在前一篇的文章 - 用民主表決的方式增進軟體開發的安全性 - 中,我們提到有人利用投票評分的方式,希望可以增加系統的安全性。這個作法可以用在規劃的階段,至於其他階段,當然有其他更適用同時也更複雜的做法。其中程式碼的檢測,屬於後面開發階段所適用的工具之一。嚴格說來,這類檢測應該稱之為程式安全檢測(Application Security Testing),而不是程式碼檢測。 程式安全檢測通常可以區分為兩種,一種是靜態的(Static Application Security Testing, SAST),另外一種則是動態的(Dynamic Application Security Testing, DAST)。靜態跟動態最大的不同之處在於動態的分析方式是讓程式處於執行狀態 (runtime),而非靜止的情形 (non-runtime)。當然,有越來越多的技術會將兩種方式加以整合。因為透過兩者的交叉分析,不但可以互補以達到更好的檢測效果,同時也可以降低 False Positive 的比例。
- 2月 27 週五 200922:39
[Gartner MQ] 靜態程式安全檢測市場報告
- 2月 25 週三 200923:27
用民主表決的方式增進軟體開發的安全性
這幾年來,應用系統的安全受到很大的威脅。駭客攻擊的目標,已經從網路、作業系統、網路服務,一路"提升"到應用程式本身。不論是商業的產品、Open Source的軟體,甚至是自行開發的程式,都無法倖免。尤其是Web應用程式,更是駭客眼中的天堂。為了因應這些問題,就有所謂的SSDLC/SDL。SSDLC/SDL除了希望讓開發出來的系統本身能夠具備足夠的安全性外(如不會遭受SQL Injection攻擊),更希望可以確保系統在運作時符合相關的安全性需求(如確保資料不會被不相關的人所讀取)。 軟體工程的東西,本身就很複雜。再加上安全來參一腳,複雜程度可見一般,看Microsoft SDL的示意圖就知道了:
- 2月 24 週二 200920:05
別讓你的羊被員工給順手牽走了
在由 Ponemon Institute 針對945位離職員工所做的研究報告中顯示,有高達6成的員工自承在離開公司時候帶走了一些不該帶的東西。這個數據其實比之前另外一份由 Cyber-Ark 所做的研究還低,那份研究所顯示的比例高達88%。不同的是, Ponemon Institute 的研究對象不侷限於 IT 人員,而包含了各種不同職務的員工。所以,IT 人員比較邪惡,還是 IT 人員比較勇於認錯?原因不可而知,但是可以確定的是企業對於這個問題的嚴重性,是應該加以好好加以面對的時候了。 說到好好加以面對,其實相信離職員工不會搞鬼的企業只有3成左右,其餘7成不是不確定就是直接表達不信任。弔詭的是卻有超過一半的離職員工,還可以在離職後繼續存取公司資料長達一天以上的時間。而在一周後還可以繼續存取的,比例也有20%。顯示企業對於此問題的認知與處理腳步,還有相當大的改進空間。 研究中有另外一個有趣的發現,就是這些被帶走的資料,最主要的使用方法是透過電子郵件與紙張。電子郵件應該沒甚麼爆點,但是在家家有網路的21世紀,既然紙張還是主要的資料外洩管道!其實,認真思考這個倒也沒甚麼好驚訝的。因為帶走資料的人主要目的是帶走資料,而不是展示技術,所以當下甚麼方便就用甚麼方法。另外,有些企業對於已經印出來的資料,可能就不屬於資訊安全團隊的管控,所以造成這類問題更難加以管理。但是不管由誰加以管控,在考慮資訊安全的時候,不能只侷限於電子形式,也不能僅止於IT/IS部門,都是必須注意的重點。甚至那些越傳統的東西,更要多費心神格外注意。
- 2月 20 週五 200921:58
男怕入錯行、女怕嫁錯郎、PaaS怕選錯網
SaaS (Software as a Services) / PaaS (Platform as a Service) 這一兩年的火紅程度,跟虛擬化不相上下。當然,秉持有一好沒兩好的原則,SaaS/PaaS再好、再火紅、再如何符合潮流,依舊不能讓我們忽視它們潛在的問題。在我之前的文章 - 你準備好降落傘了嗎? - 談雲端運算的安全議題 - 中,我們看到七個相關技術導入的安全風險。其中第七個,也可能是危害程度最大的一個,就是服務商的永續性。 在日前,一家 PaaS 廠商 Coghead 宣布因為景氣的關係,必須將原有的服務停止。碰!中獎的人第一時間的反應可能是欲哭無淚吧。當然,這時候一定會有其他聞香而來的同業,打算給這些落難者一些關懷,協助他們度過難關。而更重要的事,就是讓這些受到嚴重打擊的人成為自己的新客戶。至於會不會再次成為落難者, Who KNOWS? or Who CARES?
- 2月 19 週四 200911:08
網頁過濾再進化
根據 Forrester Research 一份最新的報告,網頁過濾已經從傳統上限制存取特定網站(網頁)的功能,增加許多更先進的功能,以應付新的網路環境與威脅。這些新的功能,包含資料外洩防護(DLP)、惡意程式的攔阻、支援Web 2.0的應用。 一個重要的改變,就是網頁過濾已經從單純以安全為主的角度跨入到商業的角度,其中DLP與Web 2.0的支援就是其表現,尤其是DLP。除此之外,網頁過濾也以員工的工作效率當作考量的要項之一,而不光只是攔阻一些所謂的惡意網站。而之前單方向流量的管理也已經不足以應付現在的網路環境,需要對雙方向互動的流量一併管理,這部分對於DLP而言是很重要的。當然,移動式設備的管理依舊是一個棘手的問題,這部分需要靠其他的控制機制才能夠更有效地加以管理。 網頁過濾產品種類與功能琳瑯滿目,因此在報告中特別提出網頁過濾產品至少應該具備下列功能: URL過濾 惡意程式攔阻 內容過濾 資料外洩防護
- 2月 16 週一 200923:35
好東西可別跟陌生人分享
Peer to Peer (P2P)分享,或許很多人沒聽過。但是說到BT下載,電騾等軟體,就算你沒用過,也應該曾經聽說過。基本上,P2P分享就是希望不管是朋友間,甚至是陌生人之間,都可以直接分享所有的資料或程式。這樣的方式跟傳統上大家前往一個下載網站下載所需資料有很大的不同,以較有學問的說法,就是利用Web 2.0的精神來達到資料交流的目的。 不可諱言,當初這樣的機制能夠運行並持續發揚光大,盜版軟體與影音是兩大推手。因為所有的資料並不存在於廠商的伺服器之中,所以即使傳送的資料可能有版權的問題,仍然讓廠商有遊走法律邊緣的手段可以進行。更何況這些機制的運作,甚至往往連檔案在傳送過程中也不需要經過伺服器本身,所以對規避法律問題更是有利。而盜版軟體與影音的下載,依舊是目前大部分人使用這類軟體的主要目的。 除了在私人的電腦使用外,有不少人也會在工作的電腦使用這類軟體。原因不一而足,包含公司的網路比較快(ISP比較不會限制企業用戶的網路使用,而對一般家用網路則會限制特定服務的流量),公司的電腦開機時間比較長,公司的網路比較”安全”等等。不管原因為何,這類軟體的使用對公司造成的影響,絕對不單單是頻寬被佔用的問題而已。 首先,因為這類軟體主要是用來分享盜版的資料,所以不管是上傳或下載,都表示公司的電腦內有了盜版的資料。如果公司沒有明確的規範與控制手段,相關的法律責任可是無法避免的。其次,也是更重要的一點就是,一些應該保密的資料,也可能在有意或無意間就被”分享”出去了。 Dartmouth 的教授 Eric Johnson 日前發表一份報告 – Data Hemorrhages in the Health Care Sector,報告中提到於P2P分享網路上發現多份應該加以保護的醫療資訊,其中包含許多病人極為隱私的個人資料。除了社會安全碼、姓名這類基本資訊,一些特殊病症的病名(如AIDS)也可以找到。我們知道,不管是從法律的規範或是社會大眾的期待來看,醫療院所對於資料保護的要求是極高的。如果連醫療院所的防護都這麼不堪,更遑論其它的產業了。解決之道除了透過明確的規範與適當的限制手段外,如何從源頭保護好資料本身,避免資料可以被任意地加以開啟或儲存在個人的電腦上,其重要性也會越來越高。
- 2月 15 週日 200917:13
更新==放心?
在 更新-說的比做的容易多了 這篇文章中我談到有關程式更新的議題。其中應用程式沒有更新的原因中,有一個勉強算是原因的原因,就是原先的應用程式並沒有持續更新。在X-Force今年初公布的安全報告 IBM Internet Security Systems X-Force 2008 Trend & Risk Report 中,對此也有相關的數據可供參考。我將內容摘錄如下: 截至2008年底為至,當年度所發現的弱點共有53%的比例尚未有原廠所提供的修正可以使用。 截至2008年底為至,2007年與2006年度所發現的弱點,各有46%與44%的比例尚未有修正可以使用。顯示廠商更新程式有所謂的黃金期,過了黃金期之後獲得修正的機會已經大量降低。
- 2月 13 週五 200919:54
社群網路的善與惡
近幾年很熱門的一類網站,就是所謂的社群網站。從一般性的MySpace、Facebook,到專業人士使用的LinkedIn,以及現在熱門的微網誌之翹楚 - Twitter,可以說幾乎每個人都聽過,甚至接觸過。網路技術的發達,將工作與私人生活的界線漸漸變得模糊,而這類社群網站正是最新的推手。所以,Facebook上不但有私人的朋友,也有工作上認識的夥伴。所以,在家時可以跟工作的夥伴聯絡感情,在公司的時候也可以順帶培養個人關係。
- 2月 10 週二 200923:08
失控的存取控管機制
有設計過資訊系統的人都知道,如果該系統的使用者稍具規模,存取控管往往是一個最頭痛的問題。在存取控管的設計中,我們通常會先區分為主體(Subject)與物件(Object)兩個部分。主體通常是指使用系統的”人”,這裡的人可能包含員工、主管、甚至是其它的系統。而物件就是被存取的”東西”,包含資料、檔案、或是系統的功能。而存取控管簡單來說就是決定哪些主體對哪些物件有哪些權限。 存取控管有各種不同的形式,包含Access Control List、Access Control Matrix、Role-based Access Control (RBAC)等…其中RBAC因為將主體區分為不同的角色(Role),所以不但方便對應到現實組織的架構以管理所需權限,而且因為通常角色的數量遠小於主體,所以管理的複雜度更是大幅縮小。也因此許多系統的存取控管,其實都是使用RBAC的觀念來加以設計。但是我們都知道,現實中的故事都沒有這麼美滿。通常會使用到權限控管的系統,都是稍具使用者規模的系統,而且有更多是從原先不敷使用的系統要升級到新的系統。這種系統有一個很重要的特性,就是規畫的人一定很重視”彈性”。所以就會同時出現
- 2月 07 週六 200916:30
駭客的新工具,罰單
根據外電的報導,駭客已經開始利用假造的違規停車罰單導引受害者前往特定的網站。而這個假冒的網站,除了會下載病毒外,也會要求使用者安裝假冒的防毒軟體。報導中並沒有說明受害者受到的損害程度,但是我想那個並不是最重要的問題。因為當病毒已經下載完成,甚至連假的防毒軟體都已經安裝,能夠達到甚麼程度的危害,就端看駭客的”良心”與技術了。 其實台灣的詐欺犯也常利用假冒的法院公文或其他政府文件來達到詐欺的目的。但是這個方法,實際上並不是要你作轉帳出去這類”很可疑”"的行為。而是只要當你想要確認這張罰單的真實性與是否確為自己所擁有的車輛時,就已經遭受了攻擊。更何況,假造一個網站比假冒一個單位更加容易,也更不容易被識破(現在不少詐騙集團的電話人員很容易被套出來)。所以這類結合實體的線上詐欺行為,可以達到不錯的功效,其變形應該也會陸續出現。 這類攻擊帶來的,不只是新創意的展現,也讓一般民眾對於更多的事物必須保持警覺性。今天,連罰單都不可以相信,或許哪天連警察都不可以相信了(或是現在早已經不能相信?)。對於這類線上詐欺的行為,保持良好的網路使用習慣才是目前最佳的保護方法。 相關連結: Parking ticket leads to a virus
