精華區beta Ladies_Digi 關於我們 聯絡資訊
作者eyn (eyn)
看板Ladies_Digi
標題[分享] 帳號被盜用 and 駭客行為
時間Sat Nov 10 14:09:50 2007
 看到樓上板友 Yahoo! 帳號被盜用的狀況,想到一些話想與大家分享  首先,讓我從分享今天自由時報第一版的頭條開始吧 『全新硬碟 被植木馬程式 個人資料 瞬間流向北京http://tinyurl.com/362zgc 不虧是新聞報紙,標題永遠這麼聳動,但繼續看下去只會覺得更害怕 「只要你用 MAXTOR 這款 "全新"、"未拆封" 的外接硬碟,你的資料就會被竊取」 據報載,調查局證實該款硬碟內含 "autorun.inf"、"ghost.pif" 兩個檔案 藉由 "自動執行" 感染 "autorun.inf"、"windows.scr" 兩個檔案 並將資料上傳到大陸北京網站 "www.nice8.org"、"www.we168.org" 天阿~ 真恐怖,連知名大廠全新產品都如此恐怖,那還有什麼不叫人害怕的嗎? 現在的駭客並不像以前,我總認為以前的駭客是種電腦高手的別稱 這些高手很厲害懂的真的很多, 記得我高中時看的一本駭客自傳,描述關於一名駭客(米尼克)的故事 不容否認的,他做了許多不該做的事,做了些一般人認為不該發生的事 憑著自己的電腦能力以及交際手腕,成功的當上「FBI史上最頭痛的駭客」 十七歲大破太平洋貝爾電話公司網路,二十五歲成為金融機構和電話公司最頭痛的 頭號駭客,他可以意侵入所有電子郵件信箱、偽造大學學歷、偷打長途電話 重點是 "他很會電腦" 而且 "十分了解社交工程" ,但他是 "過去" 的駭客 那現在的駭客是怎麼樣的呢? 借用 symantec 三年前到我們學校簡報時提到的一句話 『現在任何人都可以是駭客,網路上提供太多的駭客工具了!!』 又是一個重點,「任何人都可以是駭客?」 是的,藉由網際網路的蓬勃發展,許多以前是遍尋不著的資料現在則俯拾即是 我相信你只要 GOOGLE 關鍵字 "駭客" 就會出現多資料,更不用說使用精確的關鍵字 舉一個例子,碰巧是昨天下午發生的 在我旁聽的一門大學部課程中 (在電腦教室) ,有著下面的對話  A: 老師上課都這麼悶,好無聊喔~   B: 不會阿,反正老師都不管,就自己找事情做   A: 剛考完試都累垮了,只想回家睡覺 ~"~   B: 好吧,那我偷偷跟你說一個好東西     我昨天找到一個工具可以破解無名密碼,棒吧~   A: 真的喔~ 傳給我,我也要試試看   B: 沒問題 :) 可是你會用嗎?   A: 不會 ><" 不過你應該會吧   B: 我昨天才拿到,現在正在試阿   A: 真的喔   B: 沒騙你辣,不過我還有找到教學,你看   A: 真的ㄟ,那趕快來試試看阿 事實證明這是有效的,他們在稍後的時間裡,成功進入某個無名鎖碼的網誌 雖然我早知道有這麼一回事,但當他們成功時我仍不免露出訝異的表情 天阿~ 他們是考試不及格的常客ㄟ 這樣都能成功!! 但這就是事實,我們無法改變這個事實,我們只能努力做好防備 我有這樣的建議: 一、停用 "自動執行" 功能    所謂的 "自動執行" 就是當你插入隨身碟、隨身硬碟、光碟等移動式儲存媒體    電腦會在偵測到時執行裡面指定的內容    這是個很方便的功能,可以讓這些東西一接到電腦就看到想看的    但相對的,病毒跟駭客工具也會利用這個方式散佈    如前一陣子讓大家都頭痛的 "隨身碟病毒"、本文開頭的木馬都是如此    因此取消自動執行已經變成一種基本的保護 二、安裝一套好的防毒系統    這邊好的防毒軟體希望能達到兩件目的    1.) 防止病毒入侵、有效偵測電腦病毒   這是基本功能排除並預防病毒入侵,因此不再贅述 2.) 防止個人資料散佈到網路上     這是最近商業防毒軟體的趨勢之一,除了整合防火牆外   也逐步加強對於使用者隱私的管控,避免流入到有心人手裡    如 PC-cillin 2008 (http://tinyurl.com/288l5d) 中所述的    保護個人隱私資料、防止個人資訊外流、輕鬆防堵詐騙網站等功能      三、設定良好密碼並定期更換 所謂的良好密碼需符合四個原則 1.) 避免使用常見字或容易被猜到的密碼 如果為了自己容易記,當然別人就容易猜到 2.) 增加密碼複雜性 英文、數字、特殊符號結合使用,目的當然也是不要讓人猜到 3.) 增加密碼長度 如果猜不到密碼,接下來最常做的就是 "試密碼" 用隨意組合的密碼 "暴力法" 不斷的嘗試,直到密碼用盡或是猜對為止 如果是這樣,使用特殊符號及增加密碼長度算是比較好的預防方式 4.) 定期更換 不管是怎麼樣的密碼,總會不小心流出或偷偷讓別人知道 所以定期更換也是良好密碼的原則之一 四、避免釣魚網站(phishing)以及使用共同密碼    這邊是要避免 "自己把密碼給別人"    釣魚網站利用 "幾乎相同" 的網頁畫面,騙取使用者密碼    註:此部份可參閱板上 3967 R: [分享] 為何通訊錄資料會外洩 的內容    而如果各個不同網站間偷使用相同密碼,對於沒有盡責的網站管理人而言    可能會竊取並盜用登錄的個人資料,甚至是外洩給其他人或詐騙集團 註:這很常見,知名銀行、店家及線上書店都屢見不鮮 五、避免使用公眾電腦    這部份是避免讓其他人 "有機會" 知道自己的密碼 因為我們不清楚這些公眾電腦的狀況,他們可能中毒中木馬    甚至被惡意人士放了一些程式去記錄你輸入的密碼    如果使用這些電腦,變成就是把自己的密碼拱手送給這些人    因此減少使用這些電腦的機會,或是使用完後馬上更改密碼  當然,我必須很悲哀的說,隨著木馬以及駭客工具的進步,這樣的方式不見得有效  我們也無法完全去除密碼外洩的風險,我們所能做的就是降低這些風險發生的機率  希望我的這些分享能給大家帶來點些益處 eyn @ptt.cc -- 僅把這篇文章 獻給某個過去的好友 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 116.59.160.229