搜尋此網誌

2010年5月29日 星期六

[從電影看資安] 失憶症新藥方,數位足跡- 鐵血悍將

鐵血悍將 描述一個大型私人企業暗中進行一項不可告人的秘密實驗,透過在人腦植入一個特殊的晶片,強迫人類接受特定的廣告訊息並引導人類進行購買的行為。男主角因為過去當兵時的私人恩怨,很不幸地被昔日仇家選為實驗對象,更因此導致妻兒慘遭謀害。除了會出現廣告訊息之外,被植入晶片還會導致另外一個嚴重的副作用,那就是會失去過往的記憶。失憶已經夠悲慘,再加上不時出現的”黑影”,男主角簡直快發瘋了。還好後來有反抗人士出面解救男主角,只是反抗人士並沒有辦法將人腦恢復,所以只好利用網際網路上可以找尋到的相關記錄來幫助男主角回想起過去的種種。

有保險才有醫療權,真是沒良心的醫生。vlcsnap-2010-05-25-12h19m37s205

直接宣告放棄救治。 vlcsnap-2010-05-25-12h19m43s17

男主角當然不能死,因此被高科技所救活,而代價就是失憶症。vlcsnap-2010-05-25-12h22m18s27

反抗人士跟男主角解說如何解決失憶症。   vlcsnap-2010-05-25-12h25m34s202

電子郵件、部落格、影片…一切的紀錄。vlcsnap-2010-05-25-12h25m53s129

反抗人士只有很厲害的駭客,沒有失去良心的醫生。vlcsnap-2010-05-25-12h26m06s6

僅能依靠所謂的數位足跡來幫助男主角了解自己的過去。vlcsnap-2010-05-25-12h26m23s164

足跡包含死去的老婆穿著睡衣的性感畫面。vlcsnap-2010-05-25-12h22m51s130

男主角了解事實真相之後大暴走。 vlcsnap-2010-05-25-12h28m33s172

在”美味關係”這部影片時我提到因為撰寫部落格而丟掉飯碗的議題,嚴格來說這就是一種數位足跡的影響。數位足跡簡單來說,就是一個人在數位環境內所有留下的資料與行為紀錄,而這個所謂的數位環境,主要就是我們所熟知的網際網路。事實上,這樣的概念與應用存在已久,包含 Google 與 Amazon 在內的大大小小網路服務供應商都是這類資訊的實踐者。隨著數位化程度的提高與相關科技的進步,每個人的數位足跡將會越來越多。如電影描述般的情節,只要你走在路上,公眾監視系統的影像資料 (將來) 也會成為你的數位足跡,而不僅止於你所主動提供的資訊 (如部落格文章)。主動提供的資訊與數位足跡之間已經引發不少有關隱私權的爭議,更何況是這些非主動提供的資訊,其所面對的道德與法律問題將更為嚴峻。但是在商業利益與國家安全的大帽子下,隱私權究竟能不能獲得勝利,著實令人感到擔憂。事實上,如果運用得宜,數位足跡確實有它的好處 (例如可以讓使用者感受到更貼心的各項服務),而這或許才是捍衛隱私權人士最難克服的障礙。

 

相關連結:

2010年5月27日 星期四

[工具介紹] 讓你的網路瀏覽更安全 - LinkScanner

上次我提到如何避免自己成為釣魚攻擊受害者的建議方案中,在技術方面的方案除了定期更新瀏覽器外,還有一個建議就是採用具備防護能力的瀏覽器。嚴格來說,目前市面上各大主流瀏覽器幾乎都已經內建惡意網站警示的功能。但是因為各家使用的技術不盡相同,所以效果也會有很大的差異。根據 NSS Labs 於去年所推出的一份報告顯示,IE 8 在這方面擁有最佳的效果,而 Firefox 3 也有相差不遠的成績。 但是我們通常不會因為哪個瀏覽器的安全防護較佳而使用該瀏覽器,而是依據自己平常的操作習慣。此外,甚至可能會 (必須) 同時混用多種瀏覽器,因此光靠瀏覽器本身的防護能力將可能產生防護能力不足的問題。

除了瀏覽器本身之外,現在很多所謂端點防護的軟體 (可以想成是防毒軟體的進化版) 也具備相同的功能。但是並不是所有的端點防護軟體都已經整合這樣的能力,尤其是對使用一些免費軟體的使用者而言,這類功能通常是付之厥如的。因此我今天要跟各位分享一個免費的小工具,它'可以與各個瀏覽器整合,即時提供網站是否安全的警示訊息,它就是 LinkScanner。

安裝步驟:

  1. 前往 http://linkscanner.avg.com/ ,點選 “Download FREE now!”。001
  2. 點選右下角的 “Download”。002
  3. 執行程式時出現安全性警告訊息,按下 ”執行(R)” 的按鈕。003
  4. LinkScanner 並不支援中文介面,因此直接選取 “Next >” 的按鈕。004
  5. 勾選 “I have read the license agreement” 的選項後按下 “Accept” 按鈕。005
  6. 直接按下 “Next >” 的按鈕。006
  7. 依據自己的需求決定是否安裝 Toolbar,安裝與否都不影響阻擋惡意網站的功能。007
  8. 安裝完畢,按下 “OK” 的按鈕。008
  9. 自動進行更新的作業。009
  10. 更新完畢。請自行決定是否提供匿名資訊以供 LinkScanner 改善效能。010 

當安裝完畢並重新開啟瀏覽器後, LinkScanner 就可以開始運作。以 IE 8 與 Firefox 3 為例,安裝 LinkScanner 後會在搜尋引擎結果頁面的每個連結出現一個不同顏色的圖示,以用來區分連結的安全性。綠色表示沒有任何問題,而紅色則表示有安全上的問題。除此之外,還有黃色的圖示,表示該連結雖然沒有直接的危害,但是仍需小心。這個功能在 LinkScanner 稱之為搜尋防護 (Search-Shield),目前僅支援 IE 與 Firefox 系列的瀏覽器。除了搜尋防護外,LinkScanner 也支援所謂的主動瀏覽防護 (Active Surf-Shield),而這個功能則支援 IE、Firefox、Chrome 與 Opera,也就是說幾乎目前主要的瀏覽器都已經支援了。

安裝 LinkScanner 後在 IE 顯示的 Google 搜尋結果畫面,此為 Search-Shield 的效果。012安裝 LinkScanner 後在 Firefox 顯示的 Google 搜尋結果畫面,此為 Search-Shield 的效果。011

LinkScanner 提供了設定介面,但是預設值應該就可以滿足大多數的人,所以不需要額外的設定。LinkScanner 目前較大的缺點是沒有中文的介面,所以可能會造成部分使用者在使用上的不適應。如果需要中文化的介面,可以考慮另外一個類似的工具 - SiteAdvisor。SiteAdvisor 跟 LinkScanner 一樣很容就可以安裝完成,而且提供了中文的訊息。但是 SiteAdvisor 的缺點是目前僅支援 IE 與 Firefox,並不支援 Chrome 與 Opera,所以使用者就自行依據需求加以選擇安裝了。事實上,兩個工具的判斷法則並不一樣,所以同時安裝兩個工具也是可以的,只是因為兩個工具都會在搜尋結果畫面加上標示的圖示,所以同時運作時畫面可能會稍微擁擠了些。一個解決方法就是把 LinkScanner 的 Search-Shield 功能關閉,僅使用 Active Surf-Shield 防護功能,讓搜尋引擎結果頁面的連結安全性分類留給 SiteAdvisor 就好。

2010年5月25日 星期二

[從電影看資安] 寫部落格也有失業的風險 - 美味關係

美味關係 講的是兩位美國女性 (Julie 與 Julia) 的真實故事,而這兩位女性彼此之間其實並沒有直接的互動。透過 Julia 出版的烹飪著作,讓 Julie 這位在工作上鬱鬱寡歡的年輕女性找到了自己生活的新動力。這股新動力,正是來自於將 Julia 的食譜一一實現,並刊登於部落格之上。雖然講的是烹飪食譜,但是 Julie 免不了會在部落格上面抒發自己的情感。因此當她因為沒有處理好肉凍而與丈夫大吵一架,或是工作上不順心時,她也會透過部落格告知讀者。沒想到 Julie 的部落格大紅之後,連她的頂頭上司也成了讀者之一。而在一次重要的餐宴之前,Julie 為了重作失敗的紅酒燉牛肉而不得以假裝生病請假,之後卻因此遭到長官的告誡。

Julie 在部落格抒發工作上的不愉快。vlcsnap-2010-05-25-10h49m05s138

紅酒燉牛肉開天窗,只好假裝生病重作一次。 vlcsnap-2010-05-25-10h52m39s228

貼心的丈夫不忘提醒 Julie 要加上補眠休息的字句。 vlcsnap-2010-05-25-10h52m46s70

 看來丈夫應該很有類似的經驗。vlcsnap-2010-05-25-10h52m56s163

老闆真的看到部落格的文章了,先來軟的。 vlcsnap-2010-05-25-10h54m16s194

老闆提醒 Julie 不要在部落格談到公事。vlcsnap-2010-05-25-10h54m43s214

軟的之後就是來硬的。 vlcsnap-2010-05-25-10h55m03s166

美國式的幽默,不過好消息是 Julie 並沒有因此被炒魷魚。  vlcsnap-2010-05-25-10h55m30s178

隨著部落格與其他微網誌的盛行,越來越多人會透過這些管道發表自己的想法。對許多上班族而言,甚至會把它當作逃離工作上不如意的良方。不過在現實生活中,因為部落格不適當的發言而丟掉飯碗的案例,卻是在不斷的重複發生。就算是使用一個沒有人知道的帳號,想說如此一來就不會被雇主與熟人所發現,然而這樣的想法也可能太過一廂情願。隨著搜尋引擎對於這些資料的越趨重視,越來越多的發言不但會被搜尋到,更有可能會把你曾經所有的發言進行關連,不管你是不是使用同一個帳號所發表。下次當你在部落格發表感想前,請記得它不但不是一個私密的空間,甚至是一個全世界都可以接觸到的公共空間。所以對於那些應該只屬於自己的秘密,就讓它們留在心裡就好。

 

相關連結:

2010年5月20日 星期四

[研究報告] 入侵資料中心的五個有效方法

lock_picking_breakin_inSpiderLabs 的顧問 Ryan Jones 於日前表示,根據他實際檢驗過許多資料中心後的經驗顯示,僅管這些資料中心花了大把的銀子做好網路的安全防護,但是在實體方面的防護仍舊存在許多明顯可見且容易被有心份子所利用的安全漏洞。

他列出了五項最容易進入資料中心進行破壞的手法,包含

  1. 從建築物的空隙爬進去 (Crawling through void spaces)。
    • 當高架地板與懸吊式天花板在規劃或安裝時沒有仔細考量,就很容易形成一個能夠輕易進出的管道。
    • 為了避免產生此一問題,需要盡可能使用實體的牆壁延伸於整個高架地板與天花板之間,不然至少應該使用石膏牆板 (dry wall) 加以封閉。
  2. 撬開或破壞安裝不正確的門扉或窗戶 (Jimmying open improperly installed doors or windows)。
    • 使用實心材質的門板。有些門板使用空心夾板的材質,很容易受外力的破壞。另外像是玻璃 (非強化玻璃) 材質的門板,也存在類似的缺點。
    • 確定鉸鏈的安裝方向是否正確。一旦鉸鏈安裝在錯誤的方向,那麼有心份子就可以將門扉卸下以達到破壞的目的。這個問題可以透過實際動線的模擬來加以防範。
  3. 打開門鎖 (Lock-picking the door)。
    • 除了門板本身的安全外,門鎖也是很重要的一環。事實上,一般門鎖除了可以利用專門的工具加以破壞之外,有些門鎖甚至只要使用一張卡片就可以加以解除。
    • 使用高安全性的門鎖或者生物識別的系統,可以減少這類問題的產生。
  4. 尾隨 (Tailgating)。
    • 因為人們通常熱於幫助別人,而且也不願意與他人產生無謂的衝突,因此往往會協助他人通過受管制的門扉。例如當我們看到一個人雙手抱著重物時,會很自然地幫他擋住即將關閉的門扉以協助其進入。如果再搭配一些肢體動作或是外型偽裝 (如制服、識別證),其成功率將更為提高。這部分需要透過教育訓練以提升員工的危機意識。
    • 此外,如果門扉的關閉動作較為緩慢,有心份子甚至可以在沒有人注意到的情況下偷溜進去。對於此一問題,可以將門扉的關閉時間加以縮短。而 man trap 可以進一步減少這類問題的發生。
    • 除此之外,聘用安全人員檢驗所有人員的進出也是一個可行的方法。
  5. 假冒合約廠商或其他服務人員 (Posing as contractors or service repairman)。
    • 屬於社交工程的手法。
    • 除了強化員工相關的教育訓練外,同時必須制定明確的識別機制與作業規範,以避免員工無所適從、甚至誤解所產生的安全危機。

嚴格來說,在傳統上這些原本就是常見的實體安全問題。但是當在講求高安全性的資料中心也存在著同樣的問題,再再顯示出令人不安的隱憂。原因可能在於或許是因為現在大家太過於強調網路/系統/應用程式的安全,反而忽略了最基本的問題。另外一個可能的原因就是實體安全的負責人員跟資訊安全 (系統) 人員屬於不同的體系,兩者之間如何能夠有效地協調並確保重要的資產受到合適的保護,所需的不僅僅只是技術方面的考量,更包含了政治性的議題。

 

相關連結:

2010年5月18日 星期二

[新聞時事] 殭屍大軍的新成員,網頁伺服器

Dead Rising-3 這幾天有一樁新聞,算是另類的台灣之光,那就是台北市被賽門鐵克公布為電腦被感染成為殭屍網路一員數量最多的城市。雖然殭屍網路大軍不斷成長,但是對於惡意份子而言,永遠不會有滿足的一天。因此除了之前常見的個人電腦外,網頁伺服器也已經被發現成為用來進行攻擊的殭屍。以往因為個人電腦數量多,再加上感染的途徑變化較多,所以是殭屍網路的主力。但是網頁伺服器具備一些個人電腦所沒有的優勢,所以用來當作殭屍自有其長處。像是網際網路頻寬大、處理能力強、不關機等特性,都可以增加攻擊的效率。而網路伺服器因為已經提供網頁的服務,因此當透過網頁服務 (HTTP) 進行控制時,更可以達到良好的隱藏效果。如果是一般的個人電腦,不管是透過後門程式或是 IRC 等控制手法,都比較容易被偵測、甚至是阻擋。使用個人電腦的用戶,聽到這個消息可別太高興,因為惡意份子可不會因為有了新歡,就忘了個人電腦這個舊愛的。

 

相關連結:

2010年5月16日 星期日

[教戰守則] 如何避免成為釣魚攻擊的受害者

Phishing-Email-Scams 在前幾天的文章中,我們提到 Facebook 成為釣魚攻擊目標第四名的這個警訊。為什麼說是警訊呢?因為前三名 (PayPal、eBay、HSBC) 的網站,雖然在台灣也有提供服務,但是真正的使用人數都不及 Facebook 來的多。而且使用 Facebook 的人,涵蓋層面較廣,其中不乏許多對於網路安全意識較為薄弱的使用者。再加上一般人的認知上 Facebook 並不是什麼很重要的服務 (相較於購物網站或網路銀行而言),所以更容易因此失去了警戒心。這些因素再再都會使得 (針對 Facebook 的) 釣魚攻擊更加容易成功。

要避免遭受釣魚攻擊,作法其實很一般性。也就是說,保護網路銀行帳號跟保護 Facebook 帳號在觀念與基本作法上並沒有太大的差別,只是因為網路銀行包含更多且更值錢的資料,所以需要採用更謹慎的心態。根據 Anti-Phishing Working Group (APWG) 的文件,建議使用者採用下列方法以保護自己:

  • 對於緊急要求提供個人財務相關資訊 (如銀行帳號) 的電子郵件保持懷疑的心態。
  • 如果你無法確認發訊者的身分或意圖,不要直接點選電子郵件、即時訊息、或聊天訊息內的連結
    • 事實上,因為很多釣魚攻擊也會透過蠕蟲的概念散布給親朋好友,所以就算是已經知道發訊者確實為自己所熟知的人,也要盡量避免直接點選訊息內附的連結。
  • 不要在電子郵件內的表單填寫個人財務相關資訊。
  • 當你在填寫信用卡或其他敏感性的資料時,務必確保你連結的是安全的網站。
    • 所謂安全的網站至少必須採用 SSL 的加密方式,而且擁有由第三方所發放的合法憑證。
  • 記得並不是所有網站都會顯示 https。
    • 當你連結網址時,必須特別注意網址列所顯示的網址是否正確。關於此點,其實有些難度。因為釣魚網站的攻擊者,會使用一些障眼法來讓干擾使用者的判斷。光是 l 與 1 的差別,就可以讓很多使用者中招。儘管如此,多一份小心總是好的。
  • 安裝能夠保護你避免受到惡意網站攻擊的瀏覽器工具。
    • 事實上,很多新版的瀏覽器都已經具備偵測釣魚網站的能力。不過因為使用的資料來源不一,所以各家的偵測與防護能力也有所差別。
    • 因此盡管瀏覽器已經內建偵測能力,個人建議還是可以安裝額外的工具 (如 SiteAdvisor) 加以保護。除了可以提供雙重的防護外,也可以減少不同瀏覽器之間的差異。
  • 定期登入你的帳號。
  • 定期檢查你的銀行帳號、信用卡、債務帳單,以避免非法交易的產生。
  • 確保你的瀏覽器保持在最新的更新狀態。
    • 目前常見的瀏覽器,都提供了自動更新的功能。儘管如此,仍舊必須小心該功能是否被關閉了。
    • 另外一個必須注意的問題就是當瀏覽器進行大改版時 (如由 Firefox 2 改版成 Firefox 3),自動更新是否依舊有。而當因為某些原因不能進行版本更新時,必須確保舊版本仍受到原開發商的維護。
  • 當你發現釣魚網站或假冒網站時回報給相關的組織。
    • 因為這類組織幾乎都是使用外文 (英文) ,所以對某些使用者或許會有執行上的困難。事實上,這個動作比較偏向救人,而不是自救。

仔細檢視上面的建議,除了定期更新與安裝具備偵測惡意網站功能的瀏覽器 (或工具) 屬於技術方面的手法之外,其他都是屬於非技術性的手法。也就是說使用者自己的心態與警覺心,才是能否有效對抗釣魚攻擊最根本也是最重要的因素。

在上述的建議方法中,雖然都只提到個人財務相關資料,但是對於其他私密資料 (如帳號/密碼、身分證字號、甚至是生日),我們都應該採用相同的謹慎態度加以處理。一旦這些資料不保,不但可能因此造成個人財務資料的外洩,其所造成的危害甚至不僅只於金錢方面的損失。不可不慎。

完整的建議說明文件 (英文) 在這裡

2010年5月13日 星期四

[研究報告] Facebook 終於成為釣魚攻擊的熱門目標

q1_spam2010_pic09_en 根據  Kaspersky 最近針對 2010 年第一季垃圾郵件 (Spam) 的分析報告顯示,Facebook 一躍成為釣魚攻擊目標的第四名 (5.7%),排列在 Paypal (52.2%)、eBay (13.3%)、HSBC (7.8%) 之後。攻擊目標的前三名多與金流有關,Facebook 則以社交網站的身分獲得青睞,其比例甚至高於名列第五名的搜尋引擎龍頭 Google (3.1%)。

儘管釣魚攻擊通常並不是利用被攻擊目標的安全漏洞加以進行,但是目標網站依舊有教育其使用者如何避免遭受釣魚攻擊的義務。在這方面,Facebook 似乎並沒有任何作為。隨著 Facebook 的持續成長,針對 Facebook 的釣魚攻擊 (與其他類型的攻擊) 只會越來越多。身為使用者的我們,既然不能改變網站的設計,能夠做的就是更加小心,不要讓自己成為釣魚攻擊的下一個受害者。

在這份報告中還有另外一個值得注意的變化,那就是垃圾郵件的來源地區中,因為中國政府加強管理網域註冊政策,因此減少了垃圾郵件散佈的數量。這個做法,或許值得其他國家做為借鏡。

 

相關連結:

2010年5月8日 星期六

[新聞時事] 跨平台 ATM rootkit 將於 Black Hat Las Vegas conference 中發表

atm-machine-small 根據國外的報導指出,前 Juniper Networks 的安全研究員 Barnaby Jack 將於七月底舉行的 Black Hat Las Vegas conference 中發表一場有關自動提款機 (ATM) 安全的演說。在這場演說中,Jack 將展示一個跨平台的 ATM rootkit。除此之外,他也將展示多種透過網路進行的遠端攻擊手法。相較於以往需透過實體的方式破壞 ATM 安全防護,這些手法顯然更具破壞性。根據 Jack 的說法,這些攻擊手法是利用程式撰寫上的錯誤。然而 Jack 並沒有明確的指出是哪個廠商的設備會遭受這樣的攻擊,甚至是否有一家以上設備有此問題也也不小的可能性。根據我收到的側面消息,設備廠商與銀行業者對此情況已經感到擔憂,並積極尋找解決之道,其中包含程式碼的全面檢驗。

 

相關連結:

About