台东区域网路中心云端安全.PDFVIP

台東區域網路中心 資訊安全研討會 雲端安全 麟瑞科技 蔡和燁 Agenda 1 關於雲端服務 2 生活中的雲端科技 3 駭客漫步在雲端 4 雲端使用安全 SANS CEO:走資安要學中文 駭客的定義 「駭客」（hacker ）一詞一般有以下意義： 一個對（某領域內的）程式語言有足夠了解，可以不經 長時間思考就能創造出有用的軟體的人。 喜愛編程(Coding)並享受在其中變得更擅長於編程的人。 喜愛自由(Freedom) ，不易受約束，但覺得假如是為了喜 愛的事物，可以被受適當的約束。 「黑客、怪客、垮客和劊客」（cracker ）一詞一般有以 下意義： 一個惡意（一般是非法地）試圖破解或破壞某個程式、 系統及網路安全的人。 「hacker 」們建設，而「cracker 」們破壞。 - From Wiki DNS被黑 ?? None blind IP Spoofing Internet 監聽到流量、IP TCP 三向交握 敲入流灠網址 中斷原本連線 重導到惡意網址 192.168.1.X/24 黑客漫步 IaaS DNS – 在使用者不知的情況下被導向惡意的IP 。 Router – 在使用者不知的情況下被導向惡意的IP 。 目的在騙取你的帳密 ，使用者不自覺被 掛馬…。 在沒有PaaS之前 黑客透過Mail,Web,USB…方式快速傳遞木馬 雲端服務 當黑客漫步 PaaS 你的電腦 = 我的電腦 雲的電腦 = 我的電腦 駭客兜售150萬筆Facebook帳號 避免使用相同的密碼並定期變更 OWASP TOP 10 OWASP （開放Web軟體安全計畫－Open Web Application Security Project）2010 TOP 10 ： OWASP Top 10 – 2007 (Previous) OWASP Top 10 – 2010 (New) Mapping from 2007 to 2010 Top 10 A2 – Injection Flaws A1 – Injection A1 – Cross Site Scripting (XSS) A2 – Cross Site Scripting (XSS) A7 – Broken Authentication and Session A3 – Broken Authentication and Session Management