个人信息安全意识教育PPT

个人信息安全意识培训卫剑钒2世界上只有两种人，一种是知道自己被黑了，一种是不知道自己被黑了。信息安全意识的建立被黑源于轻信和大意。关键是要有信息安全意识。何谓信息安全意识。3主要内容•对木马的防范意识•保护自己口令的意识•无线上网安全•手机安全•保护自己的手段4典型的木马类型•引诱用户下载安装的木马•利用系统漏洞传播木马•利用应用软件漏洞传播木马5利用热门事件引诱下载颇具争议的大片《五十度灰》刚上映不久便在全球突破5亿美元票房，不少木马病毒伪装成“五十度灰中文版”、“五十度灰无删减版”等文件,并通过邮箱等社交网络的方式进行传播。6可执行文件类型•exe可执行文件标准后辍•pifdos格式的快捷方式后辍•scr屏幕保护程序后辍•有的木马把文件名改为***.jpg.exe•有的木马把自己的图标弄成文件夹样子78•将Windows资源管理器的文件夹选项中。•在“隐藏已知文件类型的扩展名”这个选项前，把勾去掉。黑客所看到的91011－好奇心满足－突破禁区、获得特权－获取情报－其他实际利益“怎么会有人这么无聊！”QQ信封产业链12中盗号木马后的危害13木马盗号的方式14QQ盗号方式从最早的加密解密、内存注入等技术手段逐渐向伪造QQ窗口等社工方式转变，使得杀软更加难以从行为上拦截。色情网站恶意木马•在某些色情网站上，除了下载指定的播放器，无论用户选择什么方式都无法播放视频。•播放器实则是一个远控木马。从某杀毒软件厂商的监控情况来看，仅仅2014年12月就有13万用户电脑上运行了某网站的木马程序。151617超过10%的用户在安全软件提示病毒之后，选择了信任放行，随之电脑沦陷。网页木马•网页木马实际上是一个HTML网页，但这个网页中的脚本恰如其分地利用了浏览器及插件的漏洞（如flash漏洞），让浏览器在自动下载木马并运行木马。–为了安全，浏览器是禁止自动下载程序特别是运行程序的，但IE本身存在漏洞。–网页木马以JavaScript、VBScript、CSS等页面元素作为攻击向量,利用浏览器及插件中的漏洞,在客户端隐蔽地下载并执行恶意程序。18网页木马•漏洞利用代码多用JavaScript等脚本语言编写。–浏览器提供了脚本语言与插件间进行交互的API,攻击脚本通过畸形调用不安全的API便可触发插件中的漏洞;–攻击者可以利用脚本的灵活特性对攻击脚本进行一定的混淆处理来对抗反病毒引擎的安全检查。19网页木马•任意下载API类漏洞：–一些浏览器插件在用来提供下载、更新等功能的API中未进行安全检查,网页木马可以直接利用这些API下载和执行任意代码,如:新浪UC网络电视ActiveX控件DonwloadAndInstall接口任意文件下载漏洞[CVE-2008-6442]、百度搜霸链接验证漏洞[CVE-2007-4105]等.–在一些复杂的攻击场景中,攻击者将多个API组合,完成下载和执行任意文件的目的。如MS06-014漏洞的利用需要3个插件的不安全API分别完成恶意可执行文件的下载、本地保存、执行。20网页木马•内存破坏类漏洞–溢出漏洞。一般由于插件API对参数长度、格式等检查不严格所致,如API接受了过长的参数造成缓冲区溢出,进而覆盖了函数返回地址等,在黑客的精心构造下,使得程序执行流跳转到预先放入内存的ShellCode.典型的,如联众游戏ActiveX溢出漏洞、暴风影音ActiveX参数超长溢出、迅雷ActiveX漏洞等;–浏览器解析漏洞。在浏览器解析畸形构造的HTML或其中包含的CSS、XML时被触发,造成执行流跳转到预先放入内存中的恶意可执行指令,如MS08-078中IE处理XML远程代码执行漏洞等。21网页木马•操作系统漏洞。–如MicrosoftWindows的user32.dll中的LoadAniIcon()函数在处理畸形的动画图标文件(.ani)时没有正确地验证ANI头中所指定的大小，导致栈溢出漏洞。如果用户受骗访问了恶意站点或打开了恶意的邮件消息的话，就会触发这个溢出，导致执行任意代码(CVE-2007-1765)。22应用软件木马•沙虫（CVE-2014-4114）漏洞于2014年10月14日被iSIGHT发现，最早被俄罗斯用在APT攻击中，并命名SandWorm。•该漏洞影响winvista,win7等以上操作系统，利用微软文档就可以触发该漏洞，而且该漏洞为逻辑漏洞，很容易利用成功。•木马可以为PPT类型或者PPS类型，后者打开之后自动播放直接触发利用成功。23沙虫样本分析•攻击者使用PowerPoint作为攻击载体，漏洞在Windows的OLE包管理器中。•OLE打包文件（packer.dll）能够下载并执行类似脚本的INF外部文件。24沙虫样本分析•通过分析工具我们可以看到这个文件嵌入了两个OLE对象，如下：25沙虫样本分析•其中OleObject1.bin包含一个“\\94.185.85.122\public\slide1.gif”的字符串，它是一个webdav的路径。这个gif文件其实是一个PE文件。26沙虫样本分析•OleObject2.bin中的“\\94.185.85.122\public\slides.inf”字符串，它也是一个webdav的路径。下载后是一个INF文件，它是利用漏洞触发的关键。27沙虫样本分析•当该文件被PowerPointer加载后，它会调用Packager.dll中的一个函数将这两个文件从网络上下载下来并保存在临时目录中。28沙虫样本分析•然后在函数CPackage::DoVerb中调用SHELL32!CDefFolderMenu::InvokeCommand函数加载slides.inf,最后通过调用C:\Windows\System32\InfDefaultInstall.exe程序并安装这个inf文件。29沙虫样本分析•整个INF的主要功能是将slide1.gif重命名为slide1.gif.exe，然后添加注册表启动项。•漏洞产生的主要原因是OLEPACKAGER允许安装INF，而INF可以对系统的某些资源如注册表等进行修改，最终导致可以执行恶意代码。•该可执行文件将会主动连接控制端，接受控制端指令，下载更新并运行。30如何远离木马危险•1.不要试图使用软件破解工具，买正版软件，或者使用开源软件。•2.搜索引擎提供的下载链接并不可靠。•3.软件的原生网站比较可靠。•4.邮件和QQ发过来的软件不要运行，链接不要点。•5.注意所下载内容的后缀，如无十分必要，不要运行EXE31如何远离木马危险•6.不要上一些乱七八糟的网站。（色情、赌博、游戏）•7.电脑勤打补丁，用腾讯管家、百度卫士、360安全卫士都可以。•8.IE浏览器尽量少用，可以用Chrome、360、QQ浏览器。•9.如果你身份不一般，注意隐藏自己的身份。3233安全安全最终要靠自己。如果被黑，损失是你自己的。勒索软件34勒索软件•搞IT二十多年来，我还没见过像这样有这么多受感染的用户（包括技术人员）乖乖投降的情况。•CryptoLocker首先向控制服务器发送获取RSAPublicKey请求。在获取RSAPublicKey后该软件迅速按特定文件后缀名对每个文件产生一个256bitAES新key用于对该文件内容进行加密（AES加密算法），再用RSAPublicKey对AES密钥进行加密。•最后软件该软件会跳出个对话框，提醒用户3天之内缴费300美元。35勒索窗口36有招吗•由于解密用的RSAPublicKey相对应的RSAPrivateKey只有黑客有，他不给谁也解不了密，而且黑客还威胁3天后销毁解密的密钥。安全软件可以清除该软件，但神仙也解不了这些被加密的文件。37查杀后的桌面38注意备份•大概快一半的受害用户都交了费。该软件目前主要攻击公司用户，对公司数据构成极大威胁。•类似的软件为CTB-Locker，最近现身中国，中招后提示受害者在96小时内支付8比特币（约1万元人民币）赎金，主要利用英文邮件传播，解压缩后是使用了传真图标的scr格式可执行程序。•做好常规性数据备份。39WiFi安全40无线路由器安全1.破解隔壁WIFI的密码，连入WIFI2.获取无线路由器管理员的密码3.查看wifi内的设备，伺机攻击4.会话劫持，代码注入41无线路由器安全1.将wifi打开后发现了三个信号，我选择这个名字非常独特的路由：**LOVE**2.翻出minidwep（一款linux下破解wifi密码的工具）导入部分密码字典，开始进行爆破。因对方使用WPA2加密方式，所以只能使用暴力破解方式进入，WEP则目前可以直接破解密码。3.所以破解WPA2加密方式的路由基本上成功率取决于黑客手中字典的大小。喝了杯咖啡回来，发现密码已经出来了：198707**42无线路由器安全•通过路由设备漏洞进入失败后，想必只能使用暴力美学了。通过抓取登录路由器的请求，然后遍历帐号密码发送请求查看返回数据包大小则判断是否登录成功。43无线路由器安全•其中：Authorization:BasicYWRtaW46YWRtaW4=为登录的帐号密码，使用Base64解密开查看内容：admin:admin•编写了个python脚本将字典中的密码与“admin:”进行组合然后进行base64加密，进行破解。十一点的钟声响起，发现密码已经成功爆破出来，成功登录。•第二天晚饭过后，登录路由管理界面，这时已经有好几个设备了：44无线路由器安全•android-b459ce5294bd721fandroid-44688379be6b9139**********iPhone******-iPad******-PC•测试两台安卓设备，发现其中一台开放端口很多，使用ARP嗅探安卓开放端口较多的设备，发现是一个影视盒子。•始对iphone进行了嗅探。嗅探不一会便找到了有趣的东西，在她查看自己相册的时候嗅探到她的照片，查看流量日志，根据URL很方便的找到了她的微博。45无线路由器安全•扫描小米盒子的端口后发现各种各样的端口大开，其中最有趣的就是5555端口（adb远程调试），使用adbconnectip直接可连接设备进行远程调试。于是我随手写了一个安卓APK程序。•adb远程连接到盒子，然后adbinstall远程安装apk，最后使用amstart-n***进行远程启动。我本地使用Genymotion建立android模拟器进行测试：46远程启动并测试47无线路由器安全•还可以做的事：–篡改路由器DNS设置，使受害者在不知情的情况下访问钓鱼欺诈网站，而域名一切正常。–在路由器中植入后门程序，窃取上网信息。用户的上网流量就会被攻击者窃听和控制。–利用手机固有的漏洞植入木马程序，使攻击者获得手机的完全控制权。48无线安全防护1、路由器连接密码要复杂一点，比如testak47521test要比ak47521好很多2、赶紧把路由器管理后台的帐号和密码改掉。很多懒人还在adminadmin3.使用WPA2协议认证。4、常登陆路由器管理后台，看看有没有连接不认识的设备连入了Wi-Fi，有的话断开并封掉Mac地址。封完以后马上修改Wi-Fi密码和路由器后台帐号密码。49无线安全防护•5.不要在公共场合（如咖啡厅、机场等）使用公共无线，可以做点无隐私的事，如简单的网页浏览，如有账号登录，不要使用。•6.自己莫名其妙连接到了陌生Wi-Fi上，此时一定要警惕。•7.如果有较好的流量，用自己手机做热点。5051手机安全•恶意短信•手机钓鱼•短信拦截•木马软件•硬件接触52伪基站53钓鱼：诱骗信息和下载木马54伪基站实时地图55伪基站+钓鱼56手机客户端钓鱼57高仿真“钓鱼界面”58短信拦截马•短信拦截马（简称拦截马或短信马），是一种拦截他人短信的木马，让被攻击者收不到短信，并将短信内容发送到攻击者手机上。59“银行悍匪”案例•该木马高度模仿真正的手机银行软件，通过钓鱼方式获取用户输入的手机号、身份证号、银行账号、密码等信息，并把这些信息上传到黑客指定服务器。盗取银行账号密码后，立即将用户账户里的资金