2012年7月31日 星期二

會員制行業遵循個資法 使用者身份管控是重點

會員制行業遵循個資法 使用者身份管控是重點


新版個資法即將通過,企業內與個資處理或利用有關的資訊系統,都必須做好管控,確認每一個使用者的存取行為都是在權限範圍內,日前,由台北市電腦公會舉辦的企業資安高峰論壇,包括育冠企業(生活工廠)及旭海國際都分享利用PKI工商憑證管控個資系統的經驗。

企業內部資訊系統的使用,多半透過帳號密碼機制管控使用者身份,對於預算不多的企業而言,結合PKI工商/自然人憑證或許也是不錯的做法。育冠企業將PKI憑證登入機制與內部特定資訊系統整合,如:與供應商往來的B2B系統、進銷存整合系統、薪資管理作業系統、人事簽核系統等,不僅可以明確管控使用者身份與系統使用權限,也讓門市店長可以遠端處理行政作業。

育冠企業資訊部經理張誠祥表示,原本這些資訊系統都只透過帳號密碼機制做管控,但卻存在著以下問題,例如:供應商將密碼抄在白板上,方便員工作業;內部員工在使用系統時,將密碼自動記錄在電腦中;離職員工系統使用權限未即時收回…等,這種種狀況導致常有密碼外洩或濫用的情況發生,所以才決定導入PKI憑證。

至於旭海國際主要業務則是旅遊業線上訂房系統,在導入PKI憑證前面臨的問題有,飯店財務部門與行銷單位可以輕易查到旅客個資、新進員工任意複製或使用會員資料、管理者不知何時何人使用過相關個資、遇到爭議或過失無從查證。而在整合PKI憑證後,除了要求上述人員必須使用PKI才能查詢資料,同時保留系統使用者與使用時間的記錄,以便日後查證。

上述兩家業者導入PKI的時間皆在2008~2009年間,在2010年通過新版個資法後,又各自規劃不同機制加強個資管控。首先就育冠企業來看,張誠祥表示已將會員資料由門市集中到總公司,門市端改成client-server架構,亦即門市電腦與POS系統不留存任何會員資料,門市人員如有使用需求,只能透過VPN連線至總公司資料庫查詢資料,並請POS廠商協助刪除全台所有門市內POS系統的資料。

另外還收回會經手大量個資的委外業務,如:寄送行銷簡訊或EDM的作業,原本交由委外廠商處理,寄送對象則是全台230萬名會員,如今為降低個資外洩風險,將相關作業收回來自行處理,但會根據內容篩選適合的發送對象,兼顧人力與發送成本。

而旭海國際則規劃了5道機制,包括申請適法性驗證服務TSP、加強硬體防火牆措施、加強員工訓練及補強SOP流程、擴大PKI應用至管理內部個資的取用程序、採購個資保險,賴佳維指出,因應個資法的第一步,不應該急著申請相關標章,而是要檢查自身與法規間的差異,也就是做適法性檢測,並彌補之間的差異,這才是法規遵循的關鍵。

轉載自《資安人科技網》

關於Bing的編目與索引


關於Bing的編目與索引

自從Yahoo採用Bing的自然搜尋結果之後,越來越多讀者有許多關於Bing的疑問,我們將之整理如後  ...

(1) 什麼是「編目」? 什麼是「索引」? Bing在Webmaster工具中的這兩個術語,經常讓人搞不清楚是什麼東西。

我們先看看Bing的說明頁面 (如下):http://onlinehelp.microsoft.com/zh-tw/bing/gg132935.aspx

從上述的~ 編目程式 (又稱 robot 或 bot) ,可以清楚的知道,網頁是先經過「編目」再進行「索引」,當完成「索引」之後,才能參與網頁排名。

所以Bing所說的「編目」是指crawling (抓取),「索引」就跟平常認知一樣是indexing,網頁被「索引」的數量當然希望越多越好。

(2) 如何提升網站被Bing「索引」的數量呢?

Bing的Webmaster工具中有兩個工具,可以讓Bing開始進行網頁「編目」

如下圖,送出XML Sitemap或是RSS Feed給Bing


如下圖,送出單獨的URL給Bing


以上這兩個方式有何不同呢?

(a) 送出sitemap到成功擷取的等待時間較長,提交URL比較快。
(b) 送出sitemap沒有次數限額,但是提交URL一天不得提交超過 10 個 URL,每月不得超過 50 個。
(c) 送出sitemap會看到是否成功,但是提交URL不會回報狀態。

一般而言,如果沒有特別狀況,送出sitemap之後約數天到一週的時間,應該就可以看到成功擷取。

轉載自《台灣SEO搜尋引擎技術學院》

2012黑帽大會搶先看:輕忽POS漏洞 小心外洩信用卡號與PIN碼


2012黑帽大會搶先看:輕忽POS漏洞 小心外洩信用卡號與PIN碼

2012年黑帽大會(Black Hat)在美國拉斯維加斯開跑,來自英國MWR InfoSecurity的兩位安全研究人員Nils與Rafael Dominguez Vega在大會中展示,如何使用端點銷售情報系統(POS, Point of Sale)存在的漏洞,竊取信用卡號碼和PIN碼。

現場展示中,Nils和Vega挑選了三款不同的POS機型,不過這三款產品的logo都用貼紙貼住,Nils表示,其中兩款在英國相當普及,另一款則在美國市場很受歡迎。但Nils拒絕透露這三款機型的品牌,他表示,希望給予廠商一些時間去修正這些漏洞,目前這些廠商已被告知了這些漏洞,其中一家公司也已經著手修補。

兩款在英國相當普及的POS機型,其卡片付款應用程式都存在漏洞,讓駭客可以透過漏洞控制所有連接到POS系統的裝置,包括螢幕、列印收據的印表機、讀卡機,或PIN Pad(晶片讀卡機),倘若在EMV晶片內寫入惡意程式碼,並插入終端的讀卡機時,還可進一步展開攻擊。

兩位研究人員用了這樣的方式,在其中一台POS終端機上安裝賽車遊戲,然後控制它的螢幕與PIN晶片讀卡機,讓POS系統搖身一變成了遊戲機,在另一台POS終端機上,則安裝了一個用來竊取卡片資料的木馬程式,當插入不同的卡片後,其卡片密碼與PIN碼都會被記錄下來。

雖然現場僅展示如何竊取信用卡卡號和PIN碼,不過Nils指出,透過漏洞還可以做很多惡意行為,像是竊取卡片磁條上的資料,據此複製出一張相同的卡片,或是利用惡意晶片卡進行詐欺交易,惡意晶片卡可以鎖住實際付費行為,但依舊列印出收據,讓店家以為已經完成交易,實際上卻沒付費。

至於現場測試的第三台POS終端機,其構造較為複雜,使用觸控螢幕以提供signature-based付款機制,並可透過乙太網路進行遠端控制。Nils表示,這些POS終端機以及遠端的管理伺服器都未加密,因此,駭客可以使用ARP或DNS手法,透過區域網路將POS終端機導引到另一台惡意的伺服器上,然後進行控制。

Nils表示,他目前沒有證據可以說明其他POS製造商生產的產品是否也存在相同漏洞,但POS業者必須正視這樣的風險,雖然沒有任何電腦系統是完美的,但這些終端設備應該要提供更好的安全保護。

無獨有偶,約在一個月之前,就有安全研究人員提出POS安全的漏洞問題。德國安全研究人員以德國當地被廣泛使用的POS系統為例,展示如何透過區域網路入侵該裝置,然後使用它竊取卡片磁條資料和PIN碼。

除此之外,行動安全也是2012年黑帽大會相當受關注的議題。包括蘋果平台安全團隊經理Dallas De Atley登台講解iOS作業系統的安全設計,這也是蘋果首次以主講人身分參與黑帽大會。

Accuvant實驗室首席顧問Charlie Miller則展示如何使用NFC技術攻擊Android手機,雖然測試時的有效距離僅在4公分以內,但NFC無線技術所存在的漏洞仍是不可輕忽。

另外在DEFCON上,Blackwing Intelligence資安研究員Eddie Lee也指出手機付款的漏洞,他在現場展示如何以Android手機獲取有條碼的信用卡資訊,並利用這些資訊盜刷信用卡,他甚至認為同樣的手法也可適用於其他種類磁卡。

轉載自《資安人》

因應新版個資法的第一步 - 個資盤點

因應新版個資法的第一步 - 個資盤點

撰文◎黃彥棻 攝影◎洪政偉

個資法實施倒數計時,最快3個月後施行 
法務部按照日前政委建議行政院於今年10月1日正式施行個資法的進度,已經將個資法施行細則送進行政院待審。也意味著企業只剩下不到3個月的時間因應 ...《閱讀全文

個資盤點的3大原則
個資盤點是企業因應個資法時面臨的最大挑戰之一,從業務流程面開始進行個資盤點,掌握個資種類比數量重要的關鍵,若組織流程改變就重新個資盤點一次,都有助企業正面面對個資盤點 ...《閱讀全文

個資盤點企業實例-鼎新電腦:要從業務流程追蹤個資流向 
鼎新電腦順利落實個資盤點的關鍵在於,從業務面進行個資流程拆解、追蹤個資流向,藉由逐步完善的個資清冊,掌握企業個資控管的缺口,及早有效因應 ...《閱讀全文

個資法實施倒數計時,最快3個月後施行

個資法實施倒數計時,最快3個月後施行

法務部按照日前政委建議行政院於今年10月1日正式施行個資法的進度,已經將個資法施行細則送進行政院待審。也意味著企業只剩下不到3個月的時間因應

為了因應新版《個人資料保護法》(簡稱個資法),臺灣企業還剩下多少時間可以準備?若依原訂政委建議的施行日期,如期完成行政院審查,新版個資法將於10月1日施行,企業只剩下不到三個月的時間,可以因應個資法要求種種規範。

個資法細則送政院待審,無爭議將於10月1日施行
新版個資法自從2010年5月26日總統公布以來,因為法案本身仍有許多爭議;加上,2011年10月27日公布的施行細則草案中,在母法爭議未解、細則草案定義不明的情況下,行政院遲遲沒有公布新版個資法的正式施行日期。

不過,今年2月新的內閣改組後,行政院長陳冲指派政務委員張善政、羅瑩雪召集相關部會,針對新版個資法施行進度召開協商會議,4月底提出擬建議新版個資法可於今年10月1日正式施行。


法務部法律事務司副司長鍾瑞蘭表示,法務部仍按照先前政委建議10月1日施行個資法的日期執行後續進度,已將施行細則送進行政院待審。

法務部法律事務司副司長鍾瑞蘭表示,行政院長陳冲雖然還沒有正式批准是否在10月1日正式施行新版個資法,但法務部仍配合先前建議施行的時程,已經將新版個資法施行細則草案送進行政院準備進行審查。

鍾瑞蘭指出,此次送進行政院進行個資法施行細則草案審查與2011年10月底公布的細則草案最大的差異點在於,此次院版拿掉細則草案第5條的「軌跡資料」(Log Files)的字句和部分文字描述的調整。

也就是說,多數人都認為軌跡資料如果已經和個人資料檔案密不可分,相關的蒐集、處理、利用和刪除等,如果已經受到新版個資法的規範,也就無須再以細則條文明訂相關軌跡資料該如何保存;若軌跡資料多是系統設備的存取資訊與個資無關,不受個資法規範,保存與否則受各公務與非公務機關的資訊部門操作流程規範而已。

既然個資法施行時間的最快只剩下三個月,加上此次個資法影響到各行各業和每個人,因此,因應新版個資法已經不是少數人或者是該不該面對的問題,而是,該怎麼面對?如果,距離新版個資法施行的時間還剩下三個月不到,多數企業還來得及面對嗎?

雖然時間緊湊,不過企業從最容易的成立個資專案小組後,針對同仁宣導個資法對公司營運帶來的衝擊和影響,實際需要花心力執行的第一步則是,設法掌握全公司個資分布的個資盤點。


細則草案點出個資盤點的必要性

在施行細則草案中,便已點出了企業因應個資法的第一步,就是個資盤點。在2011年10月27日公布的個資法施行細則草案中,第九條便明訂,若要做到個資防護,擁有個資的公務與非公務機關,應該有適當的安全維護措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏,並明訂了11項的安全維護措施。

這11項安全維護措施包括:一、成立管理組織,配置相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、必要之使用紀錄、軌跡資料及證據之保存。十一、個人資料安全維護之整體持續改善。

勤業眾信(Deloitte)會計師事務所副總經理萬幼筠表示,安全維護措施的第二點「界定個人資料之範圍」就已經明確點出個資盤點的真實意義,那就是從法規規範企業必須重新審視手邊所擁有的各種個人資料,是否是當事人直接提供或者是間接蒐集而來;而這些個資使用目的是否已有變更;甚至是確定個資相關的蒐集、處理、利用、儲存、銷毀與國際傳輸的狀態等,都是在界定企業所擁有的個人資料範圍。他說:「這個界定個人資料範圍的過程,就是一種個資盤點,而這個盤點過程包含紙本和電子資料在內。」

臺灣BSI總經理蒲樹盛表示,從資料的生命周期來看個資盤點是最適當的方式之一,藉由重新審視公司每一個部門,到底擁有哪些資料,這些資料中又包含多少個人資訊在內。他說,在確認每個部門擁有哪些個資的清單資料後,公司就要產生一份「個資清冊」,這個清冊就記載著這些企業內所擁有的個資,都由誰經手包括蒐集、處理、利用、國際傳輸及刪除的流程。

蒲樹盛強調,當這份個資清冊出爐後,企業就應該據此重新檢視各個部門相關的個資保護措施,以及相關的個資保護意識是否足夠。若是發現個資含量較高的部門,其相關個資保護措施或意識不足時,就應該立即提供各種強化措施以補個資防護不足之處。


個資盤點耗時數個月到半年不等

個資盤點需要多少時間,其實沒有標準答案,因為每一間企業規模、業務複雜程度以及個資含量多寡都有不同,很難有一個標準答案。但是,萬幼筠認為,個資盤點再怎樣都不應該超過半年,以勤業眾信輔導過的某金控公司為例,全部相關企業盤點完成都不超過6個月。他說,時間若超過半年,顯見其個資盤點的方法論是有問題的。

例如,精誠資訊導入BS 10012來因應新版個資法時,精誠資訊資料管理整合服務事業部資訊安全處資深技術處長林柑妙表示,個資盤點是所有執行BS 10012個資保護管理制度中,耗時最久的環節,光是個資盤點就用了4個月。

精誠在這4個月中定義出8大關鍵業務流程,包括需求接單、文件製稿、開發設計、資料轉檔、物料需求、入出庫管理、檔案列印和機器成品裝封等,之後就得依照個資法規定的個資蒐集、處理、利用和國際傳輸等過程,追蹤公司內的個資如何流經每一個部門。

再根據企業內個資所流經的業務流程,依照每個部門中的每個人,對於每一個流經該業務流程的個人資料,註明是屬於個資蒐集、處理、利用和國際傳輸等個資生命周期的哪一個環節,並載明這個個資來源、蒐集管道、檔案形式,和最終會以何種方式存放在企業內,以及是否有進行國際傳輸等,全都記載到一份個資清冊上。

臺灣勤業眾信(Deloitte)企業風險管理部協理曾韵也根據實際輔導客戶的經驗,以一個具有完整消金、法金和信用卡部門的商業銀行進行個資盤點為例,從繪製數十張到數百張個資流經各業務流程的BIF(業務流程框架)Visio流程圖,到產生一份個資清冊為止,沒有自動化工具協助,至少要2~3個月的時間;如果有自動化工具可協助產生個資清冊,個資盤點的時間至少要1~2個月。

以此時程,對比個資法施行的時程,企業所剩時間不多,現在正是開始動作盤點個資的最後衝刺期。

個資法最新進度 
預估施行時間
法務部仍依照先前政委擬建議今年10月1日的施行日期,進行後續進度。

個資法現況
已經將個資法施行細則草案,送交行政院準備進行審查。

個資法細則草案重點 
1.拿掉細則草案第5條的「軌跡資料」(Log Files)字眼,軌跡資料不再納入個資法規範的資料項目。
2.移除細則草案第3條中「但查詢困難、需耗費過鉅或耗時過久始能特定者,不在此限。」的字眼,這部分未來將交由法官判定。
3.將個資法母法第6條、第8條第2款第1項何謂法律明訂,在細則中則新增「法律、法律具體授權的法規命令」等解釋,讓各公務機關有更清楚的法律授權依據。

轉載自《iThome》


個資盤點的3大原則

個資盤點的3大原則

個資盤點是企業因應個資法時面臨的最大挑戰之一,從業務流程面開始進行個資盤點,掌握個資種類比數量重要的關鍵,若組織流程改變就重新個資盤點一次,都有助企業正面面對個資盤點

既然施行細則草案中的安全維護事項,已經將企業應該做的個資盤點列為必要,企業就得開始審視,個資盤點到底應該從何著手才是?範圍應該如何界定?都是企業面對個資盤點時最迷惑的部分。

個資盤點的困難在於過於分散 
要符合個資法規範,得先行掌握企業內部到底擁有多少個資,才知道需要保護的標的為何,並在合理的資源應用範圍內,採用最適當的個資保護方式。

根據「iThome 2012年CIO大調查」,臺灣多數企業都認為,新版個資法所面臨最大的困難與挑戰就是「個資分散在各部門」(39.8%),其次為「因應個資法為視為只是IT部門的責任」(37.7%),第三名是「缺乏一勞永逸的因應作法」(30.2%),第四名為「高階主管對個資法的了解不足」(26%),第五名則是「投入的人力和資源不足」(23%)。從上述五點都可以發現,第一名和第三名的困難,都和企業應該如何落實個資盤點息息相關。

若從其他產業別的數據來分析,包括金融業、服務業和醫療業面臨的最大挑戰都是「個資分散各部門」;對於高科技製造業、政府與學校都是排名第二名的困擾,只有對於一般製造業而言,個資分散在各部門的問題,並不在其面對的前三名挑戰排行榜中。從這份調查中也可以發現,「個資分散各部門」是企業進行因應個資法時的最難的關卡。

盤點原則1:個資盤點要涵蓋全公司的業務流程
信義房屋集團資訊長蔡祈岩表示,法律規範其實是道德最低標準,公務機關只需要做到依法行政就不會有問題,但對於非公務機關而言,既然要做個資盤點,一定得要全公司每個部門,都對其業務流程是否擁有個人資料進行盤點。蔡祈岩說,唯有當企業全部流程都盤點過一次後,就知道哪一些業務流程看來很複雜,其實並沒有個資在內,哪一些業務流程看來很簡單,但個資含量其實很高。若能夠透過流程圖顯示個資流向,也將更為一目了然。

臺灣勤業眾信(Deloitte)企業風險管理部協理曾韵表示,一般對於輔導的企業都會建議從業務流程開始尋找、分析其所擁有的個資到底有多少。曾韵說,透過畫分業務流程,針對個資的資料流向、傳遞方式、記載類別、活動控管等方式,可以清楚區分清楚後,透過Visio的流程圖繪圖方式,將所有的業務流程清楚界定,一目了然。當然,中間如果遇到跨部門流程的個資流向產生疑義時,就需要進行跨部門的溝通,也必須同時在這個流程圖中清楚的界定出來。

曾韵指出,這個流程圖就是勤業眾信所謂的BIF(業務流程框架),而透過勤業眾信開發的工具,已經可以做到自動化將BIF轉成個資清冊的Excel檔案了。另外一種情況就是,部門業務流程清楚也少跨部門作業者,就可以以部門別做個資的業務流程分析。

盤點原則2:個資類別比數量更為重要
很多企業非常在意個資的數量多寡,只有個資數量夠多,才會吸引企業的重視。但是,蔡祈岩卻認為,個資盤點時,要掌握個資的類別比掌握個資的數量更為重要。如果能找到的個資類別越多,表示企業進行個資盤點的流程拆解的越細緻,越不容易因為遺漏的業務流程而漏盤相關的個資。

蔡祈岩舉例,很多企業會架設官方網站吸引會員加入,許多企業的網站伺服器內就隱藏有很高的個資含量。不過,即便網站資料庫的會員個資數量已經超過一百萬筆,但在他的認定上,如果該份個資的來源、蒐集、處理、利用和流向其實都是一樣的,在企業進行個資盤點時,就可以把這一大類的網站伺服器的會員資料視為同一類的個資來看,而且,不論其數量多寡,其風險對應策略都是一模一樣的。但他也提醒,只要蒐集、處理或利用有任何一個環節有差異,就應該視為另一類的個資看待。

盤點原則3:個資盤點是持續性工作,而非做一次就好
不過,勤業眾信(Deloitte)會計師事務所副總經理萬幼筠也提醒,很多企業為了因應新版個資法的施行,開始在進行各部門業務流程的個資盤點,但個資盤點不是「只做一次」就可以大功告成、永遠不需要再調整的工作項目。

萬幼筠強調,只要企業的組織有新的異動,部門同仁業務有新的調整,公司營運項目有新的增減,對於個資法規定的個資盤點流程而言,只要經歷過類似上述業務、組織或作業流程上的變動時,企業就必須重新進行一次個資盤點。當然,相較於第一次進行的個資盤點而言,因為異動而必須進行的個資盤點內容,所花費的心力就沒有像第一次執行時那麼勞心勞力。

他舉例解釋,曾經有一個金控公司做完個資盤點後,就面臨到組織改組,當時該金控重新進行一次個資盤點,盤點結果與組織異動前的結果相同,萬幼筠指出,這也證明了,原先該金控每一個業務流程所進行的個資盤點,沒有遺漏任何業務流程環節的個資。「這種因為組織變動而必須重新進行的個資盤點,也是一種個資盤點的QA(品質保證)和驗證過程。」萬幼筠說。


個資盤點也有自動化工具可用,但仍無法完整清查

勤業眾信(Deloitte)會計師事務所副總經理萬幼筠說:「企業因應個資法時,個資盤點是其中最花時間和人力的關卡之一。」為了能夠提高企業執行個資盤點的效率,有許多企業都在尋找自動化個資盤點的工具。

目前市面上,已經有網擎資訊提供首款支援正體中文的自動個資盤點雲端服務P-Marker Cloud,目前只提供單機版的掃描服務,仍無法做企業大規模部署。

透過在單機安裝用戶端程式後,可以針對每一臺電腦個資檔案進行的自動化盤點,盤查的個資欄位,則有姓名、身分證字號、市話號碼、地址、信用卡號碼等7種,平均半天到一天就可以完成盤點;也可以針對檔案中包含的個資筆數和類型畫分風險等級,並產出報表。

但目前尚無法盤點郵件內容。P-Marker Cloud支援微軟平臺執行個資盤點,包括Office、txt、CSV、HTML、XML、PDF、RAR和ZIP檔案的掃描,除非該檔案受保護,必須另外輸入密碼,不然都可以順利支援。

不過,鼎新電腦科技系統加值暨服務事業部科技規畫部經理范肇鈞表示,他曾經嘗試使用P-Marker Cloud來盤點電腦中的個資,效率雖然不錯,但判別不精確,例如盤點結果會出現金庸小說中的張無忌,都讓使用者必須另外進行人工查核。

網擎資訊產品經理王銘賢表示,P-Marker Cloud可以針對姓名、身分證字號、信用卡卡號、地址、市話、手機號碼和email等欄位進行個資盤點,如果使用者只勾選盤點姓名一個欄位的話,的確會出現張無忌、楊過等個資。但他說,使用者也可以設定多種資料類型的交集,同時具備2個條件以上的個資才列入盤點的項目中。此外,王銘賢表示,系統提供使用者自訂低、中、高和極高風險,低、中和高風險可由使用者自訂上述七項個資欄位中,找到的個資總量設為低、中和高的風險值;至於極高風險的設定,可由使用者自訂幾個欄位個資的交集,並符合多少數量以上的個資列為極高風險。


▲目前市面上已經有網擎資訊的P-Marker(上圖)可以協助企業針對電腦檔案進行個資盤點,勤業眾信則預計八月提供個資盤點的方法論(右圖),並可以透過自動化工具,將個資流程圖轉成個資清冊Excel檔。 

另外,萬幼筠說,勤業眾信顧問公司預計在8月份對外公開一套淬取企業個資的盤點方法論,企業只要遵照訪談的流程內容,並依據同樣的Visio流程圖的繪製原則,就可以清楚得知企業個資的流向。勤業眾信將提供一個個資清冊的產出服務網站,可以將企業透過Visio繪製個資流向的數十張到數百張BIF流程圖,自動轉換成個資清冊以便盤點時的查驗之用,企業就不用費時自行製作。

轉載自《iThome》

個資盤點企業實例-鼎新電腦:要從業務流程追蹤個資流向

個資盤點企業實例-鼎新電腦:要從業務流程追蹤個資流向

鼎新電腦順利落實個資盤點的關鍵在於,從業務面進行個資流程拆解、追蹤個資流向,藉由逐步完善的個資清冊,掌握企業個資控管的缺口,及早有效因應 

在2010年5月個資法法條公布後,鼎新電腦在當年8月就開始著手因應個資法,除了率先成立個資因應專案小組外,也開啟了第一次的個資盤點經驗。只不過,這樣的個資盤點成效不佳,又從2011年3月開始了第二波的個資盤點。

鼎新電腦大型企業事業部總經理,也是個資因應專案小組召集人鄭家麟表示,歷經這兩次的個資盤點經驗,讓該公司對於因應個資法這件事情,更為審慎看待,也將實務上因應個資法的作為區分成四大流程。他說,這四大流程不只是對鼎新電腦有效的流程,也可以做為其他企業參考複製的經驗;而兩次的個資盤點經驗分享,更可以減少企業無謂的摸索時間。

企業擁有個資的數量往往超乎想像
鄭家麟表示,鼎新電腦的軟體產品用戶超過4萬家企業,若以每一家企業聯絡人至少5人來估算,鼎新電腦擁有的客戶個資至少超過40萬筆。而且這些資料往往散布於各個部門,甚至是各個據點。以鼎新電腦目前有1,800名員工,據點分布臺灣、大陸,甚至還有越南等總計28個據點,想要徹底盤點出企業所擁有的個資,並不是一件容易的事。

鄭家麟指出,新版個資法保護的是一般自然人的個資,並非只有提供B2C服務的企業才擁有大量自然人的個人資料,像鼎新電腦這種服務企業為主的產業,所面臨的更大潛在挑戰則是,一間企業的聯絡人平均會有5人以上,臺灣甚至有些大型企業顧客因為部門眾多,從主管到執行業務的同仁數量甚多,鼎新電腦甚至可能會擁有這家企業上百名的聯絡人名單。他認為,企業若沒有經過仔細盤點,許多企業根本沒有意識到,其實企業手上擁有的個資數量,經常是超乎預期的。

鼎新電腦個資專案進度表 
這是一份鼎新電腦因應個資法時所使用的專案進度表,規畫了4個階段分別應該執行的項目內容、負責人員並記載相關的產出物以為提醒。對於鼎新電腦而言,這份專案進度表也是自身經驗的分享,其他企業也可參考相關的步驟與內容,填入適合的人員和時間,就可以做為其他企業因應個資法時的專案進度參考。

工作內容
階段一:
專案起始
階段二:
認知與同意
階段三:
診斷個資控管缺口
階段四:
修補個資控管缺口
專案推動項目
成立專案小組‧確認專案小組執掌、定位‧訂定專案推動時程
全員個資保護認知訓練‧建立企業個資保護意識‧員工同意保護公司業務中使用的個資‧員工同意公司使用個資
個資流程識別‧個資盤點‧個資盤點後對應風險識別‧個資風險討論分析
審視個資控管缺口‧修補個資控管缺口
工作事項
個資管理團隊召集及組成‧專案導入人員職責分配及建立組織運作模式‧制定專案時程表
個資法內容認知及解析‧個資法對企業的衝擊說明‧員工日常工作注意事項說明‧當事人員工個資使用同意
收集企業個資相關作業流程‧執行作業流程個資盤點‧個資風險確認及分類‧風險項目討論及分析
顧問與個資小組會議進行個資控管缺口討論‧顧問提出個資控管缺口修補建議
執行方式
由個資因應小組建立
完成個資認知課程訓練‧進行種子講師訓練或可企業包班‧員工簽署個資使用同意書 
依職能別與營運流程,診斷個資保護現有缺口‧內部作業程序個資訪談‧鑑別個資風險
顧問和業務同仁開會討論個資控管缺口與修正方向
投入項目/
文件
組織架構圖範本‧工作職掌說明範本‧推動管制表
課程表‧上課講義及簽到表‧個資認知測驗卷‧個資使用同意書
個資盤點說明簡報‧輔導工作計畫‧企業環境檢測工具
個資清冊
企業推動參與人員
 
 
各職能別關鍵成員——
● 生產:
● 業務行銷:
● 人事:
● 研發:
● 財務:
● 營運管理:
 
推動日期
 
 
 
 
預計完成日期
 
 
 
 
產出標的
組織架構圖‧工作職掌表‧推動管制表
員工上課簽到表‧員工測驗成績單‧員工個資使用同意書簽回
個資清冊(產出一份可以審視企業現行作業隱含個資風險及影響範圍的報告)
個資清冊的風險應對計畫書(企業考量投資比例原則,提出作業程序、資訊系統及IT環境三方面,可操作之改善建議內容)



Step1:參考個資法細則草案成立專案小組

也因為企業擁有的個人資料超乎企業主的想像,要能夠有效因應的同時,企業勢必得先通盤了解,並掌握自身散落在組織各個流程中的個人資料到底有哪些。因此,企業著手因應個資法的第一步往往是個資盤點。

一般所謂的「個資盤點」其實就是利用人力或IT工具,將手邊擁有的自然人個資依照企業的流程進行清點與分類後,再記載在個資清單中。企業便可以透過這份個資清單,清楚掌握企業內不同部門依照作業流程,究竟會擁有哪種種類的自然人個資。

鄭家麟指出,鼎新電腦在評估個資盤點實際的作法,和對照新版個資法條文與施行細則草案的規畫後認為,新版個資法施行細則草案中的第九條所提及的11項適當的安全維護事項或措施,就是臺灣企業因應個資法的最佳切入點。

鼎新電腦因應個資法第一步,也就是細則草案規定的「成立個資因應專案小組」。鼎新電腦科技系統加值暨服務事業部經理范肇鈞表示,2010年5月新版個資法公布後,同年8月該公司就成立了個資因應小組,總計有7人,以鄭家麟為首之外,另外還有6名副總、經理等職能部門的高階主管擔任專案成員的角色。若以此職能主管繼續衍生,每個職能主管至少下轄20位專案經理。

范肇鈞說,這個7人專案小組主要是制定個資盤點流程的人員,除了真正是公司高層主管外,也因為需要了解公司流程、制定個資盤點時的資訊流怎麼流動,因此包括稽核、IT等,也經常會是重要的核心成員之一。鼎新電腦也因此制定了一份個資因應小組的組織架構圖和專案成員權責圖,例如,個資小組的專案召集人在R/R(角色與權責)的定位上,至少要定位在企業最高管理階層成員,如副總或以上才適合。

這個個資專案小組運作2年以來,鄭家麟表示,成員已經依照需求做過三次的調整了,除了最高管理階層成員擔任小組內最高層級成員外,更重要的是必須要找到對的人,尤其是嫻熟法律的法務和針對流程確認的稽核,都是關鍵角色。

范肇鈞表示,為了達到宣示性的效果,這種高階的個資專案小組成立時,對內應該都要透過公文的方式對全公司進行公告。他認為,透過這樣的宣示性動作,也等於是向全公司同仁昭告公司對於因應個資法的重視。

在2010年剛開始面對新版個資法的衝擊時,第一步先成立個資因應小組,接著就是進行個資盤點。當時鼎新電腦並沒有意識到個資盤點的複雜性,由范肇鈞和法務主管一起制定一張,可以給各個部門參考的空白個資盤點表,在召集各部門主管簡單說明該張空白個資盤點表的使用方式後,便帶回各部門,由部門員工開始清查自己究竟擁有哪些個資,並填寫在空白個資盤點表中。兩周後,交回給個資小組清查。

「嚴格來說,第一次的個資盤點經驗是失敗的。」范肇鈞說,當時公司員工根本沒有意識到新版個資法對於全公司的營運上,將帶來何種的衝擊,請部門主管拿回一張空白的個資盤點表讓同仁填寫時,就只是一個「命令」而已。既然沒有規定到底要寫到多麼詳細的程度,也沒有其他自動化工具可以協助清查的情況下,每一個填表的員工,往往都是以讓自己最省事、最不麻煩的方式來填寫該張表格。

他當時也有統計,大概只有一半同仁認真填寫該張個資盤點表,以業務部門同仁為例,多數人認知業務同仁擁有最多個資,但業務部門盤點出來的個資風險項目只有10多項,比行政部門盤出來30多項的個資風險還少。這次的個資盤點失敗經驗讓個資專案小組知道,只是丟出一張空白個資盤點表,要求員工鉅細靡遺盤點出個資風險是不可行的。


Step2:個資教育訓練擴及全公司每一個人

有了個資因應小組之後,鄭家麟認為,應該把全公司對於新版個資法認知的範圍再行擴大,因此,鼎新電腦接下來的動作是將個資法的認知宣導和教育訓練,從原本的專案團隊擴及到全公司各部門同仁。

范肇鈞表示,鼎新電腦為什麼這麼重視員工對個資法的認知訓練,是因為該公司第一次盤點個資時,曾因為員工對個資法的認知不足而身受其害。

剛開始,鼎新電腦成立專責小組後,接下來要界定個人資料的範圍,鼎新電腦第一個進行個資盤點的部門便從人資部門開始進行。

一開始只有因應小組或少數人對個資法有較多的了解,其餘各部門只是遵照公司要求來推動,但員工自身對個資法的認識其實不足。所以,當專案小組要求人資部門開始盤點個資時,因為人資部門員工手邊都還有其他還在處理的優先任務,范肇鈞回憶,人資部門只能在公忙之餘來處理個資小組的要求,而且往往只是敷衍了事,對於整體個資盤點並沒有正面效益。

這次的經驗後,鄭家麟認為,企業成立專案小組後,為了要凝聚全公司對個資法的共識,必須要將員工的認知宣導和教育訓練從單一部門或團隊成員,並且在最短時間內將宣導範圍拓展到全公司。他說:「因為因應個資法是全公司的責任,所以,必須要全公司都在同樣的備戰狀態下,這場仗才能打的贏。」後來,鼎新要求包含正職和約聘僱同仁、工讀生甚至是保全同仁,都必須參加線上個資法的教育訓練課程並參加考試,至少要80分才過關。

目前鼎新電腦有1,800名員工,對於該公司而言,如何在合法的範圍內使用員工提供的個人資訊,員工的書面授權是最有效的一環。鄭家麟說,或許一般的個資宣導不見得能打動同仁,但是,當公司要求同仁都必須簽署一張遵守公司規定,保護相關個資,也同時是一份同意公司使用員工個資的同意書時,當員工簽完這張同意書後,對於個資的概念也會同時提升。


Step3:依營運流程盤點個資

員工人人具備了正確的個資觀念後,就可以展開個資盤點。盤點時,范肇鈞表示,先由個資小組專案成員分析營運流程,找出每一段流程中所有個資的流向後,例如在這項作業中會有那些個資,那些人持有,有哪些處理或使用情形等動向,再從這些流程產生每個流程中的個資盤點清冊,作為各部門實際執行者的盤點工具。

個資清冊實例:業務流程Visio圖

為了提高部門員工對於業務流程中辨識個資流向的程度,利用Visio流程圖的繪製方式,依序呈現人事招募流程的每一個步驟。

以鼎新電腦人資部門的個資盤點過程為例,因為鼎新電腦的人資部門只有2名員工,但要處理1,800名員工的資料,鼎新電腦採取分工處理的方式,先由專案小組成員拆解人資部門的作業流程,區分成人事招募流程、員工社團活動、訪客拜訪流程、教育訓練流程,以及人員考核流程,並且將這些作業流程繪製成業務流程圖。鄭家麟表示,通常都是由最熟悉相關作業流程的稽核或其他流程單位負責拆解流程,以示公開公正。

由於不同部門都會有不同的人力招募需求,范肇鈞表示,從人力的招募需求開始,進行簽核流程,確認是否同意開放對外招募。而接下來到人力銀行篩選適合的履歷表時,鄭家麟也提醒,這段篩選履歷的過程中,是否會將履歷印成實體紙本資料,爾後的傳送與銷毀流程,以往也經常被忽略,這都必須在流程圖中清楚記載資訊流向為何。

個資清冊實例:個資生命周期表

個資在不同的步驟中,依據個資生命周期會有蒐集、處理、利用和刪除的不同階段,部門也會有相對應的員工負責相關個資蒐集、處理、利用和銷毀的流程。 

之後從面試的過程中,確認是否錄取成功的過程,履歷表和個人資料在各個相關部門的蒐集、處理、利用到銷毀的過程中,會依照紙本、電子和資料庫的不同,有不同的對應處理方式。若應徵者成為正式員工,招募過程的流程就告一段落,則進入正式員工的任用流程。

個資清冊實例:例外步驟清單 

在各個人才招募的環節中,若遇到需要判斷是否進到下一個流程時,若為否定階段,可以透過例外步驟的表單,來說明相對應的人員和個資處理方式。在此同時,也會依照檔案紙本或電子型態有不同處理方式。 

鄭家麟認為,所有的招募流程透過流程圖的拆解,從粗拆解到細,可以讓每一個部門清楚知道整個個資流向往那裡去,這也成為一個可以凝聚大家共識的共通平臺和語言。

若歸納鼎新電腦個資盤點的作法,范肇鈞表示,以業務流程為主的個資盤點,拆解流程後,個資因應小組就針對全公司營運最重要的營運價值鏈部門,例如業務、研發、顧問等總計20多個部門,每個部門先列出最了解部門業務流程的主管、副主管或資深同仁,作為該部門個資盤點的負責窗口。而這些重要的流程就已經囊括鼎新電腦至少80%以上的重要業務流程。

由於這些指定的個資窗口都是最了解業務流程的同仁,這個流程中,到底會處理多少的個資,部門員工對於這些個資是處於蒐集、處理還是利用的階段,這些窗口了若指掌,范肇鈞說,由這些窗口拆解業務與個資流程,部門員工往往難以遁形。

他指出,接著由個資小組和部門的個資窗口負責人,一起繪製出該部門的作業流程,以及所有個資的資訊流向。而部門同仁對於這些同仁處理個資時扮演的角色,究竟是負責蒐集、處理、利用、國際傳輸或刪除的階段,都必須在流程圖中註明清楚。

此外,這些個資究竟是以紙本還是電子形式儲存,甚至是系統檔案存放在資料庫的方式,在追蹤個資資訊流的同時,也必須清楚呈現。他認為,這樣的拆解、追溯個資的過程,可以讓每個部門、每個員工對於經手的個資流向一清二楚,當然,員工對於這些個資應該負擔的權利義務,也會很清楚。

從流程來看,每一個個資流向都有可能經過判斷,例如,需求部門在取得人事履歷後,得先判斷是否符合應徵單位的需求,如果符合,這份履歷就會進入安排面試的階段;若不符合需求,這份履歷就會被判斷為例外狀態,會依照原本的個資經手人和個資檔案形式,進行後續履歷表的個資處理或刪除動作。


Step4:依照風險高低,修補個資防護的缺口

從流程拆解到清查個資,最後會彙集成一份Excel檔案的個資清冊,范肇鈞表示,從清冊中可以對照出,每一個個資流程的控管缺口為何,因為紙本個資也成為新版個資法規範的標的,也必須針對實體紙本個資、電子文件個資以及系統資料庫的個資的可能個資控管缺口進行審視。

個資清冊實例:風險因應清單 

界定出人才招募的流程和步驟內容後,可以進一步釐清可能存在的個資風險控管缺口,從系統安全、權限、內控、傳遞、軌跡和保存的個資風險類別,去找出現有的控制措施,以及不足之處的因應對策。 

發現個資控管的缺口後,就要進行修補。范肇鈞指出,目前鼎新電腦補強的方式是從系統強化、個資系統權限管理,以及個資對應補強管理和強化IT基礎建設著手,針對企業內可能的個資缺口,依照耗費資源多寡、個資控管缺口修復難易程度,以及個資風險危害程度高低等,從作業程序、資訊系統和IT環境三個面向來評估企業優先順序。

「沒有百分之百、滴水不漏的個資防護方式,」范肇鈞說,鼎新電腦的個資因應作法,從第一次的失敗到第二次的成功,都不是一蹴可及的經驗,反而是透過一次又一次P、D、C、A的循環過程,逐步降低企業內的個資風險。

轉載自《iThome》



弱點通告:WordPress 存在上傳任意檔案的弱點,請使用者儘速更新!


弱點通告:WordPress 存在上傳任意檔案的弱點,請使用者儘速更新!


風險等級
高度威脅
摘  要
WordPress 存在上傳任意檔案的弱點,惡意人士可透過利用WordPress 漏洞等讓使用者系統受駭之安全性弱點進行攻擊,成功後便可執行任意程式碼、及規避部份安全限制。
目前已知會受到影響的版本為WordPress Nmedia Users File Uploader Plugin 1.X 之前的版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。
影響系統
WordPress Nmedia Users File Uploader Plugin 1.X()之前的版本
解決辦法
細節描述
WordPress 近日針對 Nmedia Users File Uploader Plugin 發佈弱點通告,該弱點起因於當資料夾被設定為有效的使用者的名稱,wp-content/plugins/nmedia-user-file-uploader/doupload-Nmedia-user-file-uploader/doupload.php 允許上傳任意文件到Web 的根目錄內。可能被利用來上傳惡意的PHP 腳本,進而執行任意PHP程式碼。 惡意人士可透過利用WordPress漏洞等讓使用者系統受駭之安全性弱點進行攻擊,成功後便可執行任意程式碼、及規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,以降低受駭風險。
參考資訊

2012年7月30日 星期一

微軟雲端服務Office 365在臺上市


微軟雲端服務Office 365在臺上市

Office 365正式在臺推出,除提供中文技術支援外,同時針對企業規模及需求提供多種租用方案 

已在42個國家提供服務的Microsoft Office 365,微軟於日前在臺推出,整合辦公室軟體Office Professional Plus版本與線上服務Exchange Online、SharePoint Online、Lync Online,推出多種服務模式和計價方式,最低費用為每人每月130元,最高至720元的使用者授權計價方式,為本地企業的辦公室應用,提供彈性的解決方案。

Office 365的計費方式依企業使用規模區分。若是50人以下的小型企業,可選擇費用為每人每月190元的P1小型企業專用方案,可使用的功能包含電子郵件、共用行事曆、即時訊息、視訊通話會議,以及可同步網頁檢視與編輯Word、Excel、PowerPoint及OneNote檔案等功能。其中,電子郵件提供25GB的儲存容量,以及25MB的可上傳附件,但客服支援服務只提供Microsoft社群支援,且僅保證在24小時內獲得技術解答。

中大型企業可選擇每人每月130至720元的E系列方案,如只需使用Exchange Online,可選擇每人每月130元的方案,針對在外辦公的工作者,Office 365提供Kiosk工作者方案(K系列),有兩種方案,皆可使用Exchange Online及SharePoint Online,但若要線上編輯及檢視Word、Excel、PowerPoint、OneNote,則需選擇每人每月255元的K2方案。

如要使用較為進階的功能,如中文電話技術支援、無上限的電子郵件儲存容量及封存、進階的IT管控、Active Directory 整合同步處理及反垃圾郵件篩選,則有255元到720元的E系列方案可供選擇,其中要特別注意的是,其中E1方案僅支援線上檢視Word、Excel、PowerPoint、OneNote等文件,如要線上編輯文件,就需要採用每人每月450元的E2方案,才可使用線上編輯文件的服務。

而購買Office 365服務後,微軟也已經可以在臺灣開立統一發票,省卻繁複銷帳流程,用戶只需提供公司資訊、公司名稱、地址及統一編號即可。

線上支援提供在地化服務 
針對Office 365的線上服務,微軟提供Microsoft社群支援外,可提供即時技術解答的客服全球電話支援,可用正體中文及閩南語溝通,但目前還未納入客語支援。

整體而言,目前Office 365提供以使用者計價的多元月租服務模式,企業可根據本身的需求自由部署適合方案。

而原本已透過企業授權(EA及單機授權版)購買Office軟體的企業,也可將原有的授權方式直接移轉到這套雲端服務上。文⊙陳峪賢


Office 365各方案價格與可使用的雲端服務

雲端版電子郵件、Microsoft社群支援、連絡人與行事曆共用、團隊的內部網路網站、語音通話和視訊會議、進階版防毒和反垃圾郵件篩選,皆屬Office 365的通用功能。


企業規模
小型企業
大型企業
方案
P1
E1  
E2
E3
E4
每人每月
租貸費用
190
255
450
655
720
使用者
最大值
50
50000+
50000+
50000+
50000+
在線上檢視及編輯Office文件
1*
僅檢視
24 小時全年無休的電話支援
AD 整合
進階語音
2*
進階郵件
3*
企業語音
4*

註1:可編輯Word、Excel、PowerPoint、Outlook檔案。
註2:為代管的語音信箱支援,包含自動語音應答功能。
註3:電子郵件封存功能、「合法持有」及無限制的電子郵件儲存容量。
註4:使用 Lync Server 內部部署取代或增強 PBX。


轉載自《iThome》

Windows Server 2012價格出爐,9月上市


Windows Server 2012價格出爐,9月上市

微軟Windows Server 2012即將在9月上市,並公布了4種版本的美國售價,臺灣售價則將於9月1日公布

微軟在7月9日宣布全新作業系統Windows Server 2012確定將在9月上市,並已預先公布了美國官方售價。Windows Server 2012共分成4個版本:分別是Datacenter、Standard、Essentials,以及Foundation。而其中Foundation版本僅提供OEM廠商使用。

Windows Server 2012有4種授權版本選擇
首先,Datacenter版本為完整旗艦版,主要針對執行高度虛擬化以及混合雲的企業用戶,可以用來建置大量虛擬化服務,可安裝的虛擬機器授權數量沒有限制,售價為4,809美元,計價方式為依照使用者處理器數量及用戶端存取授權數計價。

其次,Standard版本則針對服務密度較低,或是不建置虛擬化的商業用戶,提供完整功能,但虛擬機器安裝授權數有限制,僅提供2臺虛擬機器的授權,售價為882美元,計價方式亦為依照處理器數量及用戶端存取授權數計價。

最後一個企業可以選擇的版本是Essentials版本,鎖定小型企業用戶,具有基本介面以及基礎雲端服務,不提供虛擬化平臺的使用授權。售價425美元,使用者帳戶數量限制為25個。最後,Foundation版本僅提供OEM廠商安裝使用,支援一般功能,限制15個使用者帳戶,售價未公開。

Datacenter版本與Standard版本在所提供的服務功能上是相同的,兩者唯一的差別在於虛擬機器的使用數量限制,使用者可根據VM需求選擇所要購買的版本。

Windows Server 2012版本價格

版本
適用對象
方案內容
計價方式
價格
Datacenter
高度虛擬化與混合雲企業
可建置大量虛擬化,可用VM授權數沒有限制 
處理器+用戶端存取授權(最低兩個處理器起跳)
4,809美元
Standard
服務密度較低且無虛擬化需求企業
完整功能,可使用2VM授權
處理器+用戶端存取授權
882美元
Essentials
中小型企業 
基本介面,不提供VM授權
25個使用者帳戶
425美元
Foundation  
OEM廠商
一般功能,不提供VM授權
15個使用者帳戶
 未公開



Windows Server 2012價格提高

雖然Windows Server 2012 Datacenter版本價格4,809美元,比Windows Server 2008 R2 Datacenter版的2,999美元增加許多,但微軟產品公關經理張瑋真表示,2012 Datacenter版為因應現在大型企業多為使用2個以上處理器,因此將此版本的計價方式稍作更改,改由2個處理器為最低單位起跳計算,故基礎售價才會較2008 R2版來得高。如果只使用1個處理器,則建議企業公司購買Standard版本即可。

而Windows Server 2012 Standard版本不含用戶端存取授權的價格為882美金,比起2008 R2 Standard版本的726美金貴了將近一成。

先前Windows Server 2008 R2 Standard版本有推出預含5個或10個用戶端存取授權的優惠價格,但目前2012 Standard版本尚未有推出此種優惠套裝方案的消息。

微軟表示,臺灣也將會提供這4種授權版本,作業系統功能在使用上都與國外相同,並沒有其他相關的限制,而臺幣售價將會於9月1日公布。文⊙柯琇瑜

轉載自《iThome》

HTML 5的安全與威脅

HTML 5的安全與威脅

隨著 HTML5 受到開發者的重視,以及各大瀏覽器的相互支援,今年 BlackHat 2012 提出了 "HTML5 Top 10 Threats – Stealth Attacks and Silent Exploits"。

透過此議程來說明,當新一代的Web開發技術遇到網路攻擊時所產生的威脅與安全風險!

A1 - CORS Attacks & CSRF
A2 - ClickJacking, CORJacking and UI exploits
A3 - XSS with HTML5 tags, attributes and events
A4 - Web Storage and DOM information extraction
A5 - SQLi & Blind Enumeration
A6 - Web Messaging and Web Workers injections
A7 - DOM based XSS with HTML5 & Messaging
A8 - Third party/Offline HTML Widgets and Gadgets
A9 - Web Sockets and Attacks
A10 - Protocol/Schema/APIs attacks with HTML5

議程所提供之白皮書議程所提供之簡報檔
轉載自《網路攻防戰》

小心,夾帶惡意連結的臉書通知信在第二季暴增


小心,夾帶惡意連結的臉書通知信在第二季暴增

小心,根據臺灣電子郵件威脅樣本調查報告,在今年第二季時,近1成的垃圾社郵件是利用如臉書、Google+等社交網站的通知信來夾帶惡意連結,利用社交網站的信任關係,引誘臺灣民眾點選 

網擎資訊發布臺灣今年第二季電子郵件威脅樣本報告,用短網址隱藏惡意連結的手法,成為第二季最常出現的威脅手法,超越了上一季排名第一的假冒知名網站的手法。除此之外,透過臉書等社交網站通知郵件夾帶惡意連結的威脅手法也大量增加,從原本只占垃圾郵件的2%,在這一季增加到了9.2%。

網擎資訊表產品經理林家正示,從第二季的調查結果中發現,排名第一名的郵件威脅來自於各種轉址服務,包括了以短網址的方式偽裝惡意連結,或者是自行申請郵件主機寄送信件後,再利用轉址服務轉到其他的惡意網站。林家正說,因為駭客都以偽裝手法吸引收件者點選惡意連結,也增加惡意連結的點擊機率。使用這種手法的惡意程式,占了所有垃圾郵件的32.2%,比今年第一季的28.9%略高。

值得注意的是這一季利用社交網站夾帶惡意連結的攻擊成為排名第二的威脅手法,因為像臉書和Google+等社交網站,會透過電子郵件發送通知給使用者的提醒機制,林家正表示,因為這些訊息通知也會包含了來自其他人張貼或分享的連結網址,若寄件人的帳號被盜或是沒有限制張貼權限,而讓有心人士在訊息中夾帶了惡意連結時,收到電子郵件的人往往會基於社交網路的信任感,不疑有他而誤連了惡意網址。他表示,這種威脅手法在第一季時只占整體垃圾郵件數量的2%,但是到了第二季,占比增加到了9.2%,僅次於透過短網址夾帶的攻擊手法。

來自中國地區偽造的eDM則是嚴重性排名第三高的郵件威脅。林家正指出,有越來越多偽冒知名中國公司的簡體中文eDM,因為相似度很高,許多臺灣企業的收件者信以為真,紛紛點擊了信件中的惡意連結,甚至會到惡意網站中提供了真實的帳號密碼。這樣的垃圾郵件手法第一季只占整體垃圾郵件的3.5%,但到了第二季使用這類手法的垃圾郵件比例大增,占整體垃圾郵件的7.5%。

為了降低惡意郵件的威脅,林家正建議,企業採購的垃圾郵件防堵機制設備,應該要能還原短網址背後的真實網址,也要能檢查和過濾信件中的網址,這樣都可以降低收件者點擊惡意連結的比例。文⊙黃彥棻

臺灣2012年第二季郵件威脅以轉址服務為最高


2012Q1
2012Q2
第一名
假冒知名網站確認信或通知信的惡意郵件
郵件內含轉址或偽裝短網址的惡意連結
第二名
郵件內含轉址或偽裝短網址的惡意連結
社交網站的通知信
第三名
直接使用知名郵件(GmailYahooHotmail)服務發送
偽造中國知名企業eDM

資料來源:網擎資訊,iThome整理,2012年7月

轉載自《iThome》

2012年7月29日 星期日

與病毒專家對話 : 初探 Flame 運作原理


與病毒專家對話 : 初探 Flame 運作原理


上文提到一些有關 Flame 背後的秘密,今次我們將會聯同 Kaspersky 專家一同探討 Flame 背後的原理。不過由於 Flame 實在太過複雜了,所以只節錄了部份重點作報導,千萬別錯過啦!

網絡戰爭愈來愈頻密

有收看我們上一篇文章的話,相信都應該知道 Flame 可能是某個國家的網絡武器,雖然到現時為止仍未知道 Flame 背後的始作俑者,但專家們都相信網絡戰爭會愈來愈頻密,而且類似 Flame、Duqu 等等的病毒將會愈來愈多,這表示了我們已經進入網絡戰爭的時代。專家們認為針對各家企業、個人電腦系統的網絡威脅將愈來愈強勁及頻密,而類似 Duqu、Stuxnet 及 Flame 等等的病毒亦會更有目標地針對某些基建或國家而製造,藉以增加破壞的威力;同時專家亦指犯罪份子將採用更為簡單的工具進行不同的攻擊,例如是 Kill Switches 或 Logic Bombs 等,透過利用最簡單的工具以達致於指定時間內成功發動攻擊及入侵行為,我們預計有關的攻擊亦將會愈來愈頻密。

Flame 屬於彊屍網絡一類?

既然 Flame 的主要目的是用於偷取資料,那它是否屬於彊屍網絡一類呢?Kaspersky 專家認為 Flame 似乎是一款後門程式、木馬或類似蠕蟲的病毒,不法份子可利用有關病毒在本地網絡又或者存儲裝置例如是 USB 手指之內進行自我複製,利用這些方法傳播開去,令更多系統「中招」。

那一種方案較有效預防 Flame?軟件方案還是實體防火牆/UTM?

其實現時無論使用那一種方案都不能夠保證 100% 預防到所有攻擊,不過一些防毒軟件又或者傳統的實體防火牆等都能夠有效地降低/預防病毒所帶來的影響。而企業亦應該制定一套有效的政策,這樣反而更有效保障企業網絡的安全性。舉個最簡單例子,企業可透過一些方案或設定去限制用戶於公司的電腦之中使用 USB 手指又或者針對不同部門分配網絡存取的權限等,這些都是非常有效的措施;同時作為網絡管理員亦應時刻留意 Windows 及防毒軟件是否有更新檔可以使用,一旦發現官方已釋出相關更新檔便應立即完成更新工作,這樣才可保障企業網絡減少受到病毒的威脅。

至於要有效預防 Flame,企業應了解 Flame 與早前針對基建設施的 Stuxnet 及 Duqu 有著明顯的不同之處,前者主要以偷取資料為主,而後者則會破壞及癱瘓整個系統,所以針對 Flame 的預防措施,Kaspersky 專家作出以下五項建議供大家參考。

1. 使用最新的系統,例如是 Windows 7 以及是 Mac OS X。
2. 如情況許可,請使用 64-bit 的系統,事關 64 bit 的系統較能預防惡意軟件的攻擊。
3. 時刻對所有軟件/方案進行更新工作。
4. 安裝及運行防毒軟件。
5. 加強對員工的培訓,讓員工漸漸養成良好的使用習慣,例如不要開啟不明來歷的郵件附件檔案、不要將私人資料/公司內部資料於社交網絡之中分享/公開、使用更強的密碼組合等都是員工必須要知道的。

Flame 有幾勁?其操使用過程如何?

早前我們都有提過 Flame 並不簡單,它簡直是一隻非常強而複雜的病毒,其檔案體積亦比起以往針對基建設施的 Stuxnet 等大至少 20 倍。這令 Flame 擁有更多不同的功能,例如可以攔截網絡流量、Cap Screen、偷錄語音對話等,而這一系列的功能只是預設功能而已,不法份子還可透過模組形式額外加入多個功能,令病毒更具靈活性的針對不同目標發動不同的入侵行為或攻擊活動。而病毒所收集的資料亦將會自動經互聯網傳送到始作俑者,因此稱 Flame 為未來網絡戰爭的武器亦並非無道理。

根據 Kaspersky 專家的研究發現,Flame 現已能夠收集到以下資料。

1. 收集系統及本地網絡的基本資訊。
2. 紀錄網絡連接資訊。
3. 支援檔案搜尋功能,讓不法份子可在遠端搜尋目標系統中指定的檔案,同時亦可於搜尋到指定檔案後直接偷取。
4. 錄取語音對話內容。
5. 取得 textual windows 的內容。
6. 掃描目標電腦附近的藍牙設備,以便日後逐一入侵。

當 Flame 啟動後,Flame 會嘗試連接預設好的 Command-and-Control Servers,當成功連接時便會將目標電腦內的系統基本資訊上傳到 C&C Servers 之上,而此時 Flame 便會進入備用狀態,並等待不法份子下達新指令。

不過 Flame 亦非完全隱藏的,這是因為 Flame 啟動後會自動在系統內的 %windir%\temp 資料夾製造大量暫存檔案,因此作為 IT 管理員可透過查看 %windir%\temp 位置是否擁有下列檔案便大約得知系統有否「中招」了。(如果大家發現了這些檔案的話,你的系統很大機會已經中了 Flame。)

~DEB93D.tmp
~8C5FF6C.tmp
~DF05AC8.tmp
~DFD85D3.tmp
~DFL*.tmp
~dra*.tmp
~fghz.tmp
~HLV*.tmp
~KWI988.tmp
~KWI989.tmp
~rei524.tmp
~rei525.tmp
~rf288.tmp
~rft374.tmp
~TFL848.tmp
~TFL849.tmp
~mso2a0.tmp
~mso2a1.tmp
~mso2a2.tmp
sstab*.dat

好了,用了兩大篇幅初步講述了 Flame 的背後原理及運作方式後,相信大家都應該會較為清楚知道 Flame 的主要作用。往後有機會的話,我們將會聯同病毒專家再次與大家探討一下其他病毒的運作原理及背後的秘密,請大家密切留意啦!

想更深入了解 Flame?立即按此進入 [與病毒專家對話 : 揭火焰「Flame」病毒始作俑者]

轉載自《HKITBlog》

與病毒專家對話 : 揭火焰「Flame」病毒始作俑者


與病毒專家對話 : 揭火焰「Flame」病毒始作俑者


講起戰爭,大家都會想起第一次和第二次世界大戰,這些大類型戰爭已經很多年沒有發生過,主要是世界各國都明白戰爭只有害處,並沒好處。不過隨著人類的思想和通訊技術不斷進步,現時國與國之間的戰爭又何需使用真實的武器呢?只要你對網絡原理、編程及系統流程有非常充分的理解,當然亦需了解用戶心態的話,也能對國家社會造成威脅,那究竟是什麼厲害的東西呢?它就是近期在報紙雜誌都有報導的火焰「Flame」電腦病毒,只要將這病毒植入電腦內就可以偷取機密資料或者偷錄用戶的聲音,所做成的損失可想而知。

提到 Flame 病毒,最近筆者忽發奇想,希望與發現這種病毒的專家對話,從而希望能夠更詳細了解 Flame 病毒當中的秘密及厲害之處。經代理 Lapcom 及與 Kaspersky 多次聯絡後,終於如願了,感激。Kaspersky 是首間防毒軟件公司發現這個病毒,所以筆者第一時間找他們了解 Flame 病毒絕對是明智之舉;除非你是始作俑者,否則應該沒有人比病毒發現者更了解 Flame 了。

如何發現這種病毒?

發現這種病毒的過程,相信要從聯合國國際電信聯盟開始講起。聯合國國際電信聯盟(ITU, International Telecommunications Union)最初委託了 Kaspersky 調查一種名為「Wiper」的病毒,當時在調查 Wiper 病毒的過程中,卻無意發現了一種容量有 20MB 大的病毒,細看之下發現此病毒非比尋常,而且其潛伏期已達兩年多。專家當時發現了 Flame 最主要負責攻擊和感染其他電腦的模塊名為 Flame。因此很自然的 Kaspersky 便將之命名為 Flame,中文翻譯為「火焰病毒」。直到截稿前仍未確實病毒源自那裡,但觀乎其結構,似乎始作俑者有心針對中東國家製造此病毒。




究竟 Flame 的目的是……?

簡單來說 Flame 是用來收集資料的間諜病毒,反而主動針對系統進行破壞是其次。駭客首先會利用多種途徑散播 Flame 病毒,例如經由電子郵件、即時通訊軟件、USB 和 CD / DVD 等,當其中一部電腦不小心被植入 Flame 病毒後,駭客便可在該電腦之中盜取資料;同時專家更發現病毒可偷錄用戶的對話聲音,甚至可靠網絡散播,因為 Flame 可以被界定為木馬病毒,但如果說是蠕蟲病毒亦不為過,簡單來說 Flame 可以在無聲無影下偷取機密資料,非常恐怖。

更深入的解釋是 Flame 病毒與 UTM 多模塊的情況相似。舉個例子,現時在一台 UTM 之中,不同的模塊各有不同功能,例如殺死電腦病毒模組、阻隔垃圾電郵及防止駭客入侵模組等等,利用模組的好處相信各位 IT 人都知道,那就是靈活性高、更新容易以及更切合不同的網絡環境需要。將此種方式應用到病毒之內,可想而知這種病毒的適應力是多強大。通常現時發現的病毒只有幾百 KB 的容量,但 Flame 病毒卻達到 20MB 容量,這便是因為病毒以多模塊組成所致。

背後的始作俑者是……?

以往小型木馬病毒最多都是盜取銀行戶口的密碼來偷取金錢,Flame 病毒以模組型式運作,加上這麼大的體積及懂得以 Wiper 為其進行隱藏,專家均認定 Flame 並非一人所為,其背後有可以是一個大型的犯罪集團,更甚者可能是某些國家的政府製造出來,不過到現時為止仍未發現誰是始作俑者。

的確,近期針對基建設施的病毒愈來愈多,在 Flame 病毒之前其實還有兩種較大的病毒,它們分別是 Duqu 及 Stuxnet,而 Stuxnet 已經存在了五年之久,它是用來關閉和騷擾大型工廠機器,所以有人稱它為工廠病毒。現時病毒製造者主要分為三種,第一種是「個人」,他們想成功入侵電腦或者網絡後而「出名」,等待大型機構招聘;第二種是「集團性質」,這些集團主要會偷取密碼,然後在網上銀行轉帳金錢;最後一種是背後有「國家贊助」(nation-state sponsored) 的,就好像 Stuxnet 便是其中一個例子。因為 Stuxnet 並不是一個簡單的病毒,他們亦都不是為了金錢,其目的竟只是想關閉主要基建設施以圖影響社會運作,這非常明顯的是國與國之間的網絡戰爭。

「數碼戰爭」味愈來愈濃烈,因為各國政府都知道「數碼戰爭」更具摧毀性,透過入侵敵方系統除可以偷取軍事機密外,更嚴重的便是直接控制已發射的軍方飛彈「逆轉」,所以「數碼戰爭」已不是單單偷取你金錢般簡單,已經去到「nation-state sponsored」的層面。

為什麼覺得 Stuxnet 和 Flame 有關連的呢?

專家認為 StuxnetFlame 並不是同一隊伍製造的,因為 Stuxnet 和 Flame 的操作明顯不一樣,Stuxnet 主要是關閉和騷擾機器,而 Flame 是一個間諜病毒,喜歡時才於網絡上偷取資料。然而專家指曾發現 Flame 存取過 Stuxnet,因而推測出 Stuxnet 與 Flame 有互相交換資訊作參考,所以認為背後有同一國家贊助。

專家建議安全措施

Gartner 最資深的安全分析師 John Pescatore 稱 Kaspersky 所發現的火焰病毒為「超級複雜的針對性攻擊形病毒」,這表示沒有那一個網絡它不能夠進入,建議不要去關注誰人發起的攻擊,反而應該要注意正在使用的程式有沒有漏洞讓火焰病毒有機可乘。Kaspersky 建議大家要提高電腦的安全性,並且不要開啟有可疑的電郵或者網站;不要隨意接收從 IM 軟件寄過來的文件;使用 USB 或者 CD/DVD 之前,最好使用 Kaspersky 防毒軟件掃描一次才開啟;定期為系統補丁來防治漏洞;為 Kaspersky 防毒軟件升級到最新版本;將本機管理員的密碼設定得較為複雜,建議密碼要同時包含數字和英文組合;不要在一些不可靠的網站下載軟件,因為這些軟件有可能帶有病毒。

想更深入了解 Flame?立即按此進入 [與病毒專家對話 : 初探 Flame 運作原理]

轉載自《HKITBlog》

IPv4 過渡 IPv6 的迷思


IPv4 過渡 IPv6 的迷思


相信大家都聽過 IPv6 了,然而企業要從 IPv4 轉換到 IPv6 的時候,往往都會出現很多問題,例如是現有設備未能支援、技術人員欠缺 IPv6 的知識等等,究竟 IPv6 是甚麼呢?在轉移之間又有甚麼問題需要注意?以下將會為大家簡單解答一下。

甚麼是 IPv6?

互聯網協議 (IP)  地址是一組獨特的號碼,用於分配給上網裝置,例如電腦和智能手機,使每一件裝置都能連接互聯網。換言之,IP 地址是每部上網裝置在互聯網上的識別號碼,就像道路上每輛汽車以登記的車牌號碼作識別一樣。現行的 IP 地址系統是版本 4 (IPv4),可供分配的 IP 地址共 4,294,967,296 個。在電腦和通訊科技日益普及下,互聯網流量激增,預期 IPv4 地址將於短期內用罄。而新一代的 IP 地址系統 IPv6 已應運而生。IPv6 可提供340,282,366,920,938,463,463,374,607,431,768,211,456 個地址,比 IPv4 多 1,600 億倍,將可滿足遙遠將來對新 IP 地址的需求,以及鞏固互聯網作為創新和經濟發展的平台。

從 IPv4 過渡至 IPv6 引起的問題

就像所有其他 IT 技術升級一樣,從 IPv4 過渡至 IPv6 制式需要時間。隨著 IPv4 地址耗盡,以及 IPv6 地址的使用量增加,互聯網社群如不作好準備應用 IPv6,日後上網時恐怕會遇上通訊困難的麻煩。而對於企業來說,IPv4 不能與 IPv6 互通,很可能會引起下列問題:

1. 妨礙通訊:企業的網絡及相關的程式或設備若不能支援 IPv6,通訊能力將受影響,或會無法與已採用 IPv6 地址的新興市場客戶溝通。
2. 錯失商機:當各地尤其是亞太區其他發展中國家相繼部署 IPv6,企業如只採用 IPv4,等於放棄爭取更多商機,自我降低競爭力。
3. 窒礙發展:企業(特別是互聯網業務佔大比重的公司)如缺乏 IPv6 支援能力,在擴充業務時會面對障礙重重。
4. 對終端用戶來說,若 IPv6 未準備就緒,將窒礙上網或面對網絡連接的質素下降。
5. 速度下降:使用最喜愛的網上程式和社交應用程式時,會發覺連線緩慢。
6. 窒礙通訊:電腦和裝置間的通訊或會連線困難,影響 VoIP 網絡電話、網上會議等服務的質素。



盡快部署 IPv6 的益處

因此大家應盡快為 IPv6 作好準備,同時亦應該針對 IPv6 為技術人員提供相應的培訓,以免因欠缺有關技術知識而阻礙業務發展,而以下便列出其中一些 IPv6 的優勢,希望讓大家稍作參考。

1. 提升裝置間的通訊能力:IPv6 具備自動偵測功能,為裝置與裝置間提供大量通訊機會。
2. 加強流動支援:增強對流動通訊的支援、可對 IPv6 裝置進行自動配置及提供更佳的網絡體驗。
3. 推動創新網上方案:IPv6 支援更多新興的商用設施,例如視像會議、VoIP 網絡電話及統一通訊等,有助刺激企業創新。
4. 預作增長準備:配合業務擴展及支援新的網上業務。



IPv6 在亞太區的使用情況

由於 IPv4 的短缺,很多企業都已經在 2011 年初開始著手計劃 IPv6 轉移。但對於大企業來說,要從 IPv4 轉移至 IPv6 並非一時三刻的事,事關每每移動這些基建設施,所考慮的除了是服務的持續性之外,亦需要考慮到最好的時機才可,否則所換來的只有客戶的投訴,當然還有停濟不前的業務。而根據最近的統計顯示,亞太區對 IP 地址的需求比世界其他地方殷切。最大的需求來自區內正發展尖端科技兼日趨成熟的市場,亦即全球人口最多和增長最迅速的經濟體系。而翻查資料,我們可以輕易發現歷來 IPv4 地址供應不平均導致局部短缺、政府措施和業界的努力支持,都是影響 IPv6 普及的關鍵因素。





各國對 IPv6 的準備

1. 台灣對 IPv6 的準備領先東亞各地區。政府推行積極進取的升級和部署策略,早於 2002 年已把 IPv6 制式引入寬頻基建內。時至今日,IPv6 地址在台灣擁有高使用率,乃得力於政府的全方位統籌和業界鼎力協作的成果。
2. 日本是全球最先推行覆蓋全國 IPv6 升級計劃,由政府牽頭於 2001 年就 IPv6 的應用提供贊助及協助,成績驕人。
3. 中國亦意識到在人口不斷增長下,現有的 IPv4 地址將不足夠分配,因此政府於 2002 年帶領和斥資推行「中國下一代互聯網示範工程」,落實部署 IPv6 升級。根據中國工業和信息化部的統計數字,全國的 IPv6 地址數量近期已躍居全球第四位。
4. 南韓早於 2001 年已採取措施,將 IPv6 制式融入基建、服務及應用之中,以解決電子消費品巨企不斷推出新產品引致 IPv4 地址供不應求的問題。政府以 IPv6 推廣政策和財政獎勵措施雙管齊下,大力推動 IPv6 的部署,成效顯著。
5. 香港政府於 2008 年將 IPv6 納入「數碼21」資訊科技策略內,並帶頭推動轉用 IPv6;此後,政府與業界協會攜手推廣這技術。今年,政府撥款推行「啟動 IPv6 計劃」並與 NTT Communications 合作協力推動這計劃,以提升公眾對 IPv6 的認識。目前,香港的 IPv4 網絡已臨近飽和。現時獲分配的 IPv4 地址約有近 1,170 萬個,以港人口計算,即每人可以擁有的 IPv4 地址不足兩個,而且對 IP 地址的需求甚殷,使過渡至 IPv6 有逼切的需要。

2012 年 6 月 6 日「全球啟用 IPv6 計劃」

「全球啟用 IPv6 計劃」是互聯網有史以來,業界最大規模投入和部署 IPv6  的活動,參與者協定於 2012 年 6 月 6 日恆久地啟用和支援 IPv6。這計劃延續 2011 年 6 月舉行的「世界 IPv6 日」的成功經驗。在「世界 IPv6 日」,全球數以百計網站於 IPv6 進行 24 小時測試,開放給網民體驗。「世界 IPv6 日」是一個試驗性項目,但「全球啟用 IPv6 計劃」則召集所有相關同業,包括互聯網服務供應商、網絡公司及設備供應商參與,同心協力貫徹全球互聯網永久轉用 IPv6  的目標。

來自 NTT Communications 專家認為企業過渡 IPv6 的規劃程序應如下。

1. 從財政和人手兩方面規劃資源的分配。
2. 確保網絡服務能支援 IPv6。
3. 檢查內部的 IT 基建(包括防火牆和交換器)是否能兼容 IPv6。
4. 確保其他組件(包括應用程式和軟件)亦能支援 IPv6。
5. 分析內部的 IT 保安政策,確保同時適用於 IPv4 和 IPv6。
6. 制定詳細的過渡計劃,包括編製檢查清單和排定升級的優先順序。
7. 評估所用的測試平台能否檢測連線、互連和保安等狀況。
8. 按部就班實施或過渡。

打破企業對 IPv6 的五大錯誤觀念

1. 「全世界都未準備好支援 IPv6」— IPv6 這個新標準的發展始於 1990 年代初,至 1998 年該標準規範正式訂立。IPv6 自此在互聯網上逐漸通行並經過時間考驗,至今已屆全面啟動的時機。2008 年奧運會網站的全面「全球啟用 IPv6 計劃」- 支援 IPv6,是一個重要里程碑。其後在 2011 年 6 月 8 日「世界 IPv6 日」,互聯網服務供應商及多個主要網站進行為期 24 小時的 IPv6 測試。

2. 「沒有人採用 IPv6」— 過去的「世界 IPv6 日」及即將舉行的「全球啟用 IPv6 計劃」匯集眾多網站承諾正式啟動及長期使用 IPv6。今年將有更多的同業加入支持行列,預期「全球啟用 IPv6 計劃」將成為 IPv6 的普及使用的重要元素。

3. 「沒有迫切需要使用 IPv6」— 業界早已預警已無 IPv4 地址可供分配。雖然利用網絡地址轉換 (Network Address Translation) 技術仍可連接上網,但引致的問題遠多於過渡至 IPv6。現時,部分 IPv4 地址瀕臨用罄的地區,正是經濟增長最迅速的地區。而這些地區將有大量電腦設備需要使用 IPv6 地址,要連繫這些市場便須使用 IPv6,令部署過渡更為迫切。

4. 「IPv6 會令公司現行的 IPv4 網絡崩潰」— IPv6 是新的網絡層協議。IPv6 制式可在企業現有的網絡線路上運作,因此企業不必停用 IPv4,亦毋須更改現有的 IP 地址機制。換言之,企業在部署 IPv6 的同時,亦可繼續使用 IPv4 地址。

5. 「太麻煩了,員工會埋怨多一事不如少一事」— 正如千年蟲事件一樣,大部分用戶都不會察覺到過渡至 IPv6 的變化。所有主要的操作系統及軟件如瀏覽器及即時通訊應用程式均支援 IPv6,IPv6 所用的通訊協議亦與 IPv4 相同,並以相同方式(使用 DNS)分辨地址。用戶只要不是使用「原始」的 IP 數字地址,根本不會察覺有何變化。

講了這麼多,未知身為企業 IT 管理員的你又準備好過渡至 IPv6 未?如果還未有這個打算的話,便要趕快說服你們的老闆了,事關愈早轉換 IPv6 便愈能佔整先機,切記!

轉載自《HKITBlog》

奧運成駭客垃圾郵件攻擊新寵


奧運成駭客垃圾郵件攻擊新寵


黑客一直以來都喜歡利用熱門話題發動各式各樣的攻擊,而隨著 2012 倫敦奧運會開幕日子的接近,駭客已開始大量發送以倫敦奧運為主址的垃圾郵件。郵件內容誘騙使用者填寫個人資料以換取抽獎或是倫敦免費入場券等機會,使用者一旦填寫後將造成個人資料外洩。請各位使用者應審慎注意這輪利用倫敦奧運熱門話題為誘餌的垃圾郵件攻擊。

四年一度奧運盛會 駭客垃圾郵件攻擊騙取個人資料

熱門時令節慶議題總成為駭客發動攻擊的誘餌首選,四年一度的奧運盛會自然成為駭客加以利用的攻擊素材!繼 2008 年北京奧運後,即將開幕的倫敦奧運再度成為駭客垃圾郵件竊取個人資料的誘餌。有安全機構「趨勢科技」亦於近日發現了三種以倫敦奧運為主題的垃圾郵件攻擊手法。

利用獎品或免費入場券交換使用者個人資料

這輪垃圾郵件攻擊的手法,是通知收件者已經贏得了倫敦奧運免費入場門票,需要得獎者的個人資料,方能完成領獎手續。專家推測其為藉此騙取使用者個人資料,以轉手賣出牟利。

郵件夾帶惡意軟體,偽裝成得獎通知信件

駭客透過大量發出附上名為「中獎通知」附件檔的郵件,收件者一旦好奇下載並開啓該附件檔,電腦便會自動執行一個名為 TROJ_ARTIEF.ZIGS 的木馬程式,該木馬會攻擊 RTF 堆疊緩衝區的漏洞(CVE-2010-3333) 並植入後門程式,以取得受感染電腦的遠端控制權。一旦遭此後門程式感染,系統門戶大開,將陸續遭受其他攻擊,造成使用者網上銀行密碼等機密個人資料外洩。

郵件偽裝成知名單位發送, 要求收件者發信聯絡指定人士以獲取獎品

駭客將郵件內容與主旨竄改成由 Visa 發出的活動信件,要求收件者發信給指定聯絡人,以參與抽獎活動。收件者一旦寄出信件後,將收到駭客回信要求其提供個人資料、帳號資料等,甚至有使用者被要求到指定的銀行帳戶匯款,才能進行後續領取獎金的手續。

運用熱門話題作為垃圾郵件攻擊釣餌已經是相當常見的駭客手法。這樣的社交工程攻擊手法之所以一再被運用,主要是因為仍有網民不斷受騙上當,讓駭客可以從轉手販賣個人資料以得到利潤。

轉載自《HKITBlog》

2012年7月27日 星期五

行動智慧趨勢正夯 XRY手機鑑識為安全把關


行動智慧趨勢正夯 XRY手機鑑識為安全把關

本文將探討現今熱門的手機鑑識議題,透過實際操作的範例,說明現今手機鑑識軟體如何取得手機上的數位資料,並探討哪些資訊對於鑑識人員是可利用的數位證據,進而論證、釐清真相及犯罪事實。

由於資通訊科技的快速發展,手機在人類生活中扮演的角色產生重大的改變,從以往僅僅用來進行通訊溝通的工具轉變成用來獲取各種資訊的小型個人電腦,現今,手機已變成人們日常生活中的一環,其普遍性及重要性從表1即可得知。

表1 台灣手機普及率


表1係根據國家資訊通信發展推動小組於2011年7月公布的我國主要ICT(資通訊科技)相關統計資料製成,由表中可知,門號數量已經遠超出目前台灣所有人口數,平均每百人就有約一百二十個門號數,而其中有七成屬於可行動上網(WAP、GPRS、PHS、3G數據、WBA)的門號。

藉由網路與手機科技的緊密結合,現今的手機已不再只是用於通訊需求,許多行動服務不斷的推出,其方便且具高機動性的特質使得使用人數不斷增加,因而儲存於手機上的資料量亦隨之大幅增加。

以往,手機上的記憶空間大多只用於通話紀錄、簡訊(SMS)內容以及電話簿資料之儲存,而現今隨著手機智慧化的趨勢及行動服務的增加,手機裡的資料愈來愈五花八門,包含經緯度定位、電子郵件、應用程式、記事曆及多媒體資料等等,如上頁表2之比較。

表2 手機儲存資料比較


手機提供的便利性及高機動性,使其傳輸服務廣受歡迎且造成熱烈迴響,連帶有許多不懷好意的使用者也利用這些特性進行不當甚至於犯罪之行為。

而為了取得手機內含的證據,手機鑑識之需求即油然而生,用於取證手機資料的許多鑑識軟體也被發展出來,如Micro Systemation XRY、Compelson MOBILedit!等等,此類鑑識軟體的主要功能大多在於備份手機資訊,並且提供操作者觀看、查詢所備份資訊的介面。

本文主要內容即以XRY鑑識軟體為例,進行取證手機資料的實際操作解說,從中找尋有用的數位證據,並且比較其與MOBILedit!之差異。

數位證據與手機鑑識 

手機可以是一般犯罪時使用的通訊工具,或成為特定犯罪使用的工具(如駭客行徑),這些牽涉手機的案件近年來不斷增加。

對調查單位而言,如何取得並且找尋有用的數位證據無疑是一項重要的議題,此項過程即一般所稱的「手機鑑識」,以下對數位證據及手機鑑識做概略性的說明。

數位證據 

數位證據是物理證據的一種,與一般的彈痕、血跡等傳統證據不同,是以電磁紀錄的方式存在於電子或磁性設備中,其可佐證犯罪行為。

具有調查價值的數位資料即為數位證據,包括多媒體影像、數位文字、電子郵件、網路封包、對話紀錄、系統紀錄檔、手機簡訊等等,皆屬數位證據的範疇。

其具有如下的特性:易於複製及修改;不易個化,無DNA之類證據的唯一性特質;不易證實其來源及完整性;無法直接被人類所理解,需透過電腦或相關電子設備才可以呈現;不易蒐集取得,其蒐集或儲存需要具備專業技術及特定工具。

由此可知,數位證據的性質十分特殊,因此數位證據在採證的過程,必須符合正確的資料採證程序,到了法庭上才具足夠的證明力與證據能力提供審判的依據。

手機中儲存的資料,大多以電磁紀錄之方式存在,即這裡所稱的數位證據,其同樣具有上述數位證據的特性。

手機中的證據來源大略可分為SIM(Subscriber Identity Module)卡、手機本體及可卸除式裝置(Removable Devices)等三類,以下分別加以說明。

SIM卡 

SIM卡最主要功能在於其內含唯一的一組認證金鑰Ki,讓使用者能夠向電信業者證明其身分,並取得適當服務的認證功能,它同時也額外提供少量的個人訊息儲存空間,如國際移動用戶識別碼(International Mobile Subscriber Identity,IMSI)、個人識別碼(Personal Identification Number,PIN)、電話簿、SMS簡訊及Location Information(LOCI)。


其中,國際移動用戶識別碼包含移動國家碼(Mobile Country Code)、移動網路碼(Mobile Network Code)以及使用者識別碼(Mobile Subscriber Identification Number),可用於區分國際漫遊、電信業者以及使用者身分。

而個人識別碼是用來保護SIM卡裡儲存的相關資料,此碼可由使用者自行設定,若無法輸入正確PIN碼時,將會無法存取SIM卡內的所有資料。

一般而言,PIN碼的輸入可以有三次的嘗試,超過三次錯誤後就無法再輸入,在此情況下,必須輸入個人解鎖碼(PIN Unblocking Key,PUK)將PIN碼的鎖定狀態解除,但若PUK碼輸入亦超過次數限制(一般為十次),此張SIM卡將會被永久封鎖。

至於LOCI則提供所在地資訊,記錄手機上一次連線時,是哪個基地台提供服務。

手機本體

隨著技術發展,手機上搭載的儲存體容量愈來愈多,現今容量動輒GB以上的手機也不少見,其主要儲存的資訊大約有下列幾種:國際移動設備識別碼(International Mobile Equipment Identity,IMEI)、電話簿、SMS簡訊、多媒體資訊(含照片、影像及聲音)、網頁紀錄、行事曆、便條以及應用程式。

其中,所謂的國際移動設備識別碼(IMEI),在手機上輸入*#06#即可取得,共有15位數字,又被稱為手機的身分證號碼,其包含模組、原產地、製造商編碼及檢查碼,每支手機都具有獨一無二的IMEI碼。

電信業者提供服務的時候,除了根據SIM卡裡的識別碼驗證之外,也會將相對應的IMEI碼記錄以供後續稽核使用,而當使用者手機失竊時,就是利用此碼來找尋是否有人繼續利用此手機使用電信業者的服務。

可卸除式裝置

可卸除式裝置大多是指擴充手機儲存容量的記憶卡(Memory Card),各種手機的可卸除式裝置規格不一,主要由製造商決定其支援的種類,而其中儲存的資訊也會隨著手機類型而有不同的儲存規格與種類。

手機鑑識 

手機鑑識是數位鑑識中的其中一環,泛指所有對於手機上數位資料進行識別、蒐集取證、檢驗、分析的一系列行為。

根據美國國家標準技術局(National Institute of Standards and Technology,NIST)提出的作業程序,可分為圖1所示四個階段:


▲圖1 手機鑑識程序。資料來源:Guidelines on Cell Phone Forensics


1. 保存(Preservation)︰如何於蒐證現場辨識正確的數位設備,並且妥善保存,使其合乎證據保存之規範。
2. 蒐集(Acquisition)︰對手機進行證據的蒐集,在有限時間內找尋有關案情需要的證據。
3. 驗證與分析(Examination and Analysis)︰依據不同案例情境,對蒐集到的數位證據進行假設的驗證或分析。
4. 報告(Reporting)︰輸出蒐集及驗證分析的結果及其鑑識報告。

XRY鑑識軟體實例操作 

XRY鑑識軟體是由瑞典Micro Systemation公司所研發之手機鑑識產品,目前已可支援超過1,400種以上手機型號,而對各種不同型號手機支援程度也有所不同,如圖2所示。


▲圖2 XRY鑑識軟體支援許多手機款式。


XRY鑑識軟體可以利用傳輸線、藍牙或紅外線與手機連結,藉由其直觀、圖形化的介面,輕易地對手機製作備份映像檔,並利用它所提供的Reader介面讀取,找尋有用的資訊,包括通聯紀錄、簡訊、電話簿、電子郵件等。

接著以HTC Desire手機為例,示範XRY鑑識軟體如何針對手機製作備份的映像檔,並且從中尋找可供參考的數位證據。

第一步:蒐集 

在操作介面中點選萃取資料(Extract Data),藉由XRY Wizard的引導,一步步地選擇手機型號、連結方式及萃取方式等,並將備份的資料檔輸出,而後所有鑑識過程大多來自此備份檔,以免有任何更動手機原始資料檔的可能。

第二步:驗證與分析 

利用XRY備份出來的資料檔進行分析,依照選擇的萃取方式及種類不同,可分為下列三種資料:

SIM卡 

來自於SIM卡的資料萃取,包括其IMSI碼、電話簿、網路連接參數等資料。

除了SIM卡的身分證字號IMSI碼外,最常見的電話簿及簡訊內容也很容易取得,而藉由少數較不為人知的資訊如Last Network和Last Area Code(圖3),可以得知此SIM卡是向哪家電信業者要求服務,以及其最後一次連結基地台的編號,由此可以概括判斷出此手機曾經在該基地台的附近出現過。


▲圖3 SIM卡儲存資料。

邏輯萃取資料 

邏輯萃取(Logical Extract)方式是對檔案系統上的所有實體資料進行萃取,亦即將目前存放在手機上的全部檔案萃取出來。


對手機鑑識而言,以邏輯萃取方式而得到的資料,不論對犯罪偵察或是一般手機備份都相當重要,其中包括簡訊、瀏覽紀錄、圖片、電子郵件、電話簿、GPS定位資料等,而這種萃取方式僅是從檔案系統中單純取出資料,其支援手機的機型與程度也遠多於實體萃取方式(圖4∼8)。


▲圖4 各式手機型號支援邏輯萃取之程度不盡相同。


▲圖5 萃取通話紀錄資料。


▲圖6 萃取簡訊資料。


▲圖7 萃取電子郵件資料。


▲圖8 萃取GPS定位資料(視手機是否支援定位功能)。

實體萃取資料 

在一般情況下,將檔案刪除後,檔案實際資料並不會從磁區上消失,而是刪除其指向實際資料的位址索引,並且將該實際資料的空間重新劃分成可用空間。

實體萃取(Physical Extract)方式則是將手機或記憶卡等記憶儲存體上所有位置的資料全部取出。利用這種方式可以掃描到被刪掉的檔案內容,並將擷取到的記憶體內容解碼還原成原始檔案,讓鑑識者取得檔案系統上看不見的證據。

但由於每種手機型號的架構及檔案系統不盡相同,解碼的支援程度也有限,因此有時候也只能取得零碎的記憶體資料而無法還原成檔案,而其支援的機型與程度相較於邏輯萃取方式也少了許多(圖9)。


▲圖9 記憶卡實體萃取的支援程度。

以此次使用的HTC Desire手機為例,萃取後可以取得Block3、4、5的資料檔案(圖10∼12),其中包含系統檔案、快取資料、使用者資料,而Android作業系統的磁碟各區塊所含有的資料如表3所示。 

表3 Android手機不同區塊的資料類別



▲圖10 萃取資料—mtdblock3(系統檔案)。


▲圖11 萃取資料—mtdblock4(快取資料)。


▲圖12 萃取資料—mtdblock5(使用者資料)。

從實體萃取的資料中可以得知該檔案物件的屬性欄位,包括objected(檔案的唯一識別碼)、parent(指向目錄的編號),從Deleted欄位也可以了解該檔案是否已遭刪除,並且得知其實際的檔案大小與所占用的磁碟空間等資料。 

邏輯萃取方式及實體萃取方式兩者之間的比較,如表4所示。

表4 邏輯與實體萃取方式的優缺點

第三步:報告 

最後,可以把採取到的數位證據以及Log紀錄輸出成一份報告(Reporting),然後,利用XRY鑑識軟體所提供的工具(圖13)可以很容易地將收集到的資料轉換成Word、Excel等格式(圖14),也可以將取得之GPS定位資訊輸出為Google Earth使用的kmz格式並使用地圖來搭配分析(圖15)。 

▲圖13 XRY提供的Report工具。

▲圖14 輸出Excel格式報告(各分頁為不同資訊欄位)。

▲圖15 將Locations資料輸出至Google Earth使用。

市面上的手機鑑識軟體大多大同小異,另外一個MOBILedit!軟體(圖16)也提供手機資料的備份與還原、SIM資料的檢視及輸出鑑識報告等功能。 

▲圖16 MOBILedit!操作介面。

除此之外,MOBILedit!還提供使用者PC操作介面,讓使用者可以利用PC端控制行動電話,例如撥打電話、簡訊編輯與傳送、通訊錄工具功能等。 

MOBILedit!甚至也提供與Outlook的同步以及Ringtone editor鈴聲剪輯功能,其著重於手機與電腦間連結(圖17)以及輔助的應用介面,即使手機螢幕損壞,仍能使用MOBILedit!對手機進行操作。 

▲圖17 以電腦端編輯簡訊。

MOBILedit!與XRY最大的不同點,在於其備份資料時可以僅選擇特定或單一資料夾(圖18),但是無法提供實體萃取的解碼功能。兩者的功能詳細比較,可參考表5。 

▲圖18 Backup wizard可選取單一資料夾。

表5 XRY與MOBILedit!比較 

案例說明 

線報指出甲君於從事證券交易時有內線交易之情事,當持搜索票前往執行調查時,遇甲君抵抗、反鎖房門不予回應,並且立即湮滅其犯罪相關之證據,待鑑識人員進入時發現甲君使用之手機與電腦已遭摔毀。 

查扣相關證物後,鑑識人員將其交由鑑識人員進行分析,發現其手機僅螢幕破裂無法顯示,內部儲存記憶體的資料並未損壞,此時即可利用手機鑑識軟體萃取其內容,找出有用的證據。 

首先,鑑識人員藉由上述所提製作手機映像檔的步驟,將手機儲存體中的內容取出,並且從中找出有用之證據。如圖19所示,得到嫌疑犯與其他共犯間所傳遞的簡訊內容,並且將此作為證據以供調查之用。 

▲圖19 取得手機簡訊內容。

得到其他共犯的訊息之後,就可以擴大調查的範圍,並且鎖定該特定人士。藉由萃取手機通聯資料了解嫌疑犯與其他共犯的通訊往來紀錄,並且同步清查甲君名下的金融帳戶,找尋是否有不法利益的金流紀錄。

經調查人員詳細清查後發現,其帳戶並無可疑之轉入轉出款項,但卻有大筆金額的存入與提出,研判其可能為避免留下轉帳證據而採用當面交付利益的方式。 

藉由通聯紀錄的萃取,發現甲君於2011年9月11日時與該周姓共犯有短暫且密集聯絡的紀錄,研判該日甲君可能與周姓人員相約見面(圖20)。 

▲圖20 發現手機通聯紀錄。

為找尋甲君與周員碰面的紀錄,利用萃取到的經緯度定位資料,比對該日兩人密集通聯時間前後所定位的位置,找到121.181, 24.9114及121.175, 24.9117兩筆資料,如圖21所示。 

▲圖21 手機GPS定位資料。

藉由Google Map等其他圖資工具(圖22),調查人員得知甲君於2011年9月11日中午時段曾經出現於桃園縣楊梅市永美路附近,並可能於該處與周員碰面,掌握時間與地點後,鑑識人員得以查訪附近居民,或調閱附近便利商店或餐廳的監視紀錄,進而找出更多證據,並將其繩之以法。 

▲圖22 Google Map地圖工具。

結語 

隨著日新月穎的手機科技發展,現今手機裝載的資料量大幅提升,許多科技如定位系統被應用於手機上,這些存在於手機中的資料很可能成為犯罪調查時不可或缺的關鍵證據,如何取得這些關鍵證據變成現今鑑識人員的一大課題。有鑑於數位證據的特殊性質,在鑑識工具的使用上必須詳加考慮,以免於取證時破壞資料,影響鑑識結果。

轉載自《網管人》