就是資安

Apple (或者說 Steve Jobs) 持續引領風潮，不管是不是潮人，對於 Apple 這個品牌絕對都是耳熟而詳，甚至有不少人不顧一切地想要一親芳擇。這幾天 Apple 被 EFF (Electronic Frontier Foundation) 所槓上，原因在於 Apple 想要申請的專利內容。根據 EFF 的說法，Apple 這次要申請的專利，可以用來判斷手機持有者的身分。至於實際的應用嘛，美其名可以在 iPhone 或其他 Apple 產品落入它人手上時避免資料的外洩，但是 EFF 卻擔心 Apple 利用這些技術來收集個人的識別資料與追蹤行蹤。EFF 也擔心這樣的機制一旦被駭客所利用，其所產生的危害將更難以估計。其實這類軟體或功能很常見，尤其是收集個人資料早已經是許多惡意程式的主要目的，但是合法廠商這麼做倒是比較少見 (前幾年的 Sony 幹過)。這次 Apple 不但明目張膽地做，更想要為這樣的技術申請專利，真不虧是能夠不斷製造話題的 Apple。EFF 為了表示對 Apple 的敬意，更發明了一個新的名詞，叫做 Traitorware，指的是在你背後偷偷地違反你個人隱私的設備 (devices that act behind your back to betray your privacy)。雖然 EFF 對於 Apple 這個舉動表達了強烈的反對，但是 Apple 是否在產品內採用這樣的技術卻也不一定與專利的通過與否有直接的關係。話說回來，對眾多的 Apple 迷來說，也許非但不介意讓 Steve Jobs 多了解自己一些，甚至可能會覺得這真的是炫極了。

WikiLeaks 這幾年常常出現在政治與資安的新聞版面上，原因無它，因為 WikiLeaks 的宗旨就是揭露從各處收集而來的機密資料。在這些眾多的祕密裡，其中許多自然跟全世界最神祕的組織之一 (也就是美國政府，其他政府也都很神祕，只不過美國政府的干涉範圍實在太廣了) 有關。像是一些美軍的機密資訊以及美國在海外進行的機密外交，每次公布都引起不少的震撼。經過這些年的吞忍，美國政府終於再也按奈不住而決定展開反擊，針對相關的人、事、物加以嚴格處置。原先只是美國政府自己的行動，後來因為一些與 WikiLeaks 相關的商業組織也連帶”背叛”，所以導致 WikiLeaks 支持者的不滿，進而展開反擊。其中幾個原本提供 WikiLeaks 募款來源管道的網站 (包含 Mastercard、VISA、PayPal 等)，都因為遭受 DDoS 攻擊而影響到網站的運作。其中唯一的倖存者，大概就是提供 WikiLeaks 網站服務的 Amazon 了。Amazon 受助於本身所建置的雲端架構，所以讓資源有限的 WikiLeaks 支持者知難而退，如此一來 Amazon 不但順利全身而退，甚至為其雲端平台 - EC2 找到了一個很有力的賣點。

整起事件雖然還沒有落幕，但是至今已經佔據了許多的新聞版面，只不過很多僅著重在陳述事件的經過。其中我覺得比較有思考空間的觀點有兩個，一個是有關於網路是否會衍生出自己的恐怖主義，例如在這個事件中 WikiLeaks 支持者所扮演的角色。以往所謂的網路恐怖主義，僅是原本的恐怖份子將攻擊行為轉換到網路上，但是這個事件卻衍生出了新的恐怖主義集團，而且是一個沒有國界區分的集團。當然，以恐怖主義集團來描述 WikiLeaks 的支持者或許過於嚴厲，但是難保未來的發展不會演變至此，也或者未來其他事件的發生終將導致恐怖主義的誕生。

汽車對很多人 (尤其是男生) 來說，往往不只是一項代步工具，更是一種身分跟品味的象徵。但是在眾多感性的訴求當中，卻還是有一些比較理性的訴求，其中之一就是安全性。過去汽車的安全性，對車子本身而言，包含了車身結構、安全氣囊、ABS 以及其他的安全設計。對駕駛而言，則包含了行前的檢查 (油、水、胎壓、煞車、電池及其他) 與安全地駕駛 (開車不喝酒、不打行動電話) 等等。但是在未來，所謂的汽車安全性，或許會另外多了一個項目，那就是軟體的更新 (事實上，部分汽車廠商現在就已經具有這樣的服務)。隨著汽車工業的高度發展，現代汽車的設計已經內建越來越多的軟體 (Mercedes-Benz S-Class 擁有超過兩千萬行的程式碼) ，用以強化駕駛與乘客的乘坐經驗。但是這些軟體，卻也代表著可能存在的安全漏洞。尤其是當這些軟體可以從遠端 (利用網路) 加以控制時，其所產生的影響將可能是前所未見的。

之前我分享過幾則相關的新聞，但是其影響大多還只是侷限在造成不便，對安全尚未造成真正的危害。但是，隨著市場規模的擴大，惡意的攻擊，乃至於有利益目的的攻擊，只是早晚的問題。例如，如果駭客可以透過車載定位系統明確地掌握某大企業 CEO 的行程，或許就可以猜到這家企業暗地裡可能在進行什麼業務。又例如當駭客可以透過同樣的系統掌握到政要的出現地點，那麼想要對其不利也就容易多了。至於市井小民嘛，也許哪一天車子無緣無故自己開到荒山野地躲起來也不會是什麼令人驚訝的消息。想要找回愛車，請記得先付款給駭客。除此之外，針對那些喜歡在車上做些非正常活動的男女，或許更該多加小心，免得成了現場直播成人秀的最佳男、女主角了。

之前我分享過幾篇有關 WiFi 協定加密安全性的文章，對於使用者而言， WEP 與 WPA 應該是早就揚棄不用。但是在現實的環境中，使用 WEP 與 WPA 的設備依舊不在少數。一般而言，破解加密/密碼需要大量的運算能力，而且是不同於一般電腦設備所依賴的 CPU (中央處理器) 運算能力。提到大量運算能力，大家現在最容易聯想到的就是利用雲端架構的充沛資源，所以因而有了利用雲端平台來破解 WPA 的服務。但是雲端再強大，依舊是使用所謂的 CPU 當做主要運算能力的來源。相較於 CPU，GPU (圖型處理器) 的運算能力其實更適用於破解加密/密碼。因此雲端平台如果能夠再加上 GPU 的組合，那可真的是如虎添翼了，而這樣的夢想已經可以在 Amazon 的 EC2 平台上加以實現。Amazon EC2 於日前宣布提供 GPU (Nvidia Telsa) 運算能力的服務，讓破解加密/密碼的工作進行地更加快速。事實上，已經有人提供如何利用此一架構來執行破解密碼的程式。對我們的影響？那就是趕快換掉老舊的設備，還有就是選擇一個好的密碼。

雖然大多數的人跟我一樣，都不是密碼學的專家，但是密碼學的應用卻充斥在我們的日常生活之中。從你買東西時使用信用卡付賬，到在網路上進行購物，甚至是你每天登入到作業系統，都跟密碼學有關。密碼學的中文說法，其實很容易讓人產生誤解，因為密碼學講的並不是我們平常登入各式系統所使用的密碼，而是加解密的演算法。雖然比較嚴謹的系統都會將密碼做加密的保護，但是兩者之間卻沒有必然的關係，而密碼學就是一門充滿了各式各樣演算法的學問。這些複雜的演算法，往往都不是由資訊專家所提出，而是數學家所苦心研究出來地成果，並經過外界公開的審視。儘管演算法在被公開接受並採用前往往已經經過了仔細的評估，但是卻沒有一個演算法本身是絕對安全的。所有的演算法至少都會遭遇一種手法的攻擊，那就是所謂的暴力攻擊法。簡單的說，暴力攻擊法就是利用強大的運算能力，將加密或解密的各種可能性逐一計算，最後獲得所需資訊的手法。既然所有的演算法都會遭受暴力攻擊法的攻擊，那麼為什麼密碼學的應用還會被大量採用在我們日常生活當中呢？原因很簡單，就是因為暴力破解法所需的強大運算往往在現今的技術下是無法有效地加以實現，也因此我們的資料”暫時”是安全的。

除非是很特殊的組織或個人，否則一般駭客能夠用來破解加密資料的工具還是最常見的個人電腦設備。傳統上我們常用的電腦設備主要透過中央處理器  (CPU) 處理各式各樣的運算需求，而中央處理器本身是一個通用的處理器，所以對於處理大量的數學運算並不在行。儘管隨著技術的進步，中央處理器的處理速度已經大為提昇，但是先天的定位註定中央處理器一旦遇到複雜的數學運算就是只能吃憋。

知名的微網誌 Twitter 在 21 日的 AM 2:54 收到警告，表示該網站存在一個跨網站腳本攻擊 (XSS) 的安全漏洞。但是根據其他網誌的報導，一個來自日本的資安研究員 Masato Kinugawa 表示他早在八月中就告知 Twitter 此一問題的存在，並利用此一漏洞做了一些不具破壞性的展示。Masato Kinugawa 將 Twitter 的頁面裝飾成七彩的顏色，並稱之為 Rainbow tweets。此一漏洞被揭露之後，許多人就開始發揮創意，不但產生各式各樣不同的行為，連觸發動作也由原來必須將滑鼠移到連結上 (onMouseOver) 改成自動啟動。後來甚至有了具備自動感染功能的蠕蟲出現，受害者包含前英國首相 Gordon Brown 的妻子 Sarah Brown。

這次的跨網站腳本攻擊來自於當使用者輸入的內容包含連結時 (如 http://www.twitter.com/) Twitter 會自動將其轉換成 html 的連結標籤 (<a>)，但是解析程式對於 @ 這個特殊字元的處理出現問題而導致。受影響的範圍主要為使用 Twitter 主網站服務的用戶，對於使用 3rd party 程式存取 Twitter 服務的用戶則不受影響。Twitter 則對外宣稱在收到通知之後的數個小時 (AM 7:00) 之內就把漏洞修補好了。

根據前幾天的消息指出，來自臺灣的資訊安全廠商 Armorize 發現了在著名的主機代管業者 Network Solutions 中，有大量客戶的網站遭受到惡意程式的感染，並成為惡意程式散佈的平台。而根據 Armorize 的估算，受感染網站的數量可能高達五百萬個，創下新的歷史紀錄。此次感染的方式，據悉是透過一個已被植入惡意程式的小工具 (Widget)，這個小工具名為 Small Business Success Index，是由 Network Solutions 所提供。此一小工具不但可以運作在 Network Solutions 客戶的網站中，也可以安裝在 Facebook, Blogger, Twitter, iGoogle, WordPress, LinkedIn, my Yearbook 等知名的服務平台上。目前官方的建議解決方案是將此一小工具先行移除，並對你的網站進行惡意程式的掃描，以避免繼續散佈惡意程式。而 Armorize 也特別指出這類針對主機代管業者的攻擊行為對駭客來說是可以讓惡意程式快速擴散的有效方法，因此類似的事情在未來將會越來越多，值得相關業者好好地重視。

之前我分享過一則離職員工為了報復公司而入侵系統並惡搞客戶汽車的新聞，這次出問題的則是用來監測汽車輪胎胎壓的監測器。安全研究員發現這些監測器存在安全上的漏洞，如果修改其所讀取到的數值，將可造成電子控制器 (ECU, electronic control unit) 的誤判或失效。雖然目前控制器對於胎壓不正常可能僅是發出聲音警告駕駛人，因而尚不致於造成實際的危害，但是如果日後控制器的行為更為進化 (例如強制停車)，所產生的後果就不僅止於小小的困擾，甚至可能因此造成人員的傷亡。再加上這些胎壓監測器都具有一個獨特的識別編號，因此駭客可以很準確地鎖定目標，並從遠端發動攻擊。

在無線區域網路 (Wi-Fi) 當中，安全性的問題一直是一個令人坐立難安的課題。從 WEP 可以在數分鐘之內被破解，再到有人將破解 WPA 變成雲端服務，WPA2 是目前在理論與實務上能夠有效保護 Wi-Fi 的唯一協定。然而就像所有的系統都無法永遠保證其安全性一樣，已經有資訊安全研究員宣稱找到 WPA2 的漏洞，可以用來進行中間人攻擊 (Man-in-the-Middle Attack)。此次被發現的漏洞被稱之為 ‘Hole 196’，而 ‘Hole 196’ 並不是導因於實作上的錯誤，也不是加密演算法出問題，而是在於規範本身的定義。也因為問題出在規範本身，所以目前 (甚至在可見的未來) 並沒有任何方式可以用來避免這個問題的產生。唯一的好消息是要利用這個漏洞發動中間人攻擊之前，攻擊者必須先通過無線網路的驗證，也就是說通過授權的內部使用者最有可能利用這個漏洞進行攻擊。發現 ‘Hole 196’ 的研究員預計將於 Black Hat Arsenal 與 DEF CON 18 發表演說，並介紹更多相關的細節。

根據 Wired 網站的新聞報導，有一個犯罪組織多年來利用信用卡小額轉帳的方式，成功獲取超過一千萬美元的不法所得。這個組織透過垃圾信件刊登不實的求才廣告，並利用多個虛設的公司與網站騙取使用者的資料。因為每個使用者的轉帳金額並不高 (從 0.2 到 10 美元)，所以此舉不但成功地躲過信用卡處理中心的偵測機制，甚至有高達 90% 的受害者根本沒有注意到信用卡帳單上無緣無故多出了一筆支出。因為使用習慣的不同，這類信用卡的詐欺行為在台灣相對來說比較少見，但是謹慎一點總是好事。下次當你收到信用卡帳單時，請注意帳單上的每筆消費記錄是否有所可疑。事實上，很多我們平常消費的店家我們只知道店家的名稱，但是公司的名稱往往不見得與店家名稱相同，所以在檢查帳單時可能會造成一些困擾。小心駛得萬年船，多注意這些細節不但可以避免金錢上的損失，更可以避免可能的法律紛爭。

這幾天有一樁新聞，算是另類的台灣之光，那就是台北市被賽門鐵克公布為電腦被感染成為殭屍網路一員數量最多的城市。雖然殭屍網路大軍不斷成長，但是對於惡意份子而言，永遠不會有滿足的一天。因此除了之前常見的個人電腦外，網頁伺服器也已經被發現成為用來進行攻擊的殭屍。以往因為個人電腦數量多，再加上感染的途徑變化較多，所以是殭屍網路的主力。但是網頁伺服器具備一些個人電腦所沒有的優勢，所以用來當作殭屍自有其長處。像是網際網路頻寬大、處理能力強、不關機等特性，都可以增加攻擊的效率。而網路伺服器因為已經提供網頁的服務，因此當透過網頁服務 (HTTP) 進行控制時，更可以達到良好的隱藏效果。如果是一般的個人電腦，不管是透過後門程式或是 IRC 等控制手法，都比較容易被偵測、甚至是阻擋。使用個人電腦的用戶，聽到這個消息可別太高興，因為惡意份子可不會因為有了新歡，就忘了個人電腦這個舊愛的。

根據國外的報導指出，前 Juniper Networks 的安全研究員 Barnaby Jack 將於七月底舉行的 Black Hat Las Vegas conference 中發表一場有關自動提款機 (ATM) 安全的演說。在這場演說中，Jack 將展示一個跨平台的 ATM rootkit。除此之外，他也將展示多種透過網路進行的遠端攻擊手法。相較於以往需透過實體的方式破壞 ATM 安全防護，這些手法顯然更具破壞性。根據 Jack 的說法，這些攻擊手法是利用程式撰寫上的錯誤。然而 Jack 並沒有明確的指出是哪個廠商的設備會遭受這樣的攻擊，甚至是否有一家以上設備有此問題也也不小的可能性。根據我收到的側面消息，設備廠商與銀行業者對此情況已經感到擔憂，並積極尋找解決之道，其中包含程式碼的全面檢驗。

根據 BBC 的報導，最近有一隻名為 Kenzero 的病毒 ，會將感染者電腦的上網資訊透過檔案分享的機制加以公開，要求使用者提供個人資料並利用信用卡繳交一筆”下架費”。嚴格來說，這筆金額數目並不大 (1500 日圓)，所以對於受害者來說可能選擇花錢了事。但是有心份子的野心怎麼可能就此滿足，這些個人資料與信用卡資料進一步遭到轉賣，對使用者造成了遠大於表面情形的危害。除此之外，在歐洲也發生了病毒傳送違反著作權的假訊息，並要求受害者利用信用卡的方式進行線上繳交和解費用的動作。最後不管是否有進行費用的轉移，但是個人資料與信用卡資料外洩造成的危害，已經不是可以輕易用金錢加以比較了。這類的軟體，基本上稱之為威脅軟體 (Ransomware)，利用人性面對威脅時易產生恐懼的心理以達成其不良的目的。在面對這類惡意軟體時，除了堅守不亂下載、亂執行程式的基本原則外，當發現有任何可疑的現象發生時，更應該尋求專業人士的建議，而不是嘗試私底下想要以錢加以私了，否則到時候可能變成了賠了夫人又折兵。

這幾年景氣不好，因此一些所謂在家兼差的廣告相當盛行。這類廣告幾乎沒有甚麼使用者的身分限制，標榜任何人都可以輕鬆賺大錢。當然，在 21 世紀的今日，兼差已經不需要像以前那般需要搬一堆塑膠花或是電子零件回家組裝，通常只要能夠上網就可以開始賺錢了。這些廣告當然有很多是確有其事，因此吸引了不少人投入，而駭客也已經將腦筋動到這些在家工作的大軍身上。駭客利用不實的廣告，吸引再在家工作者為其進行惡意程式的散布，一旦散布成功就可以依比例獲得金錢的回報。當然，不是所有的駭客都這麼”光明正大”，他們會偽裝成其他合法的行為 (例如進行線上調查)，以欺騙原本善良的在家工作者。根據報導指出，不管採用甚麼名義，如果工作的任務包含下列幾個要項，那麼背後就很有可能是駭客組織在招兵買馬了：

• 散布垃圾信或是社交工程的信件。
• 信件內包含一個下載的網址，相當然爾，這個網址通常是連結到惡意程式。
• 主要以美國與英國的電腦為目標。
• 付費方式也有可能採用一般人常用的線上付款機制，如 PayPal。

雖然這些攻擊的目標目前以英美為主，但是招募的大軍並不需要限制在哪個國家或區域，因此每個人都還是必須多加小心。畢竟如果因此而觸法，那可真的跳到黃河也洗不清了。此外，因為在執行的過程中在家工作者自己的電腦也很容易受到感染，因此如果發現電腦有異狀，請記得盡速自救並審慎評估工作內容。

之前我提到許多次有關社交網站 (尤其 Facebook) 的議題，社交網站現今已經變成許多組織最大的安全威脅來源，而更大的問題在於社交網站該怎麼管對許多組織來說至今仍是沒有足夠的認知。最簡單的管理方式就是把社交網站當作非業務必要的網站，完全加以封鎖。這種做法在管理面與技術面都存在很大的問題，我在之前的文章已經討論過。事實上要達到完全的封鎖是不實際而且不可能的。舉例來說，以現在流行的手機上網 (透過電信網路，而不是組織的區域網路) 來說，有多少組織可以加以管制，而電腦連結手機上網已經不是甚麼困難的任務。

好吧，或許有很嚴謹的組織可以完全限制員工在上班時間的上網行為，那麼下班後呢？下班時間使用 Facebook 對公司會有甚麼危害？有的，有人利用 Facebook 收集了特定公司的員工 Email 帳號，然後針對這些 Email 帳號進行目標式的釣魚攻擊。這樣的目標式釣魚攻擊，透過假冒的組織網站取得員工的帳號與密碼，其成功率相當高 (接近 50%)。當然，公布使用者的 Email 僅是 Facebook 隱私權保護不足之處的一小角，但是對於組織而言卻可能因此遭受極大的風險。這種問題靠封鎖就可以避免嗎？答案很顯然是否定的。事實上，組織能做也是該做的就是訂定明確的網站使用規範，否則這種無心之過將會一再地出現，而組織也必須一再地在沉痛的經驗中加以學習，甚至因此造成組織莫大的成本。

Durex 線上購物系統於日前發生因為程式設計的錯誤，導致任何人都可以直接透過訂單編號查看訂單內容的烏龍事件。嚴格來說，這應該不只是程式設計的錯誤，亦包含了程式變更管控不佳，而這種問題絕對比單一程式設計錯誤所產生的危害更加嚴重。此外，這個問題要實際產生影響，訂單編號的可預測性是一個很重要的前提。訂單編號的可預測性，表示在系統分析階段並沒有做好安全性分析。這麼說或許有些不公平，因為表單的編號通常會被要求採用流水號的格式，因此具備了可預測性。這樣的規則對於一個內部系統 或人工作業流程有其方便性，但是對一個外部系統來說卻是充滿危機的。針對這類問題，我們有兩個可行的作法。第一個就是把訂單編號對應到另外一個不具備可預測性的號碼，所有外部系統皆以此號碼作為訂單的查詢條件。第二個作法就是利用可逆的加密函式將訂單編號加以編碼，而外部系統皆此以編碼後的號碼作為查詢條件。比較令人訝異的是 Durex 對於整件事情的反應，從一開始的道歉到後來寄出法律信件給回報此一問題的使用者，讓人覺得 Durex 面對問題的態度很有爭議性。而且 Durex 似乎並沒有主動告知其他客戶訂單資料可能外洩的問題，明顯有失責之處。嗯，說到訂單資料外洩，台灣這邊的問題似乎也頗嚴重的。所以下次買保險套或其他私人用品時，可別再相信甚麼網路購物比較不怕被人知道而避免尷尬這種爛理由了。

自去年九月紐約時報 (The New Year Times) 網站的廣告被用來當作散布惡意程式的管道後，線上廣告儼然已經成為有心分子的新大陸，各個線上廣告的平台都可以看到類似的問題接連發生。根據 Avast 最新公布的訊息顯示，線上廣告的大廠 Yahoo’s Yield Manager 與 Fox Audience Network’s Fimserve.com 也成為新一波的受害者，而這兩家合計擁有超過五成的市占率。除了這兩家外，Google 的 DoubleClick 也被 Avast 點名，並獲得 Google 的證實。這類透過線上廣告散布的惡意程式，有些並不需要使用者點選就可以進行感染的動作，所以除了廠商必須做好把關的動作外，使用者還是必須採取足夠的自保措施才能避免遭受危害。

在電影終極警探 4.0 中，年輕小夥子靠著呼攏客服人員順利”借”到一台車子。但是在現實世界中，卻有離職員工因為心生不滿而惡搞客戶的車輛，讓客戶的車子無法發動。這是發生在德州奧斯汀的真實案例，一個在德州汽車中心工作的員工，因為被公司解雇而懷恨在心，所以利用公司系統所提供的功能讓客戶的汽車無法發動。原先這個功能設計的目的是為了在客戶拒繳貸款時，能夠進行通知甚至鎖車以懲罰欠錢的客戶。只是沒想到這個員工在離職時，順手牽了另外一個員工的帳號，所以即使是自己原先的帳號已經被取消，仍舊可以進入系統並利用系統的功能進行破壞。這位員工運氣很好，取得資料庫的存取權限，所以受到影響的客戶高達上百人。這位離職員工已經被逮捕並加以起訴，而客戶除了遭受不便外，並沒有遭受財務或人身安全上的損失。

在去年底的時候，有密碼專家宣稱可以破解部分 WPA (Wi-Fi Protected Access) 的加密機制。時隔近一年後的現在，有日本的研究員 (Toshihiro Ohigashi 與 Masakatu Morii) 宣稱可以在一分鐘之內破解使用 TKIP 機制的 WPA 加密機制。此兩人已經於日前在中山大學舉辦的 Joint Workshop on Information Security 會議中發表了他們採用的方法與理論，並預計於 9/25 作進一步的討論與說明。

經由此一研究報告的揭露，等於正式宣告 WPA 不再具備提供保護資料機密的能力。雖說攻擊方法侷限於使用 TKIP 機制的 WPA 標準，但是由於 WPA 正式的標準只規範了 TKIP 的機制，所以比較保險的說法就是放棄 WPA ，而採用較為安全的 WPA2 規範。 WPA2 使用 AES 作為資料加密的演算法，是目前已知相當安全的演算法。

這一陣子 Facebook 可真是熱門，各式各樣的消息不斷占據新聞版面，其中不少事件跟安全相關。今天的主角是 Facebook 上的第三方應用程式。

使用過 Facebook 的人應該都知道，Facebook 除了提供使用者分享資訊外，還有一大堆的第三方工具可以使用。這些工具最受歡迎的大概算是遊戲了，從心理測驗、種田、開餐廳…各式各樣，不一而足。這些第三方程式除了可能因為撰寫不良而成為惡意份子利用的管道外，甚至有些第三方程式的撰寫人原本就不懷好意。