就是資安

這幾年景氣不好，因此一些所謂在家兼差的廣告相當盛行。這類廣告幾乎沒有甚麼使用者的身分限制，標榜任何人都可以輕鬆賺大錢。當然，在 21 世紀的今日，兼差已經不需要像以前那般需要搬一堆塑膠花或是電子零件回家組裝，通常只要能夠上網就可以開始賺錢了。這些廣告當然有很多是確有其事，因此吸引了不少人投入，而駭客也已經將腦筋動到這些在家工作的大軍身上。駭客利用不實的廣告，吸引再在家工作者為其進行惡意程式的散布，一旦散布成功就可以依比例獲得金錢的回報。當然，不是所有的駭客都這麼”光明正大”，他們會偽裝成其他合法的行為 (例如進行線上調查)，以欺騙原本善良的在家工作者。根據報導指出，不管採用甚麼名義，如果工作的任務包含下列幾個要項，那麼背後就很有可能是駭客組織在招兵買馬了： 散布垃圾信或是社交工程的信件。 信件內包含一個下載的網址，相當然爾，這個網址通常是連結到惡意程式。 主要以美國與英國的電腦為目標。 付費方式也有可能採用一般人常用的線上付款機制，如 PayPal。

之前我提到許多次有關社交網站 (尤其 Facebook) 的議題，社交網站現今已經變成許多組織最大的安全威脅來源，而更大的問題在於社交網站該怎麼管對許多組織來說至今仍是沒有足夠的認知。最簡單的管理方式就是把社交網站當作非業務必要的網站，完全加以封鎖。這種做法在管理面與技術面都存在很大的問題，我在之前的文章已經討論過。事實上要達到完全的封鎖是不實際而且不可能的。舉例來說，以現在流行的手機上網 (透過電信網路，而不是組織的區域網路) 來說，有多少組織可以加以管制，而電腦連結手機上網已經不是甚麼困難的任務。 好吧，或許有很嚴謹的組織可以完全限制員工在上班時間的上網行為，那麼下班後呢？下班時間使用 Facebook 對公司會有甚麼危害？有的，有人利用 Facebook 收集了特定公司的員工 Email 帳號，然後針對這些 Email 帳號進行目標式的釣魚攻擊。這樣的目標式釣魚攻擊，透過假冒的組織網站取得員工的帳號與密碼，其成功率相當高 (接近 50%)。當然，公布使用者的 Email 僅是 Facebook 隱私權保護不足之處的一小角，但是對於組織而言卻可能因此遭受極大的風險。這種問題靠封鎖就可以避免嗎？答案很顯然是否定的。事實上，組織能做也是該做的就是訂定明確的網站使用規範，否則這種無心之過將會一再地出現，而組織也必須一再地在沉痛的經驗中加以學習，甚至因此造成組織莫大的成本。

在評估雲端運算時，對於資訊安全的影響是很重要的一個因素。事實上，根據 ISACA 最近公布的一份問卷調查顯示，有高達 45% 的受訪者表示他們認為導入雲端運算所產生的風險是高於所帶來的效益，顯見現今雲端運算的導入對於資訊安全的潛在威脅是很大的。對照另一份由 Ponemon Institute LLC 與 Symantec 所共同發表的研究報告顯示，有高達七成的組織在使用雲端運算前並沒有對廠商進行相關的安全評估。在這些進行評估的組織中，有 65% 採用口頭的方式加以評估，其他評估方式依序是 合約規範 (26%)、檢查表或問卷 (25%)、安全相關的規範 (23%)、內部安全團隊 (18%)、第三方的安全專家或稽核員 (6%)。兩份報告的結論，或許可以看作是因果關係。因為 IT/IS 部門在導入雲端運算時並沒有參與其中的安全評估作業，所以對於其潛在風險自然較為擔憂。另外一方面，這也可以看出現今組織對於雲端運算所產生的安全威脅在認知與作為上仍是相當不足。當然另外一個有可能的原因是組織在面對雲端運算的決策時顯得太過於急躁了。雲端運算來勢洶洶，但是組織在面對這樣的技術與運用時，卻不能被沖昏了頭，以免未受其利而先受其害。研究報告的標題是 Flying Blind in the Cloud，講的正是這種貿然而進的風險，或許一開始馳騁的快感很吸引人，但是一旦出事後其後果可是很嚴重的。

根據 Betanews 文章的揭露，資訊安全專家 Kurt Seifried 將在下個月的 Linux Magazine 講解有關 CA 憑證申請易遭濫用的問題。簡單來說，步驟如下： 找尋一個免費的 webmail 服務供應商。 註冊一個帳號，例如 ssladmin。 到 RapidSSL.com 購買憑證，記得使用上述註冊的 email 帳號作為申請驗證的帳號。 完成後續的申請步驟。 步驟完成後你將會獲得這個 webmail 網域的合法憑證。 好吧，嚴格來說整個過程跟 CA 機制沒有關係，而是在於申請的流程中，CA 憑證發放單位為了便宜行事而採用了簡單的驗證機制，也就是僅檢查 email 帳號。email 會被竊取，對於 webmail 的網域來說更方便，甚至連竊取都不需要。對這些 CA 憑證發放的單位而言，越簡單方便的申請流程不但可以減省成本，還可以順便增加收入，所以何樂而不為。但是這樣的機制卻因為過於簡化而容易遭到濫用，或許是 CA 憑證發放單位始料未及的事情，也有可能是其已知卻不想去面對的問題。事實上，很多廠商在設計業務或產品時，都一再忽略安全的重要性，因為這些東西對大部分的客戶是沒有 (直接的) 價值、甚至是根本感覺不到的。即便是在安全產業內，這種現象也是很普遍，畢竟賺錢這個終極目標，對身處任何產業的公司來說都是一樣的。

筆記型電腦 (Notebook/Laptop) 不但已經成為許多消費者選購電腦的首選，而且在企業的應用也越來越廣泛。因為筆記型電腦越來越輕便，而且相對來說屬於價格高昂的電子設備，因此也引起許多竊賊的覬覦。除此之外，因為隨處可用、可連網的特性，也讓筆記型電腦遭受安全危害的機會大大增加，因此筆記型電腦的安全問題對許多組織來說已經是一個不可不正視的問題。 基本上筆記型電腦還是屬於電腦的一種，因此一些對於電腦安全的基本觀念與做法也同樣適用於筆記型電腦。例如像是安裝防毒軟體與定期更新等作法，對筆記型電腦來說同樣不可省略。但是因為筆記型電腦具備高移動性，所以特定問題所產生的危害相對提高不少，其中尤其是有關實體安全的部分，更是筆記型電腦目前所遭遇的最大危害。 以下我整理一些有關筆記型電腦的使用安全建議事項，希望對各位能夠有所幫助： 實體安全

大家都常聽到選用甚麼樣的作業系統、應用程式可以比較安全而不容易被駭。不管這些論述是否公平與公正，但是至少其與安全的關連性並不會讓人產生過於突兀的感覺。但是說如果安全與否跟你所在的區域有關，可能就不是那麼令人能夠直接聯想了。根據 Symantec 日前所公布的一份報告顯示，在美國的 50 個城市中西雅圖  (Seattle) 是最容易發生網路犯罪行為的地區，其次則是波士頓 (Boston) 與華盛頓 (Washington, D.C.)，而最安全的城市則是底特律  (Detroit)。在公布的訊息中並沒有詳細地解釋這樣的排名是如何加以決定，不過就結果來看網路化程度越高的地區排名就愈前面。這樣的數據老實說有些無聊，因為網路化程度越高本來就有更多受害的機會，所以自然產生的網路犯罪事件就多。對使用者而言，不管居住在哪個區域，都必須做好有關資訊安全的防護，畢竟駭客 (通常) 可不會因為你的國籍而改變心態。   相關連結： The Norton Top 10 Riskiest Online Cities Report Reveals Who’s Most Vulnerable to Cybercrime

Durex 線上購物系統於日前發生因為程式設計的錯誤，導致任何人都可以直接透過訂單編號查看訂單內容的烏龍事件。嚴格來說，這應該不只是程式設計的錯誤，亦包含了程式變更管控不佳，而這種問題絕對比單一程式設計錯誤所產生的危害更加嚴重。此外，這個問題要實際產生影響，訂單編號的可預測性是一個很重要的前提。訂單編號的可預測性，表示在系統分析階段並沒有做好安全性分析。這麼說或許有些不公平，因為表單的編號通常會被要求採用流水號的格式，因此具備了可預測性。這樣的規則對於一個內部系統 或人工作業流程有其方便性，但是對一個外部系統來說卻是充滿危機的。針對這類問題，我們有兩個可行的作法。第一個就是把訂單編號對應到另外一個不具備可預測性的號碼，所有外部系統皆以此號碼作為訂單的查詢條件。第二個作法就是利用可逆的加密函式將訂單編號加以編碼，而外部系統皆此以編碼後的號碼作為查詢條件。比較令人訝異的是 Durex 對於整件事情的反應，從一開始的道歉到後來寄出法律信件給回報此一問題的使用者，讓人覺得 Durex 面對問題的態度很有爭議性。而且 Durex 似乎並沒有主動告知其他客戶訂單資料可能外洩的問題，明顯有失責之處。嗯，說到訂單資料外洩，台灣這邊的問題似乎也頗嚴重的。所以下次買保險套或其他私人用品時，可別再相信甚麼網路購物比較不怕被人知道而避免尷尬這種爛理由了。  

自去年九月紐約時報 (The New Year Times) 網站的廣告被用來當作散布惡意程式的管道後，線上廣告儼然已經成為有心分子的新大陸，各個線上廣告的平台都可以看到類似的問題接連發生。根據 Avast 最新公布的訊息顯示，線上廣告的大廠 Yahoo’s Yield Manager 與 Fox Audience Network’s Fimserve.com 也成為新一波的受害者，而這兩家合計擁有超過五成的市占率。除了這兩家外，Google 的 DoubleClick 也被 Avast 點名，並獲得 Google 的證實。這類透過線上廣告散布的惡意程式，有些並不需要使用者點選就可以進行感染的動作，所以除了廠商必須做好把關的動作外，使用者還是必須採取足夠的自保措施才能避免遭受危害。   相關連結： Malware delivered by Yahoo, Fox, Google ads

在電影終極警探 4.0 中，年輕小夥子靠著呼攏客服人員順利”借”到一台車子。但是在現實世界中，卻有離職員工因為心生不滿而惡搞客戶的車輛，讓客戶的車子無法發動。這是發生在德州奧斯汀的真實案例，一個在德州汽車中心工作的員工，因為被公司解雇而懷恨在心，所以利用公司系統所提供的功能讓客戶的汽車無法發動。原先這個功能設計的目的是為了在客戶拒繳貸款時，能夠進行通知甚至鎖車以懲罰欠錢的客戶。只是沒想到這個員工在離職時，順手牽了另外一個員工的帳號，所以即使是自己原先的帳號已經被取消，仍舊可以進入系統並利用系統的功能進行破壞。這位員工運氣很好，取得資料庫的存取權限，所以受到影響的客戶高達上百人。這位離職員工已經被逮捕並加以起訴，而客戶除了遭受不便外，並沒有遭受財務或人身安全上的損失。   相關連結： Hacker Disables More Than 100 Cars Remotely

CSA (Cloud Security Alliance) 在這個月 (2010 年 3 月) 初發布了一份研究報告，標題是 “Top Threats to Cloud Computing V1.0”，列出了目前雲端運算所遭遇的七大安全威脅。必須特別注意的是排列順序跟威脅本身的危害程度沒有關係，而且使用者必須依據自身所處的環境決定這些威脅的影響並採取適當的控制措施。這些威脅分述如下： 濫用或利用雲端運算進行非法的行為 (Abuse and Nefarious Use of Cloud Computing)
此一威脅主要是針對雲端運算服務的供應者而言。雲端運算服務供應商 (尤其是 IaaS 與 PaaS 供應商) 為了降低使用的門檻，通常並不會要求使用者必須經過嚴格的資料審查過程就可以直接使用其所其提供的資源，有些服務供應商甚至提供免費使用的功能或試用期。這些做法雖然可以有效推廣雲端運算的業務，卻也容易成為有心分子利用的管道。事實上，已經有包含殭屍網路、木馬程式下載在內的惡意程式運行於雲端運算的系統內。 不安全的介面與 APIs (Insecure Interface and APIs)
使用者透過使用者介面或是  APIs 與雲端運算服務進行互動，因此這些介面與 APIs 是否安全直接影響到雲端運算服務本身的安全性。像是使用者介面的驗證與授權功能是否安全，APIs 的相依性與安全性，都是必須特別注意的地方。此外，如果有使用第三方的加值服務，這些服務的介面與 APIs 的安全性也必須一併加以考量。 惡意的內部人員 (Malicious Insiders)
內部人員所造成的問題，這幾年來已經成為許多組織關注的重點，採用雲端運算將會讓內部人員所產生的問題更形嚴重。一個最主要的因素在於使用者無法得知雲端運算服務供應商如何規範與管理內部員工，甚至連招聘的條件與流程也屬於非公開的資訊。以安全的角度來說，”未知”絕對不是一種幸福，而是一種芒刺在背的威脅。更何況以雲端運算的業務性質而言，絕對是有心分子眼中的肥魚，所以內部惡意員工的比例應當會比一般組織來的更高。 共享環境所造成的議題 (Shared Technology Issues)
雖然使用雲端運算的服務 (尤其是 IaaS) 時使用者好像擁有獨立的環境，但是這些環境都是從共享的實體環境中透過虛擬化的技術所產生出來的。這些虛擬化的平台能否將不同的使用者進行有效地隔離，以避免彼此之間相互干擾其服務的正常運算，甚至是避免彼此之間可以存取對方的資源，對雲端運算的安全來說是一個嚴格的挑戰。 資料遺失或外洩 (Data Loss or Leakage)
資料遺失與外洩對於一個組織的影響不只在於實際上的金錢損失，更在於如企業形象之類的無形損失。雲端運算因為其特定的緣故，使得資料遺失或外洩的議題面臨更加嚴峻的考驗。包含是否擁有足夠的 AAA (驗證、授權、稽核)、是否採用適當且足夠的加密技術、資料持續性的需求、如何安全地刪除資料、災難復原、甚至是司法管轄的問題，都是必須認真加以考量的問題。 帳號或服務被竊取 (Account or Service Hijacking)
儘管帳號或服務被竊取的問題由來已久，但是這類問題對於雲端運算來說更具威脅性。首先因為雲端運算不像傳統的 IT 架構般擁有實體的東西，因此一旦帳號或服務被竊取後，除非有其他的方式加以證明，否則惡意分子可以完全取代原先使用者的身分。在傳統的 IT 環境中，因為使用者至少還擁有硬體的控制權，所以即使發生帳號或服務的竊取行為，使用者還是可以進行一些事後的補救措施，但是這些補救措施在雲端運算的架構下可能無法執行。此外，對於那些公開的雲端運算服務而言，直接暴露於網際網路上也讓這些竊取行為更加容易發生。 未知的風險模型 (Unknown Risk Profile)
如我在前面所述，以安全的角度來說，”未知”絕對不是一種幸福，而是一種芒刺在背的威脅。以雲端運算來說，不管是 IaaS、PaaS、SaaS 都是將服務包裝成一個使用者不需了解也無法了解的系統，讓使用者專注於如何”使用”該系統。但是這樣的方便性，也讓使用者無法了解這些服務所使用的網路架構、安全架構、軟體版本等等各式各樣的重要資訊。這些資訊對於評估安全狀態是很有幫助的，欠缺這些資訊將使得這樣的評估行為無法被有效地進行。