文章列表

EP15 - 開學季 | 資安求生指南

Podcast連結


本集內容大綱

1. 系統/軟體更新

更新是系統跟軟體修補資安漏洞很重要的一個方法,多多利用自動更新的功能可以大大降低這件事的麻煩程度。

2. 留意文書檔案中的巨集Macro

巨集是在文書軟體中執行一些小程式的功能,來完成一些比較複雜的運算或是自動化讓使用上更方便。 很多文書軟體像是Word, Excel, Powerpoints等等的都有巨集的功能。

很多惡意程式會喜歡藏在這些文書檔案的巨集中,讓使用者以為這只是個文件檔而掉以輕心,因此大家在開啟別人傳來的Word或excel等等的檔案時要特別小心,不要隨便允許這些檔案執行巨集。

schooltips macro windows

schootips macro mac

Office預設會停用下載來的檔案中的巨集功能,在啟用以前要記得確認檔案是安全的。

3. 防毒軟體

防毒軟體可以幫我們過濾很多常見的惡意軟體和檔案,因此也是很重要的一個工具。

Windows和Mac內建的防毒功能也都是不錯的免費防毒軟體。

使用Windows和Mac內建的防毒功能再配合好的使用習慣的話,也是可以達到不錯的安全性。

補充:電腦防毒軟體簡易比較圖

4. 電腦備份

許多人的作業、筆記或論文等等的東西都會存在電腦裡,再加上筆電的普遍使用,很多人會把筆電帶著去上不同的課、帶去討論專題報告,或是帶著筆電去圖書館念書整理筆記。

隨著學校都都逐漸要開學了,最近很多勒索病毒開始針對學校進行攻擊。(新聞連結:Bankinfo security - As Classes Resume, Schools Face Ransomware Risk)

如果很不幸電腦中了勒索病毒、弄丟被偷了,或是撞到、摔到導致硬碟損壞,存在電腦裡的資料可能就一去不復返了。 適當的備份習慣可以有效的將這些意外造成的影響降到最低。

5. 隨手鎖定電腦、手機、和其他裝置

在公共場合(教室、圖書館、宿舍)如果要離開自己的電腦的話記得要將電腦手機等裝置上鎖。

最理想的情況當然是不要讓電腦離開自己的視線,但暫時離開一下也隨時把電腦帶在身邊,應該只有少數人能真的做到,所以在離開電腦時最起碼做到鎖上電腦,讓別人沒辦法趁我們不在時,輕易偷看電腦裡的東西。

如果真的很怕忘記鎖定電腦的話,也可以使用自動鎖定的功能避免這個狀況發生。

6. 公用電腦的使用

要注意公用電腦(包含影印店、圖書館、電腦教室裡大家共用的電腦)都可能隱藏很多危險和惡意程式。 我們永遠無法得知其他使用者在這台電腦上做過什麼事,因此建議大家盡量不要使用這些公用的電腦,如果真的非用不可的話,也不要在上面登入Facebook、Gmail等等的私人帳號,降低被駭的風險。

如果需要傳送檔案的話可以使用一些我們之前提過的替代方案,如Fileroom.io或是MyAirBridge 等工具。

7. 隨身碟的使用

在使用隨身碟傳送資料時要注意隨身碟可能將別人電腦中的病毒帶到我們自己的電腦上。 大家要特別注意影印店的電腦,從我的經驗來說影印店的電腦通常是公用電腦中最毒的,因此使用在別人電腦上用過的隨身碟時,記得要特別小心,如果能避免使用就避免,如果真的必須使用,就在使用前用防毒軟體掃過一遍,確保安全。

8. 密碼的安全性

先前(EP3 - 設定密碼好複雜!)談過好幾次密碼的重要性,選擇夠複雜夠長的密碼,以及開啟雙重或多重驗證都很重要。

不要使用學校提供的預設密碼,學校帳號的預設密碼很多是我們的個資(ex: 身分證後四碼加上生日),這除了在密碼的強度上很不足夠的以外,也是很容易被別人猜出密碼的,因此在拿到學校提供的密碼時該做的第一件事就是改成一個安全的密碼。

有調查指出太常換密碼只會讓你開始選越來越簡單好記的密碼,因此密碼不需要太常換新的,半年或一年更新一次就很足夠了。(調查連結:Schneier on Security - Frequent Password Changes Is a Bad Security Idea)

密碼管理器也是一個很好用的工具,不只能使用夠複雜的密碼,也不用擔心忘記密碼。

9. 網路安全/VPN

EP4 - 有必要使用VPN嗎?中提到過,使用公共場合免費的WiFi的話別人是有可能可以攔截到你所傳送和接收的資訊的。

用了VPN除了避免資訊被攔截,也可以避免學校或公司在監控你的上網所作所為。 可以看看先前寫的VPN的選擇高市佔率VPN比較

10. 防範釣魚和詐騙

電話、Email或者是網站,都是攻擊者的愛用釣魚媒介,現在各式各樣的釣魚攻擊種類越來越多,一不小心就會落入圈套中,一定要特別小心。

可以看看EP5 - 人性是最大的安全漏洞中提到的社交工程例子防禦與避免的手法與技巧

11. 公私分開

建議大家盡可能地將學校或是工作上使用的東西與私人的分開,這包含了Email、社群軟體等等的。

將私人和工作課業上的東西分開,除了可以幫助你有更多的私人空間,下課/下班後比較不會被打擾外,也可以有更好的隱私,不用在每次發文發限時以前還要擔心會被教授/主管或是不熟的同學/同事看到。

如果其中一邊的帳號發生資料外洩或是被害的時候也可以將傷害降低避免影響到另一邊。 Email可以直接使用學校/公司提供的信箱,社群軟體的話可以創一個新帳號,專門給學校/工作上使用。

12. 隱私和個資

很多人會覺得學生比較好騙,因此會利用一些活動或是免費的東西來吸引學生主動提供個資。

如果遇到填問卷就送東西之類的活動要特別小心,那些活動都很可能是要用來搜集大家的個資,提供資料之後可能就會接到很多廣告或是詐騙電話。

大家也要多留意電腦上的攝影機,最近因為疫情的關係,有些課程跟會議都改成線上進行的,電腦攝影機的使用量比以往更高,建議大家平常的時候可以拿個3M膠帶或是用鏡頭蓋把它遮起來,這樣除了可以防止惡意程式偷用電腦攝影機觀察我們的一舉一動,還可以避免在會議中不小心忘記關鏡頭的情況發生。

schooltips camsticker

使用膠帶遮住鏡頭

schooltips camcover

使用鏡頭蓋遮住鏡頭

13. 善用學校/公司的資源

學校會有計資中心、公司也會有IT或是Helpdesk之類的部門。如果有電腦的問題,不管是不是資安相關的都可以去找他們幫忙。

學校通常會提供一些免費的軟體和工具給學生,像是免費的Office或是有無限空間的Google Suite帳號。 多多利用這些免費的資源,盡量不要在網路上下載破解版或盜版的軟體,這些資源不僅可以幫我們省下不少錢,也可以降低我們暴露於風險中的機會。

14. 善用學生的身份

很多公司跟軟體都會提供優惠給學生,有的會是試用時間比較長的軟體,有的是在購買產品上有優惠打折,有的甚至會提供免費的產品給學生。 這些優惠活動最常見驗證身份的方式就是要求你要使用.edu的信箱來註冊跟申請,他們會寄驗證信到你的.edu信箱來確認你的身份,如果你有學校提供的.edu信箱的話,即使你已經畢業了,還是可以使用這些優惠。 原因跟上一點一樣,如果有這些便宜或免費的正版產品可以用,幹嘛去下載危險的破解版呢?

15. Gmail 小技巧

以下假設我的email是[email protected]

小技巧1: 我們可以在我們原本gmail的email名稱中任意地加入句點,信件一樣可以寄到原本的信箱。
Ex: [email protected][email protected][email protected]

小技巧2: 我們可以在email名稱之後加上一個加號和任意文字,信件一樣可以寄到原本的信箱。這個技巧在Outlook上也可以用。
Ex: [email protected][email protected][email protected]

延伸應用: 我們可以利用小技巧2在每個網站上都使用不同的email作為帳號。
Ex: 蝦皮 - [email protected]、Pchome - [email protected]、Ubereats - [email protected]

用處1 - 在同個網站申請不同的帳號 對大部分的網站跟系統來說,這些都是不一樣的email。因此當我們想要在同一個網站上創兩個帳號,卻又不想為了這個目的而去創一個新的email時,就可以利用這個技巧。

用處2 - 管理郵件 在Gmail裡面我們可以利用篩選器的功能自動將email分類,比如說將寄到[email protected][email protected]的信都放進購物的資料夾,[email protected]的信全部都丟到垃圾桶。

用處3 - 監控自己的信箱 利用這個功能觀察我們註冊的網站是不是有惡意活動,舉例來說我用[email protected]個信箱在某個新聞網站註冊了會員,但某天突然開始有很多廣告和詐騙信寄到jeff+abc@gmail.com,那我就會知道這個新聞網站可能將我的個資賣給別人了或是他們發生資料外洩導致我的信箱資訊外流成為攻擊目標。

用處4 - 避免帳號填充攻擊 帳號填充攻擊是利用人們很常在不同的地方使用同用的帳號密碼這個弱點進行攻擊。 透過這個技巧讓每個地方的帳號都是不一樣的email,那麼我們就對帳號填充攻擊免疫了。 (補充:如果怕記不住哪個網站使用哪個email,可以使用密碼管理器 來整理和紀錄)