動作

Winxp security

出自 Itsmw

「資訊倫理」vs「資訊安全」

資訊倫理

 阿炫說:「倫理」就是叫人不要做壞事,「資訊倫理」就是叫人不要用電腦做壞事。「資訊安全」就是別人用電腦殺我,我要怎麼擋才不會死的很難看。



資訊安全

 隨著資訊通訊科技(Infomation Comminucation Technology)的發達, 電腦與網路已逐漸的滲入我們的日常生活中。比如:上網看新聞、網路購物及使用 Yahoo 找資料等,可能已經成為日常生活中的一部份了。更進一步來看:學生學籍管理、成績處理、相關業務之網路填報、網路證卷下單及網路WebATM等,也是很多人會接觸到的工作。

 在此前提之下,便會有一些存心不良的人,想到要以惡意程式(malware),透過網路,來竊取或破壞個人資料,以牟取其個人利益。因此,個人資料的安全維護,更是顯得重要。



個人資料保密

個人資料之風險

資訊安全是學校網管(資訊組長)的事情,與我無關嗎? 個人資料之風險

  • 成績處理系統被入侵取得學生個人資料
  • 奇摩等拍賣網被取得密碼
    A. 別人用您的帳號拍賣物品,他收錢,你要出貨
    B. 用您的帳號寄廣告信
    C. 待您消費後,立即來電詐騙
  • 把個人照片及真實姓名 Post 上公開網頁,會讓有心人士,有機可趁
  • 個人保管之帳號密碼直接貼在公共區域之電腦螢幕上


取得個人資料之手法

  • 社交工程
    類似詐騙集團常用的手法;打電話給相關人員,騙取個人保管之帳號密碼。例如:以長官(親友、多年沒見的好友...等)之名義,打電話過來,套取某種系統之帳號密碼。
    案例探討:美國2008年總統大選副總統候選人裴林的 yahoo 帳號被駭
    http://www.zdnet.com.tw/news/web/0,2000085679,20131808,00.htm
  • 植入木馬程式盜取密碼
  • 網路釣魚程式,釣到您的帳號密碼


保護個人資料

走過,不要留下痕跡

  • 清除上網資料,例如:Cookie、密碼、瀏覽記錄等
  • 共用電腦,要採用「多使用者環境」,每個人皆有自己的帳號與密碼,不使用時,要記得「登出」。

個人資料之加密(TrueCrypt)

 使用加密工具,使別人無法開啟重要檔案(當年陳x希如果有用這個工具,下場就會不同)




電腦安全危機

惡意程式(malware)分類

  • 開機型病毒:已不常見
  • USB隨身碟病毒:利用 Windows 在使用者插入 USB 隨身碟(含數位相機、MP3播放機...etc)時,會自動抓取 autorun.inf 設定檔,並執行其內含指令的特性,來散播惡意程式。
  • 巨集病毒:依套裝軟體之巨集語言(如MS Office VBScript、Flash ActionScript...etc)所寫成的病毒,只要使用者開啟檔案,立即中毒。
  • 檔案型病毒:受到惡意程式所感染的可執行檔(或動態程式連結庫)
  • 蠕蟲(worms):經由網路擴散的病毒。會大量複製自己,透過郵件或主動掃描他人的網路 IP 來達成攻擊的目的。
  • 後門程式(Back Door):為電腦開後門,控制你的電腦,再以此去攻擊別人。
    • 木馬程式(Trojan Horse)
    • Windows Rootkit
  • 間諜軟體(spyware):與木馬程式雷同,但主要目的是竊取個人隱私或機密。
  • 廣告軟體(adware):強迫顯示某些廣告。
  • 網頁式:舉凡 JavaScript、ActiveX或是隱藏式框架強迫下載的各式惡意程式。


安全危機圖解

電腦網路風險


電腦中毒後症狀


掃不到惡意程式就安全嗎?

 很多人,裝了一套「很好用、很強」的資安防護軟體,便高枕無憂。殊不知,現今惡意程式的行為,已從「破壞」轉於「隱藏」。也就是說,已前那種秀個「訊息」或「破壞」資料的方式,早也不足以滿足 Cracker 們的需求。取而代之的是,他們要有實質的「利潤」,亦即:「能【偷】到多少密碼、個資而不被發現」才是工作重點。

 在這樣的邏輯思考之下寫出的惡意程式,不求「快速大量自我複製、癱瘓網路掃瞄別人與破壞宿主」,以避免被發現。取而代之的是,默默的把資料送出去給特定的地點。因此,底下筆者介紹兩種工具,協助您判斷,電腦內是否有那種「默默無聞」的惡意軟體:

TCPView (檢查對外連線)

 基本上,它就是用來檢查,電腦內是否有不正常的對外連線,但這會產生另外個問題,就算發現異常的連線 IP ,我們怎麼知道它是誰。比如,MSN也是一上網就會去註冊連線,那我怎麼知道這些運作中的連線,那個是 MSN ? 那個是駭客工具?
 答案是:查「WHOIS」http://www.oyetools.com/search.php,若查詢出來的結果,正在連線中的目的地是大陸地區的 ip ,那麼就要有已被駭的心理準備了。

WireShark檢查網路封包 (尤其是廣播封包,以防 ARP類病毒)



預防勝於治療

預防策略-更新、防火、防毒

  • 勤於更新,杜絕漏洞:無論是 Windows 本身或是所使用的各式工具程式,皆要勤於更新。
  • 安裝防火牆(FireWall):阻止駭客及主動掃描攻擊的惡意程式。
  • 安裝防毒軟體(AntiVirus):阻止惡意程式運作,例如:阻擋來自郵件、Message 軟體傳檔、USB儲存裝置或惡意網頁下載的惡意程式。
  • 反間碟軟體(Anti-Spyware ):一般防毒軟體皆著重在 Virus 及 worm 等惡意程式,對於 adware 及 spyware 較不重視,因此,我們可以利用反間碟軟體來補足小雨傘的不足。在此,我們介紹了 spyware timinator 及 spyware doctor 這兩套工具,大家只要選用一種就好。
  • 網頁檢查器(SiteAdvisor):若不確定該網頁是否安全,可先利用 Yahoo(或 Google)+ McaFee SiteAdvisor 檢視。
  • 不要下載來路不明的軟體、影片、圖片及音樂等。
  • 關閉 Windows XP 的 AutoRun 功能
預防策略

資安軟體安裝建議

  • 現在市售的資安軟體,皆已整合上述功能在單一套件中,學校可以依財力及資安軟體評比,採購適合的軟體,安裝至學校公用 MS Windows 作業系統的電腦。
  • 若是個人使用,可以依「防火、防毒、瀏覽保護」三個防護點,來評估選用以下所介紹的各式免費軟體
  • 建議塔配(擇一選用)
    1. Pctools firewall + MSE + SideAdvisor,本方案必須您所安裝 OS 可以通過微軟正版認證才行
    2. ZoneAlarm + Antivir + SideAdvisor(小紅傘)


防火牆(firewall)介紹

 防火牆可以阻擋來自網路上的非法入侵。

 網路上的應用程式,只要使用相同的溝通方法 (通訊協定) ,透過固定的「通訊埠」,就可以讓分隔兩地的程式彼此交換資料。比如說,不同的電腦及不同的瀏覽器,卻一樣可以看到 Yahoo 首頁,就是因為他們都遵循相同的通訊協定(HTTP),使用相同的通訊埠(TCP 80)。依上述的觀念為基礎,如果您所使用的網路軟體,程式有了瑕疵(漏洞),別人便可以透過該軟體所使用的通訊埠,自由的存取您的資料,那麼您的電腦便處理一個危險的狀態。但是,惡意程式怎會知道您安裝的軟體有漏洞呢?自然,它沒那麼聰明,它只是從被感染的電腦隨機抓一段網路區段,每個 IP 都狠狠的掃描一次,只要掃到一台有軟體漏洞,便攻一台。
 防火牆的原理為,預設先關閉全部通訊埠,再依使用者本人的意願,放行部份的程式及其所使用到的通訊埠。這樣做,可以把一些預設開啟但使用者用不到也不知道的網路軟體,做一個基本的保護。當然,那些被放行的軟體,仍然暴露在攻擊的陰影之下。此時,就必須要勤於更新所使用的軟體,杜絕軟體漏洞的產生。以下是筆者,對一般使用者在防火牆上的建議:

家裡及工作場所之防火牆安裝

 只要不是網路主機,通通放在含防火牆功能之 IP 分享器後面,使用私有 IP 上網。比如在家裡,不要直接 ADSL 撥接上網,而是要在 ADSL 數據機後面,先接一台 IP 分享器,其他的電腦再接到此分享器上面,取用網路資源。這樣做也會有一個好處,全家的電腦,自然處在一個受保護的網段內。因此,每台電腦可以彼此交換資料,也可以共用一台網路印表機,節省支出。而且,若您所買的 IP 分享器夠強大,甚至可以當「不當資訊」阻隔器使用,以避免家中未成年的小孩太早熟。 單機防火牆。

單機電腦防火牆

 另外,每台電腦,皆須安裝軟體防火牆。以避免「一台中毒,全部都遭殃」。在此,筆者推薦安裝免費的 ZoneAlarm firewall。它具有「占用資源小」、「功能強大」及「自動更新」等特色。只是全英文的介面,或許會令人有點卻步。

  • Pctools Firewall
    • 官網: http://www.pctools.com/firewall/
    • 特色: 除了基本功能完善外,全中文介面訊息清楚明確,而且可以與 MSE 防毒合作塔配。
    • 注意: 安裝時會詢問是否加裝 SpywareDoctor ,建議不要,因為 spyware doctor 免費版並不支援即時監控功能。



免費防毒軟體(Anti-Virus)

 防毒軟體的功能,有:(一)即時阻止惡意程式的執行,(二)掃描清除儲存裝置內的惡意程式。而一個好的防毒軟體必須要有以下特色:

  • 占用系統資源少,速度快
  • 惡意程式辯識率高
  • 全自動化的更新

 下文中筆者所介紹的免費防毒軟體有三套件,但不是每套都安裝,請自行依自己的喜好及狀況,選用一套即可。選用的標準大致在於「防毒力」是否夠強、「使用介面」是否夠友善等,若安裝後,很久都沒中毒過,那對您而言就是好產品。



防毒軟體排行榜

 以下,筆者列出幾個公平的第三人組織,他們會定期評比市面上的防毒軟體。


微軟安全要素 MSE

 MSE(Microsoft Security Essentials) 是微軟公司官方所提供的防毒軟體,由於是大廠提供,所以無論其防毒碼更新速度或防毒效果皆相當不錯。唯一的問題是,要安裝它必須經過「正版認證」,在台南縣各校的 XP 會比較有困難,因為我們買電腦時所附的隨機版 XP 往往與電腦公司幫我們安裝上的 XP 不同,導致無法通過認證,要重新安裝又得費很大的功夫。不過 Windows 7 反而較簡單,只要安裝妥當,到大橋國小認證主機進行認證作業,就可以安裝本軟體。


AntiVir(小雨傘)

Avira AntiVir PersonalEdition classic

 注意:由於該軟體的免費版已取消即時掃描(ex: 網路即時防護)的功能,所以在此筆者並不建議安裝免費版。但若您是有一筆預算可以採購的話,鑑於它的資源消耗小,防護力強大等特色,筆者仍推崇大家採買安裝。

 此套防毒軟體是由德國著名的資訊安全公司 Ariva GmbH 所開發,具有強大的防護能力,但是依其授權原則,只限個人使用,不得在公司行號內使用。

 該公司共有三等級的個人資安防護產品:(1). Avira AntiVir PersonalEdtion classic,(2). Avira AntiVir PersonalEdition Premium,(3). Avira Premium Security Suite。其中只有第一套是免費版本,也因此,其功能僅局限於事後掃描各磁碟,以解決:「病毒(viruses), 蠕蟲(worms) , 特洛依(Trojans), 盜撥(dialers)及網路釣魚(phishing)」等類型的惡意程式,對於 spyware 及 adware 等其他類型的攻擊,必須付費購買其他兩個版本才行。


Avast!

avast! Home Edition

 avast! Home Edition 是一個專為家用和非商業用途而設(兩個條件都必須符合!)的全功能防毒程序包。內建有HTTP、EMAIL、P2P防護、MSN、即時通等聊天工具的安全防護、網路攻擊防護



免費反間碟軟體(Anti-Spyware)

 在我們的資安規劃裡,使用 Avira GmbH AntiVir 來進行即時的防毒功能。但是其免費版本對於 spyware 及 adware 並無法提供較好的防護策略。因此,以下筆者介紹兩套免費的反間碟軟體。


Spyware Terminator

 我們從邱春樹先生創立之 malware-test 網站,找到 2007 年 1 月份之反間碟軟體評比資料,其中 Spyware Terminator 1.5 版,有著不錯的成績。除此之外,它具有以下幾個特色:

  • 免費(Freeware),不限在家中或是公司使用
  • 可以即時保護及掃描清除
  • 快速掃描


以下是筆者的動畫教學:


Spyware doctor

 本套軟體是由 pctools 公司開發,並與 Google 合作,放在【Google軟體集】內,供使用者自由下載。本軟體最主要的強項在於 spyware 及 adware 的阻擋與清除。除此之外,它可以掃描暨清除下面所列,各種惡意程式類型:

間諜軟體(Spyware)、廣告軟體(Adware)、特洛伊木馬(Spyware Trojans)、
鍵盤記錄器(Keyloggers)、身份竊取(Identity Theft)、劫持(Hijackers)、
跟蹤威脅(Tracking Threats)、惡意反間諜(Rogue Anti-Spyware)、
網路釣魚(Phishing)、彈出式廣告和有害網站(Popups and Bad Websites)

 其入門版有兩套:


網頁檢查器(SiteAdvisor)

 從前面的介紹得知,「網頁」也是惡意程式重要的來源之一。如果,我們可以預知未來所要瀏覽網站的安全性,便可以減少很多資安上的困擾。這樣的工具,已經有人寫出來,而且幸運的是:它是免費的。由著名的 McaFee 公司所研發的軟體 Site Advisor,會在搜尋到的網頁上註解其安全性,供使用者判斷是否要點選進入。其運作過程如下:

  1. SiteAdvisor 官方網頁: http://www.siteadvisor.com/
  2. 安裝瀏覽器的 Site Advisor 外掛程式
  3. 啟動瀏覽器
  4. 利用 Google 或 Yahoo 搜尋目標網頁,SiteAdvisor 會標示清單內各個站台的安全性


防隨身碟病毒

關閉 Windows XP 之隨身碟 AutoRun 功能

 隨身碟惡意程式的原理為,利用 Windows XP 會去搜尋並執行部份 autorun.inf 內某些設定值,如 shell 及 ico 等特性。進而把惡意程式載入記憶體中執行,並修改系統設定值,使得使用者無法用正常方式找到病毒本身。而且,在使用者插入其他隨身碟時,把自己複製過去,以伺機感染下一台電腦。

 依上述原則,若我們在「未中毒前」,就關閉此一功能,便可以避免在插入 USB 隨身碟的同時,立即感染惡意程式的可能。記住,只有在「未中毒前」才有效,若已中毒,會因惡意程式已常駐於記憶體中而失敗。

永久關閉本功能

  • 方法一:使用 TweakUI 關閉 USB 隨身碟之 autorun 功能(推薦)
  • 方法二:修改登錄檔 regedit 找出以下兩組 KEY 值
    [HKEY_CURRENT_USER\Software\Micorsoft\Winidows\CurrentVersion\Policies\Explorer]
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    修改「NoDriveTypeAutoRun」的值為「0x00000095」
  • 方法三:執行群組原則管理「gpedit.msc」(Windows XP Home 版不適用)
    1. 點選「電腦設定 → 系統管理範本 → 系統」,在右邊的畫面找到「關閉自動播放」
    2. 雙擊(DobuleClick)「關閉自動播放」 → 點「已啟用」,並使「停止自動播放在:所有磁碟機」


隨身碟自動載入檢查

在此,作者推薦由中研院資科所自由軟體鑄造場所提供的 Wow!USB VirusKiller,把病毒阻隔於「開啟」隨身碟的那一剎那。相關網址如下:

  1. 介紹文: http://www.openfoundry.org/index.php?option=com_content&Itemid=144&id=1462&lang=en&task=view
  2. 下載:http://of.openfoundry.org/projects/906/download (選用Wow! USB VirusKiller 中文版 )

隨身碟病毒刪除

張書維的 KavoKiller, 官方網址如下: http://blog.yam.com/changshuwei

裡面不但 Kavokiller 及 fill_killer 等好用工具,而且有非常實用的解毒文件



資料檔案備份保存

資料檔案雲端化

  • Dropbox(目前第一把交椅)
    • 簡介
      申請帳號,並安裝其專用軟體後,會多出一台磁碟機,而且不論是在家裡或工作場所,甚至是智慧型手機,都可以連到相同的資料夾。
    • 首頁:http://www.dropbox.com/
    • EDU免費加大:https://www.dropbox.com/edu


  • ZumoDrive(Yahoo官方使用)
    • 簡介
      這是 yahoo mail 官方所使用的「我的硬碟」,與 dropbox 一樣,下載安裝妥專用軟體,便會多出一台磁碟機。
    • 首頁:http://www.zumodrive.com/



資料誤刪救回

好用工具介紹: TestDisk & PhotoRec
http://myip.tw/itsmw/index.php?title=TestDisk_%26_PhotoRec

rSync資料差異備份

rSync服務可以做到:

  • 差異備份;也就是永遠只備份與上次不同之處
  • 本機資料備至本機上隨身儲存裝置
  • 本機資料備至具 rsync 服務的機器,如 Synnology NAS 或 Linux 主機
  • DeltaCopy 文件:http://myip.tw/itsmw/index.php?title=DeltaCopy


使用隨身碟備份(同步)資料

 上面的 rSync 是把資料備份至另一台主機上,無論備份或取回,都得麻煩學校那個很難找得到的「網管」,所以底下,筆者再推薦兩套個人可以使用的備份軟體。只要您買一條隨身碟,便可以把硬碟資料與隨身碟進行同步作業,很方便又安全。




本文小檔案

__NORICHEDITOR__

題名: Title::Windows資訊安全
作者: Creator::itsmw作者群
主題/關鍵詞: Subject::windows, security, xp, 資訊安全, 電腦病毒, 防毒
簡述: Description::Windows 作業系統防毒防駭
出版者: Publisher::台南縣教網中心 itsmw 計畫
其他參與者: Contributor::itsmw作者群
日期: Date::2010-1-24
文件類型: Type::09資訊安全
資料格式: Format::text/html
文件識別代號: Identifier::http://myip.tw/itsmw/index.php?title=Winxp_security
來源: Source::http://myip.tw/
語言: Language::zh-TW
相關資源: Relation::http://myip.tw
文件涵蓋範圍: Coverage::Windows系列
版權規範: Rights::GNU Free Documentation License 1.2