目前分類:資安觀念 (23)

瀏覽方式: 標題列表 簡短摘要

1018103_broken_chain1每次一有機會跟從事軟體開發的朋友聊天時,我就會問一下他們有關軟體安全的問題。當然,我問的問題很簡單,就是他們的軟體有考慮安全的問題嗎?嗯,其中一種蠻常聽到的回答就是:「有啊,我們的資料在傳輸時有加密。」或者是「沒有耶,我們的資料都沒有做任何的加密。」

噹!這樣的答案聽起來好像很有理,卻是對軟體安全有著極大的誤解。對於軟體安全而言,從需求面可以分成兩大類型,第一類是安全性功能 (Security Feature),像是資料在儲存時要進行加密就是屬於這類需求。另外一類需求我們稱為安全軟體的需求 (Requirements for Secure Software),也是大家比較不熟悉的部份。舉例來說,避免程式受到跨網站腳本攻擊就是屬於安全軟體的需求。

cyrilwang 發表在 痞客邦 留言(1) 人氣()

Bear-in-a-Honey-Pot-Puppet-1之前我在 [從電影看資安] 誰才是大將軍 - 大兵小將 這篇文章中提到資安專家利用假冒的觀念來減少危險,後來甚至演變出所謂的 Honeypot/Honeynet,這類機制不但可以用來減少駭客攻擊的有效性,甚至可以用來學習駭客的行為以利資安專家對抗駭客所發動的攻擊。我在文章最後提到假冒的觀念對於攻擊與防守的雙方都同樣重要,甚至攻擊方對於假冒更是駕輕就熟,畢竟攻擊要成功,完美的假冒往往是一個基本條件。但是像是 Honeypot 這種用來誘敵的機制,對於攻擊一方的用途卻是到了近期才被加以利用。這倒也不是說明資安專家就比駭客更加聰明,而是資安專家往往比較被動,所以對他們採用 Honeypot 的效用不大。不過一旦駭客發現這是一個好方法,他們絕對不會放棄,而且我相信駭客可以發揮出更好的效果。因為駭客只要放出足夠的煙霧彈就夠資安專家們忙上好一陣子了,而在現今的攻擊情境中,好一陣子已經可以產生決定性的效果。事情會怎麼演變,就讓我們繼續觀察吧。

 

cyrilwang 發表在 痞客邦 留言(0) 人氣()

iStock_000005760185XSmallDoS/DDoS (阻斷服務攻擊) 對許多人來說,早已經是耳熟能詳的名詞。以 DoS 的定義來說,只要能夠讓服務中斷,不管用什麼方法都可以算是 DoS 的攻擊。所以,拿榔頭把連結伺服器的路由器給敲爛,絕對也是 DoS 攻擊的一種。這樣的攻擊方式除了被逮捕的風險高了許多,而且在效率上也不夠好。所以除非你跟某家企業有深仇大恨,而且報著必死的決心,不然請勿輕易嘗試此一作法。也因此以網路為主的遠端 DoS/DDoS 才是主要的攻擊手法,駭客想盡一切辦法讓使用者無法連結到某個企業的網路服務,像是把網路頻寬或伺服器的運算資源消耗殆盡。

而這一兩年極為熱門的話題 - SaaS (或大家比較常聽到的雲端運算),除了它本身產生的資安考量外,SaaS 與 DoS/DDoS 還有其他的關聯。首先,SaaS 的架構讓駭客擁有了更多且更便宜 (甚至免費) 的資源來對攻擊目標的資源進行消耗的行為。嚴格來說,甚至可以說是以 Botnet 為主的地下經濟本身就是一種 SaaS 的服務,只是買方甚至連軟體都不用操作就可以收到結果。另外之前提到利用 SaaS 架構提供破解 WPA 的服務,雖然不是用來進行 DoS/DDoS 的攻擊,卻也是利用 SaaS 來增強破壞力的應用。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

patch之前我討論過許多次關於更新的重要性並介紹了相關的工具,然而對於許多資訊背景的人員來說,上補丁 (Patching) 一詞或許比更新更令人覺得親切。不管是叫做更新或是上補丁,指的都是利用置換程式執行檔 (或其他相關檔案) 的方式來修正應用程式 (包含作業系統等各種程式) 的問題,這類問題包含安全性的問題、功能的提升、或是一般操作性的錯誤。

雖然 Patching 是解決應用程式問題時最有效也是最重要的方法,但是 Patching 在實際的應用上卻也存在著不少的困擾:

cyrilwang 發表在 痞客邦 留言(0) 人氣()

469721767mDJPLd_fs 再談到 DDoS 之前,我們要先談到 DoS (Denial of Service,阻斷服務攻擊)。 DoS,嚴格來說其所指的並不是一種特定的攻擊方式,而是所有影響資訊可用性 (Availability) 的破壞行為。換句話說,DoS 並不以竊取機密資料 (Confidentiality) 或破壞資料完整性 (Integrity) 為主。對許多人而言,AIC (Availability、Integrity 與 Confidentiality) 中的 A 可能會被認為是其中危害最小的一個。畢竟對於大多數的 DoS 攻擊而言,攻擊過後就像沒有甚麼事情都不曾發生一樣,所有的網路、系統、程式還是可以持續運作。但是隨著人類對於資訊系統依賴程度的提高,DoS 的影響已經從原來的不便,擴大到了會造成實際金錢的損失,有時候甚至可能是生命的損失。而且可用性受到影響,往往也最容易被使用者所發現,所以對服務提供者來說,直接面對的問題就是因此導致使用者信心的流失。DDoS (Distributed Denial of Service,分散式阻斷服務攻擊) 的目的與 DoS 一樣,只是利用人 (機) 海戰術來增加破壞的成功機率。除了增加成功的機率,人海戰術也可以讓被攻擊的對象失去明確的回擊目標(這裡指的回擊不一定是技術上的回擊,更包含法律上的回擊)。

也因為這樣,舉凡任何一個資訊系統內的元件都可能是 DoS/DDoS 攻擊的目標。包含網路頻寬、網路設備、伺服器、應用程式,都是可能的對象,而且不管是軟、硬體都無法避免受到這類問題的影響。如果以 TCP/IP 協定來說,從實體層、網路層、傳輸層,再到應用層,每一層都有可能成為 DoS/DDoS 的目標。這樣看來,很多看似不相干的攻擊行為,其實都可以歸類在 DoS/DDoS 的範疇之內。舉例來說,當一個駭客透過 SQL Injection 的方式將整個資料庫內的資料刪除時,雖然跟傳統上所認知的 DoS/DDoS 攻擊不同,但是卻也是一種貨真價實的 DoS 攻擊,而其透過的管道則是應用程式的弱點。如果以這種角度來看,DoS/DDoS 幾乎可以說是無法 (完全) 加以避免的,因為任何資訊安全的弱點都有可能被用來當作 DoS/DDoS 攻擊的管道。不過幸運的是,沒有人會讓這樣的事情發生,因為這樣一來廠商就沒的混了,所以在大部分的資料中針對 DoS/DDoS 還是有一些標準的手法可供參考 (這樣才有辦法找出共通性的解決方案)。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

32743因為稽核的必要性與重要性日益升高,再加上新版的個人資料保護法已經通過三讀立法,所以內部管理的議題持續受到用戶的重視,而其中一個項目就是所謂的 IP 管理 (IPAM)。IP 管理基本上就是管理 IP 位址的使用情況,從過去的 ISP/Datacenter 管理客戶的 IP 位址,到現在網路管理者用來自行管理內部網路的使用情況。跟 IP 位址運作相關聯的重要協定(包含 ARP、DHCP、DNS 等)所衍生的問題,都是這類產品所必須面對的。

在使用 DHCP 的環境中,對大多數的網路管理員來說,通常最困擾的就是 IP 相衝的問題。也就是有些被稱為小白的終端使用者不循正常方式使用 DHCP,卻逕自設定成固定 IP。當然,這些使用者可能因為無心,不小心設定成 DHCP 伺服器所管理的 IP 位址,因此造成日後透過 DHCP 伺服器取得同一個 IP 位址的電腦設備些許的不便。不過真正的問題是萬一這些使用者設定的是網路設備 (如印表機)、甚至是伺服器所使用的 IP 位址,那會發生甚麼事情可就很難說了。比較嚴重的情形,甚至可能造成服務的中斷。這類問題真正麻煩的地方,倒也不是怎麼解決問題,而是找到問題的源頭,也就是那位小白終端使用者。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

time-is-money

 

cyrilwang 發表在 痞客邦 留言(0) 人氣()

不知道你是否曾經在上網的時候跳出一個視窗,視窗的內容只有幾個大字(有時還加上一個大大的警示圖示),內容是告訴你你的電腦被惡意程式感染了。如果你曾看過,不知道你當下的反應是甚麼?如果你選擇直接關掉這個視窗,有兩個可能性,一個是你已經練就處變不驚的能力,另外一個就是你有看沒有懂(因為這種視窗的訊息通常是英文)。記得我第一次看到這類訊息的時候,心裡還真緊張了那麼一下。不過我當下的選擇當然不是點選上面的連結,而是開啟我安裝於我電腦內的防毒軟體進行掃描。是的,那個年代還是一套防毒軟體就可以應付大多數情況的年代。掃描的結果當然是沒有發現異常,心裡也因此總覺得怪怪的。只是在幾次之後,就真的也就見怪不怪了。但是,如果你選擇了相信它,進而點選了上面的連結,通常下場就是引狼入室。也就是本來沒有惡意程式的存在,但是因為下載了所謂的移除軟體,而此移除軟體本身才是惡意程式。

上述的方式其實跟現在很流行的假冒成警察或檢調單位的詐騙行為很類似,都是利用威脅的手段促使受害者失去判斷能力,進而達到後續的欺騙目的。而這樣的威脅跟拿刀子架在你脖子上的威脅完全不一樣,因為如果你看到刀子,就知道這一定是不懷好意。雖然通常你也會加以屈服,但是那只是表面上的,心裡面可還是會想辦法逃脫。就算無法逃脫,也會在事後馬上報警處理。但是前者的威脅,卻有可能讓受害者信以為真,所以一時之間沒有採取任何防範措施。其結果就是造成更大的損害,或是讓詐騙分子有更多的時間加以脫身。而以網路而言,大部分問題屬於前者,也就是讓損害持續加以擴大。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

有當過兵的人都知道,軍中不管做大大小小的事情,總有一堆表格、資料要填寫。我當兵時負責機房/設備的管理,要填寫的表格,包含輪班表、值勤記錄表、訪客紀錄表、日常保養表(日、周、月)等等,可說是每天有填不完的表格。這些表格,往往也是各級長官的最愛,沒事總要來進行一下所謂的督導。督導除了檢查表格外,機車精實一點的長官還喜歡到處問、到處摸。例如有些長官甚至會檢查絕緣用的凡士林是否塗的過厚或過薄,也因此當時只能抱著如履薄冰的精神,不敢有一絲疏忽。如果運氣好,駐地剛好位於觀光勝地,三天兩頭就有長官前往督導也就稱不上是甚麼奇怪的現象了。

這些督導跟我們所謂的稽核意義其實是一樣的,就是為了確保所有訂定的規範是否有確實遵守,又是否有意想不到的問題發生。稽核在這幾年,因為 ISMS 的風行而受到相當的重視,當然有很大的一個因素就是政府等公務機關的推動。稽核的方法除了看書面的資料外,當然也同樣必須透過觀察、詢問加以確認。但是跟督導的情況不一樣的是,軍中長官通常是從基層幹起,所以對於業務的進行都有一定的實務經驗(至少我當兵的部隊是這樣的)。也就是說要看甚麼、問甚麼、聽甚麼,這些長官可是了然於胸。如果你想欺騙,往往也不是那麼容易(除了書面的資料可以稍微”修飾”一下)。而稽核,不管是第幾方的稽核,稽核人員不見得有實際操作的經驗,甚至可能連足夠的技術背景都沒有。另外,以現在資訊安全涵蓋範圍之廣,就算是有實務經驗的稽核人員,也多是僅限於其中少數幾個部分。當然,稽核是一門專門的學問,有它特有的專業要求。是不是需要有所謂的操作經驗或技術背景才能做好,倒也不一定。但是不熟悉表示被”呼嚨”的機會就會增加,而且是會大幅增加。有句台灣的諺語說得好,『軟土深掘』大概就是這個意思。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

說到人才,有一句成語叫才德兼備,表示一個人除了具備專業的才能之外,也同時擁有高超的品德。這樣的人才,我想就算不是可遇不可求,至少也是萬中選一。所以,我們通常只能退而求其次,包含兩個選擇,有才無德或是有德無才。在商業的環境中,再怎麼簡單的工作,都有一定的”專業”需求,所以有才無德自然便成了大多數情況下的選擇。或者,用一個比較不那麼武斷的說法,品德在商業的環境下,往往不是受重視的要求,甚至有時候違反道德的事情變成了不可說的常態。

然而隨著專業分工越來越細,很多特殊的角色都有其道德的責任。這樣道德的要求,不僅要求對於工作如此,更包含了對社會大眾的責任。嚴格來說,每個職業都要他的職業道德必須遵守,但是對於掌握特殊資訊的職業,其道德要求相對更高。例如律師、醫師,乃至於政治人物,都應該有其道德要求與素養。除此之外,資安從業人員、IT人員、及近來興起的隱私長 (CPO),因為掌握資訊時代的重要資訊,其道德重視程度也越形增高。甚至在去年底的一份調查結果顯示,道德已經成了企業找尋IT人員最重要的考量因素。除了前述的原因,另外一個原因就是經濟衰退造成職場的不穩定,近而產生了更多監守自盜的行為。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

這幾年來,應用系統的安全受到很大的威脅。駭客攻擊的目標,已經從網路、作業系統、網路服務,一路"提升"到應用程式本身。不論是商業的產品、Open Source的軟體,甚至是自行開發的程式,都無法倖免。尤其是Web應用程式,更是駭客眼中的天堂。為了因應這些問題,就有所謂的SSDLC/SDL。SSDLC/SDL除了希望讓開發出來的系統本身能夠具備足夠的安全性外(如不會遭受SQL Injection攻擊),更希望可以確保系統在運作時符合相關的安全性需求(如確保資料不會被不相關的人所讀取)。

軟體工程的東西,本身就很複雜。再加上安全來參一腳,複雜程度可見一般,看Microsoft SDL的示意圖就知道了:

cyrilwang 發表在 痞客邦 留言(0) 人氣()

在由 Ponemon Institute 針對945位離職員工所做的研究報告中顯示,有高達6成的員工自承在離開公司時候帶走了一些不該帶的東西。這個數據其實比之前另外一份由 Cyber-Ark 所做的研究還低,那份研究所顯示的比例高達88%。不同的是, Ponemon Institute 的研究對象不侷限於 IT 人員,而包含了各種不同職務的員工。所以,IT 人員比較邪惡,還是 IT 人員比較勇於認錯?原因不可而知,但是可以確定的是企業對於這個問題的嚴重性,是應該加以好好加以面對的時候了。

說到好好加以面對,其實相信離職員工不會搞鬼的企業只有3成左右,其餘7成不是不確定就是直接表達不信任。弔詭的是卻有超過一半的離職員工,還可以在離職後繼續存取公司資料長達一天以上的時間。而在一周後還可以繼續存取的,比例也有20%。顯示企業對於此問題的認知與處理腳步,還有相當大的改進空間。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

Peer to Peer (P2P)分享,或許很多人沒聽過。但是說到BT下載,電騾等軟體,就算你沒用過,也應該曾經聽說過。基本上,P2P分享就是希望不管是朋友間,甚至是陌生人之間,都可以直接分享所有的資料或程式。這樣的方式跟傳統上大家前往一個下載網站下載所需資料有很大的不同,以較有學問的說法,就是利用Web 2.0的精神來達到資料交流的目的。

不可諱言,當初這樣的機制能夠運行並持續發揚光大,盜版軟體與影音是兩大推手。因為所有的資料並不存在於廠商的伺服器之中,所以即使傳送的資料可能有版權的問題,仍然讓廠商有遊走法律邊緣的手段可以進行。更何況這些機制的運作,甚至往往連檔案在傳送過程中也不需要經過伺服器本身,所以對規避法律問題更是有利。而盜版軟體與影音的下載,依舊是目前大部分人使用這類軟體的主要目的。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

有一部多年前的片子,至今我看過許多遍,可說是百看不厭。片名是Crisom Tide,中文片名叫做赤色風暴。片子由兩大男星(Gene HackmanDenzel Washington)在一個狹小的空間(潛艦)飆戲,除了演技也沒甚麼可以看的了。故事內容是說一艘潛艦在一次受到敵方攻擊的意外中,接收到了上級傳送一半的指令。而面對敵人的威脅,潛艦內兩位最高軍階的軍官(艦長跟Lt. Commander)因為意見相左,而產生了嚴重的衝突。當Lt. Commander將艦長制服並加以軟禁時,只要求了艦長交出一把鑰匙。這把鑰匙有甚麼作用,它是用來啟動核子武器的。但是,光有艦長的鑰匙,其實並不能啟動核子武器,還必須同時擁有Lt. Commander身上的鑰匙才行。這樣的一個機制我們稱之為Two-Man Control,通常是用於需要高度安全的任務上,必須同時讓兩個或多個擁有權力的人同時執行才能生效,以避免(減少)產生人為弊端。對軍方而言,核子武器的使用,是一件極為重要的事情。稍有不慎,不只賠上國家的形象,更有可能引爆毀滅性的報復或是大規模的戰爭。另外像是銀行的金庫,也可以使用Two-Man Control這樣的機制,進一步確保有價物品的安全。

除了這些以外,有些加密機制或系統也利用了類似的概念,分別由兩個人擁有一個解密的金鑰(或密碼)。而必須同時輸入這兩組金鑰(或密碼),才能夠加以正確的解密或是進行系統的存取。當然,這樣的機制因為造成使用的極不方便,所以一定是要施行在需要高安全性的任務上。除此之外,這兩個人與兩個物品(如開啟核子武器的鑰匙或是解密用的金鑰)更要嚴加慎選,以免讓機制失效。例如挑了兩個”麻吉”或是利害關係完全相同的人來執行,不但不能防止弊端,反而可能加速弊端的產生。而如果兩個物品容易被取得,那麼跟只用一個物品就可以執行沒有甚麼太大的差別,甚至比不上許多只用一個物品加以保護的系統。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

虛擬化(Virtualization)是這一陣子認門的話題之一,從微軟RedHatVMWareXen等公司推出各式各樣的免費/付費虛擬化軟體,可見其受廠商重視的程度。之前我們常說網路是一個虛擬的世界,不過那是對人類而言,對電腦程式(作業系統)都還是存在於真實的環境(硬體)下。而虛擬化則是把程式或作業系統的執行移入了一個虛擬的環境,所以對程式而言,不再直接擁有硬體設備。以資訊安全的角度而言,每一個程式都會帶來額外的風險,而虛擬化軟體本身就有可能是受到攻擊的目標(雖然目前還沒看到真實的案例,僅止於概念)。除此之外,因為對人類而言,虛擬化通常也代表了複雜化,如何有效管理以避免產生安全的危害,更是一個重要的課題。有些虛擬化環境的管理軟體,可以幫助解決這樣的問題。但是如何把虛擬化環境與真實環境做有效的整合與管理,應該是未來必須加以克服的問題。

虛擬化對於資訊安全是正面還是負面的,各有不同的支持者。但是不管結果為何,根據過去的經驗,一個新的技術或應用會不會被企業所接受通常跟安不安全沒有直接的關係。所以對我們而言,所能做的就是了解虛擬化對資訊安全的影響,並知道應該如何加以有效防範。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

前一陣子歐巴馬與希拉蕊兩人的較勁,媒體熱烈報導的程度,似乎讓人有台灣已經成為美國一州的錯覺。隨著歐巴馬的暫時獲勝,話題也開始轉移到另一對的候選人。其中美女副總統候選人-斐琳(Palin),同樣有不少的爭議與話題。而她這幾天的話題之一,就是有人透過很簡單的手法,侵入了她在Yahoo的信箱,透過的方式就是密碼重置的功能。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

最近看了電影迷霧驚魂 The Mist,故事講得是一群鄉民因為一陣詭異的霧氣,而被困在一家超市的故事。霧氣中有著會吃人的怪物,而且這群鄉民完全與外界失去聯繫,所以在經過多日的困守後,各式各樣的人性就開始發酵。其中一個最主要的角色,是所謂舊約的狂熱者,不斷講述著這是神的懲罰。一開始沒有人相信她,但是最後,只剩下幾位主角的麻吉還沒被洗腦。其餘每個人都變成了神棍的擁護者,甚至不惜殺人以其平息神明的憤怒。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

在台灣常常聽到MIS(IT)人員,自嘲為打雜一族,有時候甚至在公司講話還得靠不少好運才能讓高層聽到。不過經營高層可別忽略了這群看起來老實,而且又很少發表意見的族群,因為他們可是掌握了許多通往公司機密的關鍵。DBA擁有資料庫的帳號與密碼,可以輕易取得顧客的資料。加密,重要欄位加密就算好的了,每個欄位都加密應該很少人會這樣設計。存取紀錄,只對君子有效,對小人或不怕死的人,只有事後歸責的用途。當然還有其他的方法可以防範,但是有多少公司採用,又有多少的效用,都是值得商榷的。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

這兩天看了一部電影,片名為「功夫之王」,由成龍與李連杰兩大巨星主演。故事講的是美猴王孫悟空的一段遭遇,至於電影拍得好不好,那可就真的是見仁見智了。美猴王最大的本事,當然不是在佛祖的手指上灑尿,而是只要從身上拔一根毛,一吹氣,就可以產生另一個美猴王的分身。故事中的美猴王,在遇難後,除了靠預言中的肉腳老外(??)來解救自己外,另外一個幫助很大的角色其實就是自己的分身。這樣的概念其實跟所謂的異地備援很接近。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

當資訊安全的重點漸漸從防外(外部駭客)轉移到防內(內部員工或訪客等)時,對整個產業、管理者甚至是使用者都有了很多深層的影響。除了技術層面的問題,還有更多非技術層面的問題。包含公司的文化、管理措施、管理階層與員工的心態,都面臨了強烈的轉變需求與挑戰。

cyrilwang 發表在 痞客邦 留言(0) 人氣()

1 2