搜尋此網誌

2009年7月20日 星期一

[研究報告] 6%人曾經因為”不信邪”而打開垃圾郵件

使用過電子郵件的人應該都有一個共通的感覺,那就是隨著信箱使用的時間越久,所收到的垃圾信件也就越多。以我自己公司的信箱為例,一天大約收到數百封的圾垃信件。也因此,幾乎所有公司都有建置垃圾郵件阻擋的機制。請注意,是幾乎,因為我就遇過沒有使用垃圾郵件阻擋機制的公司。每天員工要花費多少時間在處理垃圾信件上?只怕數學再差的人都應該知道這樣浪費的成本是很高的。企業如此,那麼個人又是如何?

Messaging Anti-Abuse Working Group, MAAWG 於日前公布了一份有關垃圾郵件的報告,內容是針對一般使用者對於垃圾郵件的認知與應對行為之分析。這裡所指的一般使用者,排除了所謂資訊安全方面的專業人士,也因此更能代表廣大的使用者。研究結果顯示,只有 54% 的人利用過濾器 (Filter) 的方式來過濾垃圾信件,而且有高達 21% 的人對於垃圾郵件不做任何防範措施。除了利用過濾器來應付垃圾研究外,其他措施包含減少電子信箱帳號外流的機會(尤其是不留在網際網路上的服務)、另外建立一個私人用的信箱等。

另外一個結果顯示雖然大部分的人會直接刪掉垃圾信件,但是仍舊有高達 52% 的人曾經開啟過垃圾郵件。而其中有 13% 的人疑似鬼上身,也就是在不自覺的情形下打開了垃圾郵件,而另外12% 的人則是因為對於垃圾郵件中所推銷的產品感到興趣。最令人不可思議的是有 6% 的人打開垃圾郵件純粹只是因為好奇心,想知道點了會發生甚麼事情。是因為無知嗎?可能不是,因為有高達 82% 的人知道垃圾郵件可能造成病毒的感染。那麼合理的解釋只剩下因為這些人不是存心跟自己過不去,不然就是不知道問題的嚴重性。

而其中我最感興趣的一個問題是當詢問使用者認定何為垃圾郵件時,分析結果顯示這是一個很難定義的問題。有許多組織都曾經替垃圾郵件正名與給予定義,事實上這四個字對大家來說也都不是甚麼特殊的難字。問題正在於這幾個字不是甚麼特殊的難字,但是卻沒有甚麼標準的定義。或許你也曾遇過那種很喜歡收藏東西的人,不管有用沒用都捨不得丟。在旁人的眼中的垃圾,但是對收藏的人來說不但有價值,甚至可能是寶貝都說不定。所以,垃圾不垃圾是因人而定,對你而言是垃圾,對另外一個人來說就不一定了。事實上,垃圾與否不只與人有關,跟人事時地物各個要件都有關係。例如,今天我剛好很想買一部新的電腦,那麼有關電腦的廣告信件對今天的我而言可能就不是垃圾郵件。但是如果是昨天收到同一封廣告信件,或是廣告的主角換成了防臭襪,對我而言依舊是垃圾信件。

讓我們回到問題的根本,垃圾信件原文為 Email-SPAM ,通常也稱為不請自來的電子郵件 (Unsolicited Bulk Email)。這樣的定義很簡單,但是仔細一想,跟上述我舉的情境根本完全不相干。關於這點差異,其實也不能怪任何人,因為系統只能解決有明確定義的問題。所以眾多的組織與廠商,為了對應垃圾郵件,只好訂出一些看似合理的定義,但是實際上卻與使用者的感受天差地遠。這樣認知的差距可以從報告中只有 60% 的使用者認為不請自來的信件可視為垃圾信件外,另外也有 9% 的使用者認為笑話也算是垃圾信件。

當然,垃圾郵件的所帶來的問題是多面向的。除了基本的資源消耗外,惡意程式的散佈、特殊目的的遂行(如政治、宗教、甚至是毀謗)、釣魚攻擊、進行違法行為(色情/賭博)都是其可能帶來的危害。相較之下,廣告信件所帶來的危害似乎小多了。但是除了散佈惡意程式的信件外,其他各類信件其實都很難直接歸類是否為垃圾信件。如果各組織與廠商依舊活在自己的理想世界,而沒辦法了解垃圾信件對於一般使用者的本質意義,甚至妄想完全消除所謂的垃圾郵件,根本就是自欺欺人的行為。懷疑我說的話嗎?回去看看你家的信箱有多少傳單後或許你就會相信我了。或許唯一能真正解決垃圾郵件的方法就是將不再使用電子郵件,但是我想這種情況大概只可能發生在 Terminator 統治的世界中。

相關連結:

2009年7月19日 星期日

[技術分享] DSGateway 驗證平台

之前 的文章中,我曾提到有關密碼的議題。雖然過了一年的時間,密碼依舊是我們每天在大量使用的驗證機制,而且在可見的未來並沒有跡象顯示這樣的情況會有任何轉變。方便性,這是所有其他驗證機制想要取代密碼的最大挑戰。所以雖然我們有個人憑證、Token這類”相當”安全的驗證機制,但是實際應用的系統依舊相當有限。

一家位於波士頓的公司 - Delfigo Security,推出了一項線上驗證的服務,名稱為 DSGateway 。此服務特別之處,在於它在原先的帳號/密碼驗證機制之外加上了其它的要素做為是否通過驗證的條件。當使用者輸入帳號/密碼之後,如果輸入資料正確,則原先的驗證伺服器可以將額外的資訊傳送到 Delfigo 的伺服器做進一步的判斷。這些額外資訊包含打字的特性 (Keystroke dynamics)、地理位置  (Geospatial parameters)、系統設定 (System parameters)等。而驗證的結果也不是通過與不通過這樣兩極化的判斷,而是一個稱之為 Confidence Factor (CF) 的數值,系統並可進一步根據此數值決定使用者的權限。整個基本的運作流程可以參考下圖。

雖然整個產品看起來複雜性不高而容易了解,不過卻有幾個重要的議題沒有提到。第一個當然就是此一驗證方式的準確性,尤其是透過瀏覽器取得打字特性,能有多精準的效果仍須實際的例子加以證明。另外一個更大的議題則是使用者的資料如何建立?又如何加以更新?這個議題關係到這樣的機制是否可以應用於提供大眾服務的系統,還是較適合用於內部使用的系統。

儘管如此,如果你想增加驗證機制的安全性,但是又不想造成使用者的不方便,DSGateway或許值得一試。

 

相關連結:

2009年7月18日 星期六

[資安標準] PCI 公布無線網路指導原則

PCI Security Standards Council 於日前公布了一份無線網路部署的指導原則 (Guildline),針對想要符合 PCI DSS 規範的廠商提出了應用無線網路 (802.11) 時所應注意的事項。雖然我們所處的環境不見得需要符合 PCI DSS 的規範,但是因為無線網路已經成為許多公司網路環境的一部分,而且無線網路所造成的安全危害也不容忽視,所以仍舊值得做為我們增進無線網路安全的重要參考依據。

該文件將建議事項大致分類為實體保護、隔離無線網路與有線網路、惡意 (rogue) 的 AP、設定、驗證與加密機制、無線網路使用政策、入侵偵測與存取記錄幾個主題。各個主題除了進一步加以說明外,也條列了重點式的建議做法,可提供無線網路的管理者一個方便且有用的作業準則之基礎來源。

相關連結:

2009年7月15日 星期三

[研究報告] 八成的CISO認為內部員工才是資料安全的最大威脅

在一份由 MIS Training Institute 與 NetWitness 針對 CISO 所做的問卷報告中指出,有高達 80% 的受訪者認為內部員工才是資料安全最大的威脅來源。但是比較弔詭的是,30% 的受訪者使用防火牆做為資料外洩的主要防禦機制。這裡指的防火牆應該是應用程式層的防火牆 (Layer-7 Firewall),儘管如此結果仍舊有些令人驚訝。也許是因為提供選擇的選項不夠多,竟然連 IDS 都有 15% 的受訪者當作主要的防禦機制。另外一個必須注意的問題就是有高達 18% 的重要資料不在伺服器上,而是散落在使用者的電腦 (8%)、協力廠商 (8%),更添加了資料保護的困難度。同時也顯現出保護資料光從伺服器著手已經不足,建立有效的多層次防禦機制才能避免資料安全受到威脅。

相關連結:

2009年7月12日 星期日

[工具介紹] 讓短網址無所遁形的LongURL

http://tinyurl.com/58ntcd,如果在多年前看到這種網址,大概會覺得一整個莫名其妙,因為網址通常會取有意義的名稱。58ntcd,這種跟密碼一樣的名稱,很明顯不符合使用性的要求。其實這樣的服務統稱為短網址,tinyurl是其中相當有名的一個。這樣服務說穿了,就是把一個很長(也不一定很長,但是通常比短網址長)的網址縮短成類似這個模樣。這樣做的目的,除了看起來很酷之外,早期有些讀信軟體沒有辦法自動辨識信件內文中因過長而導致換行的網址,所以短網址在這個時候就很適用。而近年來大為風行的推特 (Twitter),因為每個訊息有 140 個字元的上限,因此短網址成為在推特中分享網址的必要手段。也因為這些原因,短網址成了大家所熟悉的朋友。

這麼一個簡單又立意良善的服務,卻因為具備”隱藏”原始網址的特性,因而受到有心分子的利用。嚴格來說,短網址並不能隱藏原始的網址。當使用者點選之後,短網址的服務會將使用者導到原始的網址,此時原始的網址一覽無遺。但是因為使用者在實際點選之前無法即時得知原始的網址,一旦原始網址真有惡意,等到點選後才發覺通常已經為時已晚。另外一個更深層的問題是,當使用者看到短網址時,通常會因為熟悉而放鬆戒心,認為這樣的網址是”安全的”而加以點選,而忽略了這樣點選的動作實際上是連到別的網址。

所謂一物剋一物,有縮短網址的服務,就有恢復原始網址的工具。今天我要介紹的 LongURL 是 Firefox 的外掛程式,其目的正是用來顯示短網址所代表的原始網址。使用上非常簡單,安裝好後只要將滑鼠移到短網址的連結上,稍待一會兒就可以看到原始網址的相關資料。如此一來,使用者在點選短網址時再也不必提心吊膽了。

 

LongURL 讓短網址顯示出原始網頁的標題與網址

longurl

相關連結:

2009年7月10日 星期五

[技術分享] MAGEN – IBM讓你看不到你不該看的

這幾年資料外洩的議題相當夯,各式各樣的產品層出不窮,從 Application-Level Firewall、終端設備管控、文件加密,到列印管控等等,著實令人眼花撩亂。會有這麼多的產品產生,主要是因為資料有所謂的生命周期,而在每個周期內都有其必須注意的事項。另外而且因為資訊化程度的提高,資料已經是無所不在、無所不用了。所以資料外洩的問題是隨”時”、隨”地”都有可能發生的,也因此才會有這麼多看似強大,但是卻又無法完全解決問題的產品。

IBM 的研究家們於日前發表了一個稱為 MAGEN (MAsking Gateway for ENterprise) 的技術,該技術可以自動根據使用者的權限在資料顯示之前將不符合權限的內容”遮蓋”起來。根據 IBM 的說法,這樣的技術不需要修改其他應用程式,而是產生一張使用者權限所能存取資料的影像並將之顯示出來。如果這樣的說法屬實,那麼表示其實使用者的電腦依舊存有(至少存在記憶體內)完整的原始資料。也因此透過特定的技術,有心分子應該還是可以取得完整的原始資料並加以存取。另外一個問題就是如果輸出到印表機這類裝置,隱藏的效果是否依舊有效?

這個技術目前還在概念驗證的階段,距離實際的應用至少還需數年的時間。所以如果此技術確實可行,屆時上述的問題必然也一併加以解決了才是。應該是吧。

 

相關連結:

2009年7月9日 星期四

[新聞時事] 美國與南韓同時受到網路攻擊

根據國外的消息指出,從7/4 (美國國慶日) 以來,美國與南韓的一些網站陸續受到網路攻擊。這些受攻擊的網站分屬於政府 (White House、U.S. State Department ) 與民間單位 (Yahoo Finance、New York Stocck Exchange、Washington Post),而受到的攻擊模式則為中型規模的分散式阻斷服務攻擊 (Distributed Denial of Service Attack – DDoS Attack)。這類攻擊利用被後門程式所控制且數量眾多的僵屍電腦,同時對攻擊目標產生大量的服務請求,進而導致攻擊目標無法應付而失效。攻擊的原理並不複雜,而且因為分散的特性,幕後黑手的隱密性相當高。再加上目前已經有駭客組織透過控管的僵屍網路,提供各式各樣的客製化”服務” (其中就包含發動分散式阻斷服務攻擊),更使得有心分子很容易就可以對目標造成傷害。而這類看似簡單的攻擊,要有效加以防範其實並不容易,至於目前假設的幕後黑手包含北韓與中國。

安全專家特別指出如果美國政府對於這樣的攻擊都無法防禦,那麼在面對更複雜的攻擊時,受影響的程度將更加嚴重。而且如果攻擊的目標不是一般對外服務的網站,而是一些民生基礎建設的平台 (如發電廠),那麼後果將不堪設想。這些事情其實每個政府應該都知道,甚至很多從事相關工作的團體或個人也都知道,但是很多時候總要事情發生過了才會有人注意到事情的嚴重性。所以 911 攻擊事件、卡崔娜颶風、乃至去年底經濟衰退都帶給我們很大的震撼。衷心希望有些事情我們不需要受傷後才知道痛,因為有時候受傷的代價是很高的。

相關連結:

About