就是資安

Social Web這兩三年很紅，紅的不只是其受一般使用者歡迎的程度，而且也絕對是駭客的新寵。我個人雖然不常使用Social Web，但是或多或少還是無法避免，Facebook是我使用的其中之一。Facebook除了官方的功能，還提供了許多第三方開發的應用程式，這也是Facebook這麼熱絡的原因之一。話說這天我收到一個朋友發出的應用程式使用邀請，接受邀請想加入後不得了，出現了惡名昭彰的SQL錯誤訊息。雖然直接秀出SQL是不被接受的行為，但是我可也沒放棄這個機會。我稍微看了一下，原來就是’這個符號沒有處理好，而’這個符號剛好對SQL語法而言有重大意義。但是我再仔細想了一下，Facbook因為是全球性的網站，個人資料有’這個符號應該也不是完全不可能，至少我就看過人名是有’這個符號的。而我個人資料有’這個符號是出現在家鄉的省份(T'ai-pei)，難道這個欄位有免受檢查的特權？所以，為了測試我的想法，我又申請了一個帳號測試這個問題。我這次申請的帳號除了所在地區同樣帶有’外，連姓名也加上了’，測試結果顯示姓名的’被移除了。雖然移除不是一個好的選項(因為這樣姓名就變了)，但是至少不會造成程式執行的錯誤。所以應用程式的開發者的確知道該檢查使用者輸入的資料，但是卻沒有檢查到所有該檢查的資料。所以，就有了今天的主題。 Facebook應用程式的錯誤訊息 如果你從事過軟體開發的工作，或接觸過軟體開發的工作，不管有沒有實際的經驗，至少都聽過一個很重要的建議，那就是要記得檢查使用者輸入的資料。這個建議成為人人朗朗上口的推手，一個很重要的因素就是Web的流行。因為Web的特色就是使用者的輸入來源各式各樣，而且都是不可控制的。也因此有許多的攻擊方法，基本上都是利用忘了針對使用者輸入的資料做檢查而產生的漏洞。像是鼎鼎大名的SQL Injection、Command Injection、XSS、CSRF等，都跟這個問題有或多或少的關連。

端點安全 (Endpoint Security Platform – EPP) 絕對是近幾年資安市場最熱門的主題之一，在這份五月份出版的報告中，Gartner 比較了目前市場上主要的一些 EPP 廠商/產品。Gartner MQ 系列報告的特色之一，就是其分析的目標不只是產品本身，包含廠商的執行力、願景、產品策略、價格策略、支援能力…等等，你可以想的到的項目幾乎都包含了。 市場定義 在Gartner的定義中，EPP 至少包含了企業用防毒軟體、防間諜程式軟體、個人式防火牆與主機型入侵防禦系統 (HIPS) 這些功能。整體市場的產值在2008年為25億 (2.5 billions) 美元，而且預估的年複合成長率 (compound annual growth rate) 達到8%。目前市場的主要領導者皆為以前是屬於防毒軟體的廠商-McAfee、 Symantec、Trend Micro，此三家廠商所擁有的市占率高達85%。雖然有很多新進的廠商在這個市場 (包含 Microsoft) 努力，但是要挑戰這些領導廠商的市場地位並不是一件容易的事情。 產品功能評估項目 雖然 Gartner MQ 的分析報告涵蓋各個面向，但是對於許多客戶而言，功能依舊是相當重要的一環，所以我特別列出在這份報告中針對產品功能有哪些評估項目。

有當過兵的人都知道，軍中不管做大大小小的事情，總有一堆表格、資料要填寫。我當兵時負責機房/設備的管理，要填寫的表格，包含輪班表、值勤記錄表、訪客紀錄表、日常保養表(日、周、月)等等，可說是每天有填不完的表格。這些表格，往往也是各級長官的最愛，沒事總要來進行一下所謂的督導。督導除了檢查表格外，機車精實一點的長官還喜歡到處問、到處摸。例如有些長官甚至會檢查絕緣用的凡士林是否塗的過厚或過薄，也因此當時只能抱著如履薄冰的精神，不敢有一絲疏忽。如果運氣好，駐地剛好位於觀光勝地，三天兩頭就有長官前往督導也就稱不上是甚麼奇怪的現象了。 這些督導跟我們所謂的稽核意義其實是一樣的，就是為了確保所有訂定的規範是否有確實遵守，又是否有意想不到的問題發生。稽核在這幾年，因為 ISMS 的風行而受到相當的重視，當然有很大的一個因素就是政府等公務機關的推動。稽核的方法除了看書面的資料外，當然也同樣必須透過觀察、詢問加以確認。但是跟督導的情況不一樣的是，軍中長官通常是從基層幹起，所以對於業務的進行都有一定的實務經驗(至少我當兵的部隊是這樣的)。也就是說要看甚麼、問甚麼、聽甚麼，這些長官可是了然於胸。如果你想欺騙，往往也不是那麼容易(除了書面的資料可以稍微”修飾”一下)。而稽核，不管是第幾方的稽核，稽核人員不見得有實際操作的經驗，甚至可能連足夠的技術背景都沒有。另外，以現在資訊安全涵蓋範圍之廣，就算是有實務經驗的稽核人員，也多是僅限於其中少數幾個部分。當然，稽核是一門專門的學問，有它特有的專業要求。是不是需要有所謂的操作經驗或技術背景才能做好，倒也不一定。但是不熟悉表示被”呼嚨”的機會就會增加，而且是會大幅增加。有句台灣的諺語說得好，『軟土深掘』大概就是這個意思。 雖然身為資安從業人員，道德的遵守是職業的重要素養之一，但是我們也不能因此過於樂觀。更何況，人在江湖總有身不由起的時候。像是這近一年來景氣持續的低迷，或多或少都會影響到資源的利用與分配，所以業務受到影響也是理所當然。但是，稽核可不管這麼多。有做到就是有做到，沒做到甚麼理由也說不過去。而根據近期一份國外的報告顯示，有高達 20% 的資安從業人員承認自己或同事曾經為了通過稽核而說謊。這種數據通常實際的數字只會更高，因為不會有人假裝說謊，但是假裝誠實的人倒是有那麼一些。 我自己沒從事過稽核的工作，所以沒辦法說稽核該怎麼做才能了解實際的狀況，甚至是對組織有真正的幫助。但是我想最基本的要求是稽核跟被稽核的人，不應該處於敵對的狀態，而是應該採用合作的心態，共同找出問題並解決之。要做到這樣，除了雙方要改變外，更重要的是組織也要改變，畢竟員工的心態(至少做法)往往是受到公司文化的影響。如果公司就是鼓勵(或默許)稽核人員在雞蛋裡挑骨頭，或是只要求被稽核者敷衍行事(通常會發生在外部稽核，但是內部稽核也有可能，因為需要稽核的記錄)，就是神仙也改變不了雙方緊張的關係。在此情形下，說謊也只能說是早可預期的反應了。如果稽核只變成了虛應故事，甚至是諜對諜的情節，那實在是很無意義且可悲的一件事。

在去年底的這篇文章中，我稍微提到 Network Access Control – NAC 這類產品。嚴格來說，NAC 並不一定指的是某種產品，反而比較像是一種概念。而這樣的概念在許多不同類型的產品中都可以發現。比較常見的包含網路設備、端點安全產品等。在今年 3 月的時候， Gartner 發表了第一份有關 NAC 的 MQ 報告。去年 Gartner 也曾發表一份有關 NAC 的報告，不過今年的報告才是屬於 MQ 系列。在今年的這篇報告中也特別指出，因為 NAC 的導入通常是漸進式的，所以長期的計劃更顯得重要，當然這包含了產品與廠商的選擇。 市場定義 NAC 的市場在2008年呈現穩定與成熟的狀態，這也是 Gartner 將報告改為 MQ 系列的主因。Gartner 預估 2008 年 NAC 市場的產值為 2.2 億 ($221 millions) 美元，與前一年度相較其成長率達到51%。雖然 Garnter 原先預估新年度的成長率可達到 100%，不過在景氣低迷與微軟 NAP 布署不如預期的影響下，成長率必須下修。除了市場產值的增加，NAC 廠商也獲得了相當資金的挹注。 提供 NAC 方案的廠商可分為四類，包含網路架構廠商(如 Cisco)、端點安全廠商(如 Symantec)、安全設備廠商(如 Mirage)，以及以 NAC 為主要訴求的廠商(如 ForeScout)，而其中以 NAC 為主要訴求的廠商面對的挑戰最為艱巨。雖然前兩年收益的成長還是很高，但是已經呈現快速下滑的現象。而Gartner 預計此一下滑的現象將會持續，而且整合在其他產品 (如網路設備) 的 NAC 成為主流，排擠單純 NAC 產品的生存空間。

說到人才，有一句成語叫才德兼備，表示一個人除了具備專業的才能之外，也同時擁有高超的品德。這樣的人才，我想就算不是可遇不可求，至少也是萬中選一。所以，我們通常只能退而求其次，包含兩個選擇，有才無德或是有德無才。在商業的環境中，再怎麼簡單的工作，都有一定的”專業”需求，所以有才無德自然便成了大多數情況下的選擇。或者，用一個比較不那麼武斷的說法，品德在商業的環境下，往往不是受重視的要求，甚至有時候違反道德的事情變成了不可說的常態。 然而隨著專業分工越來越細，很多特殊的角色都有其道德的責任。這樣道德的要求，不僅要求對於工作如此，更包含了對社會大眾的責任。嚴格來說，每個職業都要他的職業道德必須遵守，但是對於掌握特殊資訊的職業，其道德要求相對更高。例如律師、醫師，乃至於政治人物，都應該有其道德要求與素養。除此之外，資安從業人員、IT人員、及近來興起的隱私長 (CPO)，因為掌握資訊時代的重要資訊，其道德重視程度也越形增高。甚至在去年底的一份調查結果顯示，道德已經成了企業找尋IT人員最重要的考量因素。除了前述的原因，另外一個原因就是經濟衰退造成職場的不穩定，近而產生了更多監守自盜的行為。 前一陣子發生遊戲公司GM監守自盜的行為，就是忽視道德要求下所產生的問題。一般而言，GM在遊戲公司不算是很核心的職務，簡言之不是薪資最高、福利最好的一群，所以對於其人力素質的要求也相對較低。但是如果因此忽略其所掌握業務與資訊的重要性，可能就會產生莫大的風險。除GM之外，其實很多公司的資料庫管理者也是有類似的現象，這些人擁有全公司所有的數位資訊(因為目前大部分的數位資訊都是儲存於資料庫)，但是卻不是掌握公司核心業務或技術的人員，所以公司也就往往忽視這些人的存在。這些現象的根本原因在於公司從業務的重要性出發，而不是從風險的角度出發，所以忽略了很多原本應該注意的人事物。 公司針對這些具備高風險的職務，應該訂定相對應的道德要求。包含事前的背景調查、良民證、客制化的工作契約、適當的監測/管理機制，都是可以採用的措施。 另一方面，一些專業的證照近來也越來越強調道德的規範。雖然聽起來似乎有些高調，甚至可能淪於空談，但是我個人認為其重要性絕非一般。雖然對業者而言，用契約規範是比較保險的做法。但是畢竟法律的約束只能算是達到最低的要求，唯有自律才能造成雙贏的局面，而這就需要專業人員對自我的道德要求。所以，有德無才有時(如果不是往往)對業者而言或許是比較好的選擇，而身為專業人員的我們，就”只好”設法成為才德兼備的人才了。 相關連結：

今年的資安展地點，由往年的世貿一館移到了南港展覽館。除了因為捷運尚未通車造成的往返不便，南港展覽館本身跟周邊的環境，還真是一整個差。不過畢竟這是國內安全產業的最大展覽，參加人數還是維持不少(當然跟Game Show或3C展還是差了十萬八千里)，而且研討會的場次也是維持一定的量。 往年參加廠商的數量，資訊安全相關產業比例就偏低，多是實體相關的產業，其中又以監測設備最為大宗。今年的狀況依舊，甚至有過之而無不及。從展場的平面圖可以看到資訊安全相關業者攤位所佔的面積只佔了一成多的比例，最大那塊淺綠色的區域則是監測設備廠商的單位。 資安展的廠商，大多數是老面孔，不過也有一些著名的廠商沒有參加。賽門鐵克、Blue Coat是比較大的攤位，另外中華電信也有參展。除此之外，這一兩年引起極度話題的(網站)應用程式安全的相關廠商與研討會，在會場則是另外一個無法忽視的部分。我特別看了一下作程式源碼安全檢測的廠商，包含 Parasoft、Fortify與阿碼科技都有參展，但是攤位不大也沒有什麼佈置。或許可以推論為源碼檢測在國內不但過去推行上並不順利(或者說沒有很大的利潤)，而且廠商短期內對國內這個市場也沒有很大的信心。當然還有一個可能的原因，那就是老闆利用景氣不好這個萬用理由希望減少費用支出。 此外第一天我參加了三場的研討會，內容都是圍繞在網站應用程式的安全，主講單位則包含阿碼科技、F5、與關貿網路。阿瑪科技的內容訴求與表達方式，我認為是其中最明確且有說服力的。就像攤位的佈置一樣，阿碼科技雖然只有小小的一塊，但也不是光放幾張DM就了事，至少維持了一定的風格來引起注意。之間執行力與企圖心的差異馬上顯而易見。當然，這並不表示我認為阿碼科技的產品或服務就是最好或最值得信賴，但是至少不是那種打帶跑的廠商可以比擬，這通常也是原廠跟代理商之間的差別。如果你對源碼檢測有興趣，我之前有一篇相關的文章可供參考 - Gartner研究報告：靜態程式安全檢測，唯一可惜之處是原始報告對象並沒有包含阿碼科技。

雖然我有好一陣子因為私人的原因沒有更新部落格，但是對於前一陣子熱門的話題之一 – Conficker - 倒也是略有耳聞。相關的報導與分析已經多如過江之鯽，而且其真相到現在也還沒個譜，所以 Conficker 本身並不是我這篇文章的重點。我剛好看到另外一篇報導，內容是有關 RSA 與 IDC 分析師針對這類問題提出來的看法與見解。每個人本來就有自己不同的立場與看法，所以也不是說因為看法不同就提出質疑，我要探討的是文章中提到所謂”治本”這件事。 兩者都試著說明自己的意見才是治本的方法，因為治本感覺比治標好，而且大家通常對於治本也比較不會要求立即性的效果。再加上治本往往給人的感覺也比較有學問，所以不管對廠商或分析師而言都是很重要的一件事。有這麼好康的事情，大家當然是卯足勁證明(說服)自己的方法就是治本之道，只是基本上我認為對使用者而言這是沒有多大意義的事情。理由如下： 問題本身可能還有更深層的問題要解決，而這樣的情況會一直下去。所以針對淺層問題的治本之道，對深層問題而言就變成了治標的方法。嚴格來說，除非真的找到最基本的問題，否則一切方案都是治標。 資訊安全的基本問題很難被發現，或者說就算被發現也有很大的可能性是無根本解的。我們以前常聽到一個笑話是避免系統受到網路的攻擊，最根本也是最有效的方法就是把網路線拔掉。那要避免一個系統受到攻擊，鎖在保險箱是一個做法，但是很可惜保險箱也不是100%安全。而要保護資訊安全，不使用資訊(或避免資訊的存在)可能是最根本之道，這就是實體銷毀的概念。只是這個方法對不再需要的資訊有效，對還有利用價值的資訊明顯無法施行。這些問題再怎麼樣都比其他問題來的深層，治本之道有嗎？ 就算真的找到了根本的問題，也有了治本之道，那就只管治本之道就好了嗎？幾乎所有人都同意教育是培養道德與守法的治本之道，但是現實環境中哪個國家沒有使用法律這類治標的方案來約束行為？甚至我們有所謂的亂世用重典，而不是亂世推教育。原因在於避免問題的擴散與減緩其影響，往往是最需要先被滿足的。治標與治本來就有不同的目的，而兩者之間的並行與配合，往往更能夠提升推行的效果。 所以治標還是治本對使用者來說並不是最重要的問題。問題還是在於找出組織現況以及預期的目標，據此找出差異與最急需加強的部分，然後導入C/P值最高的方案(Cost-Effective)。當然，我並不是說不要去考量深層的問題。只是這些深層的問題要不要解，要怎麼解，憑據的依舊是針對自我組織所考量的結果，而不是所謂的治本還是治標。

Key Logger，簡單來說就是紀錄鍵盤打字的紀錄，這些鍵入的文字通常包含帳號，當然也包含密碼。Key Logger我們比較熟知的軟體的形式，可能是木馬，也可能是rootkit，只要它能夠記錄這些鍵盤的使用即可。因為問題的嚴重性，所以目前也有不少的產品可以用來偵測這類軟體的存在。此外也有一些其他的技術可以用來避免使用者敲擊鍵盤的機會，例如所謂的動態鍵盤。除了軟體之外，其實也有硬體的形式，其中有一種技術是偵測鍵盤連結線所散發的電磁訊號。而最新的偵測手法，則是利用雷射光的技術，將雷射光打到鍵盤上去偵測鍵盤的敲擊。這類技術最大的好處是成本便宜，而且在較遠的距離外就可以加以偵測，缺點是必須在目視的情況下才能加以進行(因為雷射光要目視的條件才能照射)。另外一種技術則是透過電力線偵測鍵盤的敲擊，而這技術所允許的距離更加遙遠，甚至可以在無法目視的情形下加以進行。惡意分子不需目視就可以進行偵測，也就表示被偵測的人無法看到對方，更增加了成功的機會。好在這個偵測方式目前僅能針對PS/2介面的鍵盤，算是不幸中的大幸，不然就真的只能把電腦關掉才能保護自己的資料了。 相關連結： Sniffing keystrokes via laser and keyboard power

SANS 於上周一公布了一份稱之為 Consensus Audit Guidelines (CAG) 的草案。這份集結各方資安專家(包含 NSA 的 Red & Blue Team、US-CERT、DoD與其他官方/民間的團體)意見的草案，主要希望列出資訊安全中最重要的20種控制措施，讓相關從事人員能夠有一個明確的指標可以知道有哪些事情需要去落實，又如何可以確認落實的程度。所以其中的15種控制措施，都可以也應該用自動化的方式，不斷地加以確認落實的程度。當然，除了可以當作從事人員的行動準則，同時也可以當作稽核的依據，所以稱之為 Consensus Audit Guidelines。 這20種控制措施分別為： Inventory of Authorized and Unauthorized Hardware. Inventory of Authorized and Unauthorized Software. Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers. Secure Configurations of Network Devices Such as Firewalls and Routers. Boundary Defense Maintenance and Analysis of Complete Security Audit Logs Application Software Security Controlled Use of Administrative Privileges Controlled Access Based On Need to Know Continuous Vulnerability Testing and Remediation Dormant Account Monitoring and Control Anti-Malware Defenses Limitation and Control of Ports, Protocols and Services Wireless Device Control Data Leakage Protection

根據 McAfee Avert Labs 提供的消息指出，有攻擊者利用 Google Trends 的功能，找出目前最流行的100個查詢關鍵字。之後則針對排行在這些關鍵字前面的網站，找尋目標網站進行複製的動作。複製之後，要如何讓自己出現在關鍵字的查詢結果畫面中？當然不是靠買 Google 的廣告。靠的是利用大量被控制的網站，將假網站的連結注入這些被控制的網站中。 因為 Google 搜尋引擎的排行方式，有一大部分的比重來自於其他網頁連結過來的數量，所以大量被控制的網站注入假網站的連結，表示這個假連結的排行就可以急速衝高。除非使用者本身是查詢一些如破解軟體或非法下載的關鍵字，所以會因為預期這些網站不懷好意而多加小心，否則一般使用者對於 Google 的搜尋結果(尤其是前幾筆的資料)通常不會加以懷疑。再加上網頁已經複製的跟原來網站一模一樣，使用者很容易就陷入了陷阱。陷入陷阱之後呢？當然就是任人宰割了。 當然， Google 不可能放任這類的問題發生。因為這個問題不但對使用者產生安全上的威脅，也使得 Google 搜尋結果的有效性受到很大的干擾。即使沒有危害使用者的行為發生，光後者就足以讓 Google 抓狂了。因為這樣就不需要跟 Google 買廣告，跟駭客買可能還比較實在。便宜，而且又是出現在搜尋結果，而不是會被很多人自動忽視的廣告區。所以 Google 同時透過自動跟手動的方式把這類網站從搜尋結果中加以移除。不論如何，多保持警覺性依舊是最基本、也是最有效的防範之道。 相關連結： Crooks use "trendy" tactic to poison Google search results