零時差緊急應變團隊(ZERT)
Saturday, September 23, 2006, 00:17 - 資訊電腦, 資訊安全
2003年2月26日一位美國商人,因為高燒、乾咳、肌肉痛及輕微喉嚨痛被送進越南河內一家醫院。在四天後病程進展至呼吸困難、嚴重血小板缺乏,並出現成人呼吸窘迫症,而需要使用呼吸器。送香港治療後卻不治死亡。之後在香港、越南陸續出現非典型肺炎合併有呼吸道感染症狀的案例,並懷疑是一種尚未經証實之病毒感染引起。世界衛生組織(WHO)於三月十五日因其特點為發生瀰漫性肺炎及呼吸衰竭,較過去所知病毒、細菌引起的非典型肺炎嚴重,因此取名為嚴重急性呼吸道症候群-Severe Acute Respiratory Syndrome(SARS)。[SARS的教訓]
在資訊安全領域,越來越多像SARS一般的各種零時差(Zero-day)惡意程式,在人們還措手不及的情況下就被有心人士釋放出來,用以發動網路世界的"SARS"零時差攻擊(Zero-day Attack)。而且絕大多數這些惡意程式的設計都把握了兩個原則:1.針對擁有最龐大使用族群的微軟應用程式弱點來設計,以便能獲得最大的攻擊影響範圍。2.在每個月著名的的「微軟修補週二」的隔天,發起「零時差攻擊週三」,以便能夠獲得最長的攻擊影響時間。
第一個現象是市場經濟的問題,短時間恐怕無法改變,但針對第二個現象,目前已經有一群散佈在全球,精通軟體、韌體或硬體逆向工程(Reverse Engineering)的電腦專家,組成了一個名為Zeroday Emergency Response Team (ZERT)的緊急應變團隊。ZERT成立的目的是希望在有零時差攻擊出現,而受影響的軟體製造商尚未發布修補程式前的這段空窗期,就能夠搶先提供修補程式。ZERT是在去年(2005年)的11月,在當時的 WMF (Windows Metafile)攻擊之後成立的。過去這段時間ZERT都相當的低調,一直到最近一個最新,且截至目前為止都還沒有修補程式的IE瀏覽器向量標記語言(Vector Markup Language,VML)漏洞出現後,由於ZERT決定在9/22發布這個弱點的修補程式後,因此除了在資訊安全界引起討論外,國外的電子媒體也出現了ZERT的相關報導。
我想ZERT的成立背後所帶出來的嚴肅議題,除了代表對於軟體製造商,目前在修補產品弱點仍不夠積極的一種無形批判外,也代表病毒、蠕蟲與木馬程式的演化規則已經徹底改變了:這些惡意程式不會乖乖等到解藥都出來後才發動攻擊。這些網路世界的SARS病毒是被有犯罪意圖的惡棍在精確計算後,拿來作為組織化間諜活動(corporate espionage)的一個重要手段。未來我們只會看到這樣的事件快速成長,並且這樣的狀況不會像SARS一樣,在肆虐過後突然就消聲匿跡,而是只要網際網路存在就永遠不會消失。而這,正是我們開始應該嚴肅以對的問題。
[ 2 回應 ] ( 43預覽 ) | permalink
從Google Analytics淺談科技的誤用
Thursday, September 21, 2006, 16:26 - 資訊電腦, 網際網路, 資訊安全
今天看到一則科技被用在惡意行為上的新聞。Google在去年買下專門提供網路廣告分析軟體的Urchin Software,並將其軟體Urchin on Demand更名為Google Analytics,在去年底提供服務。
簡單說Google Analytics是一個提供網站流量分析的服務,它能夠追蹤拜訪你網站的每一個使用者及使用者所在的地理位置。而且還能提供吸引網友前來網站拜訪的關鍵字、吸引網友注意的網頁設計,以及有效率的電子郵件行銷策略的分析。最重要的是這樣的服務,不管你的網站是不是電子商務的網站,是完全免費的。
這樣功能強大又免費的服務在壞人的眼裡當然不能夠浪費。根據McAfee最近的研究發現,Botnet[註]的operator可以利用Google Analytics有組織的檢查他成功入侵的電腦,包括這些電腦在全球分佈的狀況。壞人根本不需要自己去開發管理Botnet的軟體。
由這個例子可以很明顯的看出,任何的科技被發展出來,不論發展者的理念是否有惡意的意圖在內,在應用時總不免會被有誤用、濫用甚至是被用在犯罪的用途之上。網際網路本身就是一個很好的例子。網際網路一開始只是美國國防部在五○ 年代末成立的ARPA (Advanced Research Project Agency)的一項為了將政府研發單位與主要大學尖端電腦設備連結起來的網路。時至今日,網際網路除了成為資訊化社會的骨幹,撐起了全球電子電子商務的平台,也成為了網路犯罪的溫床。
假設科技本身一定會被誤用的假設成立,那麼我們就不能期望用另一個科技的手段,可以完全來防止科技的被誤用。因為新科技本身又可能造成新的問題。因此單純的去談科技本身是否邪惡常會失之偏頗,而是應該去探討新的科技在被應用時,政府、研究單位與立法機關是否有同時去思考它的管理、法令與法規議題,我想這樣才是一個科技管理與應用應該有的態度。
[註] 何謂Botnet
Bot 為 Robot 機器人之簡稱,意指「一個可像機器人一樣遠端控制的程式」。Bot 更是駭客利用已知的漏洞控制機器的方法之一,攻擊者只需向 Bot 遙控程式發送特定指令,受控制的每一台PC皆會根據指令做出對應的行為。
Bot 主要是藉由 IRC 管道遠端控制受感染的系統,攻擊者可下攻擊指令,發動所有殭屍電腦攻擊指定網址,或尋找有漏洞電腦,然後不斷地進行複製,讓有漏洞電腦也成為機器人網路/殭屍網路的一員。
駭客可輕易偷取殭屍電腦應用程式的密碼、終止系統運作、download /upload上 file、掃瞄開啟的port,或是接手其他駭客種下的後門程式加以改造入侵系統。
這群被植入 Bot 程式的電腦形成一個殭屍網路(Zombie Network)或機器人網路(Botnet) 的成千上百的節點,它們亦成為阻斷服務攻擊 (DDoS)或漏洞攻擊亂槍掃射的發射台。
[ 發表回應 ] | permalink
Hacker與Cracker
Wednesday, September 20, 2006, 14:47 - 資訊電腦, 資訊安全
很多英文名詞一翻譯成中文之後,意思就常常被弄擰了,或是把不同的事情混為一台,駭客(Hacker)這個詞就是一個例子。根據The Jargon File對「hacker」(駭客)一詞下的定義,駭客指的是能很快適應新技術、善於解決問題、勇於克服困難的高手。
但現在還有另一種人也被稱為或自稱為「駭客」,但其實不是。這些人擅於入侵別人的電腦與電話系統。真正的駭客稱這些人為Cracker。國內似乎一直沒有對Cracker這個詞有個比較好的翻譯,於是Hacker與Cracker都被稱為駭客了。倒是大陸對於Cracker的翻譯蠻值得參考的,大陸上將Cracker翻譯成為「黑客」。所以黑客和駭客根本的區別是:黑客們建設,而駭客們破壞。
根據New Hacker's Dictionary的作者Eric S. Raymond在1996所發表的What is a hacker?一文中的定義,駭客必須完全體會並反覆實踐五件事情:
1. 世界充滿有待解決的新奇問題
成為駭客的過程充滿樂趣,但是這種樂趣是大量努力換來的,而努力需要動機。成功運動明星的動機,在於達成目標後,身體所獲致的生理滿足;這促使他們不斷嘗試超越自己的體能極限。同樣的道理,要成為駭客,你必須懂得享受解決問題之後的成就感,並以此為磨練技巧、訓練心智的基本動機。
如果你天生就不是能感受這種動機的人,那麼,你必須想辦法訓練自己成為這種人,唯有如此才能成為駭客。否則,你會發現你的研究熱誠會被其它誘惑摧毀殆盡,像是性、金錢、與社會地位。
(你也必須培養對自己學習能力的信心。你必須相信,即使不知道解決問題所需的全部知識,但如果能搞定其中一部份並從中學習,你將有足夠的線索解決下一個部份,持續下去,直到完全搞定。)
2. 沒有問題應該被解決兩次
有創意的大腦,是有限的珍貴資源,當你有許多新奇問題等待解決時,不應該將浪費腦力去重新發明輪子。
要成為駭客,你必須相信其他駭客的思考時間也非常可貴,懂得利用別人的成就來解決新問題,而不要反覆地重新解決舊問題。相對地,在你解決問題之後,公開解法,與別人分享心得,是你的道義責任。如果你的成就是建立在別人的基礎上,那麼,你的成就也應該成為別人的基礎。
(你可以不認同你有義務奉獻你全部的創意成就,雖然正牌駭客確實會這樣做,並以此贏得其他駭客的尊敬。所有人都一樣,銷售你的創意產品,使你能養活你自己、房屋、與電腦,並不違背駭客價值。運用你的駭客技術來養家活口,或甚至致富,很好。但是在你收取權利金時,別忘記遵守駭客守則。)
3. 無聊與苦工是罪惡
駭客(以及一般有創意的人們)不應該無聊到做一些愚蠢的重覆性工作。因為發生這種事情時,表示他們不是正在做他們唯一應該做的事 - 解決新問題。對任何人而言,做苦工絕對是浪費精力。因此,無聊與苦工不只是令人不悅,實際上還是一種罪惡。
要成為有格調的駭客,你必須深信,任何無聊事都可以被自動化,這不僅解決你的問題,也幫所有其他人(特別是其他駭客)找到解脫。
(凡事都有例外,包括做苦工。駭客們有時候也會做一些似乎是重覆性的工作,或是旁人認為窮極無聊的舉動,但是他們可能是在琢磨練習,理清思路,體驗不親自動手無法理解的經驗。然而,這是個人的選擇,沒有人應該被迫體驗無聊。)
4. 自由至上
反威權主義(anti-authoritarian)是駭客的天性。如果有任何人能夠以威權手段命令你,迫使你停止解決你認為非常有意義的問題,他們通常會發現這樣做實在很蠢。所以,每當你發現威權心態,就必須使其成為過去,以免讓這種要不得的心態扼殺你 - 以及其他駭客。
(這不同於反抗所有權威(authority),畢竟兒童必須受到引導,而罪犯也必須受到拘束。如果遵守命令所付出的代價,確實可以讓駭客得到更多收穫,那麼駭客或許會願意接受某種形式的權威,但這是極限、理性的妥協。那種要求人性服從的威權主義,所要的不是貢獻。威權主義盛行於風紀與保密人員。他們不相信「自願合作」與「資訊分享」這種事,他們只喜歡他們能夠控制的「合作」。因此,要成為駭客,你必須對幾種人培養戒心,包括考紀人員、保密人員、有暴力傾向的人、以及意圖欺瞞操縱要員的人。而且你必須願意為信仰付諸行動。)
5. 心態是無可替代的才華
要成為駭客,你必須培養某些心態。但是單獨養成一種心態,並不能使你成為駭客,任何比這更多的美德,將使你成為冠軍選手或搖滾巨星。要成為一位駭客,需要用智慧、練習、奉獻與努力工作的代價去換得。
因此,你必須學會懷疑心態,並尊重每一種才華。駭客不會浪費提問人的時間,他們崇拜才華 - 特別是 hacking(解決問題)的才華。普遍來講,任何種類的才華都是好的;只有少數人才有的特殊才華,只能算是好的才華。涉及敏銳心智、技藝、專業、專注的實務技能,是最好的才華。
如果你敬重才華,那麼,在你自己培養才華的過程中,將會享受到無比的樂趣。努力與奉獻會成為一種玩樂,而不是做苦工。心態對於駭客的養成至關重要。
[參考資料:Linux Server Hacks 駭客一百招]
[ 發表回應 ] | permalink
不能看書就聽書吧
Tuesday, September 19, 2006, 23:27 - 資訊電腦, 管理自修筆記
昨天的blog提到唸書是二十四小時都可以做的,不過有很多零碎的時間還是沒有辦法看書。比如說開車的時候,或走路行動的時候,這種情況底下大概只剩下聽覺還可以用。以前還在唸研究所的時候,我常把喜歡的英語電影或影集的對話轉到音樂CD上,這樣開車的時候就可以訓練自己的英語聽力。現在iPod、MP3 Player甚至是手機都可以聽MP3了,所以連走路或坐捷運的時候,都可以利用這些零碎的時間來「聽書」。
比如說我最近在PageOne看到Thomas Friedman的The World Is Flat有聲書,我一直沒有時間看這本書,於是我就決定買有聲書,利用行動的零碎時間來聽這本書。不過這個有聲書是音樂CD的格式,要用我的SmartPhone來聽MP3就先做格式的轉換。以前我都是用Loop Recorder這個軟體來轉檔。這個軟體的優點是它可以把電腦裡的任何音源信號,用錄音的方法轉成MP3或WMV檔。不過你必須把每個音樂CD從頭到尾播一次來錄音,所以轉檔的時間很長。
;)
而The World Is Flat有聲書總共有15張CD,每一張這樣錄音轉檔大概會瘋掉。所以我是用FreeRIP這個能夠把audio CD快速轉成MP3的軟體。這個FreeRIP是Freeware,所以不用任何的費用便可以使用。
;)
[ 發表回應 ] | permalink
唸書是二十四小時都可以做的
Monday, September 18, 2006, 13:30 - 管理自修筆記
今天的自由時報頭版刊了一則相當值得學習的新聞。台電線路維修員出身、現年六十二歲的台電台中供電區處線路課課長王建良,年輕的時候因為負擔家計,所以高職肄業就出社會工作。進入台電之後,王建良把握每一個可以唸書的零碎時間。即便線路維修的工作是全天候待命,但在這麼辛苦的工作中,王課長還是把握「唸書是二十四小時都可以做的」理念,妥善運用時間,當中午吃完便當,其他同事都在休息時,他在唸書;書本太厚了、不方便隨身攜帶,王課長就把書本拆成四、五小本,塞在褲子後方口袋,一得閒就拿出來唸,等到全部唸完了再裝訂回去。
他先利用晚上時間完成高中學業,再花兩年、在他三十歲時考上逢甲大學電子計算機科學系夜間部。雖然後來因工作中斷了大學學業,但他仍到各校修學分。最後,王課長完成一百四十多個學分,並利用淡江大學與美國明尼蘇達州聖湯瑪斯大學建教合作的關係,爭取赴美就讀國際管理所的機會。經過兩年留學苦讀,拿到碩士學位。七年前,五十五歲的王建良考上淡江大學管理科學研究所博士班,成為班上年紀最長的學生。他本來在兩年內就已經修完學分,正準備開始寫畢業論文,但因為九二一大地震,王課長總共花費七年時間才取得博士學位。王課長花了人生的30多年,用自己的毅力圓了年輕未能完成的夢。
我想這個故事對上班族來說是很值得思考的。我常在工作上看到,當一個工作被指派給被動的人時,他會有一堆的藉口,其中一個就是他不會,他沒有受過訓練,公司有責任把他教會,不論這個工作有多簡單。其實工作上很多實際的問題不是受訓就能夠學會的,很多時候受訓學到的只有一點皮毛,唯有靠工作上不斷的自我要求,再輔以不斷的自我學習,才能夠把工作真的做到卓越。如果秉持著「自修是二十四小時都可以做的」,相信很多時候你都能夠讓你的老闆刮目相看,讓他突然發現你的能力竟然是超出他的想像,而願意讓你承擔更多的責任。
[ 1 回應 ] ( 19預覽 ) | permalink
前一頁 下一頁
