资料被偷的情况一再发生绝非罕见。电子资讯当道使得偷窃.PDFVIP

前言 資料被偷的情況一再發生，絕非罕見。電子資訊當道使得偷竊資料變得有利可圖。無論 是偽裝詐騙或者大規模的資料破壞，罪犯都可以從電子犯罪活動中獲得龐大的利益，讓 他們甘冒被捕的風險。當我說這種情況並非罕見時，絕對不是要舉雙手投降，而是要向 廣大的讀者們提出警告。你們公司的應用程式因為本身的缺陷而被攻擊的機會相當高。 形形色色的駭客罪犯擁有各式各樣操作自如的工具，可以進行逆向工程、追蹤，甚至是 以絕大部分程式設計師都不曉得的方式來操控應用程式。此外，有許多加密實作是非常 脆弱的，手法比較厲害的駭客可以藉此入侵這些加密實作與其他層級的安全防護，所以 對於應用程式的開發人員來說，那些實作在大部分情況下都不是真正的安全。 了解將駭客對於安全漏洞所知道的一切，並且將這些知識運用到經常連結到公開網路而 且口袋放得下又時常被遺忘在吧台上的的裝置裡。你們公司的應用程式以及裡面要保護 的資料，現在更容易遭受失竊、被複製，或者惡意注射間諜軟體和木馬的威脅，只要裝 置的擁有者多幾杯黃湯下肚，要讓上述這些情形成真都不是什麼難事。無論如何，行動 平台上的軟體都很容易被入侵，隨後在駭客想到時發動攻擊，有時裝置的擁有者甚至一 點感覺也沒有，有時甚至連碰都不用碰到其裝置。 本書的目的是示範大部分黑帽駭客會用來竊取資料和操控軟體的技巧，企圖讓身為開發 人員的你明白如何避開絕大多數會讓你的應用程式輕易暴露在攻擊危險之中的常見錯 誤。這些攻擊並不僅限於只是從裝置中竊取資料，有時還可能會導致非常嚴重的攻擊事 件。在本書中，你將會看到駭客破壞信用卡付款流程應用程式的範例，罪犯不僅可以藉 此將取得的信用卡資料公布出來，還可以操控該應用程式來授權持卡人從未要求的鉅額 退款。 此外你也將會看到更多的範例，說明行動應用程式不是只有資料失竊的風險，對於使用 這些應用程式的使用者而言也是相當地危險。讀者們也可以對於駭客如何進行攻擊有所 認識，並且看到許多的範例，學習如何撰寫免於遭受這些攻擊的安全程式碼。 前言 | v 目標讀者 本書是專為想要設計出更安全的應用程式的iOS 開發人員而設計的。不僅政府或金融方 面的應用程式，還包括了與有價值的資產或者開發人員亟欲保護的其他東西有關的應用 程式。你需要具備在iOS 平台上撰寫Objective-C 程式的良好基礎，才能夠理解本書的 大部分內容。對於C 和組合語言有所涉獵也有助於閱讀本書，但是沒有這方面的知識也 無妨。 雖然本書主要著墨於iOS ，但是其中有許多內容也可以直接套用到Mac OS X 桌面環境。 因為這兩種環境執行的都是Objective-C ，而且許多工具都是共用的，你會發現本書的許 多內容同時也會揭露你們公司桌面應用程式的漏洞。 章節編排 本書分成2 個部分。前半部討論的是駭客攻擊行為，並且揭露許多iOS 作業系統和應用 程式的漏洞，而後半部則詳述撰寫安全應用程式的技巧。 第 1 章說明了行動安全的核心問題，並概述了許多開發人員對於安全性常有的迷思與 誤解。 第2 章介紹了許多破解iOS 裝置的技巧，包括越獄。你將會學到如何利用流行的越獄技 巧和自己的RAM 磁碟來建置並注射自己的程式碼到iOS 裝置中。 第3 章示範了如何在幾分鐘之內竊得iOS 裝置的檔案系統，以及為何開發人員不應該仰 賴製造商的磁碟加密。此外你也將學到一些常用的社交工程實務，看到如何在裝置擁有 者不知情的情況下默默地存取其裝置的示範。 第4 章說明了作業系統所遺留下來的鑑識資料，以及駭客可能從裝置中竊取的是哪一類 的資訊。 第5 章說明了如何破解iOS 的鑰匙圈加密和資料保護加密，以及這2 種加密在先天上有 些什麼問題。 第6 章示範了如何從HFS 日誌中挖掘出已刪除的檔案，此外也提供了安全刪除檔案以防 止被復原的範例。 第7 章介紹了監控和操控執行階段環境的工具，並示範了黑帽駭客如何操控應用程式的 物件、變數和函式，以繞過多層的安全防護。 vi | 前言 第8 章介紹了反組譯和偵錯應用程式、注射惡意程式碼，以及利用多種技巧來執行低階 攻擊的工具與方法。 第9 章介紹了一些可以用來攔截SSL 工作階段的技巧，以及說明如何保護應用程式免於 成為這些攻擊技巧的受害者。 第10 章詳述了安全性，並且介紹了如何搭配合適的加密技巧與額外的方法來保護資料。 第11 章講解了如何透過設計應用程式使得資訊不易被追蹤，來協助防止鑑識資料被洩漏。 第 12 章介紹了許多最佳實務，可以增加應用