慣，現在也就沿用下來了，工作方面我都是用谷歌，然後有4套密碼輪替，隨我心情替換，但是有一個是常用服務專用，只有少數服務才會用他。定時重灌，COOKIE有空要清一下，配上優秀的防毒以及防火牆提供一個良好的環境，對外註冊帳號密碼小心，雖然這樣不算完美，但我覺得這是便利性與安全妥協的成果了。 =我是分隔線= 給看不完的人：雞舍的確在資安沒做好，但通訊鎖是有用的，別鐵齒，快去申請吧！自己的資訊安全要自己先努力，你完全不做功課，不去了解，被盜時怨天尤人很難讓人支持你啊！ -- Sent from my Android -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.74.70.222 ※ 文章網址: http://www.ptt.cc/bbs/PathofExile/M.1409924547.A.F35.html

推 a11131031: 我有8成up的把握不是競時通就是官網被開後門信者恆信 09/05 21:47

→ a11131031: 但都直接跟你講了你可以辦但不去辦好通訊被盜就活該吧 09/05 21:48

這話不能亂說啊!我們都知道雞舍資安做得不夠好，但這只是代表它容易被攻擊不代表他有流出我們的帳密啊!

推 yulinw: 八成把握還不快去告告贏賺翻啦 09/05 21:48

→ a11131031: 錢和時間你出嗎? 一個小小玩家為了這種事告大公司? 09/05 21:49

推 gn005066: 八成怎麼算的好厲害 09/05 21:49

推 librasky: 八成把握的證據? 一分證據說一分話 09/05 21:49

→ hank4416: 在美國你是該為了「這種事」告大公司 09/05 21:50

→ hank4416: 在台灣早點洗洗睡喔^.< 09/05 21:50

→ a11131031: 所以我說信不信隨你我是G粉沒理由亂黑 09/05 21:50

推 a11131031: 突然發現原PO是039 XD 09/05 21:56

安安XD

推 kinki2343: 有八成機率可以賺賠償金拜託站內信給我證據我賺 ((認 09/05 22:02

→ kinki2343: 真的 09/05 22:02

→ ryu740926: 我是覺得資料庫連結有問題，我同學登過別人帳號 09/05 22:11

→ ryu740926: 是打自己帳密，而且那10分內登入登出，都登到不同帳號 09/05 22:12

→ ryu740926: 而且是登遊戲，不是論壇 09/05 22:12

這蠻特別的!! 沒遇過XD 不過要是真的，代表後台真的有些問題啊!

→ jasop: 039XD 簽名檔可以放菜單? 09/05 22:13

太多了，不知道該放哪一篇XD

推 svg1031: 推宣導，順便想詢問eset這款防毒軟體的評價如何? 09/05 22:23

以前我都說他與病毒共存啦XD 基礎測試OK 資源占用低實際能力...呵呵選擇防毒建議是小紅傘，卡巴斯基，比特凡特(OEM一堆)這三家的去做選擇當然，這是說一般家庭用戶，公司還是找趨勢，麥克菲和賽門鐵克吧!

推 jack0204: 八成，你就算說是十成我都不信，現在是講求證據的時代 09/05 22:42

推 a11131031: 就像我說林益世有貪汙死忠9.2死都不信是一樣的隨便吧 09/05 22:46

→ cephalitis: 希望你是真的有證據在手。小心變造謠 ╮(﹀_﹀")╭ 09/05 22:50

推 miracle1215: 09/05 23:07

推 vergilmir: 我跟你講我有九成把握是那些人的電腦被開後門信者恆 09/05 23:12

→ vergilmir: 信 09/05 23:12

→ Asasin: 寫這麼長根本沒人想看... 09/05 23:19

→ Asasin: 而且你打這麼多根本對玩家沒啥幫助 09/05 23:19

這就跟做菜一樣，我研究資安研究做菜花費了一堆時間精力，你想了解卻不想花時間精力天底下哪有這麼好的事? 看到一堆人沒搞清楚就在酸或護航，要說話之前麻煩做點功課啊!

推 longlongint: 1.注意網址 2.GGC官網沒HTTPS加密很容易悲劇 09/05 23:33

→ longlongint: 3.自己本機上要做好防護 4.有版友懷疑SERVER端有問題 09/05 23:34

→ longlongint: 另外個人覺得 1.注意網址這邊很多點可以說明~~ 09/05 23:41

→ longlongint: 有興趣的人可以搜尋"網路釣魚" 09/05 23:42

→ longlongint: 或是 Discuz漏洞之類的關鍵字吧y 09/05 23:42

→ longlongint: 對電腦不熟的人可以想像成黑客可以偷塞指令讓你的 09/05 23:42

→ longlongint: 電腦跑他想讓你跑的程式 09/05 23:42

注意網址其實最簡單的是"看網域" 其實還有依靠防毒軟體，DNS等等方法，我在想想要怎麼寫手機回好痛苦啊XD

推 shan512105: 就算有https也是有機會悲劇之前就被抓到漏洞難保沒 09/06 01:08

→ shan512105: 有其他漏洞 09/06 01:08

其實都還是有漏洞，不論是作業系統還是瀏覽器都能被破解，不果我們不能因為有漏洞還是會中毒這種因素就不裝防毒不做資安放給他爛啊XD

→ longlongint: 哦哦那個心臟流血事件 09/06 01:17

→ longlongint: 總之目前最新的機制是考慮"時間、時效" 09/06 01:17

→ longlongint: 通訊安全鎖已經算很強又不麻煩的安全機制了 09/06 01:19

推 shan512105: 是啊還是快辦吧我朋友就是鐵齒不辦一堆東西掰了 09/06 01:27

真的!雞舍目前提供了一個十分有效的防禦手段，你不裝被盜，雖然不能說是咎由自取但是真的很難讓人站在你這邊為你說話啊!

推 putare: 看完推~~ 09/06 02:24

謝謝<3

推 kyo12306: 可以問一下嗎 09/06 02:45

推 kyo12306: 最近我的作業系統都更新不了，一直失敗，請問會怎樣嗎？ 09/06 02:47

更新的目的不外乎修補漏洞，增加功能，修復錯誤，不能更新就是少了這些啊XD 放在這篇文章講，就是比別人有更多漏洞被攻擊。

推 Xargon: 039 09/06 03:18

殺梗?? 是你?? XD

推 mindarla: 流氓軟體問題..steam遊戲不是也都綁定steam? 09/06 13:41

→ mindarla: bz綁定battle.net ubisoft綁定uplay 09/06 13:43

→ mindarla: 如果一堆歐美公司都這樣搞 GGC這樣搞有什麼問題? 09/06 13:44

→ mindarla: 到底是別人轉彎了還是你轉彎了? 09/06 13:45

你似乎沒搞清楚我的意思，作為一個遊戲平台與遊戲綁定從來不是流氓軟體的原因。流氓軟體是他有未經你同意安裝背景服務，工具列，開機自動啟動，修改首頁，彈出廣告等競時通最少就沒經我同意開啟了背景服務，又在我離覽器安裝了附加元件，這樣不夠流氓? 他就是一個流氓軟體!! ※ 編輯: ja881213 (1.34.172.25), 09/06/2014 20:33:19