yungshin@cna.ccu.edu.tw.pptVIP

USB大作戰 有名的kavo.exe 感染症狀： 除了網路磁碟機外，會在每個可以有效寫入的磁碟機代號的根目錄( \ ) 處寫入 autorun.inf、 兩個檔案，並將檔案屬性設定成唯讀、隱藏、系統。病毒檔 與 XP 系統檔 檔名類似。中間的 l 與 t 僅一個字母的差異。誤刪系統檔的話會不斷重新開機。 在 C:\Winddows\System32 中，留下三個駐留檔案，分別是 kavo.exe、kavo0.dll、kavo1.dll 三個檔案，並將檔案屬性設定成唯讀、隱藏、系統。那個KAVO.EXE 則是仿知名的防毒軟體 KAV 而來，實際上防毒軟體 KAV 的 執行檔不見得就是 KAV.EXE 而是其他的檔名。 在系統登錄檔寫入病毒相關資訊。 USB大作戰 關閉AutoRun的方式 放入隨身碟時請趕緊壓按 shift 鍵以暫時(非永久)取消 autorun 的功能。 開啟隨身碟請用 滑鼠右鍵 → 內容 或以檔案總管 瀏覽切勿用滑鼠左鍵雙擊。 選擇有防寫開關的隨身碟產品，在他人電腦上使用前即先將隨身碟切至防寫模式。 使用本機群組原則關閉：(也可使用於AD的群組原則GPO) USB大作戰 本機群組原則關閉法 開始 → 執行 → 輸入 gpedit.msc (Windows XP Home Edition 不適用)→ 確定 出現 群組原則 視窗, 依序選左邊 電腦設定 → 系統管理範本 → 系統 找到右邊視窗的 → 關閉自動播放 滑鼠左鍵雙擊 出現 關閉自動播放內容 對話窗, 點選 已啟用 再下來在 停用自動播放在 的下拉選單, 選擇 所有裝置 完成,插上隨身碟就不會再自動執行了 USB大作戰 使用變更系統機碼來關閉 開始 → 執行 → 輸入 regedit 並尋找如下面的機碼 所有媒體含USB插入磁碟機或光碟機後，停止自動執行與開始讀取功能 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 登錄機碼中，加入了下列登錄值。 按右鍵自行輸入 NoDriveTypeAutoRun 格式DWORD值 十六進位值為255 將下列設定的值設為 1 可以僅停用 CD/DVD 的自動執行。 HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Cdrom\ 登錄機碼中，加入了下列登錄值。 Autorun 格式 DWORD值 十六進位值由1改為0 結語 最佳的防護方式還是養成良好的使用習慣，並勤作更新，尤其是第三方軟體的漏洞更新 來路不明的網站，信件不要亂開亂點 可以藉由一些瀏覽器的extension來防護一些惡意網站的惡意程式碼 良好的程式寫作習慣 yungshin@.tw 電腦安全防護工具中正大學電算中心2008.08.27yungshin@NSC Outline 資訊安全概念的演進 安全漏洞的來源 Web 2.0帶來的資安衝擊 常見的攻擊工具 電腦安全防護小程式 USB大作戰 傳統的資訊安全概念 病毒滿天飛 以破壞性的攻擊方式為主 只要有防毒軟體就安全了 方便比較重要，平時的安全性較不被在乎 中世紀的安全概念 網路發掘之後才有的 程式也是會有漏洞的 壞人們通常主動的去挖掘對方服務裡的漏洞加以攻擊 遠端控制，後門程式開始出現 新世代的安全概念 程式還是會有漏洞 防火牆盛行，或是相關的資安設備(IPS、IDS) 挖掘他人的服務漏洞相對不易，為何不讓使用者自己來觸發惡意程式呢？ Rootkit技術開始盛行 什麼都可以隱藏 安全漏洞的來源 第一個︰作業系統(OS) 每個人都一定會有的 Windows Linux FreeBSD etc… Service Pack, Update… 安全漏洞的來源 第二個︰ 3rd party softwares Office apache, lighttpd ftp daemon php mysql, sybase 網路上眾多的懶人包… Service Pack, Update… Web 2.0 的衝擊 大家的生活漸漸離不開網路 網路可以實現更多的事情 交友 購物 etc… 你真的放心把你的私密資料key in進網頁裡嗎？ 網頁的攻擊層出不窮 我自己的親身經驗 OWASP 2007排名 OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安