就是資安

接下來我同樣透過實際的操作來測試 Dropbox 備份與同步的功能。 首先我在剛剛掛載的磁碟機內新增一個檔案，檔案名稱為”不可告人的秘密”。 檔案儲存完畢後，選擇 “Dismount” 將磁碟機卸載。 卸載完成。 

接下來我要介紹有關 TrueCrypt 的安裝與基本使用。TrueCrypt 的功能相當多，我會用到的是利用一個加密過的檔案掛載成磁碟機的方式，如此一來任何放置於這個磁碟機內的檔案就等於自動加密了。此外，TrueCrypt 雖然預設是英文的介面，但是可以自行中文化，這部分我在此掠過不談，有需要的讀者請參考最後的相關連結或是多多利用搜尋引擎了。
進入 TrueCrypt 的網站，前往下載區。
下載 TrueCrypt 安裝程式。 

這一兩年雲端運算一辭夯到不行，而其中大家最為熟悉的雲端服務可能莫過於 Gmail。除了 Gmail 外，另外一種跟一般使用者比較貼近的雲端服務就是線上備份。從以前的免費線上分享空間，到後來變成重要檔案的備份，甚至是兩者之間的結合，都可以算是雲端運算的大眾化商品。但是就像是所有的雲端服務一般 (或是網際網路的服務)，安全依舊是令人不得不堤防的議題。針對線上分享的應用，雖然也有安全的疑慮 (不然怎麼會有這麼多無X的破解圖片)，但是到了線上備份的應用後，因為備份的資料其隱密性與重要性通常更高，因此如何避免資料被其他人竊取就是一個更為重要的課題。要保護資料不被其他人所窺視，最基本的作法就是透過加密。如果線上備份的不是原始資料，而是加密過後的資料，那麼即使資料日後不小心流露出去，有心份子還是無法得知原始的內容。當然，這個條件要達成，除了要慎選加密的演算法之外，另外就是要慎選一個良好的加密密碼 (或是保護好加密用的金鑰檔案 keyfile)。
在接下來的三篇文章中，我將會利用實際的操作來展示如何利用 Dropbox 與 TrueCrypt 這兩個工具打造出一個安全且跨平台的線上備份/同步機制。首先我先介紹 Dropbox 的安裝。Dropbox 除了提供線上備份的空間外，更包含了在多台電腦之間進行同步以及檔案版本回復等功能。
連到 Dropbox 的網站，下載 Dropbox 用戶端程式。
執行安裝程式。

再談到 DDoS 之前，我們要先談到 DoS (Denial of Service，阻斷服務攻擊)。 DoS，嚴格來說其所指的並不是一種特定的攻擊方式，而是所有影響資訊可用性 (Availability) 的破壞行為。換句話說，DoS 並不以竊取機密資料 (Confidentiality) 或破壞資料完整性 (Integrity) 為主。對許多人而言，AIC (Availability、Integrity 與 Confidentiality) 中的 A 可能會被認為是其中危害最小的一個。畢竟對於大多數的 DoS 攻擊而言，攻擊過後就像沒有甚麼事情都不曾發生一樣，所有的網路、系統、程式還是可以持續運作。但是隨著人類對於資訊系統依賴程度的提高，DoS 的影響已經從原來的不便，擴大到了會造成實際金錢的損失，有時候甚至可能是生命的損失。而且可用性受到影響，往往也最容易被使用者所發現，所以對服務提供者來說，直接面對的問題就是因此導致使用者信心的流失。DDoS (Distributed Denial of Service，分散式阻斷服務攻擊) 的目的與 DoS 一樣，只是利用人 (機) 海戰術來增加破壞的成功機率。除了增加成功的機率，人海戰術也可以讓被攻擊的對象失去明確的回擊目標(這裡指的回擊不一定是技術上的回擊，更包含法律上的回擊)。 也因為這樣，舉凡任何一個資訊系統內的元件都可能是 DoS/DDoS 攻擊的目標。包含網路頻寬、網路設備、伺服器、應用程式，都是可能的對象，而且不管是軟、硬體都無法避免受到這類問題的影響。如果以 TCP/IP 協定來說，從實體層、網路層、傳輸層，再到應用層，每一層都有可能成為 DoS/DDoS 的目標。這樣看來，很多看似不相干的攻擊行為，其實都可以歸類在 DoS/DDoS 的範疇之內。舉例來說，當一個駭客透過 SQL Injection 的方式將整個資料庫內的資料刪除時，雖然跟傳統上所認知的 DoS/DDoS 攻擊不同，但是卻也是一種貨真價實的 DoS 攻擊，而其透過的管道則是應用程式的弱點。如果以這種角度來看，DoS/DDoS 幾乎可以說是無法 (完全) 加以避免的，因為任何資訊安全的弱點都有可能被用來當作 DoS/DDoS 攻擊的管道。不過幸運的是，沒有人會讓這樣的事情發生，因為這樣一來廠商就沒的混了，所以在大部分的資料中針對 DoS/DDoS 還是有一些標準的手法可供參考 (這樣才有辦法找出共通性的解決方案)。

因為稽核的必要性與重要性日益升高，再加上新版的個人資料保護法已經通過三讀立法，所以內部管理的議題持續受到用戶的重視，而其中一個項目就是所謂的 IP 管理 (IPAM)。IP 管理基本上就是管理 IP 位址的使用情況，從過去的 ISP/Datacenter 管理客戶的 IP 位址，到現在網路管理者用來自行管理內部網路的使用情況。跟 IP 位址運作相關聯的重要協定（包含 ARP、DHCP、DNS 等）所衍生的問題，都是這類產品所必須面對的。 在使用 DHCP 的環境中，對大多數的網路管理員來說，通常最困擾的就是 IP 相衝的問題。也就是有些被稱為小白的終端使用者不循正常方式使用 DHCP，卻逕自設定成固定 IP。當然，這些使用者可能因為無心，不小心設定成 DHCP 伺服器所管理的 IP 位址，因此造成日後透過 DHCP 伺服器取得同一個 IP 位址的電腦設備些許的不便。不過真正的問題是萬一這些使用者設定的是網路設備 (如印表機)、甚至是伺服器所使用的 IP 位址，那會發生甚麼事情可就很難說了。比較嚴重的情形，甚至可能造成服務的中斷。這類問題真正麻煩的地方，倒也不是怎麼解決問題，而是找到問題的源頭，也就是那位小白終端使用者。

俗話說：『黑貓、白貓，只要能抓到老鼠的就是好貓。』在資訊安全領域中，也有一個跟黑白有關的概念，那就是黑名單 (Blacking listing) 與白名單 (White listing)，兩者多使用於存取控制的機制中。 所謂的黑名單，簡單來說就是列出一堆不被允許的事物，除此之外都是被許可的。常見的黑名單應用包含惡意網址過濾、垃圾郵件黑名單 (如 DNSBL)，以及大家很熟悉的防毒軟體。而白名單與黑名單恰恰相反，應該被許可的事物都必須明確地列出，而所有沒有列出的事物都是不被許可的。最常見的白名單應用就是登入系統，所有想要使用系統的人員，都必須擁有合法的帳號與密碼才能放行。 除了黑名單與白名單之外，另外還有一種稱之為灰名單 (Grey listing) 的機制。不過灰名單通常單指電子郵件中用來對付垃圾信件的一種機制，跟其他存取控制倒是沒有太大的關係。 黑、白名單在使用上相當簡單方便，但是比較缺乏彈性，因此還有其他各種不同的機制來實現存取控制。跟黑、白名單比較接近的還有一種稱之為規則清單 (rule-based ) 的概念，防火牆的規則通常都屬於這一類。規則清單的特色是可以在每一個規則中指定待驗證的事物是否應該被許可，甚至除了許可之外，還可以包含其他的可能性 (像是再使用其它的規則加以驗證)。規則清單除了擁有較大的彈性之外，使用得當也可以增進處理的效能。效能來自於規則的順序，將常用的規則放到前面可以有效地提升處理效能。例如一個網頁伺服器的流量大多是來自於 TCP Port 80，所以把這條放行的規則放到防火牆規則的前面，可以減少許多不必要的規則判斷。然而，規則的順序不但影響效能，更與設定的正確與否有關。也因此在一個複雜的系統中，如何設定為可使用且足夠安全的規則，往往不是一件容易的事情。所以，防火牆設定完成之後的確認動作，比較嚴謹的作法並不是只看規則的設定值，更需要實際對防火牆進行測試，確定沒有任何不該放行的流量可以通過才算完成。

之前我在分享有關釣魚攻擊的手法時，提到了 CEH 的分類。而根據 Aza Raskin 於日前所發表的網誌中，他提到了一種稱之為 Tabnabbing 的新攻擊手法。簡單來說，這種攻擊手法就是利用瀏覽器的頁籤功能，當使用者切換至其它頁籤時，將原先頁籤的內容導到另外一個假冒的網頁，當然，這個假冒的網頁會要求你輸入帳號/密碼。
網誌中提到的攻擊情境為：

使用者瀏覽你 (含有惡意程式) 的網頁。
利用程式偵測網頁是否已經失去焦點 (也就是切換到別的頁籤) 並持續一段時間。如果一失去焦點就執行攻擊，被使用者發現的機會相對增加不少。
將網址列的圖示 (favicon) 改為 gmail 的圖示，並將標題修改成相關的字樣。
當使用者發現到修改過標題的頁籤時，會以為這是 gmail 的畫面。而當看到畫面呈現登入選項時，將會輸入 gmail 的帳號/密碼進行登入。
你的程式取得使用者的 gmail 帳號/密碼之後，將畫面導回到真正的 gmail 網址。如果原先使用者已經成功登入過 gmail 的帳號，這樣的導向將會更加容易。

之前我提到有關釣魚攻擊的研究報告與防範之道，這次我想要針對釣魚攻擊本身做個解釋。釣魚攻擊英文是 Phishing，我沒有拼錯，確實不是 Fishing，據聞這可能是 Phreaking 與 Fishing 的合體字。釣魚攻擊 (原始) 指的是利用假冒成合法的通訊對象，以騙取對方機密資料的手法。常見的例子為透過電子郵件或即時通訊等方式，誘騙使用者進入一個外觀很像合法網站 (如 eBay) 的假網站，之後使用者輸入的帳號/密碼就會被這個假網站所記錄。比較簡單的假網站可能在取得帳號/密碼之後就將使用者導回真正的目標網站，而有些假網站的模擬程度就更高了。但是一般而言，除非有別的安全機制，不然只要取得使用者的帳號/密碼就已經足夠取得使用者所有的資訊，所以假網站通常並不需要很複雜的功能。 魚叉式釣魚攻擊與社交網站 早期的釣魚攻擊多屬於大量散發的形式，所以目標網站的選取除了具備高價值外，也需要具備足夠的使用者。但是現在已經有越來越多針對特定目標 (如某某公司的員工) 的釣魚攻擊，這類攻擊又稱為魚叉式釣魚攻擊 (Spear Phishing)。而因為目標網站必須具備高價值，所以釣魚攻擊主要以假冒拍賣網站、金流或財務服務網站為主。而隨著社交網站的盛行，這類網站也漸漸受到釣魚攻擊者的重視。這類網站本身或許沒有多少直接的金錢利益，但是因為使用者眾，所以可以取得不少珍貴的個人資料，此外找到名人的機會也大了許多。除此之外，因為大部分使用者會有重複使用密碼的習慣，所以透過社交網站取得的帳號/密碼，也可以用來當作入侵其他系統的基礎。

鐵血悍將 描述一個大型私人企業暗中進行一項不可告人的秘密實驗，透過在人腦植入一個特殊的晶片，強迫人類接受特定的廣告訊息並引導人類進行購買的行為。男主角因為過去當兵時的私人恩怨，很不幸地被昔日仇家選為實驗對象，更因此導致妻兒慘遭謀害。除了會出現廣告訊息之外，被植入晶片還會導致另外一個嚴重的副作用，那就是會失去過往的記憶。失憶已經夠悲慘，再加上不時出現的”黑影”，男主角簡直快發瘋了。還好後來有反抗人士出面解救男主角，只是反抗人士並沒有辦法將人腦恢復，所以只好利用網際網路上可以找尋到的相關記錄來幫助男主角回想起過去的種種。 有保險才有醫療權，真是沒良心的醫生。 直接宣告放棄救治。 男主角當然不能死，因此被高科技所救活，而代價就是失憶症。

上次我提到如何避免自己成為釣魚攻擊受害者的建議方案中，在技術方面的方案除了定期更新瀏覽器外，還有一個建議就是採用具備防護能力的瀏覽器。嚴格來說，目前市面上各大主流瀏覽器幾乎都已經內建惡意網站警示的功能。但是因為各家使用的技術不盡相同，所以效果也會有很大的差異。根據 NSS Labs 於去年所推出的一份報告顯示，IE 8 在這方面擁有最佳的效果，而 Firefox 3 也有相差不遠的成績。 但是我們通常不會因為哪個瀏覽器的安全防護較佳而使用該瀏覽器，而是依據自己平常的操作習慣。此外，甚至可能會 (必須) 同時混用多種瀏覽器，因此光靠瀏覽器本身的防護能力將可能產生防護能力不足的問題。 除了瀏覽器本身之外，現在很多所謂端點防護的軟體 (可以想成是防毒軟體的進化版) 也具備相同的功能。但是並不是所有的端點防護軟體都已經整合這樣的能力，尤其是對使用一些免費軟體的使用者而言，這類功能通常是付之厥如的。因此我今天要跟各位分享一個免費的小工具，它'可以與各個瀏覽器整合，即時提供網站是否安全的警示訊息，它就是 LinkScanner。 安裝步驟： 前往 http://linkscanner.avg.com/ ，點選 “Download FREE now!”。 點選右下角的 “Download”。 執行程式時出現安全性警告訊息，按下 ”執行(R)” 的按鈕。 LinkScanner 並不支援中文介面，因此直接選取 “Next >” 的按鈕。 勾選 “I have read the license agreement” 的選項後按下 “Accept” 按鈕。 直接按下 “Next >” 的按鈕。 依據自己的需求決定是否安裝 Toolbar，安裝與否都不影響阻擋惡意網站的功能。 安裝完畢，按下 “OK” 的按鈕。 自動進行更新的作業。 更新完畢。請自行決定是否提供匿名資訊以供 LinkScanner 改善效能。