前一陣子Linux之父-Linus Torvalds針對部分過於強調以安全為名的人士之批評,引起了不少的爭議與討論。數日前Torvalds透過Email向Network World做了進一步的說明。
他認為目前兩股主要的勢力,不管是將安全性議題大肆發表以爭取吸引的目光,或是將安全性議題的相關資訊封鎖以避免產生危害都屬於太過極端的做法。即時的錯誤修正本來就是廠商該做的,而不應該跟屬不屬於安全性議題有關。所以,建立一套良好的回報、處理與修正機制,才是真正該做的事情。
他也再次強調他認為將安全性議題與修正特別標示出來並沒有實際的幫助。
這次,Torvalds的口氣似乎平和了許多,也讓我們見識到他務實的一面。當然,我們不能以偏概全,硬說所有的人都屬於Torvalds所說的那兩類。畢竟,每個人即使有類似的行為,其背後的動機也可能很不一樣。但是,就像很多事情一樣,做的比說的更重要。如何"做"好安全比如何"談"好安全更形重要,至少在開發Linux這樣實際且複雜的系統時是如此的。
cyrilwang 發表在 痞客邦 留言(0) 人氣(18)
密碼,在安全機制上扮演一個極為重要角色的老朋友,也是大家幾乎天天都會用到的技術。密碼雖然很方便,但是同時也有很多問題存在。其中一個最常被談到的議題就是密碼本身過於簡單,以導致輕易地被惡意人士猜出。另外一個就是如何安全地存放密碼的議題。存放的議題主要發生在兩個地方,一個是使用密碼的人,另一個用來檢查密碼的系統。如果其中一方沒有保管好密碼,那麼選擇再好的密碼都沒有用。有關這些議題,已經有太多相關的資料加以討論,在此我不多贅述。倒是前幾天the New York Times發表了一篇文章,認為密碼應該被全面淘汰,改用Information Card這類較安全的驗證機制。理由很簡單,因為即使你選了再好的密碼,因為目前大多認證機制與流程的不良,所以還是一樣不安全。
基本上,大部分的說法我都能理解與接受。密碼使用上確實存在很多問題,但是其中包含技術性與非技術性的原因。用文章中舉例的Information Card機制,甚至是更安全的雙重因素驗證(Two-Factor Identification),也僅能解決技術性的問題(通常還不是完全解決),對於非技術性的問題可就沒多大的效用了。而且採用了新的機制,通常也會伴隨衍生新的問題,這個就是所謂的二次風險。至於文章中提到的另外一項SSO(Single Sign-On)技術-OpenID,那就更不用說了。因為SSO的Sign-On本身要怎麼做才不會有弱點,還有不同系統之間怎麼安全地傳遞身分,同樣是挑戰之所在。
所以,首先的重點是儘管密碼安全性不高,卻是目前最方便且簡單的機制。所以如果你的系統並沒有很高的安全性需求,用密碼絕對是首選。當然,這時候要搭配的是良好密碼的選擇與使用,以及安全的認證機制設計與實作。後者正是目前大家在談的Application Security的一環。但是如果你的系統有很高的安全性需求,除了採用更安全的技術外,更重要的還是整體的設計與實作。如果沒有正確的設計與實作,再好的技術也將漏洞百出。
不管是甚麼安全機制都應該遵守這些原則,那就是依據需求找出適用的方法(技術),並正確的加以規劃(設計)與佈署(實做)。當然,事後的評估與改進也是必要的。不過,那已經不在今天我討論的範圍了。
cyrilwang 發表在 痞客邦 留言(0) 人氣(152)
今天看到一篇文章,內容講的是從所謂卡神楊蕙如現象所延伸的社會價值錯亂的問題。其中一個影響就是信任感的喪失,所以大家就習慣了以小人之心度君子之腹的思維,甚至成為日常生活的行為準則。我本人對於文章內的闡述相當贊同,也想到了兩件與信任有關的資訊安全議題。
首先,目前很流行一種叫做端點(Endpoint)安全的產品。簡言之,就是想辦法保護組織內所有的網路端點設備(個人電腦、筆記型電腦、PDA等等)的安全。當然,除了保護之外,也有管理(限制或監控)的功能。延伸來看,管理的目標其實不只是這些端點設備,更是端點設備的使用者。以前大家都很在意駭客的攻擊,現在企業更擔心來自內部使用者有心或無意的行為而影響了資訊安全。雖然大部分的數字的確證明多數資安事件的發生與造成的損失都來自於內部因素,但是這樣的產品也正式宣告企業對於員工的信任已經受到廣泛的挑戰。從前只有一些特定的重要資料或系統會執行嚴格的監控控制,現在則已經延伸到幾乎所有的行為與操作。這對資安產品的廠商來說當然是一件好消息,但是對員工來說可不是這樣了。不過,我個人認為適當的管制措施是必要的(所謂的適當是因時因地因公司而異)。只是,要如何讓善良的員工了解其必要性,進而主動加以配合,這個是比單純的選購與部署產品來的難多了。但是就像導入所有資訊系統一樣,這是確保成功的最重要因素。也就是讓員工信任公司這樣做並不是因為公司不信任員工,而是為了保護公司與員工本身。
第二個相關的議題就是很多專業的證照,都有遵守相關道德規範的要求。當然,這些要求除了書面的考題以外,往往就是一個打勾確認的動作。既然看起來這麼沒約束力,那麼到底為什麼要花心力去做這些看不到明顯效益的事情。我想,專業是需要客戶的信任,而專業的證照更需要客戶的信任以維持它的價值。要取得客戶的信任,就應該遵守所謂的職業與社會道德,不就是這麼簡單。你通常會希望跟一個很專業卻沒有道德的人合作,還是有道德也具備一定專業程度的人合作?這點對於資訊安全從業人員尤其重要。因為資訊安全從業人員所做的事情外界本來就比較難以了解,再加上對系統或架構擁有較深入的了解與更高的權限,如果真要做壞事,還真是不容易預防與察覺。所以,企業在從事資訊安全從業人員的招募時,自然會進行比較嚴格的背景審查。而資訊安全從業人員更應該好好愛惜自己的羽毛,千萬別因為一時失誤,而做出了違反職業或社會道德的行為,影響了自己的Credit。當然,有時候要維持道德的行為是很難的,甚至道德本身也有不同的詮釋。不過,維持道德是我們基本的底線,也是最重要的行事準則。否則一旦客戶失去了對你的信心,也失去對其他安全從業人員的信心,甚至是你所擁有相關證照的信心。正所謂任重而道遠,互勉之。
相關連結
看楊蕙如現象背後的社會價值
cyrilwang 發表在 痞客邦 留言(0) 人氣(53)
這一陣子,有一個還算蠻震撼的新聞,就是趨勢科技的CEO陳怡樺說了「防毒產業騙了客戶20年」這麼一句話。這一句話,不但打翻了趨勢科技自己一直以來的產品,也打翻了其他公司的防毒產品,甚至也把千千萬萬防毒軟體的從業人事一併賠了進去。這讓我想到有人也提過安全產業是最大的笑話,因為實際狀況是越來越不安全。
早期的防毒軟體確實有它的效用,但是隨著惡意程式的演進,防毒軟體的發展明顯是處於被動而落後的階段。如果據此就說是騙了20年,我想是過於嚴重了。當然,很多使用者的確被廣告的訴求給欺騙了。不過認真看來,哪一個廣告不是如此呢?當然,以較高的標準來看,廠商的確有教育使用者正確觀念的義務,但是並不是經過20年後才忽然冒出來這麼一句。更重要的是,你的解決方案呢?是不是真的就不是再一次的欺騙?你要用甚麼說服已經被你欺騙了20年的人?當然,她說是希望能夠引起注意才這麼說,不過看到大部份的反應是針對趨勢科技的批評,這個應該是她始料未及的吧。
在另外一篇的專訪中,我看到她過於強調雲端運算這個最近已經被吵到發燙的名詞,讓人不禁懷疑是不是又是另外一場騙局。雲端運算本身,並不是防毒專屬的技術。我相信它應該最多只是防毒機制的配角,真正的主角還是用甚麼機制/演算法來偵測或防堵惡意程式的感染。就算現在的機制必須透過雲端運算來提供服務,但是那並不保證你們的解決方案就可以有效解決惡意程式的問題。透過URL+雲端運算的方式有沒有效,其實不需要自己再次在那邊自吹自擂,直接推出產品證明產品的效用最是實在。尤其是當你已經失信於客戶一次了,在那邊繼續講還有用嗎?直接拿出證據來吧!事實上,很多廠商或團隊都不斷在嘗試用新的方法來對抗惡意程式,也沒有用到所謂雲端運算的技術(其中今年的SyScan就有幾場相關的演講
cyrilwang 發表在 痞客邦 留言(1) 人氣(473)
被尊稱為Linux之父的Linus Torvalds前一陣子針對PaX Team的指控做出了反擊,PaX Team指控Torvalds與其他人對於程式的Bug沒有針對其安全性危害做出分類與警告。Torvalds則認為找出Bugs已經足夠,並不需要特別去強調安全性的問題。其他跟安全不相關的Bugs,數量甚至更多,也同樣需要加以修正,而過於強調安全性的Bugs其實並無助於解決所有的Bugs。他以為目前很多以做安全為名的人,誇大了安全的議題,甚至只是利用發現安全性的弱點來增加自己的知名度。他也提到了OpenBSD過於強調安全性,並且用了很不好聽的形容詞去描述其開發團隊-a bunch of masturbating monkeys(一群自己爽的猴子)。
cyrilwang 發表在 痞客邦 留言(0) 人氣(199)
前一陣子我談到有關Scan發表了一篇對於 OSS (開放源碼軟體)的安全性檢測報告,基本上整個方向大致上是正面的。不過這兩天另外一家應用系統與程式安全的公司 -Fortify- 發表了另一篇的報告,其內容對於OSS的安全性則有完全不一樣的見解。
這篇報告提出了三個觀察到的現象:
1. 沒有提供與資訊安全專家聯絡的方法及相關訊息 (Failure to Provide Access to Security Expertise)
cyrilwang 發表在 痞客邦 留言(0) 人氣(703)
DNS,對一般網路的使用者來說是個很陌生的名詞。但是幾乎所有網路/系統管理者都聽過,甚至管理過這個服務伺服器。它這麼知名的原因,在於沒有它,現在的網際網路大概沒幾個人願意使用。透過它,我們才能方便地使用像是g.cn這樣的名稱來對遠端的伺服器進行連線。它算是網際網路運作中一個很基礎也很重要的服務。雖然這個服務對管理者來說並不陌生,其運作原理也不算複雜,但是事實上很多DNS服務器的設定存在著不少問題(不安全、甚至是錯誤的設定)。而這個服務利害的地方在於,就算是存在一些不正常的設定,運氣好還是可以正常運作。運氣差一點的,就是不能運作。運氣最差的則是出現網路/服務不穩定的現象,因為這類問題很少人會懷疑到實際上是根源於DNS的錯誤設定。事實上,我在幾年前遇到一個曾在台灣知名網路公司服務過多年的人。當時因為網站不穩定,所以我請對方檢查DNS的設定,但是對方一直堅持不是DNS的問題。為什麼我會這樣懷疑,因為我從外部的查詢出現了好幾個192.168.x.x的設定。看到這些資料,就像我剛剛說的,運氣好還是可以運作,只是我認為我的運氣一向不太好。
也正是因為在種種原因互相作用之下,一直以來它都是網路攻擊的主要目標之一。Cert-US在這個月初公布了一個有關DNS的最新弱點-DNS Cache Poisoning。這個弱點獨特之處,在於它不是因為某個DNS產品的實作不良,或是管理者的設定錯誤而造成的。其發生的原因在於當初設計的DNS協定出現了瑕疵,可以讓攻擊者透過假冒的回應而感染DNS伺服器的快取。DNS伺服器的快取遭受感染會發生甚麼事?甚麼事都有可能發生,你可能會在攻擊者的網站輸入信用卡卡號,你可能會在攻擊者的網站貼上原本只供自己欣賞的自拍照...。而這個攻擊比釣魚網站攻擊更具威脅的原因在於你看到的網址並不是"很像"而已,而是一模一樣。當然,攻擊者也可以透過綁架網站的方式,將網站的內容置換成惡意的網頁。這樣的做法雖然一樣也可以達成使用原先受信任的網址進行惡意的行為,但是綁架網站的手續畢竟還是相對複雜。更何況DNS Cache Poisoning影響的不是只有Web服務,所有的網路服務都會受到影響。而這次的弱點也因為是DNS協定本身的問題,所以幾乎所有DNS實作都受到影響,也就是每一個DNS伺服器都有可能成為這個攻擊下的犧牲者。
因為我不想講到太技術性的東西,所以我直接附上了三個相關的網址。除了Cert以外,DoxPara的版主是這個弱點的發現者,也寫到了這整個過程的始末。另外他也提供了一個連結可以讓使用者測試自己使用的DNS服務器是否會受到這個弱點的影響。但是我使用了好幾次都出現錯誤,所以第三個網址提到一個使用dig的測試方法。在此我直接跳到Cert所公布的建議步驟 :
cyrilwang 發表在 痞客邦 留言(0) 人氣(556)
第二天的主講人包含邱春樹(Roger Chiu from Malware-Test.com)、馮祥安(Sean Feng from TrendMicro)、邱銘彰(Birdman from Armorize)、PK(PK from 警政署)、Kuon Ding(Kuon Ding from Armorize)與Nanika(Nanika from COSEINC)六位,其主講內容包含:
1. Roger - Gotcha! Most Effective Ways to Catch Malware Behaviors on Live Systems
利用偵測惡意程式常用的行為與數位鑑識的概念與方法,找出系統遭受惡意程式感染的任何蛛絲馬跡,以期發現惡意程式之存在。因為目前惡意程式通常會試著躲過某些安全軟體,甚至隱藏自己的行蹤,因此要完全根據其使用的技術加以偵測總會有遺漏之處。所以Roger透過各類資訊的收集與比對,找出不一致的地方,點出可能是惡意程式存在的證據。但是因為很多牽扯到作業系統核心資訊的收集與解析,這方面是有很高的難度。原因在於微軟的作業系統並沒有提供各式資訊的資料結構說明,所以必須靠逆向工程的方式去找出資料的意義。
2. Sean Feng - Enbedded Script Attacks
介紹目前將程式碼內嵌於各種檔案格式的攻擊方法,並試著偵測出已經被內嵌惡意程式碼的檔案。目前內嵌程式碼的攻擊目標包含可執行檔、多媒體檔與文件檔,可透過程式本身的執行能力或是處理檔案的應用程式臭蟲而達到執行程式的目的。這類惡意程式碼本身主要功能為連上網路下載真正的惡意程式,所以內嵌的惡意程式碼不大,也不會產生其他惡意行為,所以很難被現有的防毒軟體加以偵測到。因為光靠下載網址或是下載檔案的內容很難有效判斷是否為惡意程式,因此Sean利用這類程式都會動態找出下載檔案API記憶體位址的動作,試著去找出惡意的內嵌程式碼。雖然這樣的方法可以面對現在大多的內嵌惡意程式碼,但是當惡意程式發現此一偵測方法,如果有其他的實作方式,就有可能造成判斷的失效。此一技術目前還在Lab階段,並沒包含在TrendMicro的正式產品中。
cyrilwang 發表在 痞客邦 留言(0) 人氣(284)
第一天精彩的六場演講分別如下
1. Adam Laurie - Hacking RFID Without A Soldering Iron
Adam Laurie是Apache SSL的作者之一,不過這次他講的跟SSL沒有任何關係,是RFID(含Smartcard)的安全。首先他放了一段他在飯店破解飯店房間保險箱的影片,成功的吸引了大家的注意力。之前破解RFID的方式,很多都是利用一些"特殊的裝置"去破解。儘管這樣的方式的確成功破解了RFID,但是RFID的廠商硬說因為不是複製出"一模一樣"RFID裝置,所以還是可以被發現而不算真正破解。當然,在有些時候,RFID裝置的外觀的確也是判斷的條件之一。但是在以設備為主的自動化環境下,外觀其實並不是一個檢查的項目。儘管如此,Adam硬是利用自製的破解工具,將RFID複製到另一個一模一樣的裝置上,連外觀都無法判斷。另外他也談到ePassport的安全問題。展示部分則是繼操作了他自製的破解工具與程式,成功將RFID複製到另一個裝置。另外一個展示則是讀出ePassport的資料,並加以修改。雖然ePassport有經過加密,但是因為CA也寫在ePassport內,如果沒有檢查CA的有效性,還是有可能遭受竄改而不知。本來Adam還想展至讀取晶片卡內的資料,不過現場取得的晶片卡,似乎不太合作。Adam稱他的破解工具可以在數十公分的距離內讀到RFID裝置的資料,讀到之後要做甚麼?應該不用我說了。
2. Fyodor Yarochkin - Cooperative Offensive Computing / Abusing XMPP infrastructure
Fyodor是snort與xprobe的作者之一。因為Fyodor工作之一是進行滲透測試,所以他也順道開發了一個這樣協同式攻擊的工具。簡單來說,這樣的協同式攻擊跟一般單機攻擊不一樣的地方在於這些散布各處的攻擊點(Fyodor稱之為drone)之間怎麼溝通與做資訊的交換。所以Fyodor利用了XMPP這個協定,再加上Jabber這個伺服器,達到難以被追蹤的目的。而其使用的Jabber伺服器,可以自建,當然也可以找網路上開放(有意或無意)的伺服器。想當然爾,我個人猜測應該是不太可能自建(在自己的機器)。而這些蒐集到的資訊,可以透過特定語法加以查詢。其後端使用的技術是Knowledge Machine,而前端就是使用支援Jabber協定的界面(例如GTALK?)。當然,他應該也可以透過這樣的方式去執行特定的動作,以期獲取更多的資訊或...。另外他也成功將Jabber伺服器的服務隱藏起來,目的為何請自己想。最後,Fyodor因為看到Adam的議題,順道做了一個RFID的小展示,不過就跟原先的主題沒有任何關係了。老實說,Fyodor的口音很重,整場聽下來幾乎是邊看投影片邊想像。不過神奇的事情發生在他回答聽眾問題的時候,他忽然冒出了幾句的中文。雖然中文也有些口音,不過至少比英文聽得懂。那...為什麼他不直接用中文講呢?是怕其他外國講師聽不懂嗎?
cyrilwang 發表在 痞客邦 留言(0) 人氣(108)
這次SyScan在台北舉行的年會,看了現場的報告編號,大概有4,5百人。老實說,不只主辦單位自己覺得很意外,我也覺得很意外。因為這是技術導向的年會,在台灣有這麼多人搞資安的技術嗎?而且這是要付費的活動,也不太可能光是因為興趣而參加。不過我看了身邊的人,有不少似乎還是學生(所以應該是用人民的錢),另外一些可能就是公司強迫的了。因為第二天,坐在我身邊的老兄竟然拿了一本簡體中文的書在看...第二天都是國產的講師耶,不但看還看到打呼。
KeyNote是由主辦單位之一 - 阿瑪科技(Armorize)的CEO黃耀文(Wayne Huang)主講,講的是亞洲在資安市場的特殊地位。尤其因為兩岸的特殊環境,更因此形成了資安問題的主要戰場。對使用者來說,的確是一件壞消息。但是對資安廠商而言,尤其是本地化的資安廠商,倒是一個比較正面的消息。當然,這樣的條件並不保證在地的資安廠商就能順利取得優勢,還是要靠其他方面的努力才行。
兩天的主講人各有六個,其中第一天以外籍兵團為主,其中有五場是講英文。老實說,有些人講的英文因為腔調的關係,聽的過程還真是囫圇吞棗,還好Wayne適時體貼的做了重點的翻譯,也讓大家能夠更加了解主講人的意思。
不過在議題安排上,我個人認為有些可以再改進的部分。
cyrilwang 發表在 痞客邦 留言(0) 人氣(42)
