就是資安

Social Web這兩三年很紅，紅的不只是其受一般使用者歡迎的程度，而且也絕對是駭客的新寵。我個人雖然不常使用Social Web，但是或多或少還是無法避免，Facebook是我使用的其中之一。Facebook除了官方的功能，還提供了許多第三方開發的應用程式，這也是Facebook這麼熱絡的原因之一。話說這天我收到一個朋友發出的應用程式使用邀請，接受邀請想加入後不得了，出現了惡名昭彰的SQL錯誤訊息。雖然直接秀出SQL是不被接受的行為，但是我可也沒放棄這個機會。我稍微看了一下，原來就是’這個符號沒有處理好，而’這個符號剛好對SQL語法而言有重大意義。但是我再仔細想了一下，Facbook因為是全球性的網站，個人資料有’這個符號應該也不是完全不可能，至少我就看過人名是有’這個符號的。而我個人資料有’這個符號是出現在家鄉的省份(T'ai-pei)，難道這個欄位有免受檢查的特權？所以，為了測試我的想法，我又申請了一個帳號測試這個問題。我這次申請的帳號除了所在地區同樣帶有’外，連姓名也加上了’，測試結果顯示姓名的’被移除了。雖然移除不是一個好的選項(因為這樣姓名就變了)，但是至少不會造成程式執行的錯誤。所以應用程式的開發者的確知道該檢查使用者輸入的資料，但是卻沒有檢查到所有該檢查的資料。所以，就有了今天的主題。

Facebook應用程式的錯誤訊息

端點安全 (Endpoint Security Platform – EPP) 絕對是近幾年資安市場最熱門的主題之一，在這份五月份出版的報告中，Gartner 比較了目前市場上主要的一些 EPP 廠商/產品。Gartner MQ 系列報告的特色之一，就是其分析的目標不只是產品本身，包含廠商的執行力、願景、產品策略、價格策略、支援能力…等等，你可以想的到的項目幾乎都包含了。

市場定義

有當過兵的人都知道，軍中不管做大大小小的事情，總有一堆表格、資料要填寫。我當兵時負責機房/設備的管理，要填寫的表格，包含輪班表、值勤記錄表、訪客紀錄表、日常保養表(日、周、月)等等，可說是每天有填不完的表格。這些表格，往往也是各級長官的最愛，沒事總要來進行一下所謂的督導。督導除了檢查表格外，機車精實一點的長官還喜歡到處問、到處摸。例如有些長官甚至會檢查絕緣用的凡士林是否塗的過厚或過薄，也因此當時只能抱著如履薄冰的精神，不敢有一絲疏忽。如果運氣好，駐地剛好位於觀光勝地，三天兩頭就有長官前往督導也就稱不上是甚麼奇怪的現象了。

這些督導跟我們所謂的稽核意義其實是一樣的，就是為了確保所有訂定的規範是否有確實遵守，又是否有意想不到的問題發生。稽核在這幾年，因為 ISMS 的風行而受到相當的重視，當然有很大的一個因素就是政府等公務機關的推動。稽核的方法除了看書面的資料外，當然也同樣必須透過觀察、詢問加以確認。但是跟督導的情況不一樣的是，軍中長官通常是從基層幹起，所以對於業務的進行都有一定的實務經驗(至少我當兵的部隊是這樣的)。也就是說要看甚麼、問甚麼、聽甚麼，這些長官可是了然於胸。如果你想欺騙，往往也不是那麼容易(除了書面的資料可以稍微”修飾”一下)。而稽核，不管是第幾方的稽核，稽核人員不見得有實際操作的經驗，甚至可能連足夠的技術背景都沒有。另外，以現在資訊安全涵蓋範圍之廣，就算是有實務經驗的稽核人員，也多是僅限於其中少數幾個部分。當然，稽核是一門專門的學問，有它特有的專業要求。是不是需要有所謂的操作經驗或技術背景才能做好，倒也不一定。但是不熟悉表示被”呼嚨”的機會就會增加，而且是會大幅增加。有句台灣的諺語說得好，『軟土深掘』大概就是這個意思。