英國的一個科技網站 vnunet.com 於日前選出了10大表現最糟的CEO,其中任職以來飽受攻擊的楊致遠打敗前HP美麗女CEO,獲得了冠軍。楊致遠在面對微軟的收購案時,表現得令所有人感到失望(包含一般投資者與大股東)。唯一不感到失望的,大概就是當時的楊致遠以及現在的微軟CEO-Steve Ballmer了。甚至我猜Steve Ballmer應該曾經連續好幾天因為竊喜而睡不著覺才是。這件事跟資訊安全有甚麼關係,嚴格來說是沒有的,但是既然我寫了,當然就是要想辦法扯上關係。
我們在評估資訊安全解決方案(或廣義的產品,包含軟硬體、服務與管理措施)時,通常講究的是Cost Effective,就是成本與效益的比例。如果可以量化加以比較,當然通常是越高越好。這個有點像是我們在買電子產品時所謂的C/P,也就是價格功能比。除了所謂的Cost Effective原則,其實我們還有兩個更重要的限制(Constraints)需要加以考量,一個是理論上最重要的限制,也就是最低的功能需求。另外一個則是實務上最重要的限制,那就是價格。因為企業的資源有限,所以無法用無上限的預算去佈署一個解決方案。相較於價格的限制,最低功能需求的限制往往很難有效加以實現。主要的原因在於很多功能達成與否,是很難用量化的數字去比較。就算有了量化的數字,評斷方法的公平性、廠商數據的可靠性、乃至於數字的適用性都有相當的討論空間。以大家最常用數字加以評斷的防毒軟體攔阻率來說,即使有了Third party的獨立實驗室加以測試,但是依舊有不少廠商沒有加入,甚至有廠商質疑測試方法的公平性(因為每家產品各有所長)以及病毒攔阻率已經不能代表這類軟體的可用性(因為除了病毒還有更多其他種類的惡意程式)。把複雜的情況加以簡化來說,就是同時在滿足最低功能與最高價格兩個限制下(至少兩個,也有可能還有其他你專屬的限制,如廠商的名聲),擁有最佳Cost Effective的解決方案就是首選。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
最近有一位從事開發資安產品多年的前國立大學資工系教授問我說,考上CISSP對工作上有甚麼幫助?我的回答是『目前沒有直接的幫助。但是就像以前學數學一樣,雖然大部分的時候沒有直接的幫助,但是會讓你的對某些事的觀念更加清楚,處理這些事情會更加好。』從對方的表情,很顯然這是不及格的答案。工程講究的應用,不能加以應用就是沒有用的東西。CISSP本就是一個全面性的資安認證,雖然這往往也是被詬病的地方(不夠專精在某部分),但就像每個科目都有其不同的屬性,我個人認為CISSP並沒有必要放棄這樣的特性。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
最近在看104有關資訊安全的工作需求時,看到幾家公司有所謂的資訊安全工程師的職務,內容有些部分似乎是有些奇怪了。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
雖然這一兩年大家在談所謂的 Business Continuity Plan (BCP,如BS 25599),但是不論從哪個角度看,資料的備份依舊是最為基本且不可或缺的一環。所以,大大小小的組織,都有自己的備份方法。從透過手動的方式將重要檔案複製到另一個硬碟,到全自動的線上即時備份,都是備份方式的一種。但是備份可不只是這樣子,備份的頻率、測試的方法與頻率、備份資料的保存期限、備份資料的保護都是必須一併加以考慮的。其中,備份資料的保存期限,除了考慮到資料本身保存時限需求(不管是企業本身或是法規的要求)外,儲存媒體的保存期限,也是大家所熟知的考量要素之一。另一個大家比較不常考量的,則是備份設備的本身的年限問題。這個問題在採用磁帶備份的方式時,是比較有可能的發生的。而光碟的部分,基本上目前還是向下相容,所以 DVD-DL 的設備可以讀 DVD、CD 等各種之前的格式。因為設備本身的改良而造成儲存媒體失效的風險相對來說是少了許多。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
最近炒得最火熱的話題,正是毒奶粉的事件(現在似乎已經變成了毒食品事件)。從一開始的幾包毒奶粉,到後來發現很多奶製品都有三聚氰胺的存在。而受影響的廠商,也從小型麵包店,擴大到了內外銷的食品業者。其中兩家的產品我曾經消費過,一家是公司樓下轉角的麵包店,另一家是金車的即溶咖啡。當初看到麵包店老闆在電視上訴苦的模樣,讓我覺得非常不以為然。當然,店家也是受害者,但是吃下肚的是消費者。就算是要控訴政府把關不嚴,那也應該是事後循正式的途徑去訴訟。不然,以後吃了海鮮中毒,老闆也可以說是那是船東把關不嚴。船東也可以說是海鮮是天然的,他也不知道為什麼會有問題,所以他也是受害者,要申請國賠。消費者...最好你有保險而且有辦法舉證,不然就自己想辦法吧。而且麵包店的老闆才買了幾包的奶粉,其實對他經濟損失並不大。至於商譽的損失,用哀嚎的方式損失應該是勇於承認更大吧!相較於麵包店的老闆,金車不但主動檢查、通報,而且正式道歉,也讓使用者全額退費(不是換貨)。當然,如果消費者有健康上的問題,金車會如何處理還不得知,但是就目前已經看到的行為,金車的確是表現的相當不錯。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
在前幾篇的文章中,我談到有關
密碼的議題。不管你認為密碼是不是一個好的安全機制,現實是每個人每天都會用到許多不同的密碼。其中當然有許多是在網站上使用,另外像是提款卡等等,也都需要用到密碼。有不少文章談到如何選取一個"好的"密碼,但是卻很少人提到如何選取數個甚至數十個良好的密碼。所謂良好的密碼在實務上有一個最重要的考量,那就是很難被猜到但是同時你卻必須能夠加以記憶。有人提到可以採用圖像記憶法,將密碼轉換為圖像,這樣就可以方便記憶。但是此法或許對於純數字的密碼還可行(只有10種圖形),但是如果包含英文字母(大小寫),再加上特殊符號,我想這麼複雜的圖形對應關係,光聽到就嚇死一堆人了。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
密碼,在安全機制上扮演一個極為重要角色的老朋友,也是大家幾乎天天都會用到的技術。密碼雖然很方便,但是同時也有很多問題存在。其中一個最常被談到的議題就是密碼本身過於簡單,以導致輕易地被惡意人士猜出。另外一個就是如何安全地存放密碼的議題。存放的議題主要發生在兩個地方,一個是使用密碼的人,另一個用來檢查密碼的系統。如果其中一方沒有保管好密碼,那麼選擇再好的密碼都沒有用。有關這些議題,已經有太多相關的資料加以討論,在此我不多贅述。倒是前幾天
the New York Times發表了一篇文章,認為密碼應該被全面淘汰,改用Information Card這類較安全的驗證機制。理由很簡單,因為即使你選了再好的密碼,因為目前大多認證機制與流程的不良,所以還是一樣不安全。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
今天看到一篇文章,內容講的是從所謂卡神楊蕙如現象所延伸的社會價值錯亂的問題。其中一個影響就是信任感的喪失,所以大家就習慣了以小人之心度君子之腹的思維,甚至成為日常生活的行為準則。我本人對於文章內的闡述相當贊同,也想到了兩件與信任有關的資訊安全議題。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
這一陣子,有一個還算蠻震撼的新聞,就是趨勢科技的CEO陳怡樺說了「
防毒產業騙了客戶20年」這麼一句話。這一句話,不但打翻了趨勢科技自己一直以來的產品,也打翻了其他公司的防毒產品,甚至也把千千萬萬防毒軟體的從業人事一併賠了進去。這讓我想到有人也提過
安全產業是最大的笑話,因為實際狀況是越來越不安全。
cyrilwang 發表在 痞客邦 留言(1) 人氣()
被尊稱為
Linux之父的
Linus Torvalds前一陣子針對
PaX Team的指控做出了反擊,PaX Team指控Torvalds與其他人對於程式的Bug沒有針對其安全性危害做出分類與警告。Torvalds則認為找出Bugs已經足夠,並不需要特別去強調安全性的問題。其他跟安全不相關的Bugs,數量甚至更多,也同樣需要加以修正,而過於強調安全性的Bugs其實並無助於解決所有的Bugs。他以為目前很多以做安全為名的人,誇大了安全的議題,甚至只是利用發現安全性的弱點來增加自己的知名度。他也提到了
OpenBSD過於強調安全性,並且用了很不好聽的形容詞去描述其開發團隊-a bunch of masturbating monkeys(一群自己爽的猴子)。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
前一陣子我談到有關
Scan發表了一篇對於 OSS (開放源碼軟體)的安全性檢測報告,基本上整個方向大致上是正面的。不過這兩天另外一家應用系統與程式安全的公司 -
Fortify- 發表了另一篇的報告,其內容對於OSS的安全性則有完全不一樣的見解。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
這兩天公司內部在討論本身所開發的產品時,業務提出了客戶的一個想法,某些客戶希望在原先產品的設計上加上一個特殊的"白名單"設定,而此一設定會造成這個產品的主要功能產生一個管理上的大漏洞。當然,客戶的說法是為了提供長官及外來貴賓一道方便門。對此,我其實可以猜想到這個需求應該是管理人員自己想要偷懶或是讓自己藉此不受限制。理由很簡單,因為從我聽到的說法跟客戶所遭遇的問題,其實根本就不需要也不應該利用這樣的解法。姑且不論對管理者而言這樣的說法"絕對"是完全錯誤的心態與行為,此一解法著實讓我們的產品出現了一個很大的漏洞。老實說,產品有漏洞也不是甚麼新鮮事。但是對於安全產品來說,是否真正能夠提供足夠的保護給予客戶,甚至自己產品本身是否安全,都是最重要的議題。
而這樣大開方便門的設計,不但對組織目前造成立即性的威脅,對於未來的威脅性更大。如果管理者在交接之際,忘了關閉這樣的方便門,或是忘了交接下去,這就成了系統中永遠存在且不為人知的後門(不為人知並無法確保真的沒有人知道這樣的後門存在)。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
這幾年由於資料的數位化以及電子商務的成長,個人隱私資料的保護受到很大的注意。美國長久以來制訂了許多相關的法條來保護個人資訊,包含 1974 年的隱私權法(Privacy Act of 1974)、1980 年的隱私保護法(Privacy Protection Act of 1980)、1986 年電子通訊隱私權法(Electronic Communication Privacy Act of 1986)、聯邦監聽法修正案和1988 年電腦比對和隱私權保護法(Computer Matching and Privacy Protection Act of 1988)等。除此之外,各州也訂定相關的法條保護個人隱私資料的合法使用範圍。例如
the California Online Privacy Protection Act就要求線上服務的提供者必須在網站提供相關的隱私權保護政策。台灣方面,除了目前已經頒布的「
電腦處理個人資料保護法」外,另外就是目前仍躺在立法院的「個人資料保護法」。嚴格來說,除了你個人姓名等資料屬於個人隱私資料的保護範圍外,其他像是網路瀏覽行為,也屬於個人隱私資料保護的範圍。只是這一部分比較模糊而且有爭議的空間,所以有時候還是要看收集資料的主體如何詮釋。不過,好像法律都是這個樣子,所以才有律師生存的空間(題外話)。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
這幾天看了一篇文章,有個老兄 (Chris Goggans) 利用6小時的時間,成功進入了FBI的犯罪紀錄資料庫。這個問題是這個老兄在進行所謂的Pen-Testing (入侵測試,Penetration Testing)時所發現的,而所謂的Pen-Testing簡單來說就是請第三者模擬駭客攻擊自己的系統。Pen-Testing有很多方式,可分為從組織內部或是從外部發動,另外也可以根據組織主動提供資訊的詳細程度與組織人員對測試計畫的被告知程度加以區分。為了達到最真實的情形,組織不應該提供任何非公開的資訊給進行測試的人員,而且組織內所有的人員不應該被告知測試的進行。但是為了達到比較嚴格的測試,有時候組織會提供較多的資訊給測試人員,以期望他們能夠發現更多的問題。另外組織內的部分人員也會被告知測試的進行,以便進行監視,甚至同時測試其他安全機制。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
如果要我說對於資訊業界接觸以來感受到最矛盾的事情,其中首先浮現的就是資訊公司本身的資訊化程度通常都不高,至少不比他自己的客戶高。
cyrilwang 發表在 痞客邦 留言(0) 人氣()
前幾天不小心瞄到一篇文章,標題是"Tech's all-time top 25 flops" (有史以來最失敗的25項技術 )。第25名是PS/2。注意是PS/2,而不是PS2!PS/2是一種電腦系統,不過後來大家比較熟悉的是其定義的介面。幾年前還有一些PS/2介面的鍵盤跟滑鼠,只是現在大概都改用USB介面了吧。
cyrilwang 發表在 痞客邦 留言(0) 人氣()