[閒聊] 資安宣導 文長

看板PathofExile作者 (Theodore039)時間9年前 (2014/09/05 21:42), 9年前編輯推噓19(19027)
留言46則, 20人參與, 最新討論串1/1
看到最近一堆人被盜,來試著做點資安宣導好了,原本想寫短一點,但不知不覺就這麼長 啦XD 手機發文,排版差見諒。 我們就先從駭客怎麼取得你的帳號密碼說起好了。 一般來說,要獲取帳密不外乎三個途徑,伺服器端,傳輸層面,客戶端。伺服器端的漏洞 常出現在我們獲取資訊的網頁和討論區,會員登入的輸入區塊,還有儲存資料的區塊。 網頁討論區遭到入侵大都是安放廣告,強制轉址到釣魚網頁,背景下載程式執行這種好處 理到不行的小兒科,防範方法其實觀察網址列網域是否正常,還有現在瀏覽器遇到檔案下 載都會提醒,搭配高偵測率的防毒軟體就能有效阻擋。 伺服器端的處理方法就是安裝防毒,硬體軟體防火牆等,而這塊很多公司都是外包,畢竟 資安人員不好養,而且沒事的時候這筆人事支出老闆很不爽啊!台灣企業這麼愛COSTDOWN ,當然是能省則省嘍!不過這塊就連白宮,五角大廈,甚至物理隔絕都不知道哪天會倒下 ,就不要太苛求了。 關於一些基礎的驗證機制,以帳號密碼為基礎,我認為一家公司應該做到的有短時間登入 次數限制和驗證碼機制以避免機器人,兩步驟驗證,還有https加密協定。 這篇會寫出來的原因很大一部分的因素是因為POE,那我們就用雞舍的做法當例子吧!登 入次數限制因為我從來沒有因為登錯被暫時禁止登入過,假定沒有,驗證碼沒有,現在正 夯的通訊鎖就是兩步驟驗證的應用,然後登入介面看來是沒加密明碼傳送,所以雞舍打算 靠通訊鎖打天下?在網頁登入這塊,不及格! 再來我們知道雞舍遊戲都是綁競時通(不了解大家這麼反對大陸流氓軟體,雞舍做差不多 的事時,怎麼一堆人都轉彎了?),所以我們可以合理推測通訊鎖在信任裝置時應該是透 過競時通,然後驗證途徑應該是認IP或是認MAC,台灣浮動IP這麼多,認MAC應該是比較好 的選擇,也有可能是由競時通產生一組金鑰儲存在本地端,登入前以此做驗證。當我們申 請玩通訊鎖後,這時駭客應該要怎麼盜你帳號呢?首先,他必須知道你的帳號密碼,再來 他需要確定你的位置突破你的防火牆在你的電腦安裝木馬,取得你電腦的MAC或是金鑰(有 加密還要解密喔)然後在他的電腦模擬出你電腦的環境欺騙驗證機制來盜你帳號,花費的 時間成本頗不划算,所以大家有空就裝一下吧,保障絕對大幅提升。 現在我們來聊聊加密這檔事,有朋友認為當你忘記密碼時,系統不會直接給你密碼,而是 寄給你一串網址或是密碼要你以此來修改密碼就是加密了,我覺得挺可愛的XDꀊ這其實也是以當初驗證信箱為基礎的兩步驟驗證罷了。沒有加密的檔案你可以當作一個人 欸和認知都能讀取的文字檔,我們稱為明碼,PTT就是明碼傳送的,而獲取的方法就只要 攔截封包就好。加密過後的除非取得解密方法,不然他就是一串看不懂的亂碼而已,所以 加密是保障我們隱私和安全很重要的一步。再次以雞舍為例,我們常用到帳密的地方就是 官網和競時通,在官網論壇登錄介面我們看不到常用的加密方式(儲值那塊除外),競時通 除了噁心的背景常駐程式外,究竟他對我們的資訊是以何種方式傳送,加密的層級是否足 夠這都是值得商榷的。 好了,我們已經把能怪公司的幾乎都怪完了,該來檢討我們該做的做好了嗎?你有裝防毒 嗎?你是否只靠暈到死提供的基礎防火牆?你是不是用了一堆流氓軟體?電腦裏充滿了盜 版?你也按時更新作業系統嗎?安裝軟體永遠無腦按下一步?貪圖方便大陸軟體一堆?從 來不注意手機APP要求的權限?再來是不是永遠一套帳密走天下,密碼是不是超好猜的生 日?等等一堆不良的使用習慣,別再那說我沒有上奇怪的網站之類的話來推卸責任了,在 要求別人之前自己是不是應該先把該做的做好? 下面來說我是怎麼做的給大家參考一下,作業系統不論是不是正版都請按時更新,防毒沒 錢就用小紅傘,有錢就去買卡巴斯基網路安全版,別用一堆破解盜版然後說小紅傘誤報。 再來懂電腦的就跟我一樣用HIPS吧。我是用COMODO,以此控制監控我電腦裡程式,我不同 意,你不准做。免費替代軟體明明一大堆(記得從官網下載),偏偏要用破解,用破解也不 去了解一下它的作用原理,防毒報毒也請你信任你的防毒,而不是關掉他或移除他。我也 三個帳號飛在不同的地方使用,奇摩的用在領優惠,註冊論壇等高風險環境,社交方面我 是用微軟的,因為這是從以前MSN還在時的習慣,現在也就沿用下來了,工作方面我都是 用谷歌,然後有4套密碼輪替,隨我心情替換,但是有一個是常用服務專用,只有少數服 務才會用他。定時重灌,COOKIE有空要清一下,配上優秀的防毒以及防火牆提供一個良好 的環境,對外註冊帳號密碼小心,雖然這樣不算完美,但我覺得這是便利性與安全妥協的 成果了。 =我是分隔線= 給看不完的人: 雞舍的確在資安沒做好,但通訊鎖是有用的,別鐵齒,快去申請吧! 自己的資訊安全要自己先努力,你完全不做功課,不去了解,被盜時怨天尤人很難讓人支 持你啊! -- Sent from my Android -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.74.70.222 ※ 文章網址: http://www.ptt.cc/bbs/PathofExile/M.1409924547.A.F35.html
09/05 21:47, , 1F
我有8成up的把握不是競時通就是官網被開後門 信者恆信
09/05 21:47, 1F
09/05 21:48, , 2F
但都直接跟你講了你可以辦但不去辦好通訊被盜就活該吧
09/05 21:48, 2F
這話不能亂說啊!我們都知道雞舍資安做得不夠好,但這只是代表它容易被攻擊 不代表他有流出我們的帳密啊!
09/05 21:48, , 3F
八成把握還不快去告 告贏賺翻啦
09/05 21:48, 3F
09/05 21:49, , 4F
錢和時間你出嗎? 一個小小玩家為了這種事告大公司?
09/05 21:49, 4F
09/05 21:49, , 5F
八成怎麼算的好厲害
09/05 21:49, 5F
09/05 21:49, , 6F
八成把握的證據? 一分證據說一分話
09/05 21:49, 6F
09/05 21:50, , 7F
在美國你是該為了「這種事」告大公司
09/05 21:50, 7F
09/05 21:50, , 8F
在台灣 早點洗洗睡喔^.<
09/05 21:50, 8F
09/05 21:50, , 9F
所以我說信不信隨你 我是G粉 沒理由亂黑
09/05 21:50, 9F
09/05 21:56, , 10F
突然發現原PO是039 XD
09/05 21:56, 10F
安安XD
09/05 22:02, , 11F
有八成機率可以賺賠償金 拜託站內信給我證據 我賺 ((認
09/05 22:02, 11F
09/05 22:02, , 12F
真的
09/05 22:02, 12F
09/05 22:11, , 13F
我是覺得資料庫連結有問題,我同學登過別人帳號
09/05 22:11, 13F
09/05 22:12, , 14F
是打自己帳密,而且那10分內登入登出,都登到不同帳號
09/05 22:12, 14F
09/05 22:12, , 15F
而且是登遊戲,不是論壇
09/05 22:12, 15F
這蠻特別的!! 沒遇過XD 不過要是真的,代表後台真的有些問題啊!
09/05 22:13, , 16F
039XD 簽名檔可以放菜單?
09/05 22:13, 16F
太多了,不知道該放哪一篇XD
09/05 22:23, , 17F
推宣導,順便想詢問eset這款防毒軟體的評價如何?
09/05 22:23, 17F
以前我都說他與病毒共存啦XD 基礎測試OK 資源占用低 實際能力...呵呵 選擇防毒建議是小紅傘,卡巴斯基,比特凡特(OEM一堆)這三家的去做選擇 當然,這是說一般家庭用戶,公司還是找趨勢,麥克菲和賽門鐵克吧!
09/05 22:42, , 18F
八成,你就算說是十成我都不信,現在是講求證據的時代
09/05 22:42, 18F
09/05 22:46, , 19F
就像我說林益世有貪汙 死忠9.2死都不信是一樣的 隨便吧
09/05 22:46, 19F
09/05 22:50, , 20F
希望你是真的有證據在手。 小心變造謠 ╮(﹀_﹀")╭
09/05 22:50, 20F
09/05 23:07, , 21F
09/05 23:07, 21F
09/05 23:12, , 22F
我跟你講 我有九成把握 是那些人的電腦被開後門 信者恆
09/05 23:12, 22F
09/05 23:12, , 23F
09/05 23:12, 23F
09/05 23:19, , 24F
寫這麼長根本沒人想看...
09/05 23:19, 24F
09/05 23:19, , 25F
而且你打這麼多根本對玩家沒啥幫助
09/05 23:19, 25F
這就跟做菜一樣,我研究資安研究做菜花費了一堆時間精力,你想了解卻不想花時間精力 天底下哪有這麼好的事? 看到一堆人沒搞清楚就在酸或護航,要說話之前麻煩做點功課啊!
09/05 23:33, , 26F
1.注意網址 2.GGC官網沒HTTPS加密很容易悲劇
09/05 23:33, 26F
09/05 23:34, , 27F
3.自己本機上要做好防護 4.有版友懷疑SERVER端有問題
09/05 23:34, 27F
09/05 23:41, , 28F
另外個人覺得 1.注意網址 這邊很多點可以說明~~
09/05 23:41, 28F
09/05 23:42, , 29F
有興趣的人可以搜尋"網路釣魚"
09/05 23:42, 29F
09/05 23:42, , 30F
或是 Discuz漏洞 之類的關鍵字吧y
09/05 23:42, 30F
09/05 23:42, , 31F
對電腦不熟的人 可以想像成 黑客可以偷塞指令讓你的
09/05 23:42, 31F
09/05 23:42, , 32F
電腦跑他想讓你跑的程式
09/05 23:42, 32F
注意網址其實最簡單的是"看網域" 其實還有依靠防毒軟體,DNS等等方法,我在想想要怎麼寫 手機回好痛苦啊XD
09/06 01:08, , 33F
就算有https也是有機會悲劇 之前就被抓到漏洞 難保沒
09/06 01:08, 33F
09/06 01:08, , 34F
有其他漏洞
09/06 01:08, 34F
其實都還是有漏洞,不論是作業系統還是瀏覽器都能被破解,不果我們不能因為有漏洞 還是會中毒這種因素就不裝防毒不做資安放給他爛啊XD
09/06 01:17, , 35F
哦哦 那個心臟流血事件
09/06 01:17, 35F
09/06 01:17, , 36F
總之 目前最新的機制是考慮"時間、時效"
09/06 01:17, 36F
09/06 01:19, , 37F
通訊安全鎖已經算很強又不麻煩的安全機制了
09/06 01:19, 37F
09/06 01:27, , 38F
是啊 還是快辦吧 我朋友就是鐵齒不辦 一堆東西掰了
09/06 01:27, 38F
真的!雞舍目前提供了一個十分有效的防禦手段,你不裝被盜,雖然不能說是咎由自取 但是真的很難讓人站在你這邊為你說話啊!
09/06 02:24, , 39F
看完推~~
09/06 02:24, 39F
謝謝<3
09/06 02:45, , 40F
可以問一下嗎
09/06 02:45, 40F
09/06 02:47, , 41F
最近我的作業系統都更新不了,一直失敗,請問會怎樣嗎?
09/06 02:47, 41F
更新的目的不外乎修補漏洞,增加功能,修復錯誤,不能更新就是少了這些啊XD 放在這篇文章講,就是比別人有更多漏洞被攻擊。
09/06 03:18, , 42F
039
09/06 03:18, 42F
殺梗?? 是你?? XD
09/06 13:41, , 43F
流氓軟體問題..steam遊戲不是也都綁定steam?
09/06 13:41, 43F
09/06 13:43, , 44F
bz綁定battle.net ubisoft綁定uplay
09/06 13:43, 44F
09/06 13:44, , 45F
如果一堆歐美公司都這樣搞 GGC這樣搞有什麼問題?
09/06 13:44, 45F
09/06 13:45, , 46F
到底是別人轉彎了 還是你轉彎了?
09/06 13:45, 46F
你似乎沒搞清楚我的意思,作為一個遊戲平台與遊戲綁定從來不是流氓軟體的原因。 流氓軟體是他有未經你同意安裝背景服務,工具列,開機自動啟動,修改首頁,彈出廣告等 競時通最少就沒經我同意開啟了背景服務,又在我離覽器安裝了附加元件,這樣不夠流氓? 他就是一個流氓軟體!! ※ 編輯: ja881213 (1.34.172.25), 09/06/2014 20:33:19
更多 ja881213 的文章
文章代碼(AID): #1K2Rt3yr (PathofExile)