~分享是進步的原動力~
這則新聞報導MSN阻擋無名小站和Youtube,但微軟卻表示「不知情」,這年頭正在流行「不知情」、「用戶電腦中毒」、「不可能洩透客戶資料」等關鍵字,如果企業內部發生問題,就把所有責任往用戶推就對了,反正,死無對證。 
... 台灣微軟對此卻全不知情,台灣微軟線上服務事業群資深行銷經理劉沛郁表示:「應該不會有這種狀況。」他強調,MSN不會封鎖特定網址,除非是特定病毒連結。
MSN對於釣魚網頁、病毒連結上有其阻擋機制,使用者可透過網路或電話客服,回報危險網頁,在經過微軟內部工程師驗證過確定是釣魚、病毒網頁後,就會全球性的封鎖該網址,也就是全球各地MSN都不能傳送危險網址。…
上星期四收到一封電子郵件,內容是要求我把某些文章撤掉,但被我拒絕了,以下是郵件的內容 (請不要問我是哪家公司): 閱讀全文 »
剛剛讀了「星政府撥十五億餘元台幣強化網路安全」這則新聞,感觸很深,為什麼新加玻能,而台灣不能呢?
新加坡政府昨天宣佈,將撥款七千萬新元(新台幣十五億六千八百萬元)推動第二個資訊通信安全藍圖計畫,在未來五年執行首次虛擬網路攻擊演習等六大策略,強化新加坡的網路安全…
今年台北國際資訊安全科技展從4/16展到4/18,不曉得各位有沒有撥空去逛逛嗎? 閱讀全文 »
自由電子報的報導「台大推甄、個申榜單 網路提前曝光」,我對下面的內容是有意見的:
台大依往例在放榜前,先進行內部檢核,資訊人員將榜單PDF檔,存在一個台大並未對外公告的網址上作最後確認,一個多小時後隨即關閉,未料竟遭有心人士透過搜尋引擎截走,昨天上午十點至十二點間,就貼上了PTT網站。
未對外公開網址並不代表外部人員連無法存取此網址,除非,只允許內部人員存取此網址,如果是這樣,答案就很明顯了,麻煩查一查囉,不要有事沒事都怪罪於搜尋引擎。 閱讀全文 »
昨天下午參加了『第一屆OWASP亞洲年會 (OWASP Asia 2007) 』,整體感覺不錯,可惜每個演講者演講時間短了點。非常感謝OWASP台灣分會會長 Wayne Huang 努力爭取此次機會,我們才得以聽到這麼好的演講,希望明年可以繼續擴大舉辦囉。
第一場講者:Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)
演講題目: 未來Web資安之大挑戰:邏輯漏洞
演講內容摘要:面對Web越來越盛行,惡意的攻擊者每天都虎視眈眈想要入侵主要的網站,竊取有用的資訊,以獲取利益。在演講中,作者提出七個未來Web資安之大挑戰及解決方案(下載此文章):
最後,作者也提到,面對這些新挑戰,防毒軟體、入侵偵測/防護系統、網頁應用程式防火牆等工具都不能偵測到這些威脅 (各位企業IT主管們,應該要覺醒了吧!不要在亂買一些無用的產品,花點小錢,好好訓練員工的技術能力吧)。
第二場講者:Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)
演講題目: 從使用者的角度出發,企業的安全長要的是什麼?
演講內容摘要:工程師們,請把資安技術轉換成管理者聽得懂的語言,並想想怎麼利用最少的資源(好像不太可能喔),替公司賺更多的錢。
第三場講者:Jack Yu, 余俊賢 (資安人雜誌主編)/Jeremy Chou, 邱銘彰 (艾克索夫實驗室創辦人兼技術長)
演講題目: 決戰實況: 中國網軍與海峽兩岸資訊戰
面對中國網軍,台灣軍方單位真的要認真考慮,如何建立一個專責單位,負責強化資訊戰的能量,否則,到時候怎麼死的,都不知道 (我個人的經驗是,現在編制人員,工作分配太雜,無法專心研究相關資安技術及演練,想要進步都很難)。
第四場講者:Mike Shema (Qualys首席資安研究員)
演講題目: Web資安–企業如何有效利用自動工具?
第五場講者:ayne Huang, 黃耀文 (OWASP台灣分會會長、阿碼科技創辦人兼執行長)
演講題目: 利用靜態檢測做好安全Web應用程式開發
事後的檢查所花費的時間與金錢是相當的可觀,即使知道問題所在,企業會馬上修補這些問題嗎?蠻令人質疑的。
Writing Secure Code 重要嗎?我想對大部分的研發人員都不重要,即使花再多的錢去訓練這些研發人員 (我不是說這種訓練沒用喔),還是會發生同樣的問題,那問題出在哪呢?答案很多,很值得討論囉!
最後,當然希望主辦單位能把研討會的Slides分享出來囉。
延伸閱讀:
防止中國網軍襲擊 外交部強化資訊安全
外交部「實體隔離」管制防駭攻擊
調查局防止中共網軍襲擊 我外交部強化資訊安全
專訪WhiteHat CTO:Web應用使邏輯漏洞危害更大
信用卡風險控管催生IT商機
概述
最近這幾年,已經很少看見大規模的惡意程式感染或傳播,取而代之的是目標式攻擊(Target Attack)的惡意程式,而且大部分是以賺取金錢為目的。那惡意程式的數量減少了嗎?其實並沒有,反而增加了非常多,多到令防毒軟體公司疲於更新惡意程式特徵碼,但也無法有效地或即時地保護他們的客戶免於中毒。
各位會發現今年新版本的防毒軟體多了一個主要的功能 — 行為偵測防護。大約四、五年前,就有人提出這個構想,但防毒軟體公司認為這個技術太容易造成誤判和干擾使用者行為,但為什麼四、五年後,防毒軟體公司會將此技術加入防毒軟體中呢?因為傳統偵測方式已經無法有效處理大量的惡意程式樣本和未知惡意程式樣本。
現今防毒軟體有下面幾個主要的難題,使得防毒軟體都無法有效地偵測到這些惡意程式:
防毒軟體偵測率的迷思
大部分的人應該都認為防毒軟體的偵測率越高越好,所以,當選擇防毒軟體時,只看此項目,而忽視了其他項目(或其背後所隱藏的含意),其實,這是種迷思:
惡意程式感染生命週期
傳統惡意程式偵測方式,往往必須收集到樣本,才能建立特徵碼,然後,經由病毒碼更新後,才能保護客戶系統或網路之安全,但從收集樣本至病毒碼更新期間是一段空窗期,亦即,你的系統或網路無法有效防禦此惡意程式的攻擊,所以,如何縮短此空窗期,也是一個很重要的課題。
什麼是行為偵測技術
簡單地說,就是監控系統任何活動,包含檔案/註冊碼/系統服務之新增/刪除/修改、執行程序之新增/終止等等。當惡意程式/正常應用程式執行時,使得系統產生變化,防毒軟體行為偵測防護就會根據其預設規則做相對應之處理動作(下圖是一個例子)。
行為偵測技術可以實作在系統使用者模式或核心模式,其中以系統核心模式的防護功效較佳,相對地,如果所撰寫的程式碼品質不佳,很容易造成系統死當或出現死亡的藍色畫面(BSOD),通常必須經過一段很長時間的測試驗證,才能穩定其程式碼品質。
大部分的防毒軟體行為偵測技術皆實作在系統核心模式(這也就是為什麼防毒軟體公司不敢隨便提供此技術給他們客戶的原因,因為必須確保其品質),但大部分的反間諜軟體皆實作在系統使用者模式(已經有些反間諜軟體變更至系統核心模式),這也就是為什麼防毒軟體的防護能力比反間諜軟體較佳的原因之一。
惡意程式攔截點及服務產業分布情形
根據趨勢科技的統計(期間:7/31/2006~6/30/2007,地區:台灣,電腦數目:35萬台,病毒記錄:123,050,171 筆),大部分惡意程式攔截點發生在用戶端及伺服器端,佔了96%,此數字讓人覺得驚訝,難道,他們都沒有安裝閘道端的防毒軟體嗎?
行為偵測技術適合哪類的防毒軟體
基本上,行為偵測技術較適合加入用戶端的防毒軟體,因為行為偵測技術是根據惡意程式/正常應用程式執行時,對系統產生的變化做相對應之處理動
iThome online 昨天報導「趨勢將網頁信譽評等服務加入新版 OfficeScan」新聞中,有部分內容是有問題的,不曉得是 iThome 編輯寫錯,還是趨勢科技講錯了。
問題出在「惡意程式也可能偽裝成txt、jpg、gif檔入侵,而這些在閘道端都無法阻擋」。現在大部分閘道端防毒軟體都可以針對檔案內容辨識檔案格式,並不會因為惡意程式偽裝成其他副檔名,而偵測不到那些惡意程式,除非防毒軟體本身的設定有問題,或是防毒軟體根本沒有那些惡意程式的特徵碼。
最後,請不要再把錯誤的觀念灌輸給大家。
Taiwan CNET 的 IT 技術新聞中有一篇文章,名為「病毒清理(Virus Clear)的迷思」,文章最後有一段註解説明 — 本[網路部落格]文章僅反映作者個人意見,不代表CNET立場,並已獲作者同意轉載。
現在很多資安論壇上都有防毒版,但所提供的資訊,很多都是似是而非,有些真正的專家勇於表達自己的看法和分享自己的經驗,很快就會被其他網友攻擊,導致他們失去熱忱,再也不喜歡分享他們自己在資安專業領域上的經驗給大家,我自己覺得相當可惜。沒辦法,小人當道,難怪台灣的資安觀念落後其他國家。
最後,如果各位看得懂那篇文章所要表達的意思,請在這裡發表你的看法囉,或是你有其他的看法也可以在這裡發表囉。
順便一提,如果有時間的話,我會把我對防毒軟體所知道的觀念與經驗分享給各位。
唉!搞了很久,網站終於恢復運作了。
在這裡,我有幾點要抱怨一下:
如果各位正在使用 WordPress,我想最好安裝 WP-Cache,否則,一定會遇到這種情形 (也許是其他的問題)。
最後,不曉得各位可不可以推薦一下,哪個 Web Hosting 廠商比較值得信賴呢 (我比較喜歡 Google,也許會購買他們 App Premier Edition)?謝謝。
更新日期:2007/4/11 @ 09:45
昨天蘋果日報報導 「ESPN 等 27 官網遭駭 調局偵辦」,看了內容後,有幾點要在這裡回應。
一、關於報導說「司法院資訊管理處長郭瑞蘭表示,病毒程式被司法院網站防火牆檔下,資料未外洩」,針對這點,我還不知道防火牆有這麼厲害的功能,可以攔截病毒程式,不曉得可不可以介紹給大家呢?另外,司法院資訊管理處也發布一個資訊安全公告 (如下圖),這點我蠻肯定的,至少他們有公佈自己網站中毒,還有提醒網使用者相關注意事項。
二、 關於報導說「ESPN 台灣分公司行銷宣傳經理陳佩芝說:我們以加快了解此事發展,會在最短時間內處理」,針對這點,又是標準官方說法,沒有說明處理程序及何時會公佈結果,雖然昨天 ESPN 已經移除首頁的惡意連結,但昨天晚上又被植入新的惡意連結,而且,我也在第一時間以電子郵件通知他們,到目前為止 (2007/4/10 @ 13:41),尚未移除,這種處理速度,讓人可以信賴嗎?另外,每次使用 ESPN 網站提供的服務信箱 (service@espnstar.com.tw) 寄信,都被退回來 (如下圖),不曉得是我看走眼了,還是他們寫錯了,也請各位幫忙試試看 (只有 service@espnstar.com 可以寄成功)。
在台灣,一定要等到有人死了或重要資料被偷,才開始動起來,做做表面工夫,等風頭過了,還不是一樣,這就是企業的社會責任嗎?還是台灣人的悲哀呢?
最後,我當然不希望因為這些事件導致網管人員受到處罰,其實最大的問題,還是出在管理階層,自以為是,以為自己非常了解這方面的東西,就亂決定要購買某些產品,也不仔細評估那些產品。
很多企業資安主管都說資訊安全很重要,但我認為他們連最基本的必備條件都沒有做好 — 提供 24 小時專線電話和特定的電子郵件信箱。為什麼我會這麼說呢? 閱讀全文 »
最近,獨孤木他們的研發團隊發表「diggirl.net」網站。今天,MR.6 也有一篇文章報導他們,文中有一段話提到「最近Diggirl申請Google AdSense,卻因為「照片疑似色情」而被拒絕了,只好改用AdBrite,但在未來,只要它這套「Girl Digger」有人愛用,有人下載,愈用愈上癮,最後拿來管理所有的下載照片,它就再也不必求使用者點個廣告了。」。
各位看看上面的圖,就知道為什麼 Google 拒絕他們申請 Google AdSense。
下面是我個人之看法:
第一、此網站沒有任何瀏覽年齡限制,一進入該網站,映入眼簾的是清涼養眼的美女圖 (現在是這樣,以後就不確定了,也許有色情圖片),如果各位家有小朋友的話,會做何感想呢?(也許很快就有人會到「終止童妓協會」檢舉這個網站)
第二、Mr.6 在文章中提到「網站+軟體」的新型組合。很多網站不是也是這樣嗎 (尤其是放圖的網站)?我倒不覺得是新型組合。
第三、Mr.6 在文章中提到 Diggirl 風格是「模糊中帶有清新」,謹守「不露點」的底線,不搞色情網站。在這裡,看不出來他們如何謹守這些規則呢?利用他們的軟體嗎?如果他們的軟體真的可以辨識色情圖片,那也不必這麼搞了,直接拿去賣錢,可能賺的比較多,不是嗎?至於不搞情色網站這個問題,不是他們可以自行判斷,可以問問家長們的想法,他們會覺得不是嗎。
第四、色情廣告業者很有可能利用程式把色情圖片放到網站上,就好像 Blog Spam,真的很難預防。
第五、這個網站有侵權問題,也許因為現在還不夠大,所以,沒有人會注意到這個網站,但當它成長到某一程度之後,自然而然,會有這方面的問題,有一個很明顯的例子就是 YouTube。
第六、這個網站的營運策略竟然是靠廣告,蠻奇怪的。各位想想,有什麼樣的廣告可以擺在上面呢?
第七、這個網站應該會引爆一些話題,流量自然就會暴增,也許這個是他們想要的,但企業的社會責任呢?
第八、台灣的程式設計菁英們,就只能做出這樣的東西嗎?不會吧!也許大家想錢想瘋了,不是嗎?
以上是個人之淺見,觀迎批評指教。
更新資訊:
