Search
【wepro 教室 02】嘉倩 180 ─ Botnet「殭屍網絡」!?
edvance 特約【wepro 教室 02】嘉倩 180 ─ Botnet
Botnet,「殭屍網絡」係指⼀堆數以萬計、已經被惡意程式入侵咗嘅「殭屍電腦」,並且响⽤戶唔知情下被⿊客遙距操控。咁「殭屍電腦」有咩徵兆?
============================
立即讚好 wepro180睿報,並設定為「搶先看」
#wepro180 #CyberSecurity #網絡保安 #CyberAttack #網絡攻擊 #網絡警訊 #Hacker爆格 #嘥巴實Q #wepro教室 #陳嘉倩 #嘉倩BB #嘉倩180 #edvance #Botnet #殭屍電腦
#zoom資安七大漏洞的對應措施
上週四(9日)立法院國民黨團召開記者會,抨擊教育部無配套措施就禁止使用zoom,且未說明教學與資安疑慮的關係。更有國民黨籍立委表示「如果真的有陸方監控,真的有情資問題,那不是很好嗎?」,認為反而可利用zoom來「反反滲透」,讓中國了解台灣民主自由價值。
其實,遠在教育部上週二(7日)發布禁止各級學校使用有資安疑慮的聲明之前,我的臉書從三月開始就陸續有關於zoom的資安問題討論。這幾天更是沸沸揚揚,有認為基於對該公司背後的中資、大量中國境內工程師以及數據流往中國的不信任,支持教育部的決策、認為不該使用;也有不少朋友認為zoom的許多疑慮都來自於新創公司常犯的便宜行事,只要修正就好,視自己的資安需求斟酌要不要使用。
面對臉書上的各方見解,我決定來請教 #強者我朋友!這次請到的是台灣工程師的矽谷故事的Winston大大,目前正在做監控系統的新創(Startup),他為我整理了目前常見的七大疑慮,並提供對應的方法。
以下,給對zoom有疑慮和曾經下載過zoom的朋友,提供資訊安全的補強方法:
①#亂入的惡作劇攻擊(zoom bombing)
由於zoom的會議預設無密碼、會議 ID 過短而很好猜,所以容易讓有心人士亂入,發生下述②的問題。
➡︎預防的方法很簡單,就是 #所有的會議都要設定密碼!
②#公開會議裡的陌生人與不明訊息
第一點的 zoom bombing 讓有心人士可以直接加入沒有被邀請的會議,在會議中進行釣魚工作,最嚴重的狀況是邀請與會者下載安裝間諜軟體,導致電腦手機成為駭客可以遠端控制的殭屍網路(botnet)。
➡︎這事不限於在zoom發生,不管在哪裡,#都不要亂點來路不明的連結或是下載奇怪的東西,這是資訊安全的基本防護。
③#被駭客抓到你的密碼
zoom有一個安全漏洞可以讓駭客抓到你的 windows hash 過後的密碼。
➡︎ #讓他抓不到你的路徑 如下,請直接從 windows 作業系統中禁止: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers and set to "Deny all".
④#蒐集大量使用者個人資料
其實大部份人不太在意這件事情,有不少軟體、網站都有類似的行為。
➡︎最好的處理方式就是 #用一台沒有連接你任何社交帳戶的電腦/手機使用 zoom ,這樣他們什麼也抓不到。但是如果你之前已經使用過 facebook 、google 、或是 linkedin 登入的話,他們已經知道了⋯⋯來不及了。
⑤#各式軟體安全疑慮
zoom的程式中使用了一些常用於電腦病毒的方法和造成登錄憑證漏洞,在macOS跟Windows 系統中都產生了一些資訊安全問題。
➡︎要避免風險的方式是 #用一台專門的電腦/手機來進行 zoom 的會議,會議後立刻關機斷電,該機不能做任何其他用途。
⑥#謊騙加密等級
Zoom先前宣稱有做到全面的End-to-End (E2E) Encryption 點對點加密。事後卻被發現,他們只有「聊天室」有E2E,「視訊」是沒有的,而其安全防護也被資安專家認為有破口;作為一個標榜資訊安全的公司,用謊言欺騙信賴它的使用者,是違背其宣稱的核心價值的。
➡︎無解,不要用 zoom 來討論公司或國家機密!
⑦#加密的金鑰被送到北京
加密的金鑰被送到北京的機器去,可說是這次教育部禁用的關鍵因素,強者我朋友認為,這應該不是故意要做什麼攻擊,只是zoom便宜行事,這也表示標榜注重資訊安全的zoom其實沒有很重視資訊安全。
➡︎無解,在意就不要用 zoom!
👆綜觀上面七點,從 #資訊安全、#企業誠信 到 #中國因素,就看大家的選擇囉!關於zoom的資訊安全漏洞,一直都有許多討論,創辦人也一直都是中國人,教育部推翻先前推薦zoom的決策過程確實有點令人措手不及。
👊回到新竹市,因為擔心教師們重新適應新軟體可能帶來的教學與受教權益的衝擊,我也向教育處瞭解我們新竹市學校的目前狀況。
教育處表示,由於一開始就 #要求各校至少要採取兩種以上的方案來模擬演練,所以當zoom不能用時,備案的啟動都還算順利。
也歡迎老師同學們和我分享你的視訊軟體選擇,防疫期間有任何疑問和建議也都可以和我聯絡喔!
————
參考資料連結🔗
Zoom's Encryption Keys Are Sometimes Being Sent to China, Report Finds
https://reurl.cc/j7R0qD
Zoom security bug lets attackers steal Windows passwords
https://reurl.cc/xZ1q0V
————
大家還記得上次的「強者我朋友」是聊什麼嗎?😂
網路安全專家劉俊雄先前曾經接受iThome的專訪,
分享他對於DDoS攻擊的觀察。
囿限於媒體篇幅和屬性,
劉俊雄趁著夜深人靜之際,
把他對於DDoS攻擊的觀察有更深入的分享!!
關注DDoS攻擊所有的資安與IT人員,
都不要錯過這一篇動人的分享!!
感謝奧天大大不藏私的經驗分享~~
[淺談 DDoS 攻擊]
幾個月前受訪談了些 DDoS 的話題,沒想到最近一連串爆發了這麼多事件,也讓個人淺見出現在幾篇 iThome 的報導
http://www.ithome.com.tw/news/109932
http://www.ithome.com.tw/news/110135
http://www.ithome.com.tw/news/110144
http://www.ithome.com.tw/news/110137
http://www.ithome.com.tw/news/111861
因訪談限制及媒體屬性,無法很完整的表達我的看法,趁著夜深人靜時整理一下 :
DDoS 大略可分為三個層級 - 網路層、系統層、應用層,
網路層為癱瘓目標頻寬,典型手法為 UDP/ICMP Flood、以及近年流行的各種 Reflection&Ampplification 洪水攻擊;
系統層為癱瘓目標的基礎建設或系統層,典型手法為 SYN Flood、Fragment Packet Flood、Connection Flood 等;
應用層為癱瘓目標的應用服務,典型手法為 SSL Flood、HTTP Flood、DNS Flood、Exploit、Slow Attack 等。
十多年前個人剛接觸 DDoS 的時候,盛行的是「細巧」的系統層/應用層攻擊,但近幾年因許多協定的 反射&放大 手法被開發、以及 IoT Botnet 的盛行,應該會有一段時間轉為 「爆量」 的網路層攻擊。
以開店作生意比喻 - 將店門口及前方道路視為網路出入口及上游,店裡設施和走道空間視為基礎建設,結帳櫃檯視為應用系統。則攻擊者可以堵住店門和馬路、可以塞爆店裡的走道和空間、又或者癱瘓結帳櫃檯。
而 DDoS 為何難防 ?
這與企業為何很難阻止駭客入侵的原因一樣,攻擊方與防守方處於不對等的立場,攻擊者有太多的方式可選擇,且可不斷的調整與嚐試,防守方卻礙於人力與預算限制,難以全天候對每一種手法都有良好的對應措施。
許多老闆總認為花錢買設備就可以了事,但偏偏這不是單一設備、單一解決方式可以完全處理的,應該沒有一家的服務或設備直接上架,完全不需調校就可以完美對應每一種攻擊手法,需要有經驗豐富的專業人士視實際攻擊狀況調校參數及規則。有如同一把大刀,在關公和小孩手上耍起來實有天壤之別啊!
以本次券商 DDoS 事件來說,由媒體報導看起來是屬於 [網路層] 的攻擊方式,但即使加大頻寬、或由ISP端阻擋住了,難保哪天不會出現針對系統層或應用層等更為精細、打得更為巧妙的手法,加上金融業幾乎全用 SSL 加密應用服務,會使中間的清洗商更難介入分析應用層攻擊(除非提交 SSL 金鑰)。
至於實務上應該要怎麼阻擋會比較理想?
我的看法是需 雲端清洗+本地防護,量大的攻擊由雲端或上游清洗處理,而細巧的攻擊可能穿過清洗中心,則由本地的防護機制處理,但絕對不會是由 "防火牆" 這萬年設備,至於用什麼設備可達到較好的阻擋效果請洽各大 SI。
另外若預算許可下,還可建立多個資料中心或介接多條 ISP 線路,配合 GSLB 機制快速切換 DNS ,讓攻擊者難以鎖定每一個出入口,可增加攻擊難度及應變時間。
另外真的遭遇 DDoS 攻擊時,個人的簡易 SOP 大概如下 -
1. 快速診斷,描述症狀由專業人士判斷(有側錄封包更佳)
2. 對症下藥
- 洪水攻擊 : 請求 ISP/清洗商 協助、Black Hole、更換 IP / Multi ISP / GSLB
- 系統層攻擊 : 更換撐不住的設備、關閉負載高的功能、調整系統參數延緩攻擊影響
- 應用層攻擊 : 增加服務能量、減少異常存取
3. 減少異常存取的方法:辨識特徵 + 過濾
- 網路層特徵 (IP/PORT/ID/TTL/SEQ/ACK/Window/...)
- 應用層特徵 (SSL/URL/Parameter/User-Agent/Referer/Cookie/Language/...)
4. 如果打到沒有特徵可過濾,則需靠應用層的機制來辨識真實使用者
- Redirection
- Challenge
- Authentication
5. 若無上述功能則儘快商調適合的設備。
以上是個人的看法,但我已經很多年沒直接處理 DDoS 的事件,也非任職於 ISP 方或 DDoS 防護服務廠商,只是單純的以技術角度分享,如有錯漏之處也請業界真正的高手不吝指教。
題外話,最近 DDoS 正夯,服務商們可仿效已有許多資安業者提供的 IR Retainer 服務,推出 DDoS Retainer,也許是不錯的商機 XD
[以上轉載請註明出處]
僵尸网络Botnet,或譯為喪屍網路、機器人網路是指黑客利用自己编写的分散式阻斷服務攻擊程序将数万个沦陷的机器,即黑客常说的傀儡機或肉机,组织成个个命令与控制 ... ... <看更多>
物聯網(IoT)殭屍網絡與分布式拒絕服務(DDoS) 攻擊 威脅Heightened DDoS Threat by IoT Botnet. HKCERT. HKCERT. 402 subscribers. Subscribe. ... <看更多>
botnet攻擊 在 [問卦] 發錢/山道猴子的一生YT被網軍猴子攻擊- 看板Gossiping 的八卦