資料遺失防護(Data Leakage Prevention, DLP)這兩年似乎成為資安的熱門產品。滿街資安新聞的個資外洩、交易資料外洩、機敏資料外洩...似乎 DLP 產品成了救世主,想當年入侵偵測系統 (IDS) 也曾經大喊我是救世主的哩!
坦白說,DLP 產品並不是太新的產品,以前就有類似的產品,只是這兩年比較有共識的名稱:資料遺失防護 (DLP)。
我看見了,但不爆料、不冷眼,提些有建設性的,希望大家看了有點幫助。
這裡應該會有許多觀念,您不一定要接受,就當參考吧!
資安沒有所謂的絕對,但,你一定要有「您的風格」...
2008年12月7日 星期日
2008年11月24日 星期一
2008年11月11日 星期二
網站多久沒健檢,是不是該關心一下了 (Take Care Your Website)
你有多久沒有好好看看你的網站了,沒出事就不關心了嗎?那...不出事才怪的勒!資安...心態最重要。
平常應該要多關心網站運作狀況,是否有任何入侵的蛛絲馬跡,而這些徵兆都不能輕忽之;否則,網站問題將會層出不窮,小則網頁竄改、資料庫被操弄,或植入惡意連結;大則資料庫個資外洩,被詐騙集團利用,甚至機敏資料外洩。這些問題,平常多少一定會有些徵兆的,注意這些徵兆將會是避免事態持續擴大的重要關鍵。
有很多入侵行為,是沒有任何網站內容的竄改的,也就是說,入侵這台主機只是當跳板,但是,可能其他相同網段的網站卻經常出問題,你卻始終找不到真正病因。就像很多疾病,帶原者本身並不發病的,但是接觸的人可就慘了,很多攻擊模式有異曲同工之妙。
如果有下列徵兆中的一個,幾乎代表網站被入侵了,多個那就肯定被入侵:
* 網站目錄下是否有多的莫名檔案
* 網站主機上是否有多的莫名帳號
* 資料庫中是否有奇怪字串或帳號
* Mass SQL Injection 攻擊遺跡
* 網站主機之防毒軟體是否有異常警訊
* 網頁目錄是否有網頁木馬後門程式
* 系統的後門或木馬程式(惡意程式)
平常應該要多關心網站運作狀況,是否有任何入侵的蛛絲馬跡,而這些徵兆都不能輕忽之;否則,網站問題將會層出不窮,小則網頁竄改、資料庫被操弄,或植入惡意連結;大則資料庫個資外洩,被詐騙集團利用,甚至機敏資料外洩。這些問題,平常多少一定會有些徵兆的,注意這些徵兆將會是避免事態持續擴大的重要關鍵。
有很多入侵行為,是沒有任何網站內容的竄改的,也就是說,入侵這台主機只是當跳板,但是,可能其他相同網段的網站卻經常出問題,你卻始終找不到真正病因。就像很多疾病,帶原者本身並不發病的,但是接觸的人可就慘了,很多攻擊模式有異曲同工之妙。
如果有下列徵兆中的一個,幾乎代表網站被入侵了,多個那就肯定被入侵:
* 網站目錄下是否有多的莫名檔案
* 網站主機上是否有多的莫名帳號
* 資料庫中是否有奇怪字串或帳號
* Mass SQL Injection 攻擊遺跡
* 網站主機之防毒軟體是否有異常警訊
* 網頁目錄是否有網頁木馬後門程式
* 系統的後門或木馬程式(惡意程式)
2008年11月4日 星期二
資安,攻擊容易還是防守容易
這問題應該很多人有討論,但,似乎都沒有很明確的結論。
我認為這問題很重要,企業或單位內部資訊人員每年都應該辦一場辯論賽,可以從中激發很多內部資訊問題,要提出問題才能有解決的機會。如果「解決」資安問題,都是靠可能是、應該是「某個」問題,所以去解決它,解決問題時全憑意測;認為解決後,又無法衡量問題是否已經被完全解決,或被部分解決,或者跟本沒有解決的,所以期待資安問題的再次發生,這些都是很衝突的想法。希望這裡過一些問題探討,能給大家一些省思。
攻擊容易的論點或說法:
1.漏洞太多,問題防不勝防
2.壞人太多,技術能力高超
3.該買的也買了、該做的也做了,卻一直「解決」不了問題
4.需要有錢做防禦工事
5.人力有限
6.管理階層並不重視或不知道資安所衍生的問題
防守容易的論點或說法:
1.有正確的資安觀念與心態
2.有「良好」的資安技術能力
3.團隊合作
4.管理觀念、資安防護架構完整
5.主動做資安,重點強化防禦
我認為這問題很重要,企業或單位內部資訊人員每年都應該辦一場辯論賽,可以從中激發很多內部資訊問題,要提出問題才能有解決的機會。如果「解決」資安問題,都是靠可能是、應該是「某個」問題,所以去解決它,解決問題時全憑意測;認為解決後,又無法衡量問題是否已經被完全解決,或被部分解決,或者跟本沒有解決的,所以期待資安問題的再次發生,這些都是很衝突的想法。希望這裡過一些問題探討,能給大家一些省思。
攻擊容易的論點或說法:
1.漏洞太多,問題防不勝防
2.壞人太多,技術能力高超
3.該買的也買了、該做的也做了,卻一直「解決」不了問題
4.需要有錢做防禦工事
5.人力有限
6.管理階層並不重視或不知道資安所衍生的問題
防守容易的論點或說法:
1.有正確的資安觀念與心態
2.有「良好」的資安技術能力
3.團隊合作
4.管理觀念、資安防護架構完整
5.主動做資安,重點強化防禦
2008年11月3日 星期一
誘捕系統 (Honey Pots)探討、策略及管理
誘捕系統 (Honey Pots),大多數會使用的,多半為社群或研究(Research)單位,對攻擊、入侵...等資安事件做研究之用,並從中找到資安防護之道,推出資安防護產品或強化防護產品不足,尤其是防毒產業,都一定會建置誘捕系統來擷取網路上的惡意程式樣本來製作病毒碼。對於誘捕系統的使用,多數企業或政府單位並未建置、佈署,因為,它的運用是更高一個層次了,但我建議金融業、網路交易平台業、線上遊戲業,應該都需要有「自己一套」的誘捕系統,在所有資安防護商都說無法保證 100% 安全的時代,誘捕系統是「查覺」資安問題頗佳的方式之一,無奈,大多數的企業或單位想是全是要「被動解決」資安問題,並不會想「主動發掘」資安問題,這裡面是有點吊詭及迷思的,我也不知道是對自身防護有自信還是#$%@*。
如果你無法確定第一層防護的安全性,通常第一層是指外部 (Public) 網路可以接觸到的 IP 或系統,多半是網際網路服務,如網站...等,那你該加強第二層的防禦作業,通常是網站主機上的防毒軟體,但光靠防毒軟體是不夠的。這是可以考慮誘捕系統或特別的監控系統,來查覺入侵事件的發生,有時第二層的防禦會更簡單做且有效。其實,很多系統管理者都有查覺入侵事件,只是沒呈現出來而已,可以參考「低調、詭譎與資安」一文,有些地方是該低調處理,但有些地方是千萬不能低調處理的。
如果你無法確定第一層防護的安全性,通常第一層是指外部 (Public) 網路可以接觸到的 IP 或系統,多半是網際網路服務,如網站...等,那你該加強第二層的防禦作業,通常是網站主機上的防毒軟體,但光靠防毒軟體是不夠的。這是可以考慮誘捕系統或特別的監控系統,來查覺入侵事件的發生,有時第二層的防禦會更簡單做且有效。其實,很多系統管理者都有查覺入侵事件,只是沒呈現出來而已,可以參考「低調、詭譎與資安」一文,有些地方是該低調處理,但有些地方是千萬不能低調處理的。
2008年10月19日 星期日
企業事件應變管理 (Enterprise Incident Management)
資安事件「應變處理 (Incident management, Incident Response(IR), Emergency Response, Incident Handling)」,它有很多名稱,簡體名稱為「应急响应(應急響應)」。相關政府單位、組織可以參考這裡。
相關事件應變處理 (IR) 步驟或過程可以參考下列文章:
1. SANS InfoSec Reading Room:
Incident Handling
2. GIAC Research in the Common Body of Knowledge:
Analysis of the Incident Handling Six-Step Process
3. SecurityFocus
An Introduction to Incident Handling
SANS (SysAdmin, Audit, Network, Security) 對於資安事件應變處理上,有提出六大步驟,這些步驟並沒有一定的標準程序,但是有些模式可循,可以參考最經典的 SANS 處理建議:
「Computer Security Incident Handling: Step-by-Step」
相關事件應變處理 (IR) 步驟或過程可以參考下列文章:
1. SANS InfoSec Reading Room:
Incident Handling
2. GIAC Research in the Common Body of Knowledge:
Analysis of the Incident Handling Six-Step Process
3. SecurityFocus
An Introduction to Incident Handling
SANS (SysAdmin, Audit, Network, Security) 對於資安事件應變處理上,有提出六大步驟,這些步驟並沒有一定的標準程序,但是有些模式可循,可以參考最經典的 SANS 處理建議:
「Computer Security Incident Handling: Step-by-Step」
2008年10月11日 星期六
企業虛擬私有網路管理 (Enterprise VPN Management)
虛擬私有網路 (VPN, Virtual Private Network),之前在「企業防火牆管理 (Enterprise Firewall Management)」一文有提到,這是輔佐防火牆的重要技術配套措施,因為,防火牆只能管到 Layer 4 (部分防火牆有多功能,這主要還是以網路層防火牆為主);只能管 IP&Port,是無法進行身分驗證的工作 (有的網路層防火牆有進階設定可達到),如果還要做稽核記錄、數據報表及統計分析工作,這些就不是防火牆該做的工作了。
假設,有一台主機的 SSH 對外開放,這是很常見的。有想過它最大的風險是啥嗎?沒錯,暴力密碼猜測攻擊。基本上這類主機應該都要在 VPN 的防護之下,也許有人會說,SSH 本身已經有進行身分驗證,沒必要再用 VPN 的,以技術觀點而言,乍看之下是沒錯的,但 SSH 與 VPN 面對暴力密碼猜測攻擊也可能會有不同結果。如果再以管理觀點來說,SSH 與 VPN 卻是完全不同的,FW+SSH 的管理就不是容易的,往往都是 IT 人員的方便之門;而 VPN 等同已經有個集中管理平台了,可以知道哪個帳號登入幾次、從哪裡登入、登入的時效...等,甚至有還有許多進階功能可以強化防禦能力的,更重要的是有數據報表可以分析利用,但我還是要說,所有的 VPN 產品或軟體的報表功能還是有需要進步的地方。相較而言,VPN 可以做到的事會更多(依產品或軟體功能及特性會有不同的),挑選正確的 VPN 產品或軟體也是很重要的第一步,你準備好了嗎?
假設,有一台主機的 SSH 對外開放,這是很常見的。有想過它最大的風險是啥嗎?沒錯,暴力密碼猜測攻擊。基本上這類主機應該都要在 VPN 的防護之下,也許有人會說,SSH 本身已經有進行身分驗證,沒必要再用 VPN 的,以技術觀點而言,乍看之下是沒錯的,但 SSH 與 VPN 面對暴力密碼猜測攻擊也可能會有不同結果。如果再以管理觀點來說,SSH 與 VPN 卻是完全不同的,FW+SSH 的管理就不是容易的,往往都是 IT 人員的方便之門;而 VPN 等同已經有個集中管理平台了,可以知道哪個帳號登入幾次、從哪裡登入、登入的時效...等,甚至有還有許多進階功能可以強化防禦能力的,更重要的是有數據報表可以分析利用,但我還是要說,所有的 VPN 產品或軟體的報表功能還是有需要進步的地方。相較而言,VPN 可以做到的事會更多(依產品或軟體功能及特性會有不同的),挑選正確的 VPN 產品或軟體也是很重要的第一步,你準備好了嗎?
2008年10月4日 星期六
化被動為主動之防火牆篇 (The Firewall of Changing from Passive to Active)
這裡不是在廣告喔!有個公司「ThreatSTOP」網站是 www.threatstop.com。
要注意的是它的服務模式 (Business Module),提供給企業的防火牆一組黑名單 IP,並加以阻擋,而且是動態名單,會經常變換的。這些 IP 都是 Bots, Trojans, Spam, Viruses...等的網路通聯對象,所謂的 Malware 聯繫造成的網路行為。很明顯的它在資訊安全防護主要是在偵測、阻擋階段,大多資安防護設備都是在這個階段,資訊安全防護有三階段:預防、偵測阻擋、矯正階段。防毒軟體橫跨三個階段,這也是防毒軟體受歡迎的主因,但現階段而言,有嚴重漏判問題。
相關服務說明可以參考這裡。提供服務可支援防火牆的清單在這裡。價格呢?網站上也有啦...就自行參考囉。這服務後面的夥伴(協力商,Partners) 在這裡,發現 Partners 中有好幾的都大有來頭呢,ShadowServer 是長期監控全球僵屍網路 (botnet),網站上還有其他許多統計資料可以參考的;DShield.org / Internet Storm Center 這是屬於 SANS 的一份子,主要由一群自願人士,努力蒐集許多網路事件,加以分析及統計,找出異常事件與威脅;PhishTank 是蒐集釣魚網站的資料庫,讓大家知道哪網站是詐騙網站或被寄宿釣魚網站的。所以它的後台都相當有料的喔!
要注意的是它的服務模式 (Business Module),提供給企業的防火牆一組黑名單 IP,並加以阻擋,而且是動態名單,會經常變換的。這些 IP 都是 Bots, Trojans, Spam, Viruses...等的網路通聯對象,所謂的 Malware 聯繫造成的網路行為。很明顯的它在資訊安全防護主要是在偵測、阻擋階段,大多資安防護設備都是在這個階段,資訊安全防護有三階段:預防、偵測阻擋、矯正階段。防毒軟體橫跨三個階段,這也是防毒軟體受歡迎的主因,但現階段而言,有嚴重漏判問題。
相關服務說明可以參考這裡。提供服務可支援防火牆的清單在這裡。價格呢?網站上也有啦...就自行參考囉。這服務後面的夥伴(協力商,Partners) 在這裡,發現 Partners 中有好幾的都大有來頭呢,ShadowServer 是長期監控全球僵屍網路 (botnet),網站上還有其他許多統計資料可以參考的;DShield.org / Internet Storm Center 這是屬於 SANS 的一份子,主要由一群自願人士,努力蒐集許多網路事件,加以分析及統計,找出異常事件與威脅;PhishTank 是蒐集釣魚網站的資料庫,讓大家知道哪網站是詐騙網站或被寄宿釣魚網站的。所以它的後台都相當有料的喔!
化被動為主動之名稱解析篇 (The DNS of Changing from Passive to Active)
這不是在廣告行銷喔。有個公司「OpenDNS」網站是 www.opendns.com。
它的服務模式 (Business Module) 很特別,主要提供 DNS (名稱解析,Domain Name Service) 服務,但對惡意網域之 IP 解析動作將予以阻擋,這就是它的賣點。除了惡意網域,還包含其他的網域,可以做客製化的設定,目前分類如下:
看起來它的服務模式是不是有點熟悉的勒?沒錯,Web Content Filtering,目前最熟悉的產品應該是 WebSense,中文網站在這裡。但是這服務的防護範圍與效益,與 Web Content Filtering 重疊性頗高,但還是有些差異的,因為一個從名稱解析下手,一個從 HTTP Protocol 下手。至於哪個好,很難說,名稱解析容易被 User 端繞過,而惡意連線不一定都用 HTTP Protocol 的。但除了惡意連線外,其他如網站分類阻擋部分,我想功能上應該相差不多,主要就是要比資料庫大小及分類程度了。
它的服務模式 (Business Module) 很特別,主要提供 DNS (名稱解析,Domain Name Service) 服務,但對惡意網域之 IP 解析動作將予以阻擋,這就是它的賣點。除了惡意網域,還包含其他的網域,可以做客製化的設定,目前分類如下:
看起來它的服務模式是不是有點熟悉的勒?沒錯,Web Content Filtering,目前最熟悉的產品應該是 WebSense,中文網站在這裡。但是這服務的防護範圍與效益,與 Web Content Filtering 重疊性頗高,但還是有些差異的,因為一個從名稱解析下手,一個從 HTTP Protocol 下手。至於哪個好,很難說,名稱解析容易被 User 端繞過,而惡意連線不一定都用 HTTP Protocol 的。但除了惡意連線外,其他如網站分類阻擋部分,我想功能上應該相差不多,主要就是要比資料庫大小及分類程度了。
2008年10月2日 星期四
企業入侵偵測管理 (Enterprise Intrusion Detection Management)
這篇是繼「企業防毒管理 (Enterprise Anti-Virus Management)」及「企業防火牆管理 (Enterprise Firewall Management)」相關文章。
入侵偵測,英文的維基說明在這裡(較詳細的),它有許多名稱「Intrusion Detection System (IDS)」、「Intrusion prevention systems (IPS)」、「Intrusion Detection & Prevention (IDP)」,所以它的區分或功能上也有很多差別,如主機型 (Host) vs 網路型 (Network)、偵測 (Detection) vs 防護 (Prevention)、Anomaly (異常現象) vs Signature (特徵比對) ...等,甚至有的產品還有一些特殊偵測功能,所以這類產品在功能上就已經頗複雜,你會用嗎?你佈署對了嗎?有發揮功效嗎?這是相當需要持續關注的一個設備,也需要資安觀念及技術的。
資安設備大多都是這樣,這有一句我的論點:「同樣一個武器,會因為操作的人不同會有加乘的結果,不擅用的人反而會傷到自己」。但重點是如何能發揮基本的防護呢?你又有思考過嗎?
入侵偵測,英文的維基說明在這裡(較詳細的),它有許多名稱「Intrusion Detection System (IDS)」、「Intrusion prevention systems (IPS)」、「Intrusion Detection & Prevention (IDP)」,所以它的區分或功能上也有很多差別,如主機型 (Host) vs 網路型 (Network)、偵測 (Detection) vs 防護 (Prevention)、Anomaly (異常現象) vs Signature (特徵比對) ...等,甚至有的產品還有一些特殊偵測功能,所以這類產品在功能上就已經頗複雜,你會用嗎?你佈署對了嗎?有發揮功效嗎?這是相當需要持續關注的一個設備,也需要資安觀念及技術的。
資安設備大多都是這樣,這有一句我的論點:「同樣一個武器,會因為操作的人不同會有加乘的結果,不擅用的人反而會傷到自己」。但重點是如何能發揮基本的防護呢?你又有思考過嗎?
2008年9月28日 星期日
網路上交朋友要小心 (How to make friends in internet)
這篇繼「你!出賣朋友嗎?」一文,之前在探討 IM (Instant Messaging) 使用上對於帳密保護的重要觀念,不要輕易將帳密外洩出去,也不要輕易將自己的朋友給出賣了。
本文主要探討交朋友時也要多加注意,因為你可能被對方出賣,其中又以 Skype 最需要小心,因為其他如 MSN、Yahoo、AOL...等,需要確切的帳戶資料(通常是 E-Mail),才能加入「朋友清單」,雖然這帳戶資料在網路上也不難找...XD,不過,還是需要一些網路搜尋術的;只有 Skype 利用關鍵字,就能搜尋 Skype 的使用者資料庫,所以相對而言是非常寬鬆的,你可以找你想找的一些人或族群。可以看下圖:
本文主要探討交朋友時也要多加注意,因為你可能被對方出賣,其中又以 Skype 最需要小心,因為其他如 MSN、Yahoo、AOL...等,需要確切的帳戶資料(通常是 E-Mail),才能加入「朋友清單」,雖然這帳戶資料在網路上也不難找...XD,不過,還是需要一些網路搜尋術的;只有 Skype 利用關鍵字,就能搜尋 Skype 的使用者資料庫,所以相對而言是非常寬鬆的,你可以找你想找的一些人或族群。可以看下圖:
瀏覽器的隱私瀏覽功能(Private Browsing)使用
瀏覽器的隱私瀏覽功能,我們還是要看一下幾個新聞。
iThome:Firefox 3.1可能推出隱私瀏覽功能
網路資訊雜誌:Firefox 3.1將納入隱私瀏覽功能
ZDNet Taiwan:IE 8納入隱私瀏覽功能
微軟 IE 稱這項名為「InPrivate」,Mozilla 的 Firefox 稱為「Private Browsing Mode」,google 的是命名為「Incognito mode (無痕式瀏覽)」。
目前只有 google 完成這功能的實作,雖然是 beta,我們來看一下他的畫面:
乍看之下,好像是很神的功能,瀏覽過哪些網站都可以不留記錄,但,真的是這樣嗎?不是凡走過必留痕跡嗎?
如果瀏覽器使用的 Proxy 在搞鬼、網路有人在 Sniffer 或者你瀏覽的網站在蒐集你的資訊,你能察覺嗎?可能會洩漏哪些資訊呢?該如何因應呢?
iThome:Firefox 3.1可能推出隱私瀏覽功能
網路資訊雜誌:Firefox 3.1將納入隱私瀏覽功能
ZDNet Taiwan:IE 8納入隱私瀏覽功能
微軟 IE 稱這項名為「InPrivate」,Mozilla 的 Firefox 稱為「Private Browsing Mode」,google 的是命名為「Incognito mode (無痕式瀏覽)」。
目前只有 google 完成這功能的實作,雖然是 beta,我們來看一下他的畫面:
乍看之下,好像是很神的功能,瀏覽過哪些網站都可以不留記錄,但,真的是這樣嗎?不是凡走過必留痕跡嗎?
如果瀏覽器使用的 Proxy 在搞鬼、網路有人在 Sniffer 或者你瀏覽的網站在蒐集你的資訊,你能察覺嗎?可能會洩漏哪些資訊呢?該如何因應呢?
2008年9月19日 星期五
企業防火牆管理 (Enterprise Firewall Management)
這篇繼「企業防毒管理 (Enterprise Anti-Virus Management)」一文。
防火牆(Firewall),維基上的說明在這裡,這篇主要還是以「網路層防火牆」管理為主。防火牆在資安防護佈署策略上,大多都是第一道防線,理論上也應該是要成為第一道防線。有的會把入侵偵測防系統在前面,但,我不知這樣佈署有任何意義,完全是不負責任的佈署,這部分等寫「企業入侵偵測防護管理」一文時再做說明。倘若防火牆加以「嚴密」管控通常能省去許多資安問題,我還是一句話:「管的越嚴謹,近乎求疵地步,資安人員得日子就會越愜意」。
我還是要在強調,資安防護是一場組織戰,有了戰略與策略之後,如何把資安防護組織起來,對抗外在的風險與威脅,甚至發掘內在的弱點與威脅因子,這是很重要的一個過程。
防火牆(Firewall),維基上的說明在這裡,這篇主要還是以「網路層防火牆」管理為主。防火牆在資安防護佈署策略上,大多都是第一道防線,理論上也應該是要成為第一道防線。有的會把入侵偵測防系統在前面,但,我不知這樣佈署有任何意義,完全是不負責任的佈署,這部分等寫「企業入侵偵測防護管理」一文時再做說明。倘若防火牆加以「嚴密」管控通常能省去許多資安問題,我還是一句話:「管的越嚴謹,近乎求疵地步,資安人員得日子就會越愜意」。
我還是要在強調,資安防護是一場組織戰,有了戰略與策略之後,如何把資安防護組織起來,對抗外在的風險與威脅,甚至發掘內在的弱點與威脅因子,這是很重要的一個過程。
2008年9月14日 星期日
偽裝防毒軟體的網站真多!還有內情!
企業防毒管理 (Enterprise Anti-Virus Management)
這篇延續整理先前的貼文:企業防毒管理,因為先前是有感而發的寫,這次重新整理一下內容。
防毒軟體,這應該有用電腦的都耳熟能詳了,但,你真的了解你正在使用的防毒軟體嗎?你的使用者真的了解使用的防毒軟體?我的標題是用"Anti-Virus",但我是想要用"Anti-Malware"的,怕 Malware 範圍太大了,所以,還是鎖定最基本的"Anti-Virus"部分。
在各種資安防護佈署上,這項是跟使用者最密切的,所以當然也要強化對使用者的教育訓練。但,無奈的是我不見有防毒原廠有在做這樣的事,都只強調"安裝"自家的防毒軟體就能高枕無憂。外面有一堆防毒軟體的討論版,卻不見防毒原廠與使用者直接溝通,不能再說了,不然又離題了...XD。
另外,我經常把惡意程式比喻成彈頭,因為人家都把子彈打到你家裡了,你的網路環境充滿子彈嗎?哪你家裡就是戰場囉!在戰場上救傷兵都來不及了哩;不過大多數的人應該是變戰場而不自知吧,搞不好連傷兵都沒在救的...XD。如果,你已經在做彈道分析了,那得恭賀您,步入開發國家或已開發國家之列囉!
防毒軟體,這應該有用電腦的都耳熟能詳了,但,你真的了解你正在使用的防毒軟體嗎?你的使用者真的了解使用的防毒軟體?我的標題是用"Anti-Virus",但我是想要用"Anti-Malware"的,怕 Malware 範圍太大了,所以,還是鎖定最基本的"Anti-Virus"部分。
在各種資安防護佈署上,這項是跟使用者最密切的,所以當然也要強化對使用者的教育訓練。但,無奈的是我不見有防毒原廠有在做這樣的事,都只強調"安裝"自家的防毒軟體就能高枕無憂。外面有一堆防毒軟體的討論版,卻不見防毒原廠與使用者直接溝通,不能再說了,不然又離題了...XD。
另外,我經常把惡意程式比喻成彈頭,因為人家都把子彈打到你家裡了,你的網路環境充滿子彈嗎?哪你家裡就是戰場囉!在戰場上救傷兵都來不及了哩;不過大多數的人應該是變戰場而不自知吧,搞不好連傷兵都沒在救的...XD。如果,你已經在做彈道分析了,那得恭賀您,步入開發國家或已開發國家之列囉!
2008年9月13日 星期六
深思網站淪陷背後的意義
有許多地方都有網站淪陷的相關記錄:
Zone-H.org:http://www.zone-h.org/
中国被黑站点统计系统:http://www.zone-h.com.cn/
Zone-H 本週被黑 .tw 網站整理:http://outian.net/zone-h/
TW 網站淪陷資料庫 | 資安之眼:http://www.itis.tw/compromised
Turk Hack World Analyse and Attack Mirror Service:http://turk-h.org/
Serapis.net:http://www.serapis.net/
XSSed: XSS (cross-site scripting) information and vulnerable websites archive:http://www.xssed.com/archive
PhishTank:http://www.phishtank.com/
另外還有「天罣--輪迴的阿修羅」(這應該是最完整的,以台灣地區而言),最知名的應該是「大砲開講」:http://rogerspeaking.com/
幾乎每天都有許多網站被淪陷或者被利用,很多網站管理者對這些記錄是恨得牙癢癢的,甚至,連被爆料的組織、單位主官也是牙癢癢,因為,記錄就是記錄,記錄永遠在哪裡。
Zone-H.org:http://www.zone-h.org/
中国被黑站点统计系统:http://www.zone-h.com.cn/
Zone-H 本週被黑 .tw 網站整理:http://outian.net/zone-h/
TW 網站淪陷資料庫 | 資安之眼:http://www.itis.tw/compromised
Turk Hack World Analyse and Attack Mirror Service:http://turk-h.org/
Serapis.net:http://www.serapis.net/
XSSed: XSS (cross-site scripting) information and vulnerable websites archive:http://www.xssed.com/archive
PhishTank:http://www.phishtank.com/
另外還有「天罣--輪迴的阿修羅」(這應該是最完整的,以台灣地區而言),最知名的應該是「大砲開講」:http://rogerspeaking.com/
幾乎每天都有許多網站被淪陷或者被利用,很多網站管理者對這些記錄是恨得牙癢癢的,甚至,連被爆料的組織、單位主官也是牙癢癢,因為,記錄就是記錄,記錄永遠在哪裡。
2008年9月11日 星期四
另類廣告行銷手法
2008年9月3日 星期三
「Google Chrome」瀏覽器實戰釣魚網站!敗~~
Google推出新的瀏覽器了,目前是測試版,有很多新聞,可以看這裡、這裡還有這裡。如果想嘗鮮可以到下列網址下載安裝:
http://www.google.com/chrome
想知道目前這瀏覽器的市佔率,可以看這邊。看起來應該頗受大家看好,才有這統計數據,目前顯示將近 2%。
新的瀏覽器對有心人士來說,就是新戰場,貼切點就像是 Wii、PS3 或 iPhone 推出一樣,迫不及待的拆開把玩,所以,今天(9/3日)開放下載,馬上就有人推出攻擊:Google Chrome Browser 0.2.149.27 malicious link DoS Vulnerability。
POC 網址在這裡。
所以我們拿「Google Chrome」來實戰釣魚網站,這釣魚網站很常見的詐騙伎倆,大家不可不防的,實戰結果卻有點跌破眼鏡;所以,使用前還是要得先熟悉產品,不然會出事。這裡摘錄精彩片段予以重播,Pitch by Pitch...!
http://www.google.com/chrome
想知道目前這瀏覽器的市佔率,可以看這邊。看起來應該頗受大家看好,才有這統計數據,目前顯示將近 2%。
新的瀏覽器對有心人士來說,就是新戰場,貼切點就像是 Wii、PS3 或 iPhone 推出一樣,迫不及待的拆開把玩,所以,今天(9/3日)開放下載,馬上就有人推出攻擊:Google Chrome Browser 0.2.149.27 malicious link DoS Vulnerability。
POC 網址在這裡。
所以我們拿「Google Chrome」來實戰釣魚網站,這釣魚網站很常見的詐騙伎倆,大家不可不防的,實戰結果卻有點跌破眼鏡;所以,使用前還是要得先熟悉產品,不然會出事。這裡摘錄精彩片段予以重播,Pitch by Pitch...!
2008年8月31日 星期日
2008年8月27日 星期三
我可以花三百,把我自己的個資買斷回來嗎?
2008年8月24日 星期日
利用「關鍵字廣告」的詐騙--已經在google出現
先來看看一些消息:
iThome online:小心關鍵字廣告連結惡意網頁
ZDNet Taiwan:關鍵字廣告成網路釣魚工具
資安人:Yahoo!奇摩關鍵字洩個資!
Sunbelt Blog:The continuing problem of malware being advertised in Google Adwords
刑事警察局:兩岸駭客設置變種網路釣魚網站竊取網路銀行等企業大量個人資料
資安之我見:偽裝成防毒軟體網站
去年「關鍵字廣告」的詐騙在我們這就已經相當夯了,鬧得沸沸揚揚,所以google上也是一定會有的事;最近國外開始利用了,畢竟,這類手法得花些成本的,所以沒有計畫就做,很容易賠老本哩...XD。既然人家都花錢做了,我們也應該欣賞一下囉!順便中英手法比較一下有啥不同呢?
iThome online:小心關鍵字廣告連結惡意網頁
ZDNet Taiwan:關鍵字廣告成網路釣魚工具
資安人:Yahoo!奇摩關鍵字洩個資!
Sunbelt Blog:The continuing problem of malware being advertised in Google Adwords
刑事警察局:兩岸駭客設置變種網路釣魚網站竊取網路銀行等企業大量個人資料
資安之我見:偽裝成防毒軟體網站
去年「關鍵字廣告」的詐騙在我們這就已經相當夯了,鬧得沸沸揚揚,所以google上也是一定會有的事;最近國外開始利用了,畢竟,這類手法得花些成本的,所以沒有計畫就做,很容易賠老本哩...XD。既然人家都花錢做了,我們也應該欣賞一下囉!順便中英手法比較一下有啥不同呢?
2008年8月21日 星期四
夾帶惡意附件檔案的釣魚郵件出現了
郵件主旨:Record in debit of account
夾帶附件的釣魚郵件出現了...我還一直在想啥時會出現哩!釣魚郵件如下圖:
之前老師不是有講,網頁連結跟附加檔案都是餌!你有沒有在聽!丟筆...
夾帶附件的釣魚郵件出現了...我還一直在想啥時會出現哩!釣魚郵件如下圖:
之前老師不是有講,網頁連結跟附加檔案都是餌!你有沒有在聽!丟筆...
2008年8月16日 星期六
模擬實戰釣魚網站
最近釣魚郵件多到不行,可以參考這篇新聞,看來 Mass SQL Injection 之後,再結合釣魚郵件搭配釣魚網站的手法交互運用,可以參考之前 POST 的一篇文,只能說「有心人士」用盡心思,推出的嘔心瀝血之作啊。
所以,我們當然要用欣賞的角度來看囉!面對創意的人,我們當然要投以藝術眼光的啦...
下面有兩個實作釣魚網站經常利用的「概念」與「創意」:(此兩網站並無惡意程式)
1.實戰釣魚網站(A):主要運用騙術。
2.實戰釣魚網站(B):除了騙術,還有些玩弄小程式,你能脫身嗎?
解答在後面...
所以,我們當然要用欣賞的角度來看囉!面對創意的人,我們當然要投以藝術眼光的啦...
下面有兩個實作釣魚網站經常利用的「概念」與「創意」:(此兩網站並無惡意程式)
1.實戰釣魚網站(A):主要運用騙術。
2.實戰釣魚網站(B):除了騙術,還有些玩弄小程式,你能脫身嗎?
解答在後面...
2008年8月15日 星期五
「msnbc.com - BREAKING NEWS」釣魚郵件
2008年8月9日 星期六
電子郵件警覺性之觀念
這年頭啥都能詐騙,畢竟騙術才是歷史最悠久的惡意伎倆,因為,只要有人它就存在。唯一破解之道也只有靠個人警覺性及敏感度,但很重要的成分需要靠歷練,知道人家會怎騙你,這是最快的方法。
網際網路上的陷阱更多,無論是上網、線上遊戲、網路交易...都會有「社交工程術」的問題,今天只談電子郵件(E-Mail)的部分,如果沒有養成一套觀念,哪...Dances with malware, always.
有人會說不是有Anti-Spam(反垃圾郵件)系統來做郵件過濾了嗎?怎還會收到惡意郵件或釣魚郵件。也許大多數的人都沒有管理過Anti-Spam的經驗,當然也無法體會管理Anti-Spam的痛苦;Anti-Spam管得緊(嚴密),也許真的收不到奇怪郵件,但也可能造成收不到正常郵件,管的鬆,也許不會誤擋郵件,但是卻會漏擋奇怪郵件;更痛苦的是,它的那一把尺是需要浮動的,如果哪把尺不動,有時會收不到正常郵件,有時又會收到奇怪郵件,怎做都是被使用者罵到臭頭。所以...一定會收到垃圾郵件,甚至惡意郵件,只是多少而已。
如果遭受的是「魚叉式郵件攻擊」,使用者真的得要有兩下真功夫才行,不然能靠防護設備"剛好"發現來阻擋。
使用電子郵件應有的警覺性觀念:
1.我為何會收到這封郵件?
2.我是不是應該收到這封郵件?
3.我是不是有必要開啟附件或點選連結?
網際網路上的陷阱更多,無論是上網、線上遊戲、網路交易...都會有「社交工程術」的問題,今天只談電子郵件(E-Mail)的部分,如果沒有養成一套觀念,哪...Dances with malware, always.
有人會說不是有Anti-Spam(反垃圾郵件)系統來做郵件過濾了嗎?怎還會收到惡意郵件或釣魚郵件。也許大多數的人都沒有管理過Anti-Spam的經驗,當然也無法體會管理Anti-Spam的痛苦;Anti-Spam管得緊(嚴密),也許真的收不到奇怪郵件,但也可能造成收不到正常郵件,管的鬆,也許不會誤擋郵件,但是卻會漏擋奇怪郵件;更痛苦的是,它的那一把尺是需要浮動的,如果哪把尺不動,有時會收不到正常郵件,有時又會收到奇怪郵件,怎做都是被使用者罵到臭頭。所以...一定會收到垃圾郵件,甚至惡意郵件,只是多少而已。
如果遭受的是「魚叉式郵件攻擊」,使用者真的得要有兩下真功夫才行,不然能靠防護設備"剛好"發現來阻擋。
使用電子郵件應有的警覺性觀念:
1.我為何會收到這封郵件?
2.我是不是應該收到這封郵件?
3.我是不是有必要開啟附件或點選連結?
2008年8月8日 星期五
CNN釣魚郵件內容改版啦
"CNN.com Daily Top 10"釣魚郵件-釣魚網站進化版
繼"結合多種手法的釣魚郵件"一文
原本的釣魚郵件內容已經相當精美了,你會分辨嗎?但之前的釣魚網站卻太遜了,只有CNN的一個小Logo。
這次"CNN.com Daily Top 10"的釣魚網站內容進化了,已經到近乎完美!
URL:hxxp://www.bellomeparrucchieri?.it/cnnnews.html
原本的釣魚郵件內容已經相當精美了,你會分辨嗎?但之前的釣魚網站卻太遜了,只有CNN的一個小Logo。
這次"CNN.com Daily Top 10"的釣魚網站內容進化了,已經到近乎完美!
URL:hxxp://www.bellomeparrucchieri?.it/cnnnews.html
2008年8月5日 星期二
結合多種手法的釣魚郵件
主旨:CNN.com Daily Top 10
哇!CNN服務真好,主動寄日報給我耶!要有國際觀先從這開始吧...
有沒有想過為啥CNN會主動寄郵件給你呢?你是不是應該收到呢?你應不應該開啟呢?
沒錯!這是釣魚郵件。它結合三大攻擊手法呢?
1.維俏維妙的釣魚郵件內容,可不像一般簡單的幾個字加上一個超連結(URL),以後釣魚郵件的餌會越來越精美。
2.釣魚郵件內的連結(URL)連往詐騙網站(Phishing Website),詐騙網站會給你看似正常的下載,如執行檔(.exe)...等。未來詐騙網站會越來越符合常理判斷,一不小心就...
3.詐騙網站(Phishing Website)還夾帶惡意攻擊碼,會攻擊瀏覽器漏洞,而且還會設法規避偵測。若是0-Day漏洞出現,只能願上帝保佑...
哇!CNN服務真好,主動寄日報給我耶!要有國際觀先從這開始吧...
有沒有想過為啥CNN會主動寄郵件給你呢?你是不是應該收到呢?你應不應該開啟呢?
沒錯!這是釣魚郵件。它結合三大攻擊手法呢?
1.維俏維妙的釣魚郵件內容,可不像一般簡單的幾個字加上一個超連結(URL),以後釣魚郵件的餌會越來越精美。
2.釣魚郵件內的連結(URL)連往詐騙網站(Phishing Website),詐騙網站會給你看似正常的下載,如執行檔(.exe)...等。未來詐騙網站會越來越符合常理判斷,一不小心就...
3.詐騙網站(Phishing Website)還夾帶惡意攻擊碼,會攻擊瀏覽器漏洞,而且還會設法規避偵測。若是0-Day漏洞出現,只能願上帝保佑...
2008年8月4日 星期一
Mass SQL Injection + Phishing WebSite
2008年8月1日 星期五
Dances With Malware
有些人已經習慣與惡意程式共存
很多人說,我的電腦沒有重要資料也不做重要的事,所以,不做網路金融交易、沒有個人機密資料、不放特別的圖片,只不過上上網、聊聊天、聽聽音樂、看看電子郵件、偶而打打怪...如此而已;電腦裡面有惡意程式,又有什麼關係。乍聽之下,也是沒錯的!
有的人努力對抗惡意程式的侵入,也"設法"安裝了許多防護程式,但,電腦中沒有惡意程式嗎?「我的電腦好像怪怪的」...這感覺猶如餘音繞樑,久久揮之不去啊!這也應該是不少人的心聲。
有的,心態上就已經大概完全妥協了。Overall Compromise...
駭客的心態
無論哪種攻擊手法或入侵方式,大多最終都會植入惡意程式,或讓更多人被植入惡意程式,這是一種模式。
很多人說,我的電腦沒有重要資料也不做重要的事,所以,不做網路金融交易、沒有個人機密資料、不放特別的圖片,只不過上上網、聊聊天、聽聽音樂、看看電子郵件、偶而打打怪...如此而已;電腦裡面有惡意程式,又有什麼關係。乍聽之下,也是沒錯的!
有的人努力對抗惡意程式的侵入,也"設法"安裝了許多防護程式,但,電腦中沒有惡意程式嗎?「我的電腦好像怪怪的」...這感覺猶如餘音繞樑,久久揮之不去啊!這也應該是不少人的心聲。
有的,心態上就已經大概完全妥協了。Overall Compromise...
駭客的心態
無論哪種攻擊手法或入侵方式,大多最終都會植入惡意程式,或讓更多人被植入惡意程式,這是一種模式。
2008年7月26日 星期六
低調、詭譎與資安
資安是很低調的:
進行資安防禦策略與運行,都要很低調,畢竟讓人家知道你用哪一種防毒軟體就是一個漏洞,其他資安策略與防護當然也是。所以很多人都說資安要很低調的做...漂亮!
出了事,可能網站被竄改、主機被入侵、資料外洩...很常見的資安事件,但都一定是冷處理,低調處理到主管、管理階層都完全不知道...有夠低調,低調到不行;哪你還期望企業能對資安做何管理呢?抱怨企業不重資安嗎?管理階層會主動關切嗎?...一切都走樣了對吧!
網站被竄改→哪就把竄改的做復原,主機被入侵→把惡意程式移除,資料外洩→哪就給它加密,還是DLP一下的;幾乎都是這樣處理的吧,是阿...表面上都沒問題了。但...真正的問題才開始呢?
網站被竄改→竄改原因?漏洞管道?→是否還有其他相同問題?→如何補救?如何防護?...
主機被入侵→如何發現(這很重要的)?入侵原因?入侵管道?→是否還有其他主機也被入侵?→如何查?哪裡有線索?...
資料外洩→這問題就更複雜了,沒有前面處理經驗,這題無解→無解就亂解,給它加密還是DLP一下的...
未來挑戰只會更大...
進行資安防禦策略與運行,都要很低調,畢竟讓人家知道你用哪一種防毒軟體就是一個漏洞,其他資安策略與防護當然也是。所以很多人都說資安要很低調的做...漂亮!
出了事,可能網站被竄改、主機被入侵、資料外洩...很常見的資安事件,但都一定是冷處理,低調處理到主管、管理階層都完全不知道...有夠低調,低調到不行;哪你還期望企業能對資安做何管理呢?抱怨企業不重資安嗎?管理階層會主動關切嗎?...一切都走樣了對吧!
網站被竄改→哪就把竄改的做復原,主機被入侵→把惡意程式移除,資料外洩→哪就給它加密,還是DLP一下的;幾乎都是這樣處理的吧,是阿...表面上都沒問題了。但...真正的問題才開始呢?
網站被竄改→竄改原因?漏洞管道?→是否還有其他相同問題?→如何補救?如何防護?...
主機被入侵→如何發現(這很重要的)?入侵原因?入侵管道?→是否還有其他主機也被入侵?→如何查?哪裡有線索?...
資料外洩→這問題就更複雜了,沒有前面處理經驗,這題無解→無解就亂解,給它加密還是DLP一下的...
未來挑戰只會更大...
2008年7月23日 星期三
Milestone : Mass SQL Injection
Mass SQL Injection先看幾則新聞...
iThome:SQL Injection機器人來襲
ZDNet Taiwan:大規模攻擊事件主因:駭客工具結合Google Hacking
armorize:新型態的Mass SQL Injection在台上演
這是一個里程碑,顛覆一般人對SQL Injection(資料隱碼)攻擊的觀感,以前總以為此攻擊需要人來進行,且要不斷刺探資料庫,取得資料庫欄位...等資訊,再進行資料庫的操弄,所以...也顛覆我的觀念...這就是資安!
SQL Injection問題存在已久,2000年時就不斷聽到這問題,但...這問題存在更久...打從有網站開始就有了...XD
iThome:SQL Injection機器人來襲
ZDNet Taiwan:大規模攻擊事件主因:駭客工具結合Google Hacking
armorize:新型態的Mass SQL Injection在台上演
這是一個里程碑,顛覆一般人對SQL Injection(資料隱碼)攻擊的觀感,以前總以為此攻擊需要人來進行,且要不斷刺探資料庫,取得資料庫欄位...等資訊,再進行資料庫的操弄,所以...也顛覆我的觀念...這就是資安!
SQL Injection問題存在已久,2000年時就不斷聽到這問題,但...這問題存在更久...打從有網站開始就有了...XD
2008年7月19日 星期六
企業防毒管理
先看幾則新聞:
http://www.itis.tw/node/1913
http://www.zdnet.com.tw/news/software/0,2000085678,20130359,00.htm
http://forum.icst.org.tw/phpBB2/viewtopic.php?p=49359
=>趨勢CEO陳怡樺:防毒產業騙了客戶20年
這內容相當詭譎~~
有很多深層意義
1.防毒原廠不了解自己的產品。
2.客戶端沒了解也沒善用防毒軟體。
3.許多防毒觀念嚴重扭曲中,完全都在各自表述。
4.一竿子打翻所有防毒產業。
5.防毒產業還在業務導向,而不是服務導向也不是技術導向。
http://www.itis.tw/node/1913
http://www.zdnet.com.tw/news/software/0,2000085678,20130359,00.htm
http://forum.icst.org.tw/phpBB2/viewtopic.php?p=49359
=>趨勢CEO陳怡樺:防毒產業騙了客戶20年
這內容相當詭譎~~
有很多深層意義
1.防毒原廠不了解自己的產品。
2.客戶端沒了解也沒善用防毒軟體。
3.許多防毒觀念嚴重扭曲中,完全都在各自表述。
4.一竿子打翻所有防毒產業。
5.防毒產業還在業務導向,而不是服務導向也不是技術導向。
2008年7月18日 星期五
一封詐騙的電子郵件
2008年7月16日 星期三
就單一資安科技而言,無法達成"絕對"的資訊安全
架設防火牆就能防火!。?
買了防毒軟體就百毒不侵!。?
有了入侵偵測防護(IPS,IDP)就駭客止步!。?
這都己經算是市場成熟的技術,但擁有該技術後,不少單位反而頭大...
今年又在炒DLP(Data Loss Prevention),明年資料外洩只會更嚴重。
問題在哪?
沒有對症下藥的技術,當然沒解決問題。
沒有資安人才的技術,當然造成更多問題。
沒有有效管理的技術,當然有處理不完的問題。
買了防毒軟體就百毒不侵!。?
有了入侵偵測防護(IPS,IDP)就駭客止步!。?
這都己經算是市場成熟的技術,但擁有該技術後,不少單位反而頭大...
今年又在炒DLP(Data Loss Prevention),明年資料外洩只會更嚴重。
問題在哪?
沒有對症下藥的技術,當然沒解決問題。
沒有資安人才的技術,當然造成更多問題。
沒有有效管理的技術,當然有處理不完的問題。
2008年7月15日 星期二
要做好資訊安全,人才是最重要的一環
資料來源:
http://www.us-cert.gov/ITSecurityEBK/
http://www.us-cert.gov/ITSecurityEBK/EBK2007.pdf
這份相關資訊安全人員的角色及應有功能與職責,算是區分的很詳細,可以參考的...
http://www.us-cert.gov/ITSecurityEBK/
http://www.us-cert.gov/ITSecurityEBK/EBK2007.pdf
這份相關資訊安全人員的角色及應有功能與職責,算是區分的很詳細,可以參考的...
2008年7月14日 星期一
偽裝成網路銀行網站
Phishing URL(FQDN):
hxxp://cuteplus.org/login.html
PhishTank:
http://www.phishtank.com/phish_detail.php?phish_id=475142
2008年7月13日 星期日
訂閱:
文章 (Atom)