搜尋此網誌

2010年1月20日 星期三

[從電影看資安] 引狼入室 - 孤兒怨

孤兒怨 這部電影講的是一對夫妻領養了一位小女孩,這位原本看似完美的小女孩卻在進入主角們的家庭後,漸漸的露出了真面目。小女孩不但個性暴戾,骨子裡更是個殺人不眨眼的女魔頭。

良好的氣質,當然是裝的。vlcsnap-2010-03-16-10h06m35s10

彬彬有禮,當然也是裝的。vlcsnap-2010-03-16-10h08m52s41

幹壞事 (殺人) 絕對是真的。vlcsnap-2010-03-16-10h14m13s22

一般家庭要領養小孩的比例或許不是那麼高,但是在組織運作的過程中,卻一定都需要從外面引進人才。如何才能避免踩到地雷,成為下一個犧牲者呢?答案就是所謂的背景調查。背景調查的歷史相當悠久,絕對不只是侷限於資訊安全的領域。背景調查不但是公司用來確認員工背景資料的手法,同時也是有心分子用來研究目標的手法 (如之前描述過的社交工程攻擊)。手法本身沒有善惡之分,端看使用者的心態來決定。

通常一般人在應徵工作時,公司會要求繳交一些證明文件,不過大多侷限在畢業證書、退伍證明這類基本資料。可惜的是,公司通常不會去驗證這些文件的真實性,因此我們常常可以聽到假冒學歷的新聞發生。比較有制度一點的公司,有可能會要求員工繳交所謂的 良民證,簡單來說就是確認你沒有犯罪紀錄。除了這些資訊之外,另外包含像是財務資料、過去的聘僱紀錄、推薦者的推薦內容等等,也都可能屬於背景調查的範圍。即使是同一個組織,往往也會因為職務的不同而要求不同程度的背景調查。一般而言,職務越高或是越容易接觸到重要資訊的職務,就需要進行比較嚴格的背景調查。

只是一般公司比較容易忽略的事情是,通常 IT 人員的職務等級並不是很高,但是其接觸重要資訊的機會卻相當高,如果沒有做好相關的背景調查,一旦發生問題其危害程度將是相當的高。除此之外,所有背景調查所獲得的資料其真實性為何,一定要加以確認,否則徒具形式的流程只是徒增勞資雙方的困擾。其實在片中孤兒院院長已經發現一些端倪,但是主角們太過心急於進行領養的動作,導致事後要弭補過失不但相當困難、甚至也已經付出了極大的代價。

最後要提醒的是,即使組織進行背景調查的出發點是善意的,最好還是能夠對被調查的對象真誠以告,否則衍生出隱私權的爭議可就得不償失了

2010年1月11日 星期一

[研究報告] 國家基礎建設可能遭受網路攻擊

cyber_warfare

根據 McAfee 前一陣子所發表的 報告 中指出,包含美國在內的國家正在發展先進的網路攻擊能力 (Offensive Cyber Capabilities)。這些國家除了美國之外,還包括了中國、蘇俄、法國、以色列等,可說是網路時代的冷戰時期。儘管大家都不願意發動所謂的網路戰爭 (Cyber War),但是這樣的攻擊行為一旦發生,受到影響的絕對不只是上網的民眾,而是所有的人民。因為這類攻擊的目標包含了基礎公共建設,例如電力系統。在報告中指出像是自動化監控 (SCADA, Supervisory Control and Data Acquisition) 系統就是一個明顯而脆弱的目標。目前很多設施都使用自動化監控系統加以管理,而且已經具備網際網路連線的能力,以提供遠端管理的功能。這類系統一旦遭受入侵或破壞,所產生的危害將是相當的嚴重。不可諱言,因為報告中講的都是屬於各個國家的機密資訊,所以其真實性與可信度都會受到一定程度的質疑。不過就歷史發展的過程來看,這樣的結果是必然的,差別只在於何時與何地罷了。

 

相關連結:

About