搜尋此網誌

2009年2月28日 星期六

新聞:趕流行的攻擊者

根據 McAfee Avert Labs 提供的消息指出,有攻擊者利用 Google Trends 的功能,找出目前最流行的100個查詢關鍵字。之後則針對排行在這些關鍵字前面的網站,找尋目標網站進行複製的動作。複製之後,要如何讓自己出現在關鍵字的查詢結果畫面中?當然不是靠買 Google 的廣告。靠的是利用大量被控制的網站,將假網站的連結注入這些被控制的網站中。

因為 Google 搜尋引擎的排行方式,有一大部分的比重來自於其他網頁連結過來的數量,所以大量被控制的網站注入假網站的連結,表示這個假連結的排行就可以急速衝高。除非使用者本身是查詢一些如破解軟體或非法下載的關鍵字,所以會因為預期這些網站不懷好意而多加小心,否則一般使用者對於 Google 的搜尋結果(尤其是前幾筆的資料)通常不會加以懷疑。再加上網頁已經複製的跟原來網站一模一樣,使用者很容易就陷入了陷阱。陷入陷阱之後呢?當然就是任人宰割了。

當然, Google 不可能放任這類的問題發生。因為這個問題不但對使用者產生安全上的威脅,也使得 Google 搜尋結果的有效性受到很大的干擾。即使沒有危害使用者的行為發生,光後者就足以讓 Google 抓狂了。因為這樣就不需要跟 Google 買廣告,跟駭客買可能還比較實在。便宜,而且又是出現在搜尋結果,而不是會被很多人自動忽視的廣告區。所以 Google 同時透過自動跟手動的方式把這類網站從搜尋結果中加以移除。不論如何,多保持警覺性依舊是最基本、也是最有效的防範之道。

相關連結:

2009年2月27日 星期五

Gartner研究報告:靜態程式安全檢測

在前一篇的文章 - 用民主表決的方式增進軟體開發的安全性 - 中,我們提到有人利用投票評分的方式,希望可以增加系統的安全性。這個作法可以用在規劃的階段,至於其他階段,當然有其他更適用同時也更複雜的做法。其中程式碼的檢測,屬於後面開發階段所適用的工具之一。嚴格說來,這類檢測應該稱之為程式安全檢測(Application Security Testing),而不是程式碼檢測。

程式安全檢測通常可以區分為兩種,一種是靜態的(Static Application Security Testing, SAST),另外一種則是動態的(Dynamic Application Security Testing, DAST)。靜態跟動態最大的不同之處在於動態的分析方式是讓程式處於執行狀態 (runtime),而非靜止的情形 (non-runtime)。當然,有越來越多的技術會將兩種方式加以整合。因為透過兩者的交叉分析,不但可以互補以達到更好的檢測效果,同時也可以降低 False Positive 的比例

Gartner 於月初公布了一份研究報告,研究的對象是針對市面上 SAST 的廠商。這些廠商中,有專注於程式安全的廠商(如 Fortify SoftwareOunce Labs),也有提供 SDL 完整方案的廠商(如 HP 、 IBM 、 Microsoft),此外還有著重於整體程式品質的廠商(如 CoverityParasoft)。後面兩類的廠商,因為已經擁有不少現成的客戶基礎,所以在未來推廣上的阻力將是較小的。而這些廠商所提供的 SAST 形式包含軟體與服務(Security as a Service)兩種,或者兩者混搭。

研究的方式透過願景與執行力兩個部分來評估各家廠商的表現,其中兩者皆表現良好的廠商即為市場的領導者。研究的結果顯示,專注於程式安全的兩家廠商 – Fortify Software 與 Ounce Labs -是目前市場上領導的廠商。我想因為這是一個新的應用與市場,小型廠商只要擁有技術,在執行力的表現通常也很容易勝過那些大型的恐龍。不過也因為這是一個新興的市場,報告中特別指出當企業在選擇時必須多加警慎小心。除了小心合約的內容外,合約的時效性也不宜太長。另外,採用服務的方式也是降低風險的一種好方法,只是這部分就要審慎考慮 IP 的問題。另一個同時必須考量的部分,就是目前的領導廠商並不見得是最好的選擇,而必須根據企業自己的需求好好地加以評估並選擇。

前面提到,程式安全檢測並不等同於程式碼安全檢測,原因是檢測的目標除了是原始程式碼以外,也可以是 Byte Code(如 Java 與 .Net),甚至可能是 Native Code。不過不管檢測的目標是甚麼,這些檢測方法都不會讓程式執行,不然就算是 DAST 的範圍了。對於 Native Code 的檢測,除了與 Byte Code 檢測一樣不需要程式碼外(或沒有程式碼),更可以發現特定情形(如特定的作業系統)下才會產生的問題。所以如果可行的話,除了程式碼的檢測外,也可以額外進行 Native Code 的檢測。可惜的是,研究對象中僅有 Veracode 這家廠商提供此一技術。

此外,報告中也提出了其他對於市場與技術發展的觀點:

  • SAST 應該成為企業 IT 中必備的一項工具
  • SAST 將會以免費或非常低的取得成本整合至 SDL 的工具中
  • 功能與產品之間會加以整併,最終獨立運作的 SAST 將不復存在
  • 廠商之間會發生整併的情形
  • 服務的方式會越來越受歡迎,一方面也是拜經濟衰退之賜
  • Byte Code 與 Native Code 檢測的重要性會越來越高

完整的研究報告請參考所附連結。

相關連結:

2009年2月25日 星期三

用民主表決的方式增進軟體開發的安全性

這幾年來,應用系統的安全受到很大的威脅。駭客攻擊的目標,已經從網路、作業系統、網路服務,一路"提升"到應用程式本身。不論是商業的產品、Open Source的軟體,甚至是自行開發的程式,都無法倖免。尤其是Web應用程式,更是駭客眼中的天堂。為了因應這些問題,就有所謂的SSDLC/SDL。SSDLC/SDL除了希望讓開發出來的系統本身能夠具備足夠的安全性外(如不會遭受SQL Injection攻擊),更希望可以確保系統在運作時符合相關的安全性需求(如確保資料不會被不相關的人所讀取)。

軟體工程的東西,本身就很複雜。再加上安全來參一腳,複雜程度可見一般,看Microsoft SDL的示意圖就知道了:
MSDN-SDL

這麼複雜的東西,老實說我也無法全面了解並解釋清楚,好在這個並不是我今天要講的主題。我今天要講的一個很簡單的方法,簡單到完全不需要任何資訊系統就可以進行。

在美國北羅卡萊納州立大學 (North Carolina State University)的一位安全專家 Laurie Williams 做了一項研究,利用類似跳水比賽的評審方式,讓開發系統的人員進行投票,以期增加系統的安全性。這套被 Laurie Williams 稱之為 Protection Poker 的機制,跟一般評審不同之處就是每個評審(系統開發人員)針對每個功能需要回答兩個問題,一個是該功能所使用資料的重要性,另外一個就是該功能是否容易受到攻擊。每個問題使用卡片的方式加以評分,而評分最高與最低的兩個人,還必須進一步解釋評分的理由。也因為這樣,這個方法不但可以找出系統的安全性需求,更可以達到分享與教育的目的。

這樣簡單又方便的方法確實不錯,不過有些問題可能必須加以克服或釐清,才能夠讓效果更符合預期。首先,是評審團的組成分子只限於程式設計師,將會導致過於專注在技術性的問題,而不是整體的考量。甚至,在不同的階段(規劃、分析、設計、實作)使用此方法,組成分子的比例也應該有所不同。另外,如何找到足夠質與量的評審,讓眾人合作的力量能夠發揮,對於一般小型的公司而言可能是最大的問題。最後要加以考量的,當然就是這樣的方式適合用在哪一類的專案,又用在哪一個階段比較適合。這部分可能就需要有更多的研究數據來加以佐證了。

這個研究計畫目前還在很初期的研究階段,僅進行過一個示範性的專案。 Laurie Williams 與其團隊正打算進一步進行更多、更全面的研究,就讓我們拭目以待其研究結果了。

相關連結:

2009年2月24日 星期二

別讓你的羊被員工給順手牽走了

在由 Ponemon Institute 針對945位離職員工所做的研究報告中顯示,有高達6成的員工自承在離開公司時候帶走了一些不該帶的東西。這個數據其實比之前另外一份由 Cyber-Ark 所做的研究還低,那份研究所顯示的比例高達88%。不同的是, Ponemon Institute 的研究對象不侷限於 IT 人員,而包含了各種不同職務的員工。所以,IT 人員比較邪惡,還是 IT 人員比較勇於認錯?原因不可而知,但是可以確定的是企業對於這個問題的嚴重性,是應該加以好好加以面對的時候了。

說到好好加以面對,其實相信離職員工不會搞鬼的企業只有3成左右,其餘7成不是不確定就是直接表達不信任。弔詭的是卻有超過一半的離職員工,還可以在離職後繼續存取公司資料長達一天以上的時間。而在一周後還可以繼續存取的,比例也有20%。顯示企業對於此問題的認知與處理腳步,還有相當大的改進空間。

研究中有另外一個有趣的發現,就是這些被帶走的資料,最主要的使用方法是透過電子郵件與紙張。電子郵件應該沒甚麼爆點,但是在家家有網路的21世紀,既然紙張還是主要的資料外洩管道!其實,認真思考這個倒也沒甚麼好驚訝的。因為帶走資料的人主要目的是帶走資料,而不是展示技術,所以當下甚麼方便就用甚麼方法。另外,有些企業對於已經印出來的資料,可能就不屬於資訊安全團隊的管控,所以造成這類問題更難加以管理。但是不管由誰加以管控,在考慮資訊安全的時候,不能只侷限於電子形式,也不能僅止於IT/IS部門,都是必須注意的重點。甚至那些越傳統的東西,更要多費心神格外注意。

除了電子郵件與紙張外,CD/DVD與USB隨身碟也是常使用的攜帶管道。更可見一個全面的考量與相對應的安全措施,對於防範這類問題的重要性。企業主們,別再當鴕鳥了,更別說現在不景氣,公司的花費能省則省。因為這類問題的嚴重性,可是跟不景氣成正比的。

相關連結:

2009年2月20日 星期五

男怕入錯行、女怕嫁錯郎、PaaS怕選錯網

SaaS (Software as a Services) / PaaS (Platform as a Service) 這一兩年的火紅程度,跟虛擬化不相上下。當然,秉持有一好沒兩好的原則,SaaS/PaaS再好、再火紅、再如何符合潮流,依舊不能讓我們忽視它們潛在的問題。在我之前的文章 - 你準備好降落傘了嗎? - 談雲端運算的安全議題 - 中,我們看到七個相關技術導入的安全風險。其中第七個,也可能是危害程度最大的一個,就是服務商的永續性。

在日前,一家 PaaS 廠商 Coghead 宣布因為景氣的關係,必須將原有的服務停止。碰!中獎的人第一時間的反應可能是欲哭無淚吧。當然,這時候一定會有其他聞香而來的同業,打算給這些落難者一些關懷,協助他們度過難關。而更重要的事,就是讓這些受到嚴重打擊的人成為自己的新客戶。至於會不會再次成為落難者, Who KNOWS? or Who CARES?

這樣的故事,今天發生在 Coghead 這家小型的廠商,哪天會不會發生在 Google 、 Amazon 或是 Microsoft 身上?沒有人敢保證!因為這些服務對這些廠商而言,也都是新的產品、新的業務。能否有足夠的技術與市場持續支撐,只有時間能夠證明。以前常有人說沒有人會因為買了 IBM 的機器而被解雇,但是如果哪天有人因為用了 Google 的服務而被解雇,那可別太驚訝了。

2009年2月19日 星期四

網頁過濾再進化

根據 Forrester Research 一份最新的報告,網頁過濾已經從傳統上限制存取特定網站(網頁)的功能,增加許多更先進的功能,以應付新的網路環境與威脅。這些新的功能,包含資料外洩防護(DLP)、惡意程式的攔阻、支援Web 2.0的應用。

一個重要的改變,就是網頁過濾已經從單純以安全為主的角度跨入到商業的角度,其中DLP與Web 2.0的支援就是其表現,尤其是DLP。除此之外,網頁過濾也以員工的工作效率當作考量的要項之一,而不光只是攔阻一些所謂的惡意網站。而之前單方向流量的管理也已經不足以應付現在的網路環境,需要對雙方向互動的流量一併管理,這部分對於DLP而言是很重要的。當然,移動式設備的管理依舊是一個棘手的問題,這部分需要靠其他的控制機制才能夠更有效地加以管理。

網頁過濾產品種類與功能琳瑯滿目,因此在報告中特別提出網頁過濾產品至少應該具備下列功能:

  • URL過濾
  • 惡意程式攔阻
  • 內容過濾
  • 資料外洩防護

相關連結:

2009年2月16日 星期一

好東西可別跟陌生人分享

Peer to Peer (P2P)分享,或許很多人沒聽過。但是說到BT下載,電騾等軟體,就算你沒用過,也應該曾經聽說過。基本上,P2P分享就是希望不管是朋友間,甚至是陌生人之間,都可以直接分享所有的資料或程式。這樣的方式跟傳統上大家前往一個下載網站下載所需資料有很大的不同,以較有學問的說法,就是利用Web 2.0的精神來達到資料交流的目的。

不可諱言,當初這樣的機制能夠運行並持續發揚光大,盜版軟體與影音是兩大推手。因為所有的資料並不存在於廠商的伺服器之中,所以即使傳送的資料可能有版權的問題,仍然讓廠商有遊走法律邊緣的手段可以進行。更何況這些機制的運作,甚至往往連檔案在傳送過程中也不需要經過伺服器本身,所以對規避法律問題更是有利。而盜版軟體與影音的下載,依舊是目前大部分人使用這類軟體的主要目的。

除了在私人的電腦使用外,有不少人也會在工作的電腦使用這類軟體。原因不一而足,包含公司的網路比較快(ISP比較不會限制企業用戶的網路使用,而對一般家用網路則會限制特定服務的流量),公司的電腦開機時間比較長,公司的網路比較”安全”等等。不管原因為何,這類軟體的使用對公司造成的影響,絕對不單單是頻寬被佔用的問題而已。

首先,因為這類軟體主要是用來分享盜版的資料,所以不管是上傳或下載,都表示公司的電腦內有了盜版的資料。如果公司沒有明確的規範與控制手段,相關的法律責任可是無法避免的。其次,也是更重要的一點就是,一些應該保密的資料,也可能在有意或無意間就被”分享”出去了。

Dartmouth 的教授 Eric Johnson 日前發表一份報告 – Data Hemorrhages in the Health Care Sector,報告中提到於P2P分享網路上發現多份應該加以保護的醫療資訊,其中包含許多病人極為隱私的個人資料。除了社會安全碼、姓名這類基本資訊,一些特殊病症的病名(如AIDS)也可以找到。我們知道,不管是從法律的規範或是社會大眾的期待來看,醫療院所對於資料保護的要求是極高的。如果連醫療院所的防護都這麼不堪,更遑論其它的產業了。解決之道除了透過明確的規範與適當的限制手段外,如何從源頭保護好資料本身,避免資料可以被任意地加以開啟或儲存在個人的電腦上,其重要性也會越來越高。

相關連結:

2009年2月15日 星期日

更新==放心?

更新-說的比做的容易多了 這篇文章中我談到有關程式更新的議題。其中應用程式沒有更新的原因中,有一個勉強算是原因的原因,就是原先的應用程式並沒有持續更新。在X-Force今年初公布的安全報告 IBM Internet Security Systems X-Force 2008 Trend & Risk Report 中,對此也有相關的數據可供參考。我將內容摘錄如下:

  • 截至2008年底為至,當年度所發現的弱點共有53%的比例尚未有原廠所提供的修正可以使用。
  • 截至2008年底為至,2007年與2006年度所發現的弱點,各有46%與44%的比例尚未有修正可以使用。顯示廠商更新程式有所謂的黃金期,過了黃金期之後獲得修正的機會已經大量降低。
  • 最常被公布弱點的十大廠商,在程式更新的表現上反而是較好的,2008年所發現的弱點中只有19%尚未獲得修正。
  • 在2008年所發現的弱點中,有高達90.2%的比例是可以透過遠端的方式加以利用的。
  • Web應用程式的弱點在2008年所發現的弱點中所佔的比例高達54%。
  • 雖然Web應用程式的弱點所佔的比例甚高,但是其更新的表現卻相對更差,截至2008年底有高達76%的弱點尚未被更新。

不意外的,Web應用程式弱點所佔的比例持續升高,但是在更新方面卻沒有受到相對應的重視。 在Web化的趨勢之下,不管是系統商、開發商、甚至是使用者,都應該對此議題好好重視才是了。

相關連結:

2009年2月13日 星期五

社群網路的善與惡

近幾年很熱門的一類網站,就是所謂的社群網站。從一般性的MySpaceFacebook,到專業人士使用的LinkedIn,以及現在熱門的微網誌之翹楚 - Twitter,可以說幾乎每個人都聽過,甚至接觸過。網路技術的發達,將工作與私人生活的界線漸漸變得模糊,而這類社群網站正是最新的推手。所以,Facebook上不但有私人的朋友,也有工作上認識的夥伴。所以,在家時可以跟工作的夥伴聯絡感情,在公司的時候也可以順帶培養個人關係。

社群網站不只影響到個人,也影響到了企業本身。企業現在不但知道利用這些公開的社群網站進行業務(這裡的業務泛指所以商業上必須從事的行為)可以事半功倍,也知道可以將這些概念與工具導入企業內部,進一步提升執行業務的效率。在一份針對小型企業的研究報告中指出,超過一半(55%)的受訪者認為社群網站可以幫助他們業務的進行。除了小公司外,電腦界的龍頭 – Dell - 也宣稱他們去年透過 Twitter 取得了超過一百萬美元的收益。

社群功能看來是前途無量,而對企業來說,也是必須(或者說不得不)去擁抱的產物。但是,天底下沒有一件事情是絕對完美的,對社群網站來說也是。儘管好處這麼多,社群網站對企業也(或即將)產生了一定的程度的危害。首先就是現在已經有不少的攻擊是針對社群網站本身,所以上社群網站本身就具備了一定的危險性。另外一個就是現在社群網站很多都允許第三方的應用程式存取部分的使用者資訊,這些第三方開發的程式是否會利用這個管道從事惡意的行為,沒有人敢打包票。

除了前述的這些問題,社群網站對企業最重要的威脅更在於很容易成為重要資訊外洩的管道。事實上,很多通訊相關的工具(如聊天工具)都會成為資料外洩的管道。但是對社群網路而言,很多使用者會錯以為在上面輸入的資訊是”私密的”(尤其是對可以設定公開程度的資訊),也因此提供資訊時往往就不會多加思考。然而,所有放在網際網路上的資訊,不管當初系統的設計為何,基本上我們都應該假設這些資訊是會被公開的(不管是有意還是無意)。所以,任何不應該被公開的資訊都不應該被輸入於這樣的系統中。

為了避免這樣的問題產生,一個最直覺的做法,當然就是封鎖這類網站的使用。只不過,生命會自己找到它的出路,所以封鎖往往都不是一個最好的主意。更何況封鎖也代表將社群網站的好處也一併抹煞,說的嚴重點更像是鎖國政策。這個問題較佳的解決方案,當然還是得靠管理的手段,也就是說需要明確的使用規範再加上”特殊”的使用者教育訓練。例如公司可以規定哪些部門的人員可以使用哪些社群網站,哪些部門的人則不能使用。又使用的功能與時機為何,哪些資訊是可以放置於這些社群網站上。除了規範之外,透過適合的自動化工具的輔助則可以進一步讓規範得以有效落實。須切記的是這類工具絕對只是輔助的作用,因為就算做的再好,員工一旦離開了公司的範圍,這些機制可就沒甚麼著力的空間了。

企業面對社群網站的風潮,如何趨吉避凶,可得要好好斟酌斟酌。

相關連結:

2009年2月10日 星期二

失控的存取控管機制

有設計過資訊系統的人都知道,如果該系統的使用者稍具規模,存取控管往往是一個最頭痛的問題。在存取控管的設計中,我們通常會先區分為主體(Subject)與物件(Object)兩個部分。主體通常是指使用系統的”人”,這裡的人可能包含員工、主管、甚至是其它的系統。而物件就是被存取的”東西”,包含資料、檔案、或是系統的功能。而存取控管簡單來說就是決定哪些主體對哪些物件有哪些權限

存取控管有各種不同的形式,包含Access Control List、Access Control Matrix、Role-based Access Control (RBAC)等…其中RBAC因為將主體區分為不同的角色(Role),所以不但方便對應到現實組織的架構以管理所需權限,而且因為通常角色的數量遠小於主體,所以管理的複雜度更是大幅縮小。也因此許多系統的存取控管,其實都是使用RBAC的觀念來加以設計。但是我們都知道,現實中的故事都沒有這麼美滿。通常會使用到權限控管的系統,都是稍具使用者規模的系統,而且有更多是從原先不敷使用的系統要升級到新的系統。這種系統有一個很重要的特性,就是規畫的人一定很重視”彈性”。所以就會同時出現

  • 角色要能夠任意新增
  • 每個人可以同時擁有多種角色
  • 角色的權限要能夠繼承
  • 擁有權限的人可以把相關權限賦予其他人
  • 資料控管的細緻度不能夠只到資料記錄本身,而是要到每個欄位

這類看似再正常不過的需求。其實這類需求確實存在某些系統中,但是就像所有的安全機制,如何對自身而言能夠恰到好處才是真正的學問。一個內部使用的系統,畢竟不須適用於各種不同的組織型態,如何找出自己真正的需求,必須事前花費一番工夫(例如透過風險評估)。我必須再次強調,這些需求本身並沒有錯。而是組織必須清楚的了解這些需求的迫切性,知道因為這些需求所帶來的成本與效益,此外當然還有所衍生的風險。

設計系統的人還知道另外一件事,那就是彈性代表的是系統的複雜度大幅提升,用老闆聽得懂的話說就是系統失敗的機率直線上升。然而真正的問題,並不在於系統本身複雜度的提升,因為系統的複雜度自然有具備神奇能力的SD與PG會負責克服。真正的問題乃是在於存取控管機制的複雜度大幅提升。一個複雜的存取控管,要如何有效地加以設定並應用,在實務上將是相當的困難。以靜態的角度來看,一些像是存取控管的基本原則,如最小權限(Least Privilege)、責任劃分(Separation of Duties)、避免資料Inference與Aggregation的問題,都不容易加以確實遵守。而存取控管最困難的地方更在於動態的部分,也就是隨著時間的過去,設定已經漸漸脫離原先的規劃。常見的原因包含人員的異動沒有有效地移除不再需要的權限,或是資料安全性(包含機密性或重要性)變更時沒有跟著重新檢視各項權限的設定。

這些問題其實都不是被過度要求彈性的RBAC所獨有的,通常可以透過嚴格的權限審核與定期的重新審核來避免這樣的問題產生。當然,一個明確且確實執行的權限變更需求審核機制更是必要。而過度要求彈性的RBAC所帶來真正的負面影響是很難將所核可的權限與系統實際上所賦予的權限做比對確認,如此一來前述幾項事情也就都無法有效地加以執行。也可以說,整個存取控管的設計因為顧慮到彈性而適得其反了。”簡單”這樣的概念在很多地方都漸漸的被強調,不管是在生活、商業、管理、甚至是技術上。在技術上有人提出了作業系統應該朝向更精簡的方向設計,其中一個理由就是簡單的系統才可以設計得更安全。對於作業系統如此,我想對於存取控管機制也是一樣。唯有簡單易懂的存取控管機制,才是能夠受駕馭的工具,而不至於成為脫韁的野馬。

你遇過哪些要求"彈性"的需求?歡迎你提出來跟大家分享。

相關文章:

2009年2月7日 星期六

駭客的新工具,罰單

根據外電的報導,駭客已經開始利用假造的違規停車罰單導引受害者前往特定的網站。而這個假冒的網站,除了會下載病毒外,也會要求使用者安裝假冒的防毒軟體。報導中並沒有說明受害者受到的損害程度,但是我想那個並不是最重要的問題。因為當病毒已經下載完成,甚至連假的防毒軟體都已經安裝,能夠達到甚麼程度的危害,就端看駭客的”良心”與技術了。

其實台灣的詐欺犯也常利用假冒的法院公文或其他政府文件來達到詐欺的目的。但是這個方法,實際上並不是要你作轉帳出去這類”很可疑”"的行為。而是只要當你想要確認這張罰單的真實性與是否確為自己所擁有的車輛時,就已經遭受了攻擊。更何況,假造一個網站比假冒一個單位更加容易,也更不容易被識破(現在不少詐騙集團的電話人員很容易被套出來)。所以這類結合實體的線上詐欺行為,可以達到不錯的功效,其變形應該也會陸續出現。

這類攻擊帶來的,不只是新創意的展現,也讓一般民眾對於更多的事物必須保持警覺性。今天,連罰單都不可以相信,或許哪天連警察都不可以相信了(或是現在早已經不能相信?)。對於這類線上詐欺的行為,保持良好的網路使用習慣才是目前最佳的保護方法。

相關連結:

About