就是資安

在我自己軟體與資安產品開發的工作經驗中，經常需要解決所謂的”問題”。雖然問題種類有各種形式，但是在面對這類問題時通常都有一定的方法可以遵守。很可惜的是，大部分的人都憑著直覺在解決問題，而直覺很多時候其實也並不是那麼直覺。甚至有人說，解決問題是一門藝術。真的是如此嗎？不只在工作上，其實在日常生活中我們也常常需要面對問題、解決問題。一個看似簡單的動作，往往卻存在了很多必須小心應付的陷阱。稍有不慎，輕則問題依舊，重則問題一發不可收拾。 以我個人從事軟體開發的經驗而言，因為軟體是大多數使用者接觸系統的”介面”，所以通常一遇到問題就認為是軟體的問題。更不幸的是，程式設計師通常又是軟體的最直接關係人，所以問題不用考慮就是丟到程式設計師的身上。而此時，程式設計師就必須具備良好的問題分析能力，才能將問題的責任歸屬釐清，甚至是解決問題。此外因為軟體是架構在硬體、作業系統、相關協定(如網路協定)之上，如果對這些底層的技術沒有一定的了解，往往除了啞巴吃黃蓮外，更無法解決問題。 這件事跟資安有甚麼關係？因為資安的問題，通常更為複雜。除了與各式各樣不同的技術及系統緊緊相依外，更是牽扯到各個不同的團體，而人永遠是最難處理的一環。所以如何能夠有效地解決資安問題，是一項相當嚴厲的挑戰。如果不能有效的釐清問題並訂定出可行的解決方案，有再好技術、再好的產品也是枉然。所以在接下來的幾篇文章中，我想要談談我對於解決問題的一些想法。 在討論如何解決問題之前，我們先對”問題”本身做個簡單的分類，其中包含邏輯性的問題與非邏輯性的問題兩類。邏輯性問題包含工程問題、系統問題、軟體問題等。非邏輯性問題則包含親子關係、人際關係、政治等。因為兩者本質上有很大的不同，所以處理方式也不一樣。例如當一個家庭裡有一個小孩循規蹈矩、但是另一個小孩卻作姦犯科，如果硬要用科學的方式加以解釋，很多時候只是牽強附會罷了。而我在此討論的問題比較偏向於邏輯性的問題。為何說比較偏向，因為很多邏輯性的問題背後都跟非邏輯性問題有所牽扯。這個議題我們會在第三篇文章中看到。 通常我們可以將解決問題分成三個階段，第一個階段是觀察問題，第二個階段是找出問題發生的原因，第三個階段是解決問題。雖說是解決問題，其實我們大部分能做的是解決問題發生的原因，而不是解決問題，因為問題往往只是一個表現出來的現象。嚴格來說，比較好的作法還包含了第四個階段，那就是如何預防類似的問題再發生。而有些時候，我們也可以把第三個階段跟第四個階段合併一起處理。不論如何，基本的原則都一樣，所以我們就以三個階段來看即可。

在去年底的時候，有密碼專家宣稱可以破解部分 WPA (Wi-Fi Protected Access) 的加密機制。時隔近一年後的現在，有日本的研究員 (Toshihiro Ohigashi 與 Masakatu Morii) 宣稱可以在一分鐘之內破解使用 TKIP 機制的 WPA 加密機制。此兩人已經於日前在中山大學舉辦的 Joint Workshop on Information Security 會議中發表了他們採用的方法與理論，並預計於 9/25 作進一步的討論與說明。 經由此一研究報告的揭露，等於正式宣告 WPA 不再具備提供保護資料機密的能力。雖說攻擊方法侷限於使用 TKIP 機制的 WPA 標準，但是由於 WPA 正式的標準只規範了 TKIP 的機制，所以比較保險的說法就是放棄 WPA ，而採用較為安全的 WPA2 規範。 WPA2 使用 AES 作為資料加密的演算法，是目前已知相當安全的演算法。

根據日前一份由 ScanSafe 所公布的研究數據顯示，在其客戶中有高達 76% 的比例針對社交網站進行封鎖。這個數字已經高於”線上購物”這類傳統上被認為會嚴重影響工作效率的被阻擋率 (52%)，甚至也高於”武器相關”網站的被阻擋率 (75%)。 阻擋這類網站雖有一部分的理由導因為避免資料外洩的風險，但是主要的原因仍在於避免員工因使用這些網站而造成工作效率的低落。這樣的做法我個人認為其實有些反應過度了。 不管是從安全或是工作效率的面向出發，有一個不可否認的事實，那就是社交網站對於某些業務的進行確實有它的好處。凡事本就有利有弊，如何取其利、避其害，才是該採取的思維，因噎廢食可就不是那麼聰明的決定。因此，針對業務的性質，找出必須使用社交網站的員工，並訂定明確的使用規範，是比較正面的作法。 另外一個更具爭議性的話題就是，阻擋這類非工作必要的網站是否就比較有工作效率？通常員工(不管懂不懂電腦)都有一個不為人道的專長，那就是公司禁止的事情，總會有人有辦法加以突破，更遑論公司(幾乎)沒有辦法隨時監控員工的電腦使用行為。甚至，根據學者的研究，在工作時進行適當的休閒上網瀏覽，不但不會降低工作效率，甚至還能提升工作效率。所以下次當你決定要封鎖社交網站(或其他種類的網站)時，請確定你有充分的理由支持這樣的作法。

這一陣子 Facebook 可真是熱門，各式各樣的消息不斷占據新聞版面，其中不少事件跟安全相關。今天的主角是 Facebook 上的第三方應用程式。 使用過 Facebook 的人應該都知道，Facebook 除了提供使用者分享資訊外，還有一大堆的第三方工具可以使用。這些工具最受歡迎的大概算是遊戲了，從心理測驗、種田、開餐廳…各式各樣，不一而足。這些第三方程式除了可能因為撰寫不良而成為惡意份子利用的管道外，甚至有些第三方程式的撰寫人原本就不懷好意。 日前 Facebook 上發現了數個應用程式利用將使用者導向釣魚網站的手法，意圖竊取使用者的登入資訊。這些被發現的應用程式雖然已經被關閉，但是以這麼龐大的應用程式數量，很難確保會不會有其他尚未被發現的惡意應用程式。身為使用者，除了避免使用非必要的第三方應用程式外，對於要求輸入登入資訊的頁面也必須多加以注意，尤其是網址列以及要求輸入登入資訊的原因。另外，避免使用萬用密碼，也是減少問題發生後所衍生危害程度的良好習慣。 相關連結： Phishing apps found on Facebook Facebook disables 6 rogue phishing apps, but 5 more appear

在一份由 Ponemon Institute LLC 所公布的研究報告中指出，有高達八成的受訪者表示使用真實資料進行開發與測試。使用真實資料進行開發有甚麼問題，不都是在內部掌控的環境下嗎？如果再搭配其他兩項數據，問題的嚴重性應該就不言可喻。 第一項數據是危害資料安全的主要來源是內部使用者(無意或有意)以及協力廠商。

這一陣子有關 Twitter、Facebook 這類社交網站最紅的新聞莫過於因為一個使用者的關係，進而遭受到阻斷服務攻擊而影響了網站的服務。相較於這些新聞，另外一個新聞似乎就沒甚麼人討論。在這個新聞中， Twitter 從受害者搖身一變成了加害者(或者說是幫兇)。 阻斷服務攻擊通常都是透過殭屍網路 (botnet) 發動，這些大量又聽話的殭屍，確實很容易對被攻擊目標造成相當程度的影響。嚴格來說，這些殭屍本身也是受害者，我們通常稱之為次要的受害者(Secondary Victims)，而遭受殭屍網路攻擊的目標則稱之為主要受害者(Primary Victims)。殭屍存在的目的之一就是進行阻斷服務攻擊，而為了遂行這些目的，就需要有辦法讓惡意分子對其進行控制 (Command and Control)。這些控制的機制，從早期的Client-Server、Agent Handler(多層次的Client-Server)到利用IRC、P2P網路進行指令的下達。   殭屍網路透過 IRC 網路取得攻擊指令，以便進行攻擊任務

The web hacking incident database (WHID) 於日前公布了一份雙年度的研究報告，此報告主要針對網站安全事件作進一步的統計與分析。不同與其他以技術或網站弱點為主的研究報告，此報告的研究基礎是真實發生的攻擊事件，並著重在所發生的影響，而不僅只於技術上的弱點。 研究報告中指出，所有攻擊事件的目標中，以 Defacement 的比例最高 (28%)。這裡所謂的 Defacement ，除了我們一般常提到的網頁置換外，也包含了植入惡意程式於網頁中的攻擊行為。也就是只要是非法改變網頁內容的行為，不管這樣的內容是不是可視的，都會被歸類於 Defacement 。報告中也特別指出，過去因為大家對於 Defacement 的印象是多為影響單位的形象，而非系統本身，所以也往往採取較消極的防護措施 (如 SIV)。但是這樣的狀況已經改變，網站常常因為 Defacement 而變成了攻擊的管道之一，也因此需要針對此類問題的發生原因好好加以分析並防護。 另外一個發現就是 Web 2.0 的網站 (例如 Twitter)，已經取代政府單位，成為受到最多攻擊的目標 (19%)。原因無他，因為這類網站的高使用率，使得它們成為攻擊管道的最佳候選人。此外，上面擁有眾多的個人資料，也是一個充分的誘因。當然，另外一個可能的原因是這類網站對於安全防護較不重視，或是能力較為不足。

Flash 的應用，從早期的廣告 Banner 到現在幾乎已經無所不能。而影音播放與線上小遊戲，更是 Flash 的天下，也是很多人幾乎天天都會用到的功能。Flash 雖然好用，但是其安全性的問題也不少。最近 Adobe ”又”對 Flash Player 做了更新，而更新的內容是解決可能造成系統當機、甚至是被駭客控制的安全漏洞。 Flash Player 在安全性的問題上，有兩個真正麻煩的地方。一是缺乏有效的更新機制。不管是個人使用者或企業用戶，都必須要自行檢查是否有更新檔釋出，並且手動下載更新檔以便予以更新。二是不少第三方的軟體內含了 Flash Player 的動態連結檔 (dll)，而這些動態連結檔的更新責任就落到了第三方。想當然爾，第三方對於更新的速度與更新檔發布的機制，通常比 Adobe 來的差。

在一份由微軟贊助的報告中指出，IE8在面對釣魚網站與社交工程網站的威脅時，其表現遠比市場上的其他瀏覽器優秀。不同於大部份的研究報告，此報告針對的不是瀏覽器本身的安全議題，而是瀏覽器對於安全防護的表現。由微軟贊助的研究報告，當然可以針對IE的強處去比較，這其實沒有甚麼大問題，只要實際的數字是正確的即可。至於比較議題的適用性，還是必須經由使用者自己去決定。 當然，我們可以不僅只於依賴瀏覽器提供的安全功能。像是整合型的防毒軟體、端點安全的產品，甚至是一些瀏覽器的外掛 (如 SiteAdvisor )也都提供類似的防護功能。另外，瀏覽器的設定也可能影響到防護功能的表現。然而最重要的是儘管有再多再好的工具加以防護，永遠都無法達到100%的安全，所以良好的上網使用習慣依舊是確保安全的最後，也是最重要的一道防線。    

使用過電子郵件的人應該都有一個共通的感覺，那就是隨著信箱使用的時間越久，所收到的垃圾信件也就越多。以我自己公司的信箱為例，一天大約收到數百封的圾垃信件。也因此，幾乎所有公司都有建置垃圾郵件阻擋的機制。請注意，是幾乎，因為我就遇過沒有使用垃圾郵件阻擋機制的公司。每天員工要花費多少時間在處理垃圾信件上？只怕數學再差的人都應該知道這樣浪費的成本是很高的。企業如此，那麼個人又是如何？
Messaging Anti-Abuse Working Group, MAAWG 於日前公布了一份有關垃圾郵件的報告，內容是針對一般使用者對於垃圾郵件的認知與應對行為之分析。這裡所指的一般使用者，排除了所謂資訊安全方面的專業人士，也因此更能代表廣大的使用者。研究結果顯示，只有 54% 的人利用過濾器 (Filter) 的方式來過濾垃圾信件，而且有高達 21% 的人對於垃圾郵件不做任何防範措施。除了利用過濾器來應付垃圾研究外，其他措施包含減少電子信箱帳號外流的機會(尤其是不留在網際網路上的服務)、另外建立一個私人用的信箱等。
另外一個結果顯示雖然大部分的人會直接刪掉垃圾信件，但是仍舊有高達 52% 的人曾經開啟過垃圾郵件。而其中有 13% 的人疑似鬼上身，也就是在不自覺的情形下打開了垃圾郵件，而另外12% 的人則是因為對於垃圾郵件中所推銷的產品感到興趣。最令人不可思議的是有 6% 的人打開垃圾郵件純粹只是因為好奇心，想知道點了會發生甚麼事情。是因為無知嗎？可能不是，因為有高達 82% 的人知道垃圾郵件可能造成病毒的感染。那麼合理的解釋只剩下因為這些人不是存心跟自己過不去，不然就是不知道問題的嚴重性。