Web 2.0時代的資訊安全防禦
Sunday, September 3, 2006, 18:53 - 資訊電腦, 資訊安全
最近在思考Web 2.0時代的安全防禦會是什麼型態,我個人認為要回答這個問題,應該要先回過頭來思考一下Web 1.0到Web 2.0的轉變。首先我們從網際網路的服務型態演進來看,在World Wide Web剛開始起步時,網際網路的服務型態就好像是20年前的柑仔店,每個網站裡面的東西種類不多,規模也不大。到了後來所謂的入口網站如雨後春筍般興起,這時那些手工打造的"小雜貨店"商務網站多半都無法生存,而形成了大者恆大的狀況。
從資訊安全的角度來看,大型的入口網站是比較安全的,因為所有的服務與內容,都是經由入口網站業者自己編輯或是與商業夥伴策略聯盟來提供,因此在這個時代的網際網路的服務型態就好像是大型的量販店或Shopping Mall。只是從商業的角度來看,這樣的服務型態進入障礙相當的高,錢燒的相當快,於是搭配Web 2.0技術的"跳蚤市集"時代就應運而生了。在Web 2.0的時代,服務供應商並不提供「內容」,而它的服務是提供一個市集平台,讓消費者自己在這個平台上來消費媒合。
同樣從資訊安全的角度來看,Web 2.0的服務是相當值得憂心的。因為是"跳蚤市集"的型態,所有的「內容」服務供應商是沒有辦法提供安全保證的,而Web的所有通訊,又能夠透通企業或家庭網路的防火牆,直接進入到使用者的電腦上。而這些進入到使用者電腦上的惡意程式,將越來越會利用社交工程的方式偽裝,使防毒軟體或個人防火牆等技術解決方案無用武之地。另外根據加拿大皇家騎警最近的一份有關惡意程式的演變報告來看,惡意程式將不再盲目的傳染與散佈(區域性與針對性),並且也越來越不容易被偵測(例如Rootkit)。
結合上述這三個趨勢:載體的網路透通、利用人性弱點與低調匿蹤特性,我個人認為在Web 2.0的時代,這些惡意程式在個人電腦上將如同我們人體內部的病毒一樣無法杜絕。如果這樣的假設成立,那麼在Web 2.0時代的資安防禦思維是否也應該修正?當然既有的網路端與個人電腦上的防禦措施還是有必要,同時也會一直存在,這些防禦措施還是能夠提供一定程度的防禦能力。但策略性的思考可能要變成:不去思考如何做到將惡意程式100%隔絕於外,而是思考如何與惡意程式和平共存?也就是說,即使這些惡意程式存在個人電腦上,它也無法存取個人電腦上的隱私或機密資料。
簡單的說,安全強度足夠的使用者身分識別、資料的加解密等解決方案,可能都是每一台個人電腦(不論是企業用或家庭用)都必須一出廠就具備的。而且這些解決方案都不會對任何的使用者造成使用上的障礙,並且是很自然的與使用者的電腦操作習慣結合在一起。這一點可以從微軟最新的作業系統Vista支援所謂的Trusted Platform Module(TPM)規格看出端倪。
而對於Web 2.0的服務供應商來說,最重要的資產將是這些由消費者在"跳蚤市集"所產銷的「內容」。而對於大型企業與政府機關來說,前面有關惡意程式的假設同樣成立,也就是說在企業內部網路中,惡意程式同樣無法根絶。因此對於這些組織型的單位來說,穩定的儲存空間、可靠的資料備份與即時性的異地備援將是組織型態的單位其安全防護的最後一道,也是最重要的一道防線,這點可以從前些時候為什麼防毒大廠賽門鐵克併購儲存大廠Veritas得到印證。Symantec 與Veritas成功合併之後,新公司將能夠製作出某種解決方案,不但能夠偵測安全問題,也能夠向資料備份與複寫的平台查詢,以便查出被破壞系統最近成功備份的乾淨影像。
[ 發表回應 ] | permalink
Web 2.0時代的Script Kiddie
Sunday, September 3, 2006, 17:44 - 資訊電腦, 資訊安全
歷史其實只是一直以不同的面貌不斷的重演。在資訊安全還不是一個嚴重的犯罪或國家安全威脅之前,有很多所謂的script kiddie會利用網路上現成的自動攻擊程式來進行攻擊,而且最喜歡用塗鴉網站(Defaced)的方式讓人注意到他們。慢慢的這些script kiddie演變成具有技術能力的駭客,這時出名已經不是那麼重要,重要的是能夠入侵系統而不被抓到,甚至能夠獲取不法利益。
Web 2.0時代的資訊安全似乎也會重覆這樣的一個演進歷程,只是這個歷程因為技術的快速演進,可能會比Web 1.0的時代影響範圍更廣、速度更快。今天在Yahoo新聞看到,英國首相Tony Blair的內閣中,環境部長David Miliband因為通曉新的科技而被視為一顆年輕的明日之星。最近這位環境部長在環境部的網站上放了一份正在撰擬中的政策文件草案,這份政策文件主要是在論述人民、政府及企業的社會責任。這份放在英國環境部網站的文件是利用Wiki上網,而Wiki允許網頁的讀者共同修改網頁的內容。因此這份文件在上網後,馬上就被網民加進了170多個開玩笑的文字段落,讓這位號稱techno-savvy的環境部長失盡了顏面。
在沒有Web 2.0的Wiki之前網民大概是沒有辦法直接去修改網頁的內容,但這種更民主更開放的Web 2.0界面讓一般人都可以做到Web 1.0時代的script kiddie,那麼Web 2.0時代的駭客會有甚麼樣的面貌,在甚麼樣的Web 2.0平台上影響網際網路呢?我想這恐怕會超出所有資訊安全專家的想像吧!
Weblogging, techno-savvy Environment Secretary David Miliband may have thought he was keeping up with modern trends when he put a draft policy on the Internet, but was soon left red-faced when hundreds of pranksters defaced it.
[ 發表回應 ] | permalink
Should Companies Care About Data Breaches?
Sunday, September 3, 2006, 11:28 - 資訊電腦, 資訊安全
根據哈佛與卡耐基大學做的研究顯示,大型企業沒有經濟上的誘因來預防隱私洩露的發生。研究人員研究了從2000年到2006年發生在上市公司的78個資料洩漏案例,並觀察這些公司的股價變化後發現,整體來說,這些發生事故公司的股價在隱私洩露被揭露的第一天及第二天股價會有很猛烈的下降,但是從第三天後就會開始爬升,而最後會回到事件發生前的水準。平均來說,在這兩天股價下滑的時間中,發生事件的公司會因為股價下跌損失一千萬美金。這讓研究人員開始思考對這些公司來說,是否有任何的經濟因素會讓這些公司實施管控措施來停止隱私外洩。
在劍橋大學舉辦的Workshop on the Economics of Information Security中,研究人員Allan Friedman表示,這些潛在的股價損失,對這些公司來說可能並不構成足夠的誘因。因為如果企業必須要實作隱私保護的程序,雇用律師來確保法規的符合,這樣預防性的花費可能要比股價的損失還要來的高。
最近大量的客戶隱私外洩事故,包括ChoicePoint、E&Y、Medical Excess、Time Warner與UPS等大企業的許多機密的客戶資訊外洩都是因為設備遺失、遭竊、遭入侵或內部員工監守自盜。Friedman與他的研究夥伴Alessandro Acquisti強調,企業必須要考量除了股價變動之外其他因為隱私洩露的附帶結果,包括合約責任、罰鍰、名譽損失、銷售損失與失去合作夥伴等。但研究人員指出,要把這所有的因素都放進來計算資料外洩的整體經濟損失,並與防制隱私外洩的花費來做比較是非常困難的,因為要衡量名譽損失是相當的不容易。
[ 發表回應 ] | permalink
Web版的Office軟體
Thursday, August 31, 2006, 23:13 - 資訊電腦, 網際網路
前些時候在『最酷的相片分享網站Flickr』的部落格中我提到了Flickr是Web-based Office軟體ThinkFree的內建圖庫,今天就來介紹一下ThinkFree。如果你常常去國外出差,如果這時候你只能用機場休息室的公用電腦去收辦公室寄來的一個Office文件,而偏偏這台公用電腦並沒有安裝微軟的Office你怎麼辦?去微軟的網站下載Office的Viewer是一個辦法,但是你就沒辦法編輯這個文件了。你也可以去下載Open Office,但幾十MB的安裝檔下載完,你大概都要登機了吧。這時候你有一個很好的選擇:Thinkfree.com。
Thinkfree.com在以前也跟Open Office一樣是一個套裝軟體,但現在的Thinkfee.com已經是一個Web-based的Office軟體。只要你的瀏覽器支援Java,就可以直接在瀏覽器上編輯Word文件、Excel試算表和PowerPoint投影片(PowerPoint還支援全螢幕播放模式),整個操作介面已經和MS Office所差無幾,也能開啟並儲存MS Office格式的.doc、.xls與.ppt檔,還能把文件直接存成PDF檔,甚至你還擁有1GB的免費儲存空間,可以把編輯好的檔案放在裡頭暫存。
在Web 2.0的時代,ThinkFree Office Online還提供了可將自己的文件發表到Blog的功能,目前網站預設提供了9個國外的Blog可選擇,選擇服務並輸入在該Blog的帳號密碼後,系統會自動將使用者文章至Blog。
;)
[ 發表回應 ] | permalink
別讓老闆討厭你
Thursday, August 31, 2006, 22:41 - 管理自修筆記
這一期的Cheers快樂工作人雜誌裡提到如何避免讓老闆討厭你,其中有幾點DON'T是我工作這幾年體驗蠻深刻的。其中一個DON'T 是毫無反應,這是指當老闆說完話,部屬應該要給點反應,這點我覺得在開會時尤其重要。很多人都批評開會浪費時間,但開會是組織的必要之惡,我相信沒有哪個團隊默契好到可以不用開會就能過順利運轉。而既然開會是必須的,如何讓會議開的有效才是重要的議題,其中之一就是在老闆說話時,你應該就要趕快動腦筋,在老闆問到你的時候可以提出建設性的意見,避免拍馬屁或講廢話,要做到這點,你必須訓練自己平常就多看、多聽、多想、多講,鍛鍊自己的想法。
另一個DON'T是一直給老闆出考題,這點也是我工作第一年就被第一個老闆耳提面命的:作部屬的永遠要記得拿薪水是要來解決問題,而不是來製造問題的。在職場裡最常看有些員工在長官交代一個工作後,就回應一大堆問題,然後跟老闆說任務無法執行。當然工作一定會有困難,不是這個資源不夠就是那裡人力不足,所以並不是員工不能跟老闆提出問題,但是一個好的員工會在告訴老闆問題後,還告訴老闆在這樣的情況下有幾個選項可以進行,讓老闆進行決策。
[ 發表回應 ] | permalink
前一頁 下一頁
