美味關係 講的是兩位美國女性 (Julie 與 Julia) 的真實故事,而這兩位女性彼此之間其實並沒有直接的互動。透過 Julia 出版的烹飪著作,讓 Julie 這位在工作上鬱鬱寡歡的年輕女性找到了自己生活的新動力。這股新動力,正是來自於將 Julia 的食譜一一實現,並刊登於部落格之上。雖然講的是烹飪食譜,但是 Julie 免不了會在部落格上面抒發自己的情感。因此當她因為沒有處理好肉凍而與丈夫大吵一架,或是工作上不順心時,她也會透過部落格告知讀者。沒想到 Julie 的部落格大紅之後,連她的頂頭上司也成了讀者之一。而在一次重要的餐宴之前,Julie 為了重作失敗的紅酒燉牛肉而不得以假裝生病請假,之後卻因此遭到長官的告誡。 Julie 在部落格抒發工作上的不愉快。 紅酒燉牛肉開天窗,只好假裝生病重作一次。 貼心的丈夫不忘提醒 Julie 要加上補眠休息的字句。
cyrilwang 發表在 痞客邦 留言(0) 人氣(319)
SpiderLabs 的顧問 Ryan Jones 於日前表示,根據他實際檢驗過許多資料中心後的經驗顯示,僅管這些資料中心花了大把的銀子做好網路的安全防護,但是在實體方面的防護仍舊存在許多明顯可見且容易被有心份子所利用的安全漏洞。 他列出了五項最容易進入資料中心進行破壞的手法,包含 從建築物的空隙爬進去 (Crawling through void spaces)。
- 當高架地板與懸吊式天花板在規劃或安裝時沒有仔細考量,就很容易形成一個能夠輕易進出的管道。
- 為了避免產生此一問題,需要盡可能使用實體的牆壁延伸於整個高架地板與天花板之間,不然至少應該使用石膏牆板 (dry wall) 加以封閉。
撬開或破壞安裝不正確的門扉或窗戶 (Jimmying open improperly installed doors or windows)。
- 使用實心材質的門板。有些門板使用空心夾板的材質,很容易受外力的破壞。另外像是玻璃 (非強化玻璃) 材質的門板,也存在類似的缺點。
- 確定鉸鏈的安裝方向是否正確。一旦鉸鏈安裝在錯誤的方向,那麼有心份子就可以將門扉卸下以達到破壞的目的。這個問題可以透過實際動線的模擬來加以防範。
打開門鎖 (Lock-picking the door)。
- 除了門板本身的安全外,門鎖也是很重要的一環。事實上,一般門鎖除了可以利用專門的工具加以破壞之外,有些門鎖甚至只要使用一張卡片就可以加以解除。
- 使用高安全性的門鎖或者生物識別的系統,可以減少這類問題的產生。
尾隨 (Tailgating)。
- 因為人們通常熱於幫助別人,而且也不願意與他人產生無謂的衝突,因此往往會協助他人通過受管制的門扉。例如當我們看到一個人雙手抱著重物時,會很自然地幫他擋住即將關閉的門扉以協助其進入。如果再搭配一些肢體動作或是外型偽裝 (如制服、識別證),其成功率將更為提高。這部分需要透過教育訓練以提升員工的危機意識。
- 此外,如果門扉的關閉動作較為緩慢,有心份子甚至可以在沒有人注意到的情況下偷溜進去。對於此一問題,可以將門扉的關閉時間加以縮短。而 man trap 可以進一步減少這類問題的發生。
- 除此之外,聘用安全人員檢驗所有人員的進出也是一個可行的方法。
假冒合約廠商或其他服務人員 (Posing as contractors or service repairman)。
- 屬於社交工程的手法。
- 除了強化員工相關的教育訓練外,同時必須制定明確的識別機制與作業規範,以避免員工無所適從、甚至誤解所產生的安全危機。
cyrilwang 發表在 痞客邦 留言(0) 人氣(554)
cyrilwang 發表在 痞客邦 留言(0) 人氣(28)
在前幾天的文章中,我們提到 Facebook 成為釣魚攻擊目標第四名的這個警訊。為什麼說是警訊呢?因為前三名 (PayPal、eBay、HSBC) 的網站,雖然在台灣也有提供服務,但是真正的使用人數都不及 Facebook 來的多。而且使用 Facebook 的人,涵蓋層面較廣,其中不乏許多對於網路安全意識較為薄弱的使用者。再加上一般人的認知上 Facebook 並不是什麼很重要的服務 (相較於購物網站或網路銀行而言),所以更容易因此失去了警戒心。這些因素再再都會使得 (針對 Facebook 的) 釣魚攻擊更加容易成功。 要避免遭受釣魚攻擊,作法其實很一般性。也就是說,保護網路銀行帳號跟保護 Facebook 帳號在觀念與基本作法上並沒有太大的差別,只是因為網路銀行包含更多且更值錢的資料,所以需要採用更謹慎的心態。根據 Anti-Phishing Working Group (APWG) 的文件,建議使用者採用下列方法以保護自己: 對於緊急要求提供個人財務相關資訊 (如銀行帳號) 的電子郵件保持懷疑的心態。 如果你無法確認發訊者的身分或意圖,不要直接點選電子郵件、即時訊息、或聊天訊息內的連結
- 事實上,因為很多釣魚攻擊也會透過蠕蟲的概念散布給親朋好友,所以就算是已經知道發訊者確實為自己所熟知的人,也要盡量避免直接點選訊息內附的連結。
不要在電子郵件內的表單填寫個人財務相關資訊。 當你在填寫信用卡或其他敏感性的資料時,務必確保你連結的是安全的網站。
- 所謂安全的網站至少必須採用 SSL 的加密方式,而且擁有由第三方所發放的合法憑證。
記得並不是所有網站都會顯示 https。
- 當你連結網址時,必須特別注意網址列所顯示的網址是否正確。關於此點,其實有些難度。因為釣魚網站的攻擊者,會使用一些障眼法來讓干擾使用者的判斷。光是 l 與 1 的差別,就可以讓很多使用者中招。儘管如此,多一份小心總是好的。
安裝能夠保護你避免受到惡意網站攻擊的瀏覽器工具。
- 事實上,很多新版的瀏覽器都已經具備偵測釣魚網站的能力。不過因為使用的資料來源不一,所以各家的偵測與防護能力也有所差別。
- 因此盡管瀏覽器已經內建偵測能力,個人建議還是可以安裝額外的工具 (如 SiteAdvisor) 加以保護。除了可以提供雙重的防護外,也可以減少不同瀏覽器之間的差異。
定期登入你的帳號。 定期檢查你的銀行帳號、信用卡、債務帳單,以避免非法交易的產生。 確保你的瀏覽器保持在最新的更新狀態。
- 目前常見的瀏覽器,都提供了自動更新的功能。儘管如此,仍舊必須小心該功能是否被關閉了。
- 另外一個必須注意的問題就是當瀏覽器進行大改版時 (如由 Firefox 2 改版成 Firefox 3),自動更新是否依舊有。而當因為某些原因不能進行版本更新時,必須確保舊版本仍受到原開發商的維護。
當你發現釣魚網站或假冒網站時回報給相關的組織。
- 因為這類組織幾乎都是使用外文 (英文) ,所以對某些使用者或許會有執行上的困難。事實上,這個動作比較偏向救人,而不是自救。
cyrilwang 發表在 痞客邦 留言(0) 人氣(99)
根據 Kaspersky 最近針對 2010 年第一季垃圾郵件 (Spam) 的分析報告顯示,Facebook 一躍成為釣魚攻擊目標的第四名 (5.7%),排列在 Paypal (52.2%)、eBay (13.3%)、HSBC (7.8%) 之後。攻擊目標的前三名多與金流有關,Facebook 則以社交網站的身分獲得青睞,其比例甚至高於名列第五名的搜尋引擎龍頭 Google (3.1%)。 儘管釣魚攻擊通常並不是利用被攻擊目標的安全漏洞加以進行,但是目標網站依舊有教育其使用者如何避免遭受釣魚攻擊的義務。在這方面,Facebook 似乎並沒有任何作為。隨著 Facebook 的持續成長,針對 Facebook 的釣魚攻擊 (與其他類型的攻擊) 只會越來越多。身為使用者的我們,既然不能改變網站的設計,能夠做的就是更加小心,不要讓自己成為釣魚攻擊的下一個受害者。 在這份報告中還有另外一個值得注意的變化,那就是垃圾郵件的來源地區中,因為中國政府加強管理網域註冊政策,因此減少了垃圾郵件散佈的數量。這個做法,或許值得其他國家做為借鏡。 相關連結:
cyrilwang 發表在 痞客邦 留言(0) 人氣(146)
根據國外的報導指出,前 Juniper Networks 的安全研究員 Barnaby Jack 將於七月底舉行的 Black Hat Las Vegas conference 中發表一場有關自動提款機 (ATM) 安全的演說。在這場演說中,Jack 將展示一個跨平台的 ATM rootkit。除此之外,他也將展示多種透過網路進行的遠端攻擊手法。相較於以往需透過實體的方式破壞 ATM 安全防護,這些手法顯然更具破壞性。根據 Jack 的說法,這些攻擊手法是利用程式撰寫上的錯誤。然而 Jack 並沒有明確的指出是哪個廠商的設備會遭受這樣的攻擊,甚至是否有一家以上設備有此問題也也不小的可能性。根據我收到的側面消息,設備廠商與銀行業者對此情況已經感到擔憂,並積極尋找解決之道,其中包含程式碼的全面檢驗。 相關連結:
Hacker develops multi-platform rootkit for ATMscyrilwang 發表在 痞客邦 留言(0) 人氣(35)
崔斯坦與伊索德 這部電影改編自華格納的同名歌劇,是一個媲美羅密歐與茱麗葉的愛情悲劇。故事描述因為一連串巧合而相遇甚至相愛的崔斯坦與伊索德這對戀人,因為夾在兩個國家與其國王之間,所以必須壓抑內心的情感。甚至崔斯坦必須將伊索德獻給對他有恩且受人愛戴的馬克王,以報答馬克王對他的無微不至的照顧,而另外一方面也為了維持兩國的友好關係。但是身為伊索德父親的愛爾蘭王卻沒有這麼知足,愛爾蘭王買通了不受親生父親馬克王愛護的梅洛,想要一舉取得馬克王的領土。梅洛將愛爾蘭王帶至一個他與崔斯坦年輕時發現的密道,想要經由這個密道直達堡壘的內部,以消滅馬克王的勢力。梅洛出賣自己父親的下場,就是被利用完之後遭愛爾蘭王殺害,而崔斯坦最終也為了拯救馬克王而犧牲。 年輕的崔斯坦與好友們發現了一個祕密。 這個秘密就是一個無人知曉的密道。 荒廢的密道通往堡壘的內部。 密道也是伊索德打算跟崔斯坦私奔時的方便門。
cyrilwang 發表在 痞客邦 留言(0) 人氣(211)
不管你在工作上是不是從事資安相關的領域,或多或少都曾經面對要在許多不同解決方案中找出最佳作法的情況。如果是採用預算制,比較一般性的做法就是找出預算之內而且效果最好的解決方案。另外一個方法就是找出可以接受的最低成效,然後在此限制下找出最低成本的解決方案。後者通常適用於沒有固定的預算,或是對於成效有一定要求的情況。
嚴格說來,不管是哪一種方式,其實都是在成本與效果之間求取一個最佳解法,只是受到限制的條件不一樣。但是限制條件通常並不是如表面那麼單純且直接。例如以預算制的情況來說,雖然只要在預算內即可,但是有時候省下更多的錢也是功勞一件 (當然也有實際花費跟預算越接近越好的狀況)。而且即使對於省錢與否並不在乎,至少對於解決方案還是會有基本的要求。因此如果已經把預算用完還是無法達到基本的要求,同樣會出大問題。所以,比較明確的說法應該是受到限制的條件比重不一樣,但是基本上要考量的項目卻都是相同的。有關成本與效果的平衡,在資安的領域比較常用 Cost-Effective 這個名詞。接下來我想談談有關成本這個議題。
cyrilwang 發表在 痞客邦 留言(0) 人氣(176)
OWASP (Open Web Application Security Project) 每三年一次的 Top 10 報告,於日前 (2010/04/19) 正式定案。這次報告的副標題由 2007 年的 The Ten Most Critical Web Application Security Vulnerabilities 變成了 The Ten Most Critical Web Application Security
Risks,顯示 OWASP 試圖跳脫以純技術眼光來看待 Web Application 議題的思考模式,而是以整體的風險來加以評估。當然,風險其實是很”個人化”的,所以 OWASP 所謂的風險依舊是以”一般性”的眼光來加以評估,在實際的應用上必須自行重新評估。 在獲選入榜的項目中,除了排名因為評估方式改變而有所變化外,還有下列幾項的變更: 新增第六項為不正確的安全設定 (Security Misconfiguration)。 新增第十項為未驗證的重新導向與轉發 (Unvalidated Redirects and Forwards)。 移除第三項惡意程式的執行 (Malicious File Execution)。 移除第六項資訊洩漏與不適當的錯誤處理 (Information Leakage and Improper Error Handling)。
cyrilwang 發表在 痞客邦 留言(0) 人氣(1,171)
根據 BBC 的報導,最近有一隻名為 Kenzero 的病毒 ,會將感染者電腦的上網資訊透過檔案分享的機制加以公開,要求使用者提供個人資料並利用信用卡繳交一筆”下架費”。嚴格來說,這筆金額數目並不大 (1500 日圓),所以對於受害者來說可能選擇花錢了事。但是有心份子的野心怎麼可能就此滿足,這些個人資料與信用卡資料進一步遭到轉賣,對使用者造成了遠大於表面情形的危害。除此之外,在歐洲也發生了病毒傳送違反著作權的假訊息,並要求受害者利用信用卡的方式進行線上繳交和解費用的動作。最後不管是否有進行費用的轉移,但是個人資料與信用卡資料外洩造成的危害,已經不是可以輕易用金錢加以比較了。這類的軟體,基本上稱之為威脅軟體 (Ransomware),利用人性面對威脅時易產生恐懼的心理以達成其不良的目的。在面對這類惡意軟體時,除了堅守不亂下載、亂執行程式的基本原則外,當發現有任何可疑的現象發生時,更應該尋求專業人士的建議,而不是嘗試私底下想要以錢加以私了,否則到時候可能變成了賠了夫人又折兵。 相關連結:
Porn virus publishes web history of victims on the netcyrilwang 發表在 痞客邦 留言(0) 人氣(26)
