鳥毅的Blog

最近有一位資安稽核高手到本公司指導，說他的舊硬碟與舊手機除了格式化，報廢前都用鐵鎚打壞才回收。並建議伺服器命名都要改用編號，不要用有意義的名稱，如DNS、Mail等。

今天收到一封偽造Google的Email，漏洞百出，只是頭一次收到，特此誌之。

等了許多年，Blogger終於支援 https了！ 去年看的時候還不支援自訂網域名，今天看到終於可以，爾後請使用   https://blog.tenyi.com 連到本站。

今天收到某縣教育網路中心寄出的Spam，標題為『注意電子郵件用戶』

最近因為拿到7月底的愛奇藝免費一季會員，看到一部不錯的資安影集。  幽靈 / 主君密碼

前幾天知道居然有資訊部門主管不知道何謂社交工程，讓在下敝人小弟我十分驚訝。我這個非本科系的人20年前就知道的名詞居然有資訊人不懂，所以在這裏用白話介紹一下。 先看一下維基百科的解釋好了： Social Engineering 什麼？不懂英文？沒關係，來看看 教育部的解釋 、 ZDNet的解釋 、 趨勢科技的解釋 、 資安網站的說法 以上都不懂的也沒關係，用鳥毅的說法就是： 假裝是你的朋友，其實是要騙你 。不管是利用MSN、Email或是某個安全性更新；甚至於詐騙集團假裝檢察官，都叫做社交工程。看到這裏應該懂了吧？看一下這部電影： 神鬼交鋒（Catch Me If You Can） 就是社交工程的極致，也就是台灣常見的詐騙。 得到一個MSN帳號密碼，再騙此帳號的朋友去買點數卡，大家不是很熟嗎？ 幾位高手曾經留言說 好的制度比資安產品更有效 ，在下完全同意。假設的情境：某公司的工程師想知道他暗戀的同事是否有交往對象，於是就和同事說：『我幫妳寫了支程式，但需要遠端更新，所以開個分享給我』。接著就把自己加入同事電腦的本機管理員，再把網域管理員（domain administrator）的權限移除，他自己就透過分享看到同事的email，完全不用寫木馬程式。 要避免被社交工程欺騙，只能自己多加留意，用台語說就是【龜毛】一點，凡事多用心，不要人云亦云。還有一點，看到別人轉寄的email千萬別亂寄，搞不好裏頭有新型的木馬/後門程式，又淪為社交工程的幫兇。

　　今天早上覺得網路比較慢，連到 pfSense 防火牆用 bandwidthd 和 darkstat 看流量，發現某台電腦的上傳流量高得驚人（是的，敝公司很窮也很省，所以沒有可以monitor網路的switch），占了全公司上傳流量的90%。 　　用XP的nbtstat -A [ip]，找出是公司的工讀生用的電腦，此時在下敝人小弟我，連忙拿出 Process Explorer 和 Active Ports 、 WireShark 來監控，想當然爾光靠 Process Explorer 是找不出東西，但是很明顯在 Active Ports 有不明的程式在送出網路流量。這支木馬很聰明，只要keyboard和mouse有在使用就不動作，等到停下來時才開始送出封包，所以使用者雖然覺得電腦變慢，卻不會覺得慢到無法忍受。 　　此時我只能用 IceSword 來找出這支木馬，不過由於有千人斬實力的工讀生要先備份資料，所以抓毒的事明日請早。

最近敝公司網路偶爾會斷，有些人連不上file server，在下當時就懷疑有人中arp病毒，但是因為剛好NOD32 4.0造成File Server死當，所以無法確定。 前兩天在下把File Server的防毒換另一家的產品，但每天到下午五點左右就有某幾台小hub會掛點，造成某幾位同仁網路中斷。今天到機房檢查一台故障的server時，機房的值班人員說昨天機有hub當掉，造成相關企業的服務中斷。在下檢查正常的Server有看到IP衝突的訊息，可見在網路上有機器中arp病毒，造成網路上大量封包，才會讓小hub當機。 目前看起來只有改變網路架構才能解決，而這已經超出在下的權限了呀呀呀呀.....

看到 這則新聞 原本嚇一大跳，以為有什麼驚人的技術，後來再看到NOWnews才知道只能破WEP，最近幾年的無線基地台都是 WPA 以上的加密方式，再加上大部份的人都知道要鎖網卡 MAC Address ，真正拿在路上也很難找到可用的訊號呀... 另外一點，要一般使用者用Linux光碟開機，實在是辛苦了點... 參考資料： 黃金版卡皇終結版 （找到"原廠"資料了） [技術] 什麼是卡皇? 為什麼它可以破解無線網路密碼? 我要怎麼預防被入侵?

今天看到 網站多久沒健檢了 ，就用 SQLInjectionFinder 掃一下Log，發現有個IP在掃SQL Injection漏洞，字串裏有CAST(...。 IP是： 66.249.70.180 ，沒想到原來是Googlebot，這是怎樣呀？幫我掃有沒有SQL Injection的漏洞？看來要寫個 robots.txt 了。 Update：不知為何微軟把SQLInjectionFinder的下載移除，我放一份SQLInjectionFinder在 http://www.badongo.com/file/12617378 。 MD5Sum為 2b1896c5fb676447c51f79026d12397d

外掛木馬盜遊戲幣 手機掉在麥當勞 妻裸照被貼上網 邱淑貞被銀行女經理盜近億台幣 哦爸媽手機資料被盜 後面三件新聞有個共通點，就是內賊。在 Linux上的防毒 我提到沒使用noscript和網路銀行，就是因為再怎麼防都防不了內賊，不如不用:P 以下空白 國內某家已不存在的銀行（不然我哪敢寫呀），曾經發生過資訊人員從網路銀行log資料盜取客戶網路銀行帳號及密碼，在那個晶片卡還不太風行的年代，偷轉客戶的錢。當然這是很白痴的行為，要偷也要偷現金...不是啦，咳，這是不可取的行為；那位老兄不到一個月就被警察帶走，同時為避免金融恐慌也封鎖消息。現在沒銀行這麼白痴了，所以不會有人告我。 以上空白 到銀行存取款一定要留收據；電腦和手機內不要存裸照，要放也得放 TrueCrypt 虛擬碟；對了，別忘了msn記錄和email。 P.S. 這篇看看就好，請不要推文，我怕被告。

剛才看到 防毒軟體排行 ，準不準是一回事，常見的小紅傘也沒拿來比。第一名的明顯是前五名裏最便宜的呀！有廣告之嫌，不過敝公司買的仍在第三名，還可以接受。 這種東西，參考一下就好。（但是排名很後面的，確實遜一點點...）

前幾天有位網友在 升級到Ubuntu 8.10 問到Linux的防毒。 沒想到電腦給人的印象從Windows變成很容易中毒呀？我那時的回答是 別鬧了，在Linux上裝防毒是要掃Windows的病毒嗎？For Linux的病毒少之又少，基本上是不用擔心，等到Linux的市占率超過10%再來煩惱吧。基本上，用on-access realtime scanner會造成系統變慢，所以能不裝我是不會裝的。 不過還是有防毒軟體，安裝 havp 、 clamtk 、 clamav 、 clamsmtp ；對於XSS那些攻擊手法，裝Firefox的extension如noscript。havp是上網防毒，clamsmtp是email防毒，你應該可以放心用了吧？ 這兩天想想還是單獨寫一篇，讓電腦新手也有些概念好了。 首先，在Windows上的防毒軟體，除了用 ClamAV 引擎的 ClamWin 外，都是on-access scanner，也叫realtime scanner；意思就是所有的檔案存取都會掃，所以效率也就比較差。當然在Windows上也可以用鳥毅介紹過的 Spyware Terminator 或是 Winpooch 達成 ClamAV 掃毒，不過速度相當慢。 Dazuko 是由Avira（小紅傘）發起的Unix on-access scanner patch，適用於Linux與FreeBSD。但是 給 Ubuntu Linux 安装上防毒軟件 AntiVir 的做法我就不推薦，因為裝好 Dazuko 後，就可以直接用 ClamAV 掃毒，何必用個沒有Open Source的防毒呢？而且用 ClamAV 在amd64的平台上還有native的binary，Avira只有x86的binary，效率有差。 其實我說的方法，就是除了上網與mail外，改用offline的scanner，也就是只裝我推薦的 havp 、 clamtk 、 clamav 、 clamsmtp 即可。遇到Windows上傳過來的檔案，再用 clamtk Virus Scanner掃一下。 HAVP 裝好後，在Firefox設定：編輯->偏好設定->進階->網路->設定，改為手動，在Http Proxy輸入localhost，port 8080 測試是否生效請連到 http:/...

台北市政府網站民眾個資外洩 台彩網站被入侵 台彩網站被入侵 台彩：得主同意公佈 感想：自求多福吧:P 遇到沒概念的承辦人，什麼事都可能發生呀...

今天收到一封來自ClamAV的信： Dear ClamAV user, The following submissions have been processed and published: - 4210487 Trojan.Magania-5465 - 4210405 Trojan.Magania-5423 - 4210415 Trojan.Spy-51753 See http://cvdpedia.clamav.net/daily/8269 -- Best regards, The ClamAV team 事情是這樣，上個月陸續收到朋友Yahoo帳號寄來的木馬，4個zip檔案中ClamAV只掃到一個，NOD32原本掃到兩個，後來掃到三個，Sophas全都掃得到。經過鳥毅回報，經過半個多月終於加到ClamAV的病毒資料庫，現在全都掃得到！ 雖然不一定會加進病毒資料庫，但有空仍要盡可能回報，台灣和國外的木馬畢竟不太相同，多回報多保佑呀...

今天也接到傳說中 "接起來說打給我後馬上掛掉" 的詐騙電話，號碼是 0982642363，現在怎麼這麼小氣呀？記得四年前有個自稱是酒店小姐的打給我，講了20幾分鐘耶....人家有誠意多了:P P.S. 請不要無聊和他們聊太久或得罪詐騙集團，不然每天半夜被叫起來尿尿別說我沒警告喲...

看了阿碼老板Yayne寫的 美國駭客年會 Black Hat 2008 觀察--第一天 我才第一次看到man in the middle的名詞（遜...）。 原本就有聽過這次DNS攻擊的手法，看到 Man-in-the-middle attack 才明白， 這 有中文解釋。 詳細手法請看： An Illustrated Guide to the Kaminsky DNS Vulnerability

早上才貼完釣魚手法，馬上就有一位朋友透過msn向我求助；他msn還沒下線，hotmail的密碼就被改了。 雖然無法判斷他是怎麼被盜，但是以往都不會修改使用者密碼，不知道這個破壞行情的人/集團會不會被同業抵制XD Anyway，請自己多加小心，若環境允許，請換Mac/Linux吧。

下圖是今天收到要求加入msn好友，怪了，我不是已經設定不讓其他人看到？很明顯是色情或釣魚，不過遠比不上同事前陣子加入那位要找老公的俄國金絲貓XD 以下是一封Spam，手法很粗糙，相信過一陣子會有讓人難以分辨的Spam。 如果是我發的Phishing Spam，就會長得像微軟MSDN Flash 程式開發人員快訊：

在 這 看到 Untangle 。 Untangle 的功能95%是免費，但若要訂閱更新或某些商業模組則要 錢 。 此外，在 這 可看到仍有些小問題（5.3版已無語系問題）。 由於原貼已經介紹得很清楚，在下就不多做功能介紹。撇開小bug不談，做為監控使用應該還不錯，但若要當做IPS則有待考驗，以150人的企業而言，訂閱費用每月$150不算便宜也不算貴。若它要能和市面上的龍頭競爭，除了亞洲環境得多測試，Policy的更新也必須跟得上駭客的動作。 至於效能問題，我反而不擔心，UTM本來就很操，若要跑得順，弄一台Core 2 Duo E8400或Core 2 Quad Q6600以上，配上4GB RAM和高效能的硬碟（用Raid 0+1?），幾百個client應該沒有問題。啥？幾千個client？貴公司也太省了吧，考慮花錢請鳥毅當顧問替貴公司規劃一下改成有load balance的UTM，哈哈。