就是資安

McAfee 於日前公布了最新一季 (2011 Q1) 的威脅報告，內容包含下列觀察結果：     Android 躍居為行動裝置平台中最受惡意程式青睞的第三名，僅次於 Symbian OS 與 J2ME。因為 Android 的開放性以及高佔有率，預計針對 Android 的威脅將持續增加。在感染的方式上，大多將惡意程式注入合法程式中並誘使使用者加以安裝。當使用者一旦安裝這些受到感染的程式後，除了可能將機密資料(例如 IMEI 或是手機號碼) 傳遞出去外，也有可能成為殭屍網路的一員。 因為多個組織聯合起來對付 Rustock Botnet，所以 Botnet 的數量呈現下降的現象，連帶的使得透過 Botnet 發送的垃圾信件數量也持續呈現下滑的趨勢。不過這場與 Botnet 的戰爭，誰輸誰贏還有待後續的觀察。 竊取銀行帳號/密碼或其他機密資料的程式持續發威，並且隨著技術的成熟，這些惡意程式 (如 Zeus、SpyEye) 可以透過模組化的方式動態地新增功能，提升所引起的威脅。 搜尋引擎關鍵字的濫用，這些關鍵字包含新聞時事 (如日本地震) 以及熱門話題 (如 Android 手機)。駭客可以透過搜尋結果的呈現，將使用者導向惡意網站，並對其進行攻擊 (如偷渡下載)。除了對使用者進行攻擊之外，也有可能誘使使用者進行捐款 (如針對日本地震) 以獲取金錢上的利益。 在非法檔案 (如受版權保護的軟體) 分享方面，美國是主要的地區，其次分別是德國與中國。 Adobe 產品 (主要為 Flash 與 PDF) 的弱點數量大幅超越 Microsoft 的產品弱點。Adobe 成為弱點最多的廠商，也順勢成為最受駭客青睞的的廠商。 Botnet 衍生出 Botnet as a Service 的形式。對 Botnet 的使用者而言，可以用更低廉的成本取得相關服務 (如寄送垃圾信件或發動 DDoS 攻擊)。 Hackvitism 利用網路進行串連，發起了許多世人關注的活動。埃及、摩洛哥、敘利亞、土耳其等國家或地區，人民透過網路串連後，聚集在一起以表達出人民的心聲。

安全廠商 eEye Digital Security 在上個月 (5月) 發表了一份報告，內容針對去年度 (2010年) 微軟所發佈的安全通告進行分析。在報告中，提出了幾項在組態上建議採行的控制措施，以避免或減少安全問題的危害： 避免使用 WebDAV – 對許多使用者而言，WebDAV 並不是日常工作所需的功能。然而在較新的微軟作業系統中，這些協定卻是預設開啟的，因而造成了安全問題的發生。關閉 WebDAV 的使用可以透過 GPO 將 WebClient 這個服務加以停用，或者是利用網路設備 (如IPS) 將 WebDAV 的封包加以攔阻。唯在進行 WebDAV 使用的封鎖之前，應確實了解內部有哪些 WebDAV 協定的使用是必須的，以免影響原有作業之進行。 避免使用 Office 的 Converter 功能 – Office 的 Converter 功能主要是用來提供 Office 程式開啟不同版本的 Office 文件(包含開啟舊版的文件，或者是新版的文件)。同樣的，這樣的功能也不是大多數使用者在進行日常業務時所需的。關閉 Converter 的功能可以透過 GPO 或是機碼的方式對使用者進行設定，唯需特別注意的是每一個 Office 功能 (如 Word 或 PowerPoint) 需分別設定。 使用代理伺服器 - 雖然代理伺服器本身不能阻隔攻擊行為的發生，但是卻可以有效避免被成功攻擊後所產生的危害，這些危害包含與控制中心的溝通、或者是相關機密資料的外洩。必須注意的是，這些代理伺服器不僅需針對 HTTP 的協定，更應該包含所有的網路協定。 採用 VLAN 與 IPSec - 採用 VLAN 不但可以避免封包的偷窺 (Sniffing) 或修改攻擊，更可以藉由分析 VLAN 間的流量找出可疑的網路行為。如果再加上 IPSec 的使用，即使是同一個 VLAN 之內的封包也無法進行偷窺或修改的攻擊。 避免使用 NTVDM – NTVDM 是用來模擬 16 位元程式執行環境的子系統，此對大多數的使用者而言同樣並非所需的功能。 使用最新版本的應用程式 - 這裡講的不是安裝最新的更新檔 (Patch 或 Service Pack)，而是安裝最新的版本，例如使用 Office 2010 取代 Office 2007。根據實際的數據顯示，新版的應用程式確實擁有較少的安全問題，而這主要歸功於微軟不斷地致力於提昇軟體安全。只是微軟在提昇軟體安全的同時，卻忘了把舊的軟體一併改進，所以才會造成此一現象。當然，這點建議在採行上還有其他因素需要考量，包含轉換成本以及相容性等。

每次一有機會跟從事軟體開發的朋友聊天時，我就會問一下他們有關軟體安全的問題。當然，我問的問題很簡單，就是他們的軟體有考慮安全的問題嗎？嗯，其中一種蠻常聽到的回答就是：「有啊，我們的資料在傳輸時有加密。」或者是「沒有耶，我們的資料都沒有做任何的加密。」 噹！這樣的答案聽起來好像很有理，卻是對軟體安全有著極大的誤解。對於軟體安全而言，從需求面可以分成兩大類型，第一類是安全性功能 (Security Feature)，像是資料在儲存時要進行加密就是屬於這類需求。另外一類需求我們稱為安全軟體的需求 (Requirements for Secure Software)，也是大家比較不熟悉的部份。舉例來說，避免程式受到跨網站腳本攻擊就是屬於安全軟體的需求。 兩者之間的分別其實並不是那麼地明顯，甚至有時候我們也可以把第一類需求歸屬在第二類需求之中。但是簡單來看，安全性功能依舊是屬於產品功能的一部分，所以可視為是用來解決客戶問題的手段。例如，將資料在加密後才加以儲存就可以避免使用者的資料被有心份子所窺探。除了加密之外，像是身分驗證也是很常見的安全性功能。相較於安全性功能，安全軟體的需求解決的是軟體本身的問題，像是如何避免有心份子利用軟體的錯誤取得寶貴的資料，或者是如何確保軟體在遭受攻擊時可以繼續運作。 事實上，軟體安全強調的並不是第一類型的需求，反而是第二種類型。就算你開發的軟體跟安全本身沒有任何關係(例如公司的公告欄網站)，依舊有可能因為本身沒有做好安全的防護而導致安全問題的產生。以公司的公告欄網站為例，如果程式存在跨網站腳本的弱點，那麼就有可能讓有心份子修改公告，把自己升職為總經理。也就是因為這樣，所以我們在討論軟體安全時，不管該軟體是不是具有安全性功能，都必須考慮到安全軟體的需求。 這兩種類型的需求往往各自獨立，但是必須特別注意的是，一旦安全性功能出現問題，其所導致的危害往往將更為嚴重。舉例來說，一旦身分驗證系統出現問題，那麼就有可能導致系統內所有資料的外洩。所以對於安全性功能來說，我們通常必須更加小心地確保其沒有安全上的疑慮。除了安全性功能外，一些高價值的功能(如商品交易)也是必須多加小心的地方。

Apple (或者說 Steve Jobs) 持續引領風潮，不管是不是潮人，對於 Apple 這個品牌絕對都是耳熟而詳，甚至有不少人不顧一切地想要一親芳擇。這幾天 Apple 被 EFF (Electronic Frontier Foundation) 所槓上，原因在於 Apple 想要申請的專利內容。根據 EFF 的說法，Apple 這次要申請的專利，可以用來判斷手機持有者的身分。至於實際的應用嘛，美其名可以在 iPhone 或其他 Apple 產品落入它人手上時避免資料的外洩，但是 EFF 卻擔心 Apple 利用這些技術來收集個人的識別資料與追蹤行蹤。EFF 也擔心這樣的機制一旦被駭客所利用，其所產生的危害將更難以估計。其實這類軟體或功能很常見，尤其是收集個人資料早已經是許多惡意程式的主要目的，但是合法廠商這麼做倒是比較少見 (前幾年的 Sony 幹過)。這次 Apple 不但明目張膽地做，更想要為這樣的技術申請專利，真不虧是能夠不斷製造話題的 Apple。EFF 為了表示對 Apple 的敬意，更發明了一個新的名詞，叫做 Traitorware，指的是在你背後偷偷地違反你個人隱私的設備 (devices that act behind your back to betray your privacy)。雖然 EFF 對於 Apple 這個舉動表達了強烈的反對，但是 Apple 是否在產品內採用這樣的技術卻也不一定與專利的通過與否有直接的關係。話說回來，對眾多的 Apple 迷來說，也許非但不介意讓 Steve Jobs 多了解自己一些，甚至可能會覺得這真的是炫極了。  

WikiLeaks 這幾年常常出現在政治與資安的新聞版面上，原因無它，因為 WikiLeaks 的宗旨就是揭露從各處收集而來的機密資料。在這些眾多的祕密裡，其中許多自然跟全世界最神祕的組織之一 (也就是美國政府，其他政府也都很神祕，只不過美國政府的干涉範圍實在太廣了) 有關。像是一些美軍的機密資訊以及美國在海外進行的機密外交，每次公布都引起不少的震撼。經過這些年的吞忍，美國政府終於再也按奈不住而決定展開反擊，針對相關的人、事、物加以嚴格處置。原先只是美國政府自己的行動，後來因為一些與 WikiLeaks 相關的商業組織也連帶”背叛”，所以導致 WikiLeaks 支持者的不滿，進而展開反擊。其中幾個原本提供 WikiLeaks 募款來源管道的網站 (包含 Mastercard、VISA、PayPal 等)，都因為遭受 DDoS 攻擊而影響到網站的運作。其中唯一的倖存者，大概就是提供 WikiLeaks 網站服務的 Amazon 了。Amazon 受助於本身所建置的雲端架構，所以讓資源有限的 WikiLeaks 支持者知難而退，如此一來 Amazon 不但順利全身而退，甚至為其雲端平台 - EC2 找到了一個很有力的賣點。 整起事件雖然還沒有落幕，但是至今已經佔據了許多的新聞版面，只不過很多僅著重在陳述事件的經過。其中我覺得比較有思考空間的觀點有兩個，一個是有關於網路是否會衍生出自己的恐怖主義，例如在這個事件中 WikiLeaks 支持者所扮演的角色。以往所謂的網路恐怖主義，僅是原本的恐怖份子將攻擊行為轉換到網路上，但是這個事件卻衍生出了新的恐怖主義集團，而且是一個沒有國界區分的集團。當然，以恐怖主義集團來描述 WikiLeaks 的支持者或許過於嚴厲，但是難保未來的發展不會演變至此，也或者未來其他事件的發生終將導致恐怖主義的誕生。 另外一個觀點則是討論到原應屬於公眾的網際網路卻已經被少數幾個商業組織所把持，其中包含幾個網路網路運作的基本元素，如網域名稱、線路等，都早已經私人化，而不再屬於公眾的資產。在這種情況下，人民只能任由這些企業 (與政府) 所擺佈，而無法自由地使用網際網路的資源。而這更有可能成為網際網路 (概念) 本身最脆弱的一環，一旦這些元素失去應有的定位與作用，整個網際網路的開放特性將蕩然無存。 老實說，WikiLeaks 本來就充滿爭議性，其所衍生的議題都相當嚴肅，更直接挑戰許多舊有的體制。安全與自由之間，本就是兩難的抉擇，更何況還有不同角色間的衝突與矛盾。對此，我只能說雙方應該合作以找到一個平衡點，只是當一方是屬於”高高在上”的政府時，另外一方會有公平談判的機會嗎？ 附註：由於 WikiLeaks 的內容實在太令人難以抗拒，再加上網站已經被關閉，所以出現了許多宣稱擁有 WikiLeaks 內容的複製網站，其中當然也包含了駭客所假冒的。所謂好奇心殺死一隻貓，在決定是否要窺視這些外洩的祕密前，請記得先好好地三思。

這幾年資料外洩的問題越來越受到大家的矚目，再加上新版個資法的通過，讓防止資料外洩不再只是口號，更是必須去認真面對的課題。不管是企業或是個人，重要資料的外洩都不是令人所樂見的。現在有很多機制可以利用加密的方式來保護資料，如此一來即使資料不幸遺失 (不管是無意或是有意的)，由於對方無法進行解密的動作，所以也無法窺視到資料本身的內容。這些機制包含硬碟/隨身碟本身進行整體資料的加密，作業系統進行的資料加密及各式各樣的第三方加密工具 (例如我之前分享過的 TrueCrypt)。雖然 TrueCrypt 功能強大，但是對於處理單一檔案的加解密，TrueCrypt 其實就並不適合了。 檔案的分享還是目前很常見的應用，不管是透過 Email、FTP、還是網站的形式，傳統上我們會將想要分享的所有檔案加入到一個壓縮檔中，這樣不但可以減少檔案的大小，還可以簡化分享的工作。這樣的作業方式雖然很簡單，但是也很容易造成資料的外洩。為了避免此一問題的發生，其實我們只要利用壓縮軟體的加密功能，就可以大幅減少資料外洩的可能性。以下我就以免費的壓縮工具 7-zip 為例，說明如何利用加密的功能安全地傳遞壓縮檔。 假設我們有一個存有密碼的檔案想要傳遞給朋友，我們當然不希望任何人都可以看到這個檔案的內容。 利用滑鼠右鍵選取 7-Zip –> Add to archive。 (如果你還沒安裝 7-Zip，請至這裡<>下載並安裝)

汽車對很多人 (尤其是男生) 來說，往往不只是一項代步工具，更是一種身分跟品味的象徵。但是在眾多感性的訴求當中，卻還是有一些比較理性的訴求，其中之一就是安全性。過去汽車的安全性，對車子本身而言，包含了車身結構、安全氣囊、ABS 以及其他的安全設計。對駕駛而言，則包含了行前的檢查 (油、水、胎壓、煞車、電池及其他) 與安全地駕駛 (開車不喝酒、不打行動電話) 等等。但是在未來，所謂的汽車安全性，或許會另外多了一個項目，那就是軟體的更新 (事實上，部分汽車廠商現在就已經具有這樣的服務)。隨著汽車工業的高度發展，現代汽車的設計已經內建越來越多的軟體 (Mercedes-Benz S-Class 擁有超過兩千萬行的程式碼) ，用以強化駕駛與乘客的乘坐經驗。但是這些軟體，卻也代表著可能存在的安全漏洞。尤其是當這些軟體可以從遠端 (利用網路) 加以控制時，其所產生的影響將可能是前所未見的。 之前我分享過幾則相關的新聞，但是其影響大多還只是侷限在造成不便，對安全尚未造成真正的危害。但是，隨著市場規模的擴大，惡意的攻擊，乃至於有利益目的的攻擊，只是早晚的問題。例如，如果駭客可以透過車載定位系統明確地掌握某大企業 CEO 的行程，或許就可以猜到這家企業暗地裡可能在進行什麼業務。又例如當駭客可以透過同樣的系統掌握到政要的出現地點，那麼想要對其不利也就容易多了。至於市井小民嘛，也許哪一天車子無緣無故自己開到荒山野地躲起來也不會是什麼令人驚訝的消息。想要找回愛車，請記得先付款給駭客。除此之外，針對那些喜歡在車上做些非正常活動的男女，或許更該多加小心，免得成了現場直播成人秀的最佳男、女主角了。   相關連結：

之前我分享過幾篇有關 WiFi 協定加密安全性的文章，對於使用者而言， WEP 與 WPA 應該是早就揚棄不用。但是在現實的環境中，使用 WEP 與 WPA 的設備依舊不在少數。一般而言，破解加密/密碼需要大量的運算能力，而且是不同於一般電腦設備所依賴的 CPU (中央處理器) 運算能力。提到大量運算能力，大家現在最容易聯想到的就是利用雲端架構的充沛資源，所以因而有了利用雲端平台來破解 WPA 的服務。但是雲端再強大，依舊是使用所謂的 CPU 當做主要運算能力的來源。相較於 CPU，GPU (圖型處理器) 的運算能力其實更適用於破解加密/密碼。因此雲端平台如果能夠再加上 GPU 的組合，那可真的是如虎添翼了，而這樣的夢想已經可以在 Amazon 的 EC2 平台上加以實現。Amazon EC2 於日前宣布提供 GPU (Nvidia Telsa) 運算能力的服務，讓破解加密/密碼的工作進行地更加快速。事實上，已經有人提供如何利用此一架構來執行破解密碼的程式。對我們的影響？那就是趕快換掉老舊的設備，還有就是選擇一個好的密碼。   相關連結： Announcing Cluster GPU Instances for Amazon EC2 Cracking Passwords In The Cloud: Amazon’s New EC2 GPU Instances [新聞時事] 運用繪圖處理器 (GPU) 可大幅提昇解密資料的速度 Automated WPA Cracking Service Costs $34 [新聞時事] WPA 加密機制僅需一分鐘就可以破解

之前我在 [從電影看資安] 誰才是大將軍 - 大兵小將 這篇文章中提到資安專家利用假冒的觀念來減少危險，後來甚至演變出所謂的 Honeypot/Honeynet，這類機制不但可以用來減少駭客攻擊的有效性，甚至可以用來學習駭客的行為以利資安專家對抗駭客所發動的攻擊。我在文章最後提到假冒的觀念對於攻擊與防守的雙方都同樣重要，甚至攻擊方對於假冒更是駕輕就熟，畢竟攻擊要成功，完美的假冒往往是一個基本條件。但是像是 Honeypot 這種用來誘敵的機制，對於攻擊一方的用途卻是到了近期才被加以利用。這倒也不是說明資安專家就比駭客更加聰明，而是資安專家往往比較被動，所以對他們採用 Honeypot 的效用不大。不過一旦駭客發現這是一個好方法，他們絕對不會放棄，而且我相信駭客可以發揮出更好的效果。因為駭客只要放出足夠的煙霧彈就夠資安專家們忙上好一陣子了，而在現今的攻擊情境中，好一陣子已經可以產生決定性的效果。事情會怎麼演變，就讓我們繼續觀察吧。  

隨著行動設備的大量普以及隨時隨地上網的人數越來越多，地理位置資訊的應用也越來越熱門。雖然這類資訊可能讓個人的行蹤被其他人一覽無遺，但是因為這些資訊的開放大多是屬於使用者自行所決定，所以反對份子所能夠持有的立場往往顯得較為薄弱，對於一般人而言也還不致於造成過多的擔憂。但是，如果這類資訊的開放並不是使用者自願的，甚至是在使用者不知情的情況下所發生，結果或許就會有很大的轉變。 Samy Kamkar 在他自己的網站上發表了一個概念驗證的手法，他利用路由器的漏洞取得用戶端電腦的網卡卡號，然後再使用 Firefox Location-Aware Browsing 的功能，就可以在不知不覺的情況下取得使用者所在的位置。不過他的範例只針對特定的路由器才有作用，所以對於一般人倒是還沒有立即的危害。只是取得網卡卡號並不是只有一種方法，所以其所可能衍生的問題依舊不可小覷。   相關連結： Mapping a web browser to GPS coordinates via router XSS + Google Location Services without prompting the user