這幾年資料外洩的問題越來越受到大家的矚目,再加上新版個資法的通過,讓防止資料外洩不再只是口號,更是必須去認真面對的課題。不管是企業或是個人,重要資料的外洩都不是令人所樂見的。現在有很多機制可以利用加密的方式來保護資料,如此一來即使資料不幸遺失 (不管是無意或是有意的),由於對方無法進行解密的動作,所以也無法窺視到資料本身的內容。這些機制包含硬碟/隨身碟本身進行整體資料的加密,作業系統進行的資料加密及各式各樣的第三方加密工具 (例如我之前分享過的 TrueCrypt)。雖然 TrueCrypt 功能強大,但是對於處理單一檔案的加解密,TrueCrypt 其實就並不適合了。
檔案的分享還是目前很常見的應用,不管是透過 Email、FTP、還是網站的形式,傳統上我們會將想要分享的所有檔案加入到一個壓縮檔中,這樣不但可以減少檔案的大小,還可以簡化分享的工作。這樣的作業方式雖然很簡單,但是也很容易造成資料的外洩。為了避免此一問題的發生,其實我們只要利用壓縮軟體的加密功能,就可以大幅減少資料外洩的可能性。以下我就以免費的壓縮工具 7-zip 為例,說明如何利用加密的功能安全地傳遞壓縮檔。
Google 於今年 (2010 年) 3 月中推出了一個自行開發的 Web 應用程式安全掃描工具,稱之為 Skipfish。Skipfish 與其他 Google 的工具有所不同,並不是直接透過瀏覽器加以操作,而是必須自行下載並編譯才可以執行。為了效能的考量,Skipfish 以 C 語言開發,同時支援 Linux、FreeBSD、MacOS X 與 Windows (必須安裝 cygwin) 的環境。
這類工具中比較著名的包含 open source (GPL) 的工具 Nikto,此外也有許多付費的工具可供選擇,而 Skipfish 則提供了另一個免費的選擇。不過根據 Skipfish 的說明,Skipfish 與其他工具並不是相互重疊的選項,而是補足其他工具不足之處,所以對於其他工具已經實現的功能在 Skipfish 中是缺席的。舉例來說,Skipfish 並沒有採用已知弱點資料庫的方式來找出一些已公布的安全漏洞。
接下來我要介紹有關 TrueCrypt 的安裝與基本使用。TrueCrypt 的功能相當多,我會用到的是利用一個加密過的檔案掛載成磁碟機的方式,如此一來任何放置於這個磁碟機內的檔案就等於自動加密了。此外,TrueCrypt 雖然預設是英文的介面,但是可以自行中文化,這部分我在此掠過不談,有需要的讀者請參考最後的相關連結或是多多利用搜尋引擎了。
進入 TrueCrypt 的網站,前往下載區。
這一兩年雲端運算一辭夯到不行,而其中大家最為熟悉的雲端服務可能莫過於 Gmail。除了 Gmail 外,另外一種跟一般使用者比較貼近的雲端服務就是線上備份。從以前的免費線上分享空間,到後來變成重要檔案的備份,甚至是兩者之間的結合,都可以算是雲端運算的大眾化商品。但是就像是所有的雲端服務一般 (或是網際網路的服務),安全依舊是令人不得不堤防的議題。針對線上分享的應用,雖然也有安全的疑慮 (不然怎麼會有這麼多無X的破解圖片),但是到了線上備份的應用後,因為備份的資料其隱密性與重要性通常更高,因此如何避免資料被其他人竊取就是一個更為重要的課題。要保護資料不被其他人所窺視,最基本的作法就是透過加密。如果線上備份的不是原始資料,而是加密過後的資料,那麼即使資料日後不小心流露出去,有心份子還是無法得知原始的內容。當然,這個條件要達成,除了要慎選加密的演算法之外,另外就是要慎選一個良好的加密密碼 (或是保護好加密用的金鑰檔案 keyfile)。
在接下來的三篇文章中,我將會利用實際的操作來展示如何利用 Dropbox 與 TrueCrypt 這兩個工具打造出一個安全且跨平台的線上備份/同步機制。首先我先介紹 Dropbox 的安裝。Dropbox 除了提供線上備份的空間外,更包含了在多台電腦之間進行同步以及檔案版本回復等功能。
上次我提到如何避免自己成為釣魚攻擊受害者的建議方案中,在技術方面的方案除了定期更新瀏覽器外,還有一個建議就是採用具備防護能力的瀏覽器。嚴格來說,目前市面上各大主流瀏覽器幾乎都已經內建惡意網站警示的功能。但是因為各家使用的技術不盡相同,所以效果也會有很大的差異。根據 NSS Labs 於去年所推出的一份報告顯示,IE 8 在這方面擁有最佳的效果,而 Firefox 3 也有相差不遠的成績。 但是我們通常不會因為哪個瀏覽器的安全防護較佳而使用該瀏覽器,而是依據自己平常的操作習慣。此外,甚至可能會 (必須) 同時混用多種瀏覽器,因此光靠瀏覽器本身的防護能力將可能產生防護能力不足的問題。
除了瀏覽器本身之外,現在很多所謂端點防護的軟體 (可以想成是防毒軟體的進化版) 也具備相同的功能。但是並不是所有的端點防護軟體都已經整合這樣的能力,尤其是對使用一些免費軟體的使用者而言,這類功能通常是付之厥如的。因此我今天要跟各位分享一個免費的小工具,它'可以與各個瀏覽器整合,即時提供網站是否安全的警示訊息,它就是 LinkScanner。
最近 Facebook 火紅的程度,不但在網路界引起關注,連一般使用者與政府官員都不得不加以談論一番。其中最主要的助力來自於一款叫做開心農場的遊戲。嚴格說來,開心農場只是眾多農場遊戲中的一支,而且既不是原創也不是最好玩的一支。或許是因為中文化的關係,所以在台灣成了最受歡迎的 Facebook 遊戲之一。不過也因為不少人玩得過火,再加上”偷菜”這種不道德的行為,所以引發了公私部門的反彈。因此有人因為”偷菜”而寫悔過書,更有人因為”偷菜”而偷了飯碗。不論上層的理由為何,限制上班時偷閒並種種菜,對許多基層員工來說可是天大的罪惡,今天我要介紹一個很簡單的辦法,可以突破一般的限制方法。
首先我們看在一般的情況下,我們連到 Facebook 開心農場時,瀏覽器會使用 http://apps.faceboo.com/farmgame_tw/ 這個網址,這也是一般工具用來加以判斷或限制的依據。我們只要讓這個網址加以隱藏,就可以讓很多阻擋工具失效。使用的方法很簡單,只要透過一種叫做 Anonymous Proxy 的工具就可以隱藏你真正要進行連結的網址。
前面我們介紹過 PMD 與 FindBugs 這兩個用來檢視 Java 程式碼 (Source Code 或是 ByteCode) 是否有問題產生的工具,這次我要介紹的兩個工具則是著重在檢測註解本身 (JavaDoc) 是否符合要求。為什麼會有這樣的需求?或許長久以來對於程式註解要包含哪些東西以及要如何撰寫沒有統一的共識,但是對於良好註解的重要性我想幾乎沒有人會加以反駁。良好的註解至少包含兩個重點,一致的格式與清楚且有意義的內容。清楚且有意義的內容有些抽象,但是一致的格式卻是可以明確的加以定義,所以我們訂定的寫作規範通常也會包含註解的格式。只是規定訂定下去以後,是否所有開發人員都會確實遵守又是另外一回事。在Code Review的時候一併檢驗?Code Review應該是用來找尋必須人工檢驗的問題,對於符合格式這種可以自動化的工作,用人工來做可是吃力不討好。透過使用 DoctorJ 或 JCSC,我們可以把格式確認的工作交由程式自動化執行,除了快速方便外,更可以避免開發人員因為抱持心存僥倖的心態而沒有撰寫合乎規範的註解。
DoctorJ 與 JCSC 在使用上都相當簡單,主要是透過命令列的形式。JCSC 另外提供了一個 GUI 的工具可供修改檢測的規則,而 DoctorJ 則沒有辦法修改檢測規則。但是 DoctorJ 可以一次檢測目錄下所有的程式檔,而 JCSC 則一次僅能檢測一個程式檔。嚴格說來,這兩個工具在使用的方便性都嫌不足,而且兩個工具也已經沒有再更新,不過這似乎是使用社群開發軟體常會遇到的問題。也因此要不要使用這些軟體,只能自己先好好做個評估了。
這幾年應用程式(尤其是網站應用程式,Web Application)的安全問題受到各方重視,一些新的、舊的概念,只要跟此議題有所關聯都因此而浮上檯面。包含SSDLC/SDL、WAF、Secure Coding、Application Security Scanner等在內的各式各樣工具或規範,試著從不同的面向去解決程式安全的問題。
Gartner 於今年年初出了一篇有關靜態程式安全掃描的市場分析,分析對象為目前市場上主要的玩家。但是這些產品大多所費不貲(除了整在 IDE 中的形式,可能會有免費使用的陽春功能),而且甚至很多產品在台灣還沒有直接取得的管道。所以我們今天要介紹一些免費的工具,這些工具的共通點就是提供靜態應用程式檢測的功能,而且以 Java 程式語言做為目標。除了可以當作獨立的工具使用外,有些工具還可以透過外掛的方式整合至 IDE (像是 Eclipse),使用上更加方便。除此之外,各個工具之間可說是具有相當的差異性。檢測的對象可能是原始程式碼,也有可能是 Byte Code。而著重的面向也不一樣,可能是原始程式碼的不良結構,也可能是針對程式不合常理的錯誤,又或者是針對不好的寫作方式。這些問題都跟軟體的品質有關,而品質當然也包含了安全的問題。
Flash 的應用,從早期的廣告 Banner 到現在幾乎已經無所不能。而影音播放與線上小遊戲,更是 Flash 的天下,也是很多人幾乎天天都會用到的功能。Flash 雖然好用,但是其安全性的問題也不少。最近 Adobe ”又”對 Flash Player 做了更新,而更新的內容是解決可能造成系統當機、甚至是被駭客控制的安全漏洞。
Flash Player 在安全性的問題上,有兩個真正麻煩的地方。一是缺乏有效的更新機制。不管是個人使用者或企業用戶,都必須要自行檢查是否有更新檔釋出,並且手動下載更新檔以便予以更新。二是不少第三方的軟體內含了 Flash Player 的動態連結檔 (dll),而這些動態連結檔的更新責任就落到了第三方。想當然爾,第三方對於更新的速度與更新檔發布的機制,通常比 Adobe 來的差。
http://tinyurl.com/58ntcd,如果在多年前看到這種網址,大概會覺得一整個莫名其妙,因為網址通常會取有意義的名稱。58ntcd,這種跟密碼一樣的名稱,很明顯不符合使用性的要求。其實這樣的服務統稱為短網址,tinyurl是其中相當有名的一個。這樣服務說穿了,就是把一個很長(也不一定很長,但是通常比短網址長)的網址縮短成類似這個模樣。這樣做的目的,除了看起來很酷之外,早期有些讀信軟體沒有辦法自動辨識信件內文中因過長而導致換行的網址,所以短網址在這個時候就很適用。而近年來大為風行的推特 (Twitter),因為每個訊息有 140 個字元的上限,因此短網址成為在推特中分享網址的必要手段。也因為這些原因,短網址成了大家所熟悉的朋友。
這麼一個簡單又立意良善的服務,卻因為具備”隱藏”原始網址的特性,因而受到有心分子的利用。嚴格來說,短網址並不能隱藏原始的網址。當使用者點選之後,短網址的服務會將使用者導到原始的網址,此時原始的網址一覽無遺。但是因為使用者在實際點選之前無法即時得知原始的網址,一旦原始網址真有惡意,等到點選後才發覺通常已經為時已晚。另外一個更深層的問題是,當使用者看到短網址時,通常會因為熟悉而放鬆戒心,認為這樣的網址是”安全的”而加以點選,而忽略了這樣點選的動作實際上是連到別的網址。
前一陣子看到電視上的一則新聞,說的是公館商圈的店家被不知名人士塗鴉,造成景觀的破壞。老實說,我看了新聞畫面覺得那些塗鴉還蠻漂亮的,也讓商圈顯得更有活力。但是因為這是違法的行為,所以不管好不好看,錯了就是錯了。這種破壞公物的行為,英文有一個詞叫做 Vandalism,或也可以稱之為 Deface 。
網路上有一種攻擊行為,也稱之為 Deface 或是 Vandalism。這樣說也許大家感到很陌生,但是如果我換的說法,我想你一定會發出「喔」的一聲。Deface 就是我們常聽到的網頁置換攻擊,置換的目標通常是網站的進入點(尤其是首頁)。嚴格來說,就像非法的塗鴉一樣,網頁置換攻擊本身其實通常並沒有造成甚麼實際的危害。但是會這麼受到多注視的眼光,正也是它的攻擊結果最容易被看到。所以網頁置換攻擊所帶來的往往不是實際的資料外洩或金錢損失,而是大幅地降低單位的形象。
在前一篇(更新-說的比做的容易多了)我們談到有關電腦系統更新的問題,而在這篇我要介紹一些可以用來解決(至少是部分解決)電腦更新問題的工具。在介紹之前,我先說明這類工具都有兩個最基本的問題,一個是沒辦法找出”所有”必須更新的程式,另外一個就是沒有辦法自動幫找出需要更新的應用程式進行更新的動作。
