就是資安

本文介紹如何利用Eclipse+XDebug進行PHP的開發工作，以及如何設定為支援本機及遠端除錯的環境。步驟雖然很多，但是重要的地方我都有圖式說明，應該不會很困難。加油囉！

準備所需軟體

下載 Apache HTTP Server 2.2.11。 下載 PHP 5.2.8。 下載 JRE 6 Update 11 (Eclipse需要JRE才能啟動，如果已經安裝JRE或是JDK則可以省略此步驟)。 下載 Eclipse PDT 2.0。 下載 Xdebug 2.0.4。

在前一篇(更新-說的比做的容易多了)我們談到有關電腦系統更新的問題，而在這篇我要介紹一些可以用來解決(至少是部分解決)電腦更新問題的工具。在介紹之前，我先說明這類工具都有兩個最基本的問題，一個是沒辦法找出”所有”必須更新的程式，另外一個就是沒有辦法自動幫找出需要更新的應用程式進行更新的動作。 Secunia Personal Software Inspector 推薦指數：★★★☆

在我之前的文章-Metasploit 初體驗-中，我們看到一個未經更新的系統，多麼容易就遭受到惡意份子的入侵。又在一份由Secunia所發表的報告中，顯示只有不到2%的電腦，是處於”完整”更新的狀態。更新，更新，更新！這個已經喊了多年，而且已經擁有許多自動化機制執行的功能，為什麼還是有這麼多電腦沒有辦法落實呢？ 首先，我們必須知道目前的攻擊手法，已經從早期的作業系統，延伸到應用程式本身。當然，目前的趨勢是繼續朝攻擊應用系統的方向衍伸，但是這個部分產生的議題遠不只於更新而已。而目前自動更新機制，大多是作業系統自己的更新。以微軟來說，它可以更新作業系統，也可以更新它銷售的其他程式工具。但是對於電腦內所安裝的非微軟牌軟體，可就沒有任何更新的機制可以加以保護。而對於Linux而言，如果你是透過套件(RPM)的方式加以安裝，可以使用自動更新的方式。而自行下載安裝的程式，同樣無法提供保護。

當這幾天國內為了戰國策的資安事件沸沸揚揚時，其實國外發生了更大的一件事，那就是包含VeriSign在內的六家CA，所配發的憑證存在著安全的弱點。這次的事件，影響的範圍包含了世界各地的網際網路使用者，影響相當大。而事件發生的主因其實很簡單，那就是產生憑證所使用的其中一個演算法-MD5-有所謂的碰撞(MD5 Collision)問題。 在解釋MD5碰撞之前，我先稍微談一下憑證這個東西。憑證最常被大家所熟悉的應用就是當在網路上進行重要的行為時(如線上購物)，廠商用來確保傳遞資料安全性的一種機制。如果再說簡單一點，當你看到一個網址是https開頭的，就表示這個網址採用了憑證加密的方式。其實，以目前來看，幾乎所有的網站，只要是有會員機制或需要填寫個人資料的，幾乎都使用了憑證。除了網站的應用，另外一個常見的應用就是使用政府電子化服務所使用的自然人憑證。 而MD5正是憑證機制所使用的一個演算法，主要的目的是為了計算所謂的雜湊值。所以MD5這類的演算法，通常又被稱為雜湊函數。除了MD5，像是SHA系列的演算法，也是屬於這類。而雜湊函數，簡單來說，就是把一大串的資料濃縮成一小段的資料，用這一小段的資料來”代表”原先那一大串資料。這樣濃縮的過程，必須是無法逆向運算(跟要求可逆的壓縮不同)，我們稱之為單向的凾式(One-Way Function)。除此之外，這樣的機制要有效運作，理應每個不同的一大串資料，都必須有自己獨特的一小段資料來加以代表。如果有兩個不同的一大串資料都用同一個小串資料來代表，由於無法逆向運算的關係，我們將無法得知當初的資料到底是哪一個。而這樣的現象一旦發生，我們就稱之為產生碰撞。也就是說惡意分子可以利用碰撞的特性，用完全不同的一大串資料來假冒真正的那一大串資料。

從去年爆發的經濟風暴，至今依舊看不到底。雖然有少數人樂觀的預測到今年第二或第三季就可以好轉，但是也有人認為需要兩到三年後才會開始復甦。不管未來如何，在可見的這段時日，狀況只會越來越差。越來越多的公司經營困難，而大幅裁員的結果造成更多的社會問題。 但是在這百業蕭條的時日，仍舊有一些所謂逆勢成長的產業，其中一個是補教業。因為大家都擔心失去工作，所以想要利用加強自我的方式提升就業競爭力。那麼對於平常就處於”揀”預算的資安產業呢？連IT預算都大幅刪減了，IS的預算能夠倖免嗎？相當然爾，正反意見都有，有人預測會下降，有人則說會上升。 不管如何，既然身在這個產業，總是要面對問題。所以，廠商的因應之道，除了更注重整體解決方案的成本效益(ROI)外，也要降低進入的門檻。例如，原先計畫導入ISMS的客戶，就改成重點式的導入。實際的方法包含可以縮小範圍，甚至只針對特定部分做顧問諮詢。而後者，就看對客戶而言，所面臨最嚴重且急迫的威脅是甚麼，然後對症下藥。

這幾天一個很夯的新聞，就是號稱國內最大的代管主機服務商戰國策，發生了客戶資料在Google的查詢結果中被一覽無遺(請參見-戰國策爆發客戶資料外洩事件)的個資外洩事件。各式各樣的報導與批評，迅速散布於各大大小小的網站。內容不外乎是發生這類事件太過離譜，戰國策處理的方式不夠積極有效，也沒有負責的態度。另外也有人提到，如果事情發生在某某國家，戰國策會被告到倒閉。而對於受到影響的客戶，一致的說法都是覺得不可思議、沒想到。是的，戰國策有很多需要改進的地方。但是今天我要從一個完全不同的角度去看這個事件，那就是那些直呼不可思議的受害客戶，你想過你有甚麼錯嗎？或者換個溫和的方式，你知道你有哪些該盡的義務沒有盡到嗎？ 針對戰國策這家公司，我個人在104人力銀行的網站觀察他們求職的資訊接近一年的時間。人力的需求一直以來都不少，但是實際觀看求才的內容，技術方面的人力都還是IT/網路相關的技能。最近，更轉換成以業務人力需求為主。有關資訊安全人力的需求，根據我的觀察，一直以來都是0。有的話，也是屬於工作內容的一小部分。看看他們對於技術長的需求就可以了解我所說的。

今天在跟多年前的一個主管聊天時，他告訴我一個有關資安的笑話。 他說有一家推廣SaaS (Software as a Service)的公司到一家醫療機構去推銷。大家都知道，醫療院所有很多患者的個人資料，而這些資料都是相當的機密。如果不能善加保護，不但會受到處罰，而且對院所的形象影響很大。而SaaS在安全上的一個問題，就是資料本身如何受到保護。又資料儲存地點對於資料保護的法規可能跟資料擁有者所在地的法規不同，所以使用者要確認的是符不符合自己的(保護)需求，而不單是聽廠商自己的說法。所以這個客戶的承辦人員就回了：「我們的資料都很重要，我怎麼知道資料送到你們那邊會不會發生甚麼事。」姑且不論這個是阻擋廠商繼續糾纏下去的藉口，還是真的有所擔心，我個人覺得並不算過分。但是…奇妙的事情馬上就隨即發生了。就是有一個年輕人，利用旁邊的電腦，並在兩人的見證下，透過隨身碟帶走了一些資料。廠商覺得很不解，就問說那個人是誰，他在做甚麼？結果承辦人員回答得還真妙，他說他也不認識那個人，更別說知道他到底幹了甚麼？ 這樣保護客戶資料的決心，你聽了之後是覺得會心一笑，還是想趕快問到底是哪家醫療院所？我想這個問題最根本的原因，就是沒有明訂資料的擁有者與保護的執行者為誰，或是兩人的權責不清。兩人對於保護資料都有直接的責任，而責任當然就必須對應到獎懲才會有其效果。 資料擁有者(通常是老闆或是單位主管)必須知道資料需要何種的保護，並據此決定一些相關的保護措施(或是由資訊安全人員提供建議)，而實際的操作則交由資料保護的執行者(例如DBA)。往往資料擁有者因為工作繁忙，會將規劃安全機制的任務交由其他人員代理，這個人我們稱之為Custodian。不論是不是透過Custodian，資料擁有者保護資料的責任都不會消失或轉移。而Custodian或是資料保護的執行者，其責任應該只包含交付的部分，而不是資料的本身。例如DBA必須保護資料庫內客戶資料的安全，但是如果是工讀生透過CRM系統取得並帶走客戶資料，往往就不是DBA的責任。這個例子當然比較不會有爭議，因為通常DBA是一個獨立的角色，而且其負責的部分很明確(就是跟資料庫相關)。但是對於其他角色(如系統管理者)就沒這麼好運了。

去年在一次的機會中，我看到一家正在推動ISMS(ISO 27001)認證的公司，在會議室的桌上放了一個小立牌。上面寫了一些有關資安的標語，以及其資安的目標。其中一個目標是「每個員工每年至少接受30小時的資安相關訓練」(時間我忘記了，不過那不是重點)。看到這句，我當下的反應是笑了出來，這家公司找的顧問是不是太混了點。 首先，這句話應該是評量的指標，而不是目標。目標指的是你的目的，但是我實在不知道哪一家公司的目的會是讓員工受訓。所有公司進行員工訓練，就算不是希望透過加強本質技能以有效進行工作上的任務，至少也是滿足遠足員工追求成長的心態。如果真是為了受訓而受訓，那公司倒不如把錢拿去丟在許願池還可以許不少願望。 而指標就是為了評估達成目標的”程度”，可分為量化與非量化兩種。通常，我們會希望選擇量化的指標(也就是可以用數字顯示的)，因為這樣指標的比較較為客觀。當然，量化指標的比較結果要有效而且客觀，就必須找出有意義的指標。以這個例子而言，雖然是一個量化的指標，但是卻沒有任何實際的意義。簡單來說，如果某個接受訓練的員工睡了30個小時，跟另一個員工認真聽了30個小時的員工，達成目標的程度都一樣嗎？當然，評估上課時數很簡單，但是卻一點意義都沒有。 其實，這個就是長久以來ISO(或其他類似認證)為人詬病的部分。他只能規定你要用做到哪些項目，但是怎麼做、做到甚麼程度，它沒有辦法限制。這部分通常就是顧問的責任，而一般的顧問往往就是套表、套表、套表。套表的結果可想而知，就是一堆最基本、最保險而且最不實用的方法。不過，我個人倒不認為這應該算是ISO的錯，因為ISO本身本來就無法而且不適合用來規範要怎麼做。而這樣的問題是因為客戶跟顧問之間，沒有達到足夠的共識(對資安有真正助益的共識)所造成的。 當時我好心的提醒了那家公司負責推動ISMS的主管，他說他知道，但是以後再來改進。說的對極了，ISO本來就是強調PDCA不斷改進的流程。但是，我真正想了解的是，對企業而言，不斷改進是執行時的精神，還是已經變成了導入不適用措施時推託的藉口。

有一部多年前的片子，至今我看過許多遍，可說是百看不厭。片名是Crisom Tide，中文片名叫做赤色風暴。片子由兩大男星(Gene Hackman及Denzel Washington)在一個狹小的空間(潛艦)飆戲，除了演技也沒甚麼可以看的了。故事內容是說一艘潛艦在一次受到敵方攻擊的意外中，接收到了上級傳送一半的指令。而面對敵人的威脅，潛艦內兩位最高軍階的軍官(艦長跟Lt. Commander)因為意見相左，而產生了嚴重的衝突。當Lt. Commander將艦長制服並加以軟禁時，只要求了艦長交出一把鑰匙。這把鑰匙有甚麼作用，它是用來啟動核子武器的。但是，光有艦長的鑰匙，其實並不能啟動核子武器，還必須同時擁有Lt. Commander身上的鑰匙才行。這樣的一個機制我們稱之為Two-Man Control，通常是用於需要高度安全的任務上，必須同時讓兩個或多個擁有權力的人同時執行才能生效，以避免(減少)產生人為弊端。對軍方而言，核子武器的使用，是一件極為重要的事情。稍有不慎，不只賠上國家的形象，更有可能引爆毀滅性的報復或是大規模的戰爭。另外像是銀行的金庫，也可以使用Two-Man Control這樣的機制，進一步確保有價物品的安全。

這幾年NAC的話題性熱度越來越高，相關的產品也越來越多。從Cisco、Extreme Networks等網路設備廠商，到Symantec、McAfee等防毒軟體廠商，大大小小的廠商陸續推出NAC產品，只為了搶得商機。 NAC的主要目的包含身分與網路資源存取管理、資安政策的落實以及避免遭受0-Day的攻擊。不過以0-Day的攻擊而言，NAC其實並不是一個很有效的管制方法。簡單說來，NAC就是為了確保(內部)網路環境的安全。跟傳統上為了保護內部網路而佈署的防火牆或防毒牆等設備是不一樣且互補的。換句話說，NAC正是因為內部管控議題的延燒而受重視，而且不只是技術面的問題，更是管理面的問題。 面對龐大種類的NAC產品，有一些特性是需要特別注意的：

Pre-admission and Post-admission：Pre-admission是指在設備使用網路前就先進行存取的管理，也就是決定設備是否可以使用網路。而Post-admission則是指設備連上網路後，控制設備可以使用的網路資源或網路行為。

Agent vs. Agentless：有些機制需要在被管控者的設備上安裝代理程式(Agent)，有些則不需要。使用代理程式的機制，因為可以取得較詳盡的資訊，也可以作較多的控制，所以通常擁有較高的彈性與管理功能。但是在部署上的複雜度較高，以及整體效能上也通常較差。而無代理程式(Agentless)通常需要網路設備的配合，以達到管理與控制的功能。

Inline vs. Out-of-Band：Inline指的是管理機制本身的機器是網路的組成分子，例如交換器或是內部使用的防火牆。而Out-of-Band的機器則是外加於原先的網路架構。Inline的方式因為可以直接管理與控制所有的網路流量，所以可以達到更好的功能。另外也可直接整合於網路架構中，特別適合新建構的網路。Out-of-Band的方式，在佈署上需要特別注意的是是否有架構上的限制，例如需要搭配支援802.1x或是VLAN的設備。

Fail open vs. Fail close：也就是說當NAC機制失效時，網路的存取權限應該是開放給所有人還是全部拒絕？對Out-of-Band的機制，失效時雖然不會影響網路本身的運作，但是是Fail open還是Fail close才是需要特別注意的議題。

NAC在面對沒有存取權限的設備時，可以使用VLAN隔離、ARP導向等方式讓該設備無法正常的使用網路。相較於ARP導向，VLAN隔離因為是從設備上面著手，比較不容易產生漏網之魚，但是需要搭配支援VLAN技術的網路設備。