2013年3月28日 星期四
Check Point 2013資安安全報告
Check Point 2013資安安全報告
Check Point審視了2012年全球組織發生的網路安全事件:駭客使用更先進的攻擊方法,將安全挑戰提高到最新水準;儲存在資料中心、伺服器等公司資訊增加,提高BYOD的安全威脅風險及網路安全的網頁應用程式,以及員工疏失所造成的資料損失。最重要的是,這份報告針對如何避免這些威脅提供了安全防護的建議。
資安攻防戰在2012年已白熱化,惡意活動的大幅增長原因來自於駭客利用預置攻擊工具和套裝程式如BlackHole(黑洞),並透過網路瀏覽器安全性漏洞工具對電腦植入木馬、僵屍等病毒進行遠端控制而不被發現,進而進行癱瘓主機、竊取資料等動作。
企業除了要面對員工在使用公司網路時不經意所製造的危機之外,還有那些不斷創新技術並製造威脅的網路駭客。要建立一個強有力的安全防護藍圖,企業必須先充分了解並留意自身在網路上所進行的活動。
Check Point 2013年安全報告,根據近900家公司的研究資料,揭露出隱藏在企業網路中的危機,以及每日作業中所暴露出的重大安全隱憂。這些重大發現包含:
安全隱憂
從犯罪行為到駭客激進的行為主義,今年的網路攻擊將持續發展並影響各規模的企業組織。研究顯示,63%的企業已遭殭屍病毒感染,也有半數以上的企業每至少有4部以上的設備下載了惡意軟體。惡意軟體在合法網站上運行惡意廣告,另75%的組織中,至少有1台主機訪問惡意網站,組織進而感染惡意軟體。
這份報告揭示出令人驚訝的重大威脅項目,包括最惡名昭彰的殭屍網路、散佈在各個國家的首要惡意軟體、世界知名網路廠商的安全漏洞和風險,以及SQL注入攻擊事件和惡意軟體主要來源國家。
Check Point認為多層次安全防護機制是必要的:反病毒,識別並攔截惡意軟體;反僵屍,用以發現和阻止僵屍破壞;IPS阻止入侵;Web控制:URL過濾和應用程式控制,以防止訪問傳播惡意軟體網站;即時資安情資和全球聯防;智慧監控並提供前瞻資料分析等。
極具風險的Web 2.0應用程式
Web 2.0應用程式如Facebook、YouTube等的使用量爆增,為駭客及網路罪犯在滲透企業網路時提供一個前所未有的大好機會。研究發現,91%的企業,使用者所使用具潛在風險的應用程式。這些具有風險的應用程式真實面目將在報告中被公佈出來,其中包括:匿名的使用與頻率、P2P應用程式、文件儲存和共享的應用程式,以及主要社群網站,而這一切都可能在無形中將企業的網路開啟了一扇後門。
因此在確認不同用戶具有不同需求的安全性原則下,建議方案是需要辨識及教育使用者,另外同時對管理者提供對所有網路控制的辨識度。
資料遺失事件
現今企業的資訊比以往更容易取得和傳輸,也導致了資料遺失或洩漏的風險大大提高。在參與研究的企業當中,有一半以上至少發生過一次資料遺失事件。報告也顯示,各種不同類型的敏感資料皆曾經遭竊或洩露,特別是PCI的相關資訊以及HIPAA(一項受法律保障的健康資訊)。這同時也揭露出最可能發生資料遺失的企業型態。
總結出企業部署安全性原則及解決方案需考慮三方面:策略、人員和執行。在策略中我們相信其與業務需求密切關連,而非系統級檢查和不同技術的集合體,我們應考量使用網頁應用程式情況,並定義以安全方式使用程式,並將安全變成一個業務過程的策略。
在人員方面,電腦系統使用者是安全過程的一個關鍵,組織應確保使用者參與安全過程,在瀏覽網路或使用敏感資料時,須告知安全性原則及其行為的教育模式,使人員參與策略定義、教育和事件補救安全。
在執行面,安全閘道和終端軟體等安全技術解決方案部署對防止組織出現安全性漏洞是至關重要的,需增強和控制所有層面的安全性——網路、資料、應用程式、內容和使用者。
Check Point的總裁Amnon Bar-Lev表示,Check Point的研究發現許多令人擔憂的網路安全風險和漏洞,這是多數企業未留意到的部份。毫無疑問的,IT專業人員必須打造出一個更明確的安全防護網,以保障他們的企業免受不斷變化創新的安全威脅,包含匿名的殭屍網路,或是員工使用具風險的Web應用程式,以及避免資料遺失等等。
南佛羅里達州一家最大的IT服務整合廠商Compuquip科技公司,其董事會主席Alberto Dosal表示:Check Point的2013年安全報告是一份完整的即知即行報告,其中針對目前新興的安全威脅之規模和廣度都有獨到見解。是一份令人印象深刻且內容完整的報告,是所有C級主管都必讀的文件。
原文出處:Check Point 2013年安全報告
轉載自《DIGITIMES中文網》
2013年3月27日 星期三
Microdata是什麼? 為何可以讓Google、Bing、Yahoo攜手合作?
Microdata是什麼? 為何可以讓Google、Bing、Yahoo攜手合作?
什麼是Microdata? Microdata可以拿來做什麼? 這個東西竟然讓Google、Bing、Yahoo這三大競爭者攜手合作,這是搜尋業界非常少見可以達成共識的協定之一,我們來看看這個東西的詳細功能吧 ...
Microdata是一種結構性的標示,可以用來表示網頁內容的語意。
Google、Bing、Yahoo近日宣佈了Schema.org來共同推動Microdata格式,這些格式有些是新的格式,也有些是舊的格式。
所謂Microdata,其實是HTML5的一部份,他的目的是要讓機器可以了解網頁內容,並且簡化RDFa與Microformats的複雜度。
所以跟之前提到的"Semantic Web 與 Best Buy"也是同樣的道理,都是為了讓搜尋引擎可以順利解析網頁資料。
那麼為什麼要用Microdata呢? 為什麼搜尋大咖會共同推動呢? 最主要原因還是因為Microdata的簡單,並且屬於HTML 5的一部份,因此不會像RDF(Resource Description Framework)之類的那麼困難。
例如原本簡單的HTML如下:
<div>
<h1>Avatar</h1>
<span>Director: James Cameron (born August 16, 1954)</span>
<span>Science fiction</span>
<a href="../movies/avatar-theatrical-trailer.html">Trailer</a>
</div>
以上的HTML並不能讓搜尋引擎知道你在說什麼,因此如果我們改成以下:
<div itemscope itemtype="http://schema.org/Movie">
<h1>Avatar</h1>
<span>Director: James Cameron (born August 16, 1954)</span>
<span>Science fiction</span>
<a href="../movies/avatar-theatrical-trailer.html">Trailer</a>
</div>
以上的itemscope、itemtype都是microdata的語法,就可以指出這段內容是在談電影,然後搜尋引擎就可以從裡面的文字"Avatar"去跟電影關聯。
再進一步的還可以寫成如下:
<div itemscope itemtype ="http://schema.org/Movie">
<h1 itemprop="name">Avatar</h1>
<div itemprop="director" itemscope itemtype="http://schema.org/Person">
Director: <span itemprop="name">James Cameron</span> (born <span itemprop="birthDate">August 16, 1954)</span>
</div>
<span itemprop="genre">Science fiction</span>
<a href="../movies/avatar-theatrical-trailer.html" itemprop="trailer">Trailer</a>
</div>
這樣就可以知道,電影名稱是Avatar、導演是James Cameron、類型是科幻電影 .... 而不需要讓搜尋引擎自己去猜測每個字串的意義。
說了半天就是我們在2009年說過的Common Tag一樣,不同的是格式稍微不同,這次更是各大搜尋引擎都支援,所以Microdata目前已經算是最簡便使用的語意標籤格式了。
Microdata是HTML 5的一個子集,用來讓機器可以順利解讀網頁資料的標籤格式。
最近Google推出的Recipe Search,就是使用Microdata的一個例子,如下:
當你切換成英文介面後,就可以看到左側的"Recipes"選項,並且你還可以看到以下的內容,顯示了烹煮的時間是25分鐘,熱量924.3卡
這些都是因為使用了「搜尋引擎了解的格式」。
所以面對各大搜尋引擎支援Microdata這件事情,我們應該有何策略來因應呢,當然就是必須先瞭解,然後在適當的位置加上適當的標籤格式,至於詳細的作法,後續我們會再另文深入來探討,敬請期待囉。
轉載自《台灣搜尋引擎優化與行銷研究院》
你被 Google 大神鎖定了嗎?開始管理你的網路口碑吧!
你被 Google 大神鎖定了嗎?開始管理你的網路口碑吧!
在提供你面試或正式工作之前,招聘人員或人事部門經理要在網路上透過 Google 搜尋到你的機會是頗高的;搜尋相關的內幕人士告訴我非知名人士的搜尋在整個 Google 的搜尋量中佔了超過 10% 的比例。
以下為 5 項你可以輕易做到來管理你網路口碑聲譽的要點:
1. Google 你的名字
承認吧!我們都曾用 Google 去搜尋過自己的名字!要確保你已登出了 Google,然後你就會看到標準化和個人化的結果。考慮一下把你名字的搜尋結果第一頁作為你的首頁,研究顯示搜尋結果的第一頁可以獲取 90% 的點擊量。現在試著在接下來 5 至 10 頁的搜尋結果中尋找任何負面的內容,如果你有一個相當平凡的名字、而且時常以含糊不清的特徵去分享它的話,那麼請開始使用一個較中庸的名字,然後在你的 LinkedIn 個人簡介、履歷、及工作申請表中簽上名字的首個字母。
2. 擁有你自己的名字
當公司建立一個搜尋引擎優化的策略、希望能夠在搜尋結果的首頁能出現他們的名稱時,你也應該去做相同的事;以下提供一些迅速、簡單、且免費的致勝方式:
●確保有一個以你名字為主的客製化 URL,藉此讓自己 Linkedin 上的個人檔案能在第一頁顯示。舉例來看,Travis Pearl的客製化 Linkedin 個人檔案 URL 為 http://www.linkedin.com/in/travispearl,然後它就會顯示在搜尋結果的首頁,因為這個 URL 正好符合了所搜尋的關鍵字,而且 LinkedIn 也在搜尋引擎優化中擁有高度的權威性。進入 LinkedIn、並編輯個人檔案上的選項,然後產生一個以你為名的客製化 Linkedin URL;當你已經在上面建立了你的頁面,請確保在你的個人簡介放上看起來專業的個人照,Travis Pearl 就是在他的 LinkedIn 簡介上放了個人專業照,因此也讓他的照片出現在 Google 搜尋結果的首頁。
●Google 最瞭解 Google,所以其相關的資產如 YouTube、Picasa、及 Google+ 等也經常會顯示在名稱搜尋的第一頁;因此請確保你已去設定並使用 Google+,它不但是免費的,而且提供了許多連結、照片、位置、以及其他你想強調的資訊等多種選擇。
●你可以透過 MeritShare 展示你的得獎事蹟,首先簡單地輸入你的 LinkedIn 資訊,設定一個公共檔案,然後給予你的同事一些名聲,你們兩個便能以團隊執行去得到一些線上聲譽作為獎勵,這樣一來,在名字搜尋中,該網站就會被優化、更容易被找到;而如果你設定你的個人檔案、並積極主動地給予它表彰與辨識,這將可能也會在搜尋結果的首頁中出現。
3. 減少負面摩擦
根據網站的情況,移除或隱藏結果的指令也會不同,像是在 Facebook 這樣的社交網絡,你可以特別標記內容為公開的或是設定不同層次的隱私;為了保護你自己和你的朋友,最好的策略是讓 Facebook 的內容只對某些朋友公開。優質的服務如 Reputation 或 Reputation Changer 可提供持續的監測、並移除牽涉到你名字的負面內容或不討喜的內容。
4. 提昇優化內容
最好的防衛就是最棒的攻擊,所以確保在搜尋結果的首頁擁有最棒的內容;例如你希望某篇文章或言論出現在搜尋結果的首頁,此時 Brandyourself 可讓你詳細指明你想要提昇的連結;你也可以透過跨連結的方式、協助提昇 LinkedIn 或 Google+ 等個人簡介頁面的搜尋結果。如果你有 Twitter 或其他你想展示的社交媒體串流,可使用 Vizify 將你的個人資料轉變成一張驚人的資訊圖表。
5. 製作你自己的劇本
在部落格發文中展現你的專門知識,並在文章中的問答或評論中回答問題,如果有與你的專門知識相關的專業社交網絡,那麼請確保你有個公開的個人檔案,就像你在 Travis 的例子中所看到的,他有一個 Github 的個人檔案,其中羅列了他在軟體工程上的成就與對開放原碼的貢獻,同時也有一個展示得獎事蹟與聲譽的 MeritShare 頁面。在企業面向上,Travis 則有富比士(Forbes)的搜尋結果,這個結果主要是來自於他在個人檔案上的設定與文章的評論。試著多多在社交網絡上分享文章、貢獻、及評論,因為 Google 主要是以這些社交活動來作為其結果排序的依據。
原文出處:Mashable
轉載自《癮科技》
南韓遭大規模病毒攻擊 駭客來自歐美四國
南韓遭大規模病毒攻擊 駭客來自歐美四國
南韓於3/20日遭受駭客攻擊,包括6間金融機構及3家電視台都受到影響,因此暫停服務,受害者有新韓銀行、農協銀行、濟洲銀行銀行、KBS(韓國放送公社)、MBC(韓國文化廣播公司)和YTN(聯合電視新聞臺)…等,堪稱近年來規模最大的網路攻擊。
3/20下午兩點,駭客透過病毒DarkSeoul(亦有資安廠商稱其為Jokra)入侵數家南韓企業的伺服器,並癱瘓將近3萬2千台電腦,導致這些企業的網路和服務一度中斷,隨後則陸續回復,不過新韓銀行的部分網路銀行和ATM服務,至3/21都還是停止服務。
Sophos表示,DarkSeoul特徵是會刪除硬碟中的資料,並讓系統停擺,不過該病毒不是很複雜,而且早在一年前就被偵測到。其手法是,駭客先入侵防毒軟體廠商的病毒碼更新主機,再利用更新病毒檔的正常管道,將惡意程式傳送到企業電腦中,等到攻擊行動時間(即3/20下午2點)一到就自動啟動。
McAfee分析報告指出,該病毒感染電腦後,會在硬碟的主要開機磁區(MBR, Master Boot Record,)上複寫「PRINCPES」、「PR!NCPES」和「HASTATI」等字元,隨後強迫執行關機指令,由於MBR已遭修改,因此無法重新啟動電腦。
不過,DarkSeoul並沒有任何與網路通訊相關的功能,所以無法與遠端主機連線,此外,該病毒並沒有在系統上做其他修改動作,比如拖曳文件(dropping files)或是更改登錄機碼(registry keys),其攻擊目的僅是要讓電腦無法使用而已。
攻擊發生後,韓國通訊廣播委員會(KCC, Korea Communications Commission)召開緊急說明,指出該攻擊行為屬於APT並非過去較常遭遇的DDoS攻擊,同時將國家的網路攻擊警報從第二級提升到第三級的「注意(caution)」,除了增加相關人力外,政府也組成聯合調查小組展開調查。
KCC於3/21表示,駭客IP位址來自中國,不過隔天便對外修正,駭客利用的IP並非來自中國,而是來自遭駭機構之一:農協銀行的內部電腦,情報專家指出,駭客常會透過利用其他國家的IP以掩蓋其攻擊行動,南韓官員則認為,攻擊來自其他國家,而北韓被認為是最有可能的發動者。
事實上,於2009、2011年時南韓也遭遇過嚴重的網路攻擊,當時許多分析結果就把矛頭指向北韓。南北韓雙方關係近日來尤其緊張,日前北韓發動核武試驗,引起聯合國欲對其展開國際制裁,北韓隨後揚言將展開反擊,此外,北韓官方的中央通信社(KCNA)在3/15指控,美國和南韓聯合對北韓的數個官方網站進行持續且強力的攻擊,北韓動作頻頻,更加深外界認為北韓與此事件有關的推斷,不過25日上午,南韓警方已經證實,駭客來自美國與歐洲共四個國家。
轉載自《資安人科技網》
透過更新下載、毀損MBR 攻擊南韓手法似曾相識?
透過更新下載、毀損MBR 攻擊南韓手法似曾相識?
上周南韓傳出三家銀行及電視台遭受網路攻擊導致系統癱瘓事件,引起各方關注。儘管南韓已經不是第一次發生類似事件,且此次受害規模與過去相比並不大。但由於不同過去的攻擊手法,因而仍引起多家資安廠商的探討。其實若深入比較過去的攻擊,攻擊手法似乎似曾相識。
此次大家關注的焦點之一在於惡意程式透過企業的修補程式更新系統(PMS, Patch Management System)而散佈,此惡意程式還能先停止韓國當地品牌AhnLabs防毒軟體的運作,因此成功感染更多受害企業內部電腦。回頭看2011年3月那波40多個政府、金融機構網站遭到DDoS分散式阻斷攻擊,當時就已透過P2P軟體的更新下載來散佈惡意程式,且當時AhnLabs為了減少殭屍電腦還對此特別提供掃毒程式。至於中了此次惡意程式電腦的主開機記錄(MBR)會被損毀,導致電腦無法重新開機。在2009年7月前後那幾波的攻擊似乎已看到伏筆,當時也有傳出該惡意程式被設定啟動的時間是在日後。
南韓官方將此次攻擊定義為進階持續滲透攻擊APT,駭客先透過社交工程電子郵件滲透到受害企業端點電腦,在一點一滴取得更多可用於攻擊的訊息。趨勢科技資深技術顧問簡勝財認為此次駭客入侵受害企業的PMS,有可能是惡意程式已經潛伏在企業一段時間,也許再透過鍵盤側錄程式取得PMS的登入權限,或有較高深的技巧直接入侵PMS的漏洞。
面對現今APT惡意程式攻擊,企業防不勝防。簡勝財認為,透過端點、主機端、閘道端等多層次的防禦部署,可越早監控到惡意流量,就可將災害減到最低是該有的資安策略思維。
轉載自《資安人科技網》
上周南韓傳出三家銀行及電視台遭受網路攻擊導致系統癱瘓事件,引起各方關注。儘管南韓已經不是第一次發生類似事件,且此次受害規模與過去相比並不大。但由於不同過去的攻擊手法,因而仍引起多家資安廠商的探討。其實若深入比較過去的攻擊,攻擊手法似乎似曾相識。
此次大家關注的焦點之一在於惡意程式透過企業的修補程式更新系統(PMS, Patch Management System)而散佈,此惡意程式還能先停止韓國當地品牌AhnLabs防毒軟體的運作,因此成功感染更多受害企業內部電腦。回頭看2011年3月那波40多個政府、金融機構網站遭到DDoS分散式阻斷攻擊,當時就已透過P2P軟體的更新下載來散佈惡意程式,且當時AhnLabs為了減少殭屍電腦還對此特別提供掃毒程式。至於中了此次惡意程式電腦的主開機記錄(MBR)會被損毀,導致電腦無法重新開機。在2009年7月前後那幾波的攻擊似乎已看到伏筆,當時也有傳出該惡意程式被設定啟動的時間是在日後。
南韓官方將此次攻擊定義為進階持續滲透攻擊APT,駭客先透過社交工程電子郵件滲透到受害企業端點電腦,在一點一滴取得更多可用於攻擊的訊息。趨勢科技資深技術顧問簡勝財認為此次駭客入侵受害企業的PMS,有可能是惡意程式已經潛伏在企業一段時間,也許再透過鍵盤側錄程式取得PMS的登入權限,或有較高深的技巧直接入侵PMS的漏洞。
面對現今APT惡意程式攻擊,企業防不勝防。簡勝財認為,透過端點、主機端、閘道端等多層次的防禦部署,可越早監控到惡意流量,就可將災害減到最低是該有的資安策略思維。
轉載自《資安人科技網》
雲端仲介服務 將隨混合雲坐大而崛起
雲端仲介服務 將隨混合雲坐大而崛起
房屋仲介機構的存在,使得不動產交易的甲乙兩方,都不必在茫茫大海中尋覓彼此,成功帶動了交易市場的活絡;如今蓄勢待發的混合雲應用,用戶同樣必須搜尋服務供應商,並嚴加審慎是否符合自身需求,其間有太多事情需要費心,所以援引房仲的例子,偌大的雲端市場,似乎也需要雲端仲介服務。
藉由幾個預測數據,我們可以大膽預期,在未來的日子裡,「雲端仲介服務(Cloud Service Brokerage, CSB)」將成為一個熱門行業,相關供應商將如雨後春筍般,一家家接續應運而生。
首先要看的是IDC提出的預測。該機構指出,預期到了2015年,全球套裝軟體的市場中,將有六分之一的營收,會透過軟體即服務(SaaS)模式來實現;至於全球應用系統市場,也有高達五分之一的營收,將藉由SaaS型態來消費。
伴隨企業愈來愈習慣透過SaaS模式採購買應用程式,而且對象往往不限於一家供應商,此時便會衍生若干問題,包括了應用程式本身的整合、跨應用程式開發安全與稽核流程,除此之外,用戶其實也很想弄清楚,究竟如何與使用相同應用服務的合作夥伴,建立所謂的B2B聯繫。
再者,現今存在的所有企業,都是近幾年才開始一步步熟悉雲端運算,不論迄今是否已經邁開上雲的那一步,都可肯定,在其內部環境當中,一定留存許許多多的Legacy系統,有些已與企業長相左右多時,一向扮演輔助營運管理要角,不見得能在一時片刻之間被斷然拋棄,如此一來,這些Legacy系統要如何與雲端應用程式整合,勢將成為愈來愈棘手迫切的難題。
4年產值可望驟增十倍
上述的難題之中,諸如Legacy系統與雲端應用程式的整合,可能得由用戶端的IT部門,抑或外部的系統整合商共同設法解決,其餘部分,就可仰賴CSB雲端仲介服務,獲得圓滿的解決,畢竟此類供應商長期專注於此,深諳箇中門道,面對諸如不同SaaS服務供應商之間的整合、確保雲端服務都具有可遷移性…等高難度任務,絕對會比用戶親力親為,更加來得有效率。
究竟CSB這個看似將隨混合雲而崛起的新興產業,是從何時開始醞釀成形的?據了解,它起源於Gartner於2009年提出的「雲端套利交易(Cloud Arbitrage)」,一直到最近,美國國家標準和技術研究院(NIST)已為其賦予明確定義,舉凡「管理雲端服務的使用、效能和傳遞,並在雲端供應商與雲端使用者之間協調關係之機構」,都可被稱之為CSB。
Gartner也曾針對CSB提出預測,其市場產值可望從2010年的0.5億美元,一路攀升到2014年的5億美元,其間足足有高達十倍的落差,之所以增長迅速,Gartner也點明了,因為這段期間,將是雲端服務增長最為快速的時刻。
CSB價值在於系統整合
說穿了,CSB就是匯聚多種雲端SaaS應用程式,並藉由單一入口網站予以集結呈現,是個不折不扣的中介商。
透過CSB這個中介商的網站,企業將能一次蒐集到許多採取多租戶模式的雲端服務資訊,然後吸收、消化這些訊息,研判其間是否有適合自己使用的商品標的,如果有,即須進一步與中介商接洽。
而當中介商、服務供應商之間走完議價程序後,中介商便會將價格回報予客戶,假使客戶願意買單,彼此間的合作關係就正式開始,中介商將藉由上述的單一網站,作為用戶登錄訪問的入口,並會針對用戶端IT部門,每月定期提出帳單。
探究CSB雲端仲介服務箇中的最大價值,無疑就在於系統整合,因為要把多個雲端應用服務整合到單一接入點,無疑會牽涉到諸多困難,主要是由於,現存於市場之中許多客製化的雲端應用程式,其實多非植基於標準的應用程式介面(Application Programming Interface;API)開發而成,所以欲將它們串聯到其他任何應用程式,恐怕都需要錯綜複雜的連結關係,而這些關係的維持,幾乎可視為不可能的任務,更有甚者,按照多數用戶期望,現今絕大多數雲端應用程式,皆須支援數量龐大且型態多元的終端裝置,更將為此事憑添諸多變數。
所以企業要想評定CSB雲端仲介服務的良窳,絕不是看它能夠組裝多少服務項目,而應深入檢視,它究竟將這些服務整合得好不好;然而前面也提到,整合異質服務的難度實在太高,變數也實在太大,單憑CSB再三拍胸脯保證,用戶也不宜輕信,最好的做法,就是研擬一套清晰明確的整合策略,意即不管CSB怎麼說,凡事都只從商品標的本身著眼,檢視它們是否採用標準API,同時遵循服務導向架構(SOA)的開發原則,只要這些條件都成立,才列為考量引進的選項。
然而不可諱言,隨著混合雲聲勢躍起,也讓CSB雲端仲介服務的能見度,因而水漲船高,投身此領域的業者,呈現逐漸增加之勢,譬如過去相對為人知悉的Cordys及Informatica,直至2012年,Nephos也宣布將在歐洲市場啟動相關的監控、安全、管理及分析等服務,旨在助客戶找到最適合的雲端應用解決方案。
儘管Nephos係以歐洲為服務腹地,看似與我們事不關己,但其所規劃的服務內容,仍不乏參考價值,可作為台灣企業檢視其他CSB服務完整性的依據。Nephos的服務內容包括:一、協助客戶選擇、比價,並確認服務是否符合當地法律;二、在不同供應商之間的服務進行整合;三、根據用戶的商業流程及目標,提供客製化服務;四、確保所有雲端服務,皆能夠更換供應商,好讓用戶免於被特定供應商綁架;五、協助解決服務契約、技術、帳單和其他問題;六、嚴格確保授權、存取、安全性及法規等種種議題;七、一併提供監控、安全、備份與管理等加值服務。
有鑑於混合雲應用趨勢沛然形,市場需求也在逐步增加,無論如何,都會導致CSB雲端仲介服務產業起飛,在整個雲端服務的價值鏈當中,扮演著愈來愈重要角色,Gartner預言這股趨勢將在未來三年內益發明顯,主要理由在於,會有更多根本不具IT背景的用戶,就可直接進場進行雲端服務的消費,也就是說,接洽CSB供應商的人,不見得都出自企業IT部門,諸如業務、行銷、財務、人事…等其餘職能人士,亦可能成為主要的消費者。
但Gartner 認為,隨著這個趨勢的演變,恐將使企業資訊應用環境「令出多門」,容易造成某種程度的失控,意欲應付此一挑戰,IT部門絕不能僅坐壁上觀,而應該儘速建立一個足堪滿足企業端雲部署需求的採購流程,運用一套嚴謹的探索原則,幫助自己的企業找到最適合的CSB,同時應對企業內部各個使用單位提出呼籲,凡有此類需求者,最好都能向IT部門尋求建議和支援,切莫一意孤行,與此同時,企業亦可透過修改現行流程及工具(譬如EIP企業入口網站、或服務目錄)等執行方式,好讓來自各部門的形形色色需求,有著一致性的出海口,以避免冒然引進「孤島式」的雲端應用服務,形同公司IT資訊架構無法納入管控的特殊區域。
轉載自《DIGITIMES中文網》
2013年3月25日 星期一
大企業vs.中小企業 誰適合混合雲?
大企業vs.中小企業 誰適合混合雲?
約莫在2008年問世的混合雲,期初未曾獲得太多企業的關愛眼神,因為大家普遍認為,已有私有雲、公有雲等兩種截然不同的選擇,其實已經相當足夠,實在沒必要把事情弄得這麼複雜;但隨著時間推移,人們愈來愈明白雲端運算是怎麼一回事,也更加理解混合雲的妙效,所以對此有興趣的企業,也就愈來愈多。
隨著混合雲市場能見度逐漸提高,企業關注程度也日益加深,使得投入相關解決方案的資訊廠商,也如雨後春筍般湧現,伴隨而來的研討會、廣編文章、DM等宣傳素材,可謂愈來愈多。
當然,在多數用戶心目中,廠商最具吸引力的行銷題材,無非就是由客戶來現身說法,藉此鋪陳值得參考的成功案例,譬如當下愈來愈夯的混合雲,當然也不例外。只不過,這些案例看來看去,似乎清一色朝向大型企業而傾斜,久而久之,難免形塑出「唯獨大企業適合採用混合雲」的既定印象。
然而,兼具多重好處的混合雲,真的只適用於大型企業環境?
舉例來說,頗具全球度的殼牌(Shell),雖然是不折不扣的大型企業,內部IT的火候,也有相當的水準,但仍然對外引進雲端服務,自行開發的軟體移植到雲端平台執行,甚至有時還一併利用內部環境與外部雲端服務的資源,以這般異質環境運行ERP與LOB應用程式,應用迄今成果令人滿意。
更值得一提的,殼牌之所以願意依此方式運行重要系統,主要理由在於,一切都在掌握之中!該公司透過十分嚴謹的管制措施,做到完的身分識別與存取控制,另外再配合嚴密的監控,隨時探查實際使用狀況,以致於將風險係數降至最低。
其餘可能出現在文章或研討會簡報的案例,來頭也個個不小,即使不像殼牌如此威名遠播,但比起大多數的台灣企業,絕對來得更加有名。看到這裡,我們似乎可以確認一點,不管混合雲究竟是否僅宜於大型企業採用,但至少反過來說,大型企業將因使用混合雲而受惠,絕對是不爭的事實。
此乃由於,透過混合雲的實施,將使企業能在最大的限度下,挖掘出IT基礎架構的潛力,確保各項資源都能被充分運用。今天,當我的資源需求量大,大到逾越In-house架構的能力範圍,而且需求孔急,絕對不能好整以暇地等待公司,以傳統部署方式補強資源,那麼我就可以運用混合雲概念,以極其低廉的代價、極其快的速度,從雲端供應商處取用我所需要的資源;明天,這個需求消失了,我不再需要使用這些資源,便可隨即停止相關租賃動作,並返還給雲端供應商,以這樣的運作模式,肯定可以省下大把鈔票,且避免公司做出不當的IT投資。
然持平而論,上述種種效益,大型企業固然可以享有,但論及中小企業,好像也可能依循同樣道理而受益,甚至於更加適用。
混合雲模式亦是中小企業理想選擇
事實上,不少中小企業對於公有雲,一直有所偏好,因為可因此而享有本小利大的快感,憑藉有限度的租金支出,隨時換取大量計算能量,怎麼看,都是一筆划算的生意。只不過,採用公有雲,倒也並非如此海闊天空、自由自在,主因在於,倘若一旦觸及企業關鍵應用,即使是中小企業,也照樣需要留意安全性、效能與合規性,凡此種種,又不偏不倚全都是公有雲的罩門。
如何消弭這些之於安全性、效能與合規性的疑慮,依然可以合理有效地分配IT資源,快速滿足不同需要?最終的解答,將不會繼續落在公有雲之上,而會是混合雲。
那麼為何前面曾提到,中小企業「甚至於更加適用」混合雲?原因何在?主要是因為,對於大型企業來說,基於對各項資源的牢牢掌握,他們反倒更願意選擇啟用虛擬資料中心,從傳統On-premise型態的軟體,轉型為基於雲端的應用軟體或服務,而且通常是私有雲,在此情況下,混合雲不見得是考慮順序很高的選項,而且絕對不是唯一選項。
但對於中小企業,混合雲不但是優先選項,而且在很多情況下,也是唯一的選項,所以說他們更適用於混合雲,道理就在於此。
何謂混合雲?其允許用戶可將運行在自己內部網路環境的業務管理系統,與運行在外部雲端服務上的應用程式,整個串聯起來,如此一來的最大好處,即是有助於大幅降低金錢或時間成本,而且能夠更加容易使用。
也就是說,與其一味期盼企業單純使用雲端SaaS解決方案,倒不如藉由混合雲模式,使得SaaS解決方案,能夠與傳統的On-premise軟體並存,因為企業不太可能斷然拋棄已然使用多時的應用程式;但是假使企業有新的需求,需要部署一個全新的解決方案,那麼SaaS解決方案,將會是此時值得考慮的選項。
當然不可諱言的,儘管混合雲的應用需求顯而易見,但此需求是否真能成形,也不能只是靠用戶本身的一廂情願,有賴外部的軟體或服務供應商加以牽成,他們必須確保,其所提供的SaaS解決方案,與用戶現有的內部應用程式,是可以整合在一起的,唯有如此,才能如願形塑雙贏的局面。
所以不少供應商,其實都有類似的期待,希望能找到一些更簡單有效的方式,好讓自己提供的SaaS解決方案,與用戶端現有應用系統之間,能快速搭建出一道整合橋樑,畢竟此事在現實世界裡,還是存在著相當的難度。
好的混合雲背後仍需合格的私有雲
檢視中小企業實施混合雲之戰略內容,理所當然必須兼具公有雲及私有雲功能,意即需要混合及匹配這兩種雲的資源。然不可否認的,意欲確定這般混搭架構的可行性,事先少不得需要進行小規模測試,而且這是很重要的一個步驟,此外,任何有關公有雲及私有雲彼此之間的資源交互運用,都需要在制定SLA協議、或與雲端服務供應商簽署合約的過程中,徹底說清楚講明白。
另一個更重要,但中小企業卻往往忽略的關鍵,在於許多公司都期盼透過混合雲導入,發揮截長補短之妙效,意即一併享有公有雲及私有雲所能帶來的好處,至兩邊的壞處,則通通都不要出現,只不過,要建立這麼一個混合雲,而且要能順暢運行,肯定有其先決條件,即是用戶自己必須先確保,他們確實已經擁有一個具備合格功能的私有雲。
畢竟,一個成功的混合雲部署,關鍵絕對在於結合兩者,也就是公有雲及私有雲。企業無論是把公有雲視為一個運行應用服務的替代平台,又或者視為內部資料中心的戰力延伸,此時任何的公有雲服務,都必須能與資料中心架構相匹配,允許這些服務資源,能夠在資料中心負荷超載、或因故失能之際,得以無縫運行,意欲建構這個能夠彈性運用的資源池,不管是用戶現有的IT環境,乃至於外部公有雲,全都顯得格外重要。
轉載自《DIGITIMES中文網》
公私雲各有缺憾 混合雲成理想選項
公私雲各有缺憾 混合雲成理想選項
倘若仔細端詳產、學、研各界對於雲端運算之預測,看好混合雲將從2013年起發光發熱之說,明顯不在少數,同時也有不少專家提出呼籲,企業不宜繼續抱持看風向、試水溫的心態,而應儘管推展混合雲應用策略,把非關鍵性業務服務放置在相對廉價的公有雲平台,而將關鍵業務服務保留在企業內部執行。
有一件事,大家必須承認,就現階段來說,足以撐持混合雲穩定發展的關鍵技術,其實還不太成熟,但在一切猶未水到渠成的當下,鼓勵用戶投靠混合雲的聲浪,已經愈來愈高。
何以致此?道理很簡單,即是因為「瑕不掩瑜」!畢竟企業營運猶如逆水行舟、不進則退,處在今時今日如此高度競爭的環境中,亟需憑藉IT能量之不斷增強,方得以滿足持續發展的需求,在此前提下,企業絕無可能自外於雲端浪潮,然而環顧雲端運算的各項部署模式,混合雲是唯一兼具安全性、資料完整性、可靠性,乃至於業務靈活性的選項,其所蘊含的優勢至為顯著,因此甚具導入價值。
況且,原本未臻完善的關鍵技術,亦可望在2013年逐步獲得突破,所以有關混合雲的一切態勢,似乎都朝著正向推進;值此時刻,企業亦應跳脫既有思維,莫要繼續陷於公有雲及私有雲各有缺點、礙難抉擇的情境,試著從混合雲的角度切入,跨出關鍵的一步。
混合雲起飛在望
企業管理協會(Enterprise Management Associates;EMA)首席研究分析師Tracy Corbo曾經表示,他深信不疑,2013年將會是屬於混合雲大有表現的一年,尤其在於IaaS服務,主因在於,雲端基礎設施服務之停止運轉時而發生,乃是無可改變的事實,因此企業沒有必要一直糾結在這種疑慮之中,反倒可以換個角度認真思考,究竟有哪些工作負載,可以託付於服務中斷、資料遺失等風險係數較大,但卻靈活廉價的公有雲之上?此外,又有哪些攸關公司關鍵業務的工作負載,仍適合置於自己掌控能力較高的私有雲之中?
上述一席話,無疑具有豁然開朗之效,值得迄今猶對雲端躊躇不前的企業,加以仔細咀嚼。
這個世界上,往往是信者恆信、不信者恆不信,即使各界如此賣力推薦混合雲,讚嘆這類部署模式真的是左右逢源,既可顧及如同私有雲的安全性,也可享有公有雲般的彈性與靈活度,這般正面表述的詮釋方式,一定仍有企業抱持質疑態度,不相信混合雲真有那麼好;此時不妨從另一個角度反向切入,先說說私有雲、公有雲各自存在哪些問題。
所謂公有雲,簡單來說,便是所有用戶都藉由網際網路,共同享有雲端供應商所提供的資源與服務,譬如頗具知名度的Amazon EC2或Salesforce.com,就是很典型的例子;它的好處是,有助於企業減輕布建與管理IT軟硬體系統的成本負擔,與此同時,還能一併提高系統建置速度、以及使用的彈性。
雖然從公有雲的優點來看,似乎已集結了大多數企業企盼實踐的願景,但它終究沒能在企業應用市場大行其道,最主要的癥結,即是擁有一些堪稱致命的缺陷,譬如存在著服務中斷的風險,以及資料遺失的風險,與企業在於穩健發展的終極渴望,可說是大相逕庭。
尤其個資法已於幾個月前正式施行,企業若是將財務資料與客戶資料置於公有雲上,稍有不慎遭駭客、或是離職員工(可能來自企業、或是雲端供應商)竊取,此時便可能莫名其妙觸犯法律,一來有損商譽形象,二來可能面臨沈重的罰金,後果著實嚴重,更不容掉以輕心。
至於私有雲,則是企業的所有員工透過內部網路,共同使用一個由企業建立的資源及服務,它的好處是,相較於傳統IT架構,更能促使各項IT資源趨於有效運用,從而打破事業部門或應用程式的壁壘,營造一個可以視各方需求而挪移運算能力的環境,假使財會部門進行月結作業時,即可靈活取用大量資源,以滿足這段期間之所需。
更重要的,私有雲並無前述有關公有雲的疑慮與風險,也算是它的一大優勢。只不過,私有雲也絕非無懈可擊,其中最讓人詬病之處,就在於它的初始投資成本偏高,且長期間運作下來,相關系統的維護負荷亦可謂吃重,甚至更重於傳統IT架構,既然如此,一些財力略顯困窘的公司,自然會對它退避三舍。
另值得一提的是,以許多企業所建立的私有雲環境而論,或許肇因於實施計畫有欠周詳,導致一些本該產生的導入效益,其實都已打了折扣。比方說,這些私有雲的基礎建設,老是標榜有虛擬化、自動化的能耐,然一旦深入檢視,卻往往發現到,每當用戶提出需求後,這個私有雲環境,不見得能自動且即時地為用戶配置資源,反倒仍須仰賴人力介入,此類空有雲端之名、卻不全然擁有雲端之實的架構,真不知有何理由要與它長相廝守?
相形之下,混合雲堪能承襲大部分私有雲與公有雲的好處,也可規避私有雲與公有雲的缺失,且能讓兩邊系統無縫整合,光是看到這裡,根本無須再贅述其他的效益訴求,即已不難凸顯其導入價值;所以說,各方預測從2013年開始,混合雲可望展現突破性的走勢,顯然並非誇大不實之言。
尚有5~10年前好光景
打從1995年開始,研究機構Gartner每年都會針對眾多ICT技術項目,發表各自相對應的Hype Cycle技術成熟度曲線,俾使企業可以據此決定是否投資各項技術。
以幾個月前發布的Hype Cycle報告來看,包括屬於公有儲存雲服務、雲端運算,雙雙淪落至「幻覺破滅期(Trough of Disillusionment)」階段,至於私有雲,雖然情況稍好,但也瀕臨即將跌出「期望膨脹期(Peak of Inflated Expectations)」,距離幻覺破滅只有一步之遙。
前述攸關雲端的各個技術項目,在Gartner的Hype Cycle成熟度曲線中,其實都已經過了高峰,處在高峰向波谷移動的路徑,最輝煌的歲月已經過去了,接下來的日子裡,恐陸續傳出早期使用者的失敗故事,再一步步走向步調趨緩的「復甦期(Slope of Enlightenment)」。
那麼,與這些技術項目同屬泛雲端家族的混合雲,是否也處在類似的尷尬位置?
結果顯示,雖然混合雲與私有雲一樣,都被劃歸為曲線圖當中的「期望膨脹期」,所以也已經脫離了所謂的「技術先驅階段(Technology Trigger)」,但即使期望膨脹,程度上也有莫大差別,前面提到,私有雲已經過了高峰,正在逐步往波谷下墜,但混合雲則不然,還沒有度過高峰,所以仍處於上升階段。
而在Hype Cycle技術成熟度曲線當中,Gartner也會一併替每個項目把脈,標示其「距離高原的時間」,時間從長到短,也象徵該項技術光環的流逝。以公有儲存雲服務、雲端運算、私有雲等三者來看,全都落在「2~5年」,論及混合雲,則為時間更長的「5~10年」,足見混合雲眼前還有一片長遠的好光景,相對值得企業加以投資。
轉載自《DIGITIMES中文網》
2013年3月24日 星期日
九種突破IDS入侵檢測系統的實用方法
九種突破IDS入侵檢測系統的實用方法
入侵檢測系統,英文簡寫為IDS,顧名思義,它是用來實時檢測攻擊行為以及報告攻擊的。如果把防火牆比作守衛網絡大門的門衛的話,那麼入侵檢測系統(IDS)就是可以主動尋找罪犯的巡警。 因而尋求突破IDS的技術對漏洞掃瞄、腳本注入、URL攻擊等有著非凡的意義,同時也是為了使IDS進一步趨向完善。
Snort是很多人都在用的一個IDS了,其實它也並不是萬能的,筆者下面就來談談突破諸如Snort這類基於網絡的IDS的方法:多態URL技術。
提起多態二字,大家可能會聯想到編寫病毒技術中的「多態」、「變形」等加密技術,其實我這裡所要講的URL多態編碼技術和病毒的多態變形技術也有神似之處,就是用不同的表現形式來實現相同的目的。
對於同一個URL,我們可以用不同形式的編碼來表示。IDS在實時檢測時,將它檢測到的數據與其本身規則集文件中規定為具有攻擊意圖的字符串進行對比,如果相匹配的話,則說明系統正在受攻擊,從而阻止攻擊以及發出警報。因為實現同一目的的URL可以用不同的形式來表示,所以經過變形編碼後的URL可能就不在IDS的規則集文件中,也就擾亂了IDS的識別標誌分析引擎,從而就實現了突破、繞過IDS的效果!
多態URL編碼技術有許多種,筆者在此介紹9種常用且有一定代表性的方法。為了便於講解,這裡以提交地址為/msadc/ msadcs.dll的URL來作為例。「/msadc/msadcs.dll」已經被收集到snort等各大IDS的規則集文件中,因而當我們向目標機器直接提交/msadc/ msadcs.dll時都會被IDS截獲並報警。
第一招:「/./」 字符串插入法
鑑於「./」的特殊作用,我們可以把它插入進URL中來實現URL的變形。比如對於/msadc/msadcs.dll,我們可以將它改寫為/././msadc/././msadcs.dll、/./msadc/.//./msadcs.dll等形式來擾亂了IDS的識別標誌分析引擎,實現了欺騙IDS的目的。而且改寫後編碼後的URL與未修改時在訪問效果上是等效的。筆者曾經通過實驗表明這種方法可以繞過Snort等IDS。
第二招:「00 」 ASCII碼
前段時間動網上傳漏洞就是利用的這一特性,大家肯定對此很熟悉了。它的原理就是計算機處理字符串時在ASCII碼為00處自動截斷。我們就可以把/msadc/msadcs.dll改寫為/msadc/msadcs.dll Iloveheikefangxian,用Winhex將.dll與Ilove之間的空格換為00的ASCII碼,保存後再用NC配合管道符提交。這樣在有些IDS看來/msadc/msadcs.dll Iloveheikefangxian並不與它的規則集文件中規定為具有攻擊意圖的字符串相同,從而它就會對攻擊者的行為無動於衷。瞧!「計算機處理字符串時在ASCII碼為00處自動截斷」這一原理的應用多麼廣泛啊!從哲學上講,事物之間相互存在著聯繫,我們應該多思考,挖掘出內在規律,這樣就會有新的發現。
第三招:使用路徑分隔符「\」
對於像微軟的IIS這類Web服務器,「\「也可以當「/」一樣作為路徑分隔符。有些IDS在設置規則集文件時並沒有考慮到非標準路徑分隔符「\」。如果我們把/msadc/msadcs.dll改寫為\msadc\ msadcs.dll就可以逃過snort的法眼了,因為snort的規則集文件裡沒有\msadc\ msadcs.dll這一識別標誌。值得一提的是路徑分隔符「\」還有個妙用,就是前段時間《黑客防線》上提到的「%5c」暴庫大法,「%5c」就是「\」的16進製表現形式。
第四招:十六進制編碼
對於一個字符,我們可以用轉義符號「%」 加上其十六進制的ASCII碼來表示。比如/msadc/msadcs.dll中第一個字符「/」可以表示為%2F,接下來的字符可以用它們對應的16 進制的ASCII碼結合「%」來表示,經過此法編碼後的URL就不再是原先的模樣了,IDS的規則集文件裡可能沒有編碼後的字符串,從而就可以繞過IDS。但是這種方法對採用了HTTP預處理技術的IDS是無效的。
第五招:非法Unicode編碼
UTF-8編碼允許字符集包含多餘256個字符,因此也就允許編碼位數多於8位。「/」字符的十六進制的ASCII碼是2F,用二進制數表示就是00101111。UTF-8格式中表示2F的標準方法仍然是2F,但是也可以使用多字節UTF-8來表示2F。字符「/」可以像下表中所示使用單字節、雙字節、三字節的UTF-8編碼來表示:
「/」字符表示方式 二進制 十六進制
單字節 0xxxxxxx 00101111 2F
雙字節 110xxxxx 10xxxxxx 11000000 10101111 C0 AF
三字節 1110xxxx 10xxxxxx 10xxxxxx 11100000 10000000 10101111 E0 80 AF
按照此方法,我們可以對整個字符串都進行相應的編碼。雖然編碼後的URL的最終指向的資源都相同,但它們的表達方式不同, IDS的規則集文件中就可能不存在此過濾字符串,從而就實現了突破IDS的目的。
第六招:多餘編碼法
多餘編碼又稱雙解碼。還記的2000-2001年IIS的Unicode解碼漏洞和雙解碼漏洞鬧得沸沸揚揚,那時有許多朋友稀里糊塗的以為Unicode解碼漏洞就是雙解碼漏洞,其實它們兩者是兩回事,前者的原理筆者已在上述的「非法Unicode編碼」中有所描述。而多餘編碼就是指對字符進行多次編碼。比如「/」字符可以用%2f表示,「%2f」中的「%」、「2」、「f」字符又都可以分別用它的ASCII碼的十六進制來表示,根據數學上的排列組合的知識可知,其編碼的形式有2的3次方,於是「%2f」可以改寫為:「%25%32%66」、「%252f」等等來實現URL的多態,編碼後的字符串可能沒被收集在IDS的規則集文件中,從而可以騙過有些IDS。
第七招:加入虛假路徑
在URL中加入「../」字符串後,在該字符串後的目錄就沒有了意義,作廢了。因此利用「../」字符串可以達到擾亂了識別標誌分析引擎、突破IDS的效果!
第八招:插入多斜線
我們可以使用多個 「/」來代替單個的「/」。替代後的URL仍然能像原先一樣工作。比如對/msadc/msadcs.dll的請求可以改為////msadc////msadcs.dll,經筆者曾經實驗,這種方法可以繞過某些IDS。
第九招:綜合多態編碼
聰明的你一看這個小標題就知道了,所謂綜合,就是把以上介紹的幾種多態變形編碼技術結合起來使用,這樣的話效果會更好。
後記:當我剛才提到「00 ASCII碼」以及非標準路徑分隔符「\」時,大家可能會倍感熟悉,因為這與前段時間流行的動網上傳漏洞以及暴庫大法有著密切聯繫。黑客是門藝術,黑客講究的是靈感是思路,我們通過深入思考,舊的知識也可以創造出新的技術!
轉載自《遊俠安全網》
入侵檢測系統,英文簡寫為IDS,顧名思義,它是用來實時檢測攻擊行為以及報告攻擊的。如果把防火牆比作守衛網絡大門的門衛的話,那麼入侵檢測系統(IDS)就是可以主動尋找罪犯的巡警。 因而尋求突破IDS的技術對漏洞掃瞄、腳本注入、URL攻擊等有著非凡的意義,同時也是為了使IDS進一步趨向完善。
Snort是很多人都在用的一個IDS了,其實它也並不是萬能的,筆者下面就來談談突破諸如Snort這類基於網絡的IDS的方法:多態URL技術。
提起多態二字,大家可能會聯想到編寫病毒技術中的「多態」、「變形」等加密技術,其實我這裡所要講的URL多態編碼技術和病毒的多態變形技術也有神似之處,就是用不同的表現形式來實現相同的目的。
對於同一個URL,我們可以用不同形式的編碼來表示。IDS在實時檢測時,將它檢測到的數據與其本身規則集文件中規定為具有攻擊意圖的字符串進行對比,如果相匹配的話,則說明系統正在受攻擊,從而阻止攻擊以及發出警報。因為實現同一目的的URL可以用不同的形式來表示,所以經過變形編碼後的URL可能就不在IDS的規則集文件中,也就擾亂了IDS的識別標誌分析引擎,從而就實現了突破、繞過IDS的效果!
多態URL編碼技術有許多種,筆者在此介紹9種常用且有一定代表性的方法。為了便於講解,這裡以提交地址為/msadc/ msadcs.dll的URL來作為例。「/msadc/msadcs.dll」已經被收集到snort等各大IDS的規則集文件中,因而當我們向目標機器直接提交/msadc/ msadcs.dll時都會被IDS截獲並報警。
第一招:「/./」 字符串插入法
鑑於「./」的特殊作用,我們可以把它插入進URL中來實現URL的變形。比如對於/msadc/msadcs.dll,我們可以將它改寫為/././msadc/././msadcs.dll、/./msadc/.//./msadcs.dll等形式來擾亂了IDS的識別標誌分析引擎,實現了欺騙IDS的目的。而且改寫後編碼後的URL與未修改時在訪問效果上是等效的。筆者曾經通過實驗表明這種方法可以繞過Snort等IDS。
第二招:「00 」 ASCII碼
前段時間動網上傳漏洞就是利用的這一特性,大家肯定對此很熟悉了。它的原理就是計算機處理字符串時在ASCII碼為00處自動截斷。我們就可以把/msadc/msadcs.dll改寫為/msadc/msadcs.dll Iloveheikefangxian,用Winhex將.dll與Ilove之間的空格換為00的ASCII碼,保存後再用NC配合管道符提交。這樣在有些IDS看來/msadc/msadcs.dll Iloveheikefangxian並不與它的規則集文件中規定為具有攻擊意圖的字符串相同,從而它就會對攻擊者的行為無動於衷。瞧!「計算機處理字符串時在ASCII碼為00處自動截斷」這一原理的應用多麼廣泛啊!從哲學上講,事物之間相互存在著聯繫,我們應該多思考,挖掘出內在規律,這樣就會有新的發現。
第三招:使用路徑分隔符「\」
對於像微軟的IIS這類Web服務器,「\「也可以當「/」一樣作為路徑分隔符。有些IDS在設置規則集文件時並沒有考慮到非標準路徑分隔符「\」。如果我們把/msadc/msadcs.dll改寫為\msadc\ msadcs.dll就可以逃過snort的法眼了,因為snort的規則集文件裡沒有\msadc\ msadcs.dll這一識別標誌。值得一提的是路徑分隔符「\」還有個妙用,就是前段時間《黑客防線》上提到的「%5c」暴庫大法,「%5c」就是「\」的16進製表現形式。
第四招:十六進制編碼
對於一個字符,我們可以用轉義符號「%」 加上其十六進制的ASCII碼來表示。比如/msadc/msadcs.dll中第一個字符「/」可以表示為%2F,接下來的字符可以用它們對應的16 進制的ASCII碼結合「%」來表示,經過此法編碼後的URL就不再是原先的模樣了,IDS的規則集文件裡可能沒有編碼後的字符串,從而就可以繞過IDS。但是這種方法對採用了HTTP預處理技術的IDS是無效的。
第五招:非法Unicode編碼
UTF-8編碼允許字符集包含多餘256個字符,因此也就允許編碼位數多於8位。「/」字符的十六進制的ASCII碼是2F,用二進制數表示就是00101111。UTF-8格式中表示2F的標準方法仍然是2F,但是也可以使用多字節UTF-8來表示2F。字符「/」可以像下表中所示使用單字節、雙字節、三字節的UTF-8編碼來表示:
「/」字符表示方式 二進制 十六進制
單字節 0xxxxxxx 00101111 2F
雙字節 110xxxxx 10xxxxxx 11000000 10101111 C0 AF
三字節 1110xxxx 10xxxxxx 10xxxxxx 11100000 10000000 10101111 E0 80 AF
按照此方法,我們可以對整個字符串都進行相應的編碼。雖然編碼後的URL的最終指向的資源都相同,但它們的表達方式不同, IDS的規則集文件中就可能不存在此過濾字符串,從而就實現了突破IDS的目的。
第六招:多餘編碼法
多餘編碼又稱雙解碼。還記的2000-2001年IIS的Unicode解碼漏洞和雙解碼漏洞鬧得沸沸揚揚,那時有許多朋友稀里糊塗的以為Unicode解碼漏洞就是雙解碼漏洞,其實它們兩者是兩回事,前者的原理筆者已在上述的「非法Unicode編碼」中有所描述。而多餘編碼就是指對字符進行多次編碼。比如「/」字符可以用%2f表示,「%2f」中的「%」、「2」、「f」字符又都可以分別用它的ASCII碼的十六進制來表示,根據數學上的排列組合的知識可知,其編碼的形式有2的3次方,於是「%2f」可以改寫為:「%25%32%66」、「%252f」等等來實現URL的多態,編碼後的字符串可能沒被收集在IDS的規則集文件中,從而可以騙過有些IDS。
第七招:加入虛假路徑
在URL中加入「../」字符串後,在該字符串後的目錄就沒有了意義,作廢了。因此利用「../」字符串可以達到擾亂了識別標誌分析引擎、突破IDS的效果!
第八招:插入多斜線
我們可以使用多個 「/」來代替單個的「/」。替代後的URL仍然能像原先一樣工作。比如對/msadc/msadcs.dll的請求可以改為////msadc////msadcs.dll,經筆者曾經實驗,這種方法可以繞過某些IDS。
第九招:綜合多態編碼
聰明的你一看這個小標題就知道了,所謂綜合,就是把以上介紹的幾種多態變形編碼技術結合起來使用,這樣的話效果會更好。
後記:當我剛才提到「00 ASCII碼」以及非標準路徑分隔符「\」時,大家可能會倍感熟悉,因為這與前段時間流行的動網上傳漏洞以及暴庫大法有著密切聯繫。黑客是門藝術,黑客講究的是靈感是思路,我們通過深入思考,舊的知識也可以創造出新的技術!
轉載自《遊俠安全網》
2013年3月22日 星期五
太子汽車網站外洩1328 筆政治人物個資
太子汽車網站外洩1328 筆政治人物個資
太子汽車傳出個資外洩事件,網站根目錄(www.auto21.com.tw/ 及 www.hic.com.tw/) 下存放的一份純文字檔名單資料,紀錄1328位政治人物的姓名、頭銜,及手機號碼,經記者向該公司反映後,該網站約於中午時暫時關閉,下午重新上線之後資料已經移除。
這些資料共有1330筆,扣除重覆資料實際為1328筆,資料包括許多知名的政治人物,包含姓名、頭銜簡稱,及手機號碼,涵蓋前國民黨主席吳伯雄、立法院院長王金平,以及國民黨中常委、主委、代表、市長、議長、國代、鄉長、縣長、鎮長等各級單位首長、代表。其他知名人物還有馬以南、吳敦義、吳志剛、朱立倫、吳育昇、歐晉德、葉金川、江丙坤……等等。
從資料檔名研判,該資料建立的時間可能在2007年左右,距今已有6年,名單主要都是國民黨政要人士,許多人士已轉任其他職務,例如紀錄中的縣長朱立倫,現在已是新北市市長,沈慶京已卸下中常委職務,也有地方議會的首長已離世。
對於政治人物聯絡資料外洩,太子汽車表示,內部仍在瞭解中,不便對外說明。不過,經記者向該公司資訊部門反映後,今天中午過無法連上該公司網站,但仍可透過Google的搜尋存檔紀錄瀏覽。在下午約四時左右網站重新上線之後,該份資料已經移除。
為了驗證紀錄資料的真實性,記者實際按資料撥給現任台北市議員、國民黨中常委的吳志剛,證實電話由本人接聽,第一時間聽聞資料外洩消息,吳志剛直覺認為可能和另一位中常委許顯榮有關,因為許顯榮正是太子汽車執行長。
吳志剛表示,內部許多活動為了聯絡上的需要,經常會彼此印製個人聯絡資料,可能因許顯榮中常委的身份不小心外露資料。對於自己的手機聯絡資料外露,吳志剛認為本身是議員,已習慣接受各方善意的來電,但對於非民代身份的其他政治人物可能造成困擾。
最先報導此事件的民視新聞,訪問部份台北市議員,議員認為資料透過Google搜尋就可找到實在太誇張。
轉載自《iThome Download》
2013年3月21日 星期四
Bing開始提供網站搬家工具Site Move Tool
Bing開始提供網站搬家工具Site Move Tool
網站曾經搬家的人都知道,要將所有搜尋引擎曾經索引的網頁都無誤的轉移,是一件很煩人的工作,雖然Google有提供網站搬家工具,但是碰到Bing就頭痛了。但是現在終於等到了,Bing開始提供網站搬家工具,讓大家可以輕鬆的進行網站搬家了 ...
這篇"Bing Webmaster Tools One-Ups Google With Site Move Tool"說,Bing在管理員工具中提供了Site Move Tool,這個工具跟Google的更改網址工具很類似,但是可以做更多的事情。
Google的更改網址工具只能做的是,從某網域搬家到另外一個網域,Bing的工具當然也提供該功能。
Bing的網站搬家工具可以做到Google工具沒有提供的功能:在原來網域下的搬家,也就是由 www.mywebsite.com.tw 搬到 www.mywebsite.com.tw/seo/,或是從 www.mywebsite.com.tw 搬到 seo.mywebsite.com.tw,反正就是可以在原來網域內變換。
但是雖然方便網站搬家,你還是必須使用轉址,在搜尋引擎尚未完整的更改索引網址之前,才能夠確保不會讓使用者找不到網站。並且Bing還說,如果你使用網站搬家工具,在六個月內不能再搬家,以防止網站搬家工具被濫用。
轉載自《台灣搜尋引擎優化與行銷研究院》
100G 網路管理的新選擇-MTOSI(多重技術作業系統介面)
100G 網路管理的新選擇-MTOSI(多重技術作業系統介面)
在現今處處是雲端服務的網路環境,頻寬的需求快速提升,100G網路的建置刻不容緩,而100G網路建置涵蓋光網路的ROADM、DWDM、SONET/SDH等光設備與MPLS/IP路由設備、Ethernet交換設備,一個網路管理中心要同時管理這些不同性質的設備,甚至有可能面臨不同設備商的設備管理,100G維運與網路管理面臨更重大的挑戰。
傳統維運單位利用多重技術網路管理標準(Multi-Technology Network Management, MTNM)建立其設備作業支援管理系統,MTNM是架構在COBRA-based通訊界面的網路管理標準,COBRA的優點在於有共通標準的物件導向程式介面,可為各設備商提供共通可客製化的介面來建置服務營運商的服務支援系統設備,但缺點在於其規範與客製化的限制,不是那麼容易整合進現今大多以Web-based開發環境的網管系統。
所以後來TM Forum(TeleManagement Forum)又制定了另一個多重技術作業系統介面標準(Multi-Technology Operations Systems Interface, MTOSI)提供多重設備管理平台整合的另一種選擇,MTOSI是一種基於XML的設備作業系統間溝通的標準界面規範,MTOSI採用單一介面的基礎架構並且利用相同模式橫跨在多種設備上的管理。 例如,相同的終端和連接模式套用在所有連接取向的網路技術包含DWDM及Ethernet等不同網路階層與性質的設備, 在MTOSI裡運用類似的語句與模組來陳述這些連接模式。
100G網路的技術日新月異,網路管理與營運支援系統建置也隨著各家廠商的支援不同需做調整,在決定其服務營運支援系統與建置網管系統仍須多方面的考量與討論。
參考資料:
1. Standardized Interfaces MTOSI,http://www.tmforum.org/MTOSI/2319/home.html
2. Emerging industry standard for managing next generation transport networks: TMF MTOSI,NOMS 2006 3-7 April 2006,Vancouver, Canada
文 / 網路與資安組 陳俊傑
轉載自《國網中心》
2013年3月19日 星期二
華南銀行的IT治理策略7步驟
華南銀行的IT治理策略7步驟
華南金控的IT治理策略,是用7個步驟制定出每年的資訊發展策略,並且定期檢視計畫執行方向,是否與業務發展重心一致,進而適當調整相關專案內容
金融業走向全球化的過程,IT基礎建設與系統規畫也會有所改變,華南金控資訊科技處處長杜文宗表示,為了讓IT治理達到一致性,華南金控的做法是用7個步驟,制定出每年的IT策略。華南銀行的資訊架構目標,是以臺北為中心,然後往外延伸到大陸深圳等,同時並建構2地4中心的資訊環境,來因應全球業務發展。
▲華南金控資訊科技處處長杜文宗表示,為了掌握最新科技發展脈動,華南金控每年都會主動邀請資訊科技大廠參與Solution Day,並可在適當時機引進最新科技。
為了實現這個架構,杜文宗表示,華南金控的IT治理策略,一般是以3到5年為目標,然後,每年持續更新並且檢視未來3到5年的IT治理策略,是否與業務發展方向一致。用來訂定華南資訊策略的7個步驟,依序是舉辦資訊科技新知研討會(Solution Day)、蒐集金融及資訊相關的未來事件、蒐集各部門重要營運計畫與業務需求、蒐集金控母公司與各子公司重要營運計畫、蒐集各金檢單位稽核檢查報告建議、參酌市場調查機構Gartner研究報告、延續前一年未完成的重要資訊策略專案。
以第一個步驟來說,華南金控每年都會在6月定期舉辦Solution Day,主要就是為了掌握最新的資訊科技發展脈動,杜文宗表示,外界熟知的Solution Day,通常是資訊科技廠商舉辦,但是,華南金控為了在適當時機引進新科技,並且助長業務發展,每年都會主動邀請資訊科技大廠參與Solution Day。過程中,華南金控只問3個最重要的問題,一是全球資訊科技發展方向,二是金融同業所關注的方向,其三華南金控應該怎麼做?
杜文宗認為,金融業的競爭力與資訊科技息息相關,IT的一小步,是企業的一大步。因此,IT治理必須訂定中長期策略,並且融合內部的其他管理制度,此外,還必須導入國際標準。早期,華南金控並不在意是否取得國際認證標準,近來則開始積極導入國際標準,目前華南金控已經取得ISO27001以及CMMI等國際標準認證,預計2013年將進一步導入ISO 20000。
IT專案執行率達95%
目前華南金控的IT專案,有95%的執行率。以2013年來說,資訊科技發展策略包括支援大中華事業布局、提升整合行銷與決策支援系統、強化資訊基礎架構與資訊治理、強化法規遵循資訊作業。杜文宗表示,經由這些資訊發展策略,要達到的兩大目標,分別是提供及時性資訊解決方案,讓策略性計畫專案執行率達到100%,提升系統高可用度,故障排除能在30分鐘內完成。
對於大多數金融業者來說,海外市場經營無非是今年重大挑戰之一,華南銀行的全球布局戰略,目前鎖定的是大陸等亞洲市場,在這個策略之下,華南金控制定了10項短中程重點計畫,同時並占年度IT預算的56%,相較以往34%的比重高了許多,杜文宗表示,這個轉變代表臨時支援的專案比例會降低,既定計畫的執行率則會提高,並且依既定計畫落實資訊科技發展策略。
華南銀行2013年資訊策略重點計畫
為了讓IT治理達到一致性,華南金控的做法是用7個步驟,制定出每年的IT發展策略與重點計畫。
策略制定步驟:
1、舉辦資訊科技新知研討會(Solution Day)
2、蒐集金融及資訊相關的未來事件
3、蒐集各部門重要營運計畫與業務需求
4、蒐集金控母公司與各子公司重要營運計畫
5、蒐集各金檢單位稽核檢查報告建議
6、參酌市場調查機構Gartner研究報告
7、延續前一年未完成的重要資訊策略專案
IT治理計畫
|
策略方向
|
重點項目
|
專案內容
|
|
支援大中華布局戰略發展
|
計畫1
|
建置大中華布局相關業務系統
|
|
計畫2
|
建置跨境服務電子通路系統
|
|
|
提升整合行銷與業務支援系統
|
計畫3
|
提升多通路行銷整合系統
|
|
計畫4
|
提升決策支援運用系統
|
|
|
強化法規遵循資訊作業
|
計畫5
|
因應法規增修系統功能
|
|
強化資訊基礎架構與資訊治理
|
計畫6
|
舊系統與平臺再造工程
|
|
計畫7
|
提升整體資訊備援能力
|
|
|
計畫8
|
強化資安管控作業
|
|
|
計畫9
|
提升已停止軟硬體支援之系統
|
|
|
計畫10
|
持續導入國際標準制度
|
轉載自《iThome》
比照銀行PCI-DSS 雲端服務也有專屬安全認證
比照銀行PCI-DSS 雲端服務也有專屬安全認證
雲服務可以降低成本又具有彈性,是吸引企業採用的原因之一,但是伴隨雲端服務而來的安全問題,又常常令企業對雲服務感到怯步,為此,雲端安全聯盟(CSA, Cloud Security Alliance)積極推動OCF開放式認證框架,針對雲端服務供應商提供一個安全認證標準。
雲端安全聯盟亞太區總經理張潤才表示,OCF是在ISO 27001的認證基礎上,整合CSA的雲控制矩陣(CCM, Cloud Control Martix)要求,目前CCM共有148項安全要求,如:資料外洩防護措施、登入機制…等,藉此確保雲服務的安全性。不過美國因為金融風暴的緣故,對於安全有不同法規要求,因此美國OCF是以SOC 2(Service Organization Controls 2)為基礎。
OCF分為3層式架構,Level 1為自我評估,由雲服務供應商自我評估是否符合CSA的檢合項目,Level 2則結合第三方組織進行外部稽核(目前以BSI為主),Level 3則是取得認證後的持續維運,由CSA定期對取得認證的雲服務供應商進行稽核。雲端安全聯盟CSA台灣區會長指出,如同銀行有PCI-DSS安全規範一樣,雲端服務供應商也需要有類似的安全認證。
林鴻源進一步表示,OCF還未正式運作,目前正在全球各區域遴選1~2家企業參與先導計劃,預計今(2013)年9月前會完成Level 2的認證,並會在CSA歐洲年會時正式公佈,至於Level 3則計劃在2014年公佈。
目前參與先導計畫的雲端服務供應商,在亞太地區包括阿里巴巴以及新北市政府,歐美地區則有Verizon以及法國電信等,新北市政府研究發展考核委員會主任委員吳肇銘指出,政府開放的資料越來越多,安全也就變得越來越重要,未來包括公務雲(提供予公務員使用)、服務雲(提供予民眾使用)、及開放資料平台(僅提供資料交換)都將導入OCF認證,讓雲端服務能夠在安全與便利間取得平衡點。
轉載自《資安人科技網》
手機惡意App 透過USB充電感染企業PC
手機惡意App 透過USB充電感染企業PC
員工攜帶自己設備上班(BYOD)已經蔚為風潮,許多企業IT採取睜一隻眼閉一隻眼的消極管理,認為不開放連上企業內部網路就沒事。但日前卻仍有禁止員工使用個人行動裝置的企業傳出遭手機惡意程式感染,感染源是名為DroidCleaner的惡意程式,安裝此惡意App將先感染Android手機後再感染PC,此惡意App目前已被下架。
在經過資安專家進行事件調查後,查出某位員工利用傳輸線將手機連上PC的USB port充電。以為只是用來充電,沒想到原先潛伏在手機裡的惡意程式藉此將惡意檔案傳送到公司的PC設備上。在2月初,卡巴斯基研究人員在Google Play上發現一隻偽裝成清理手機記憶體的App──DroidCleaner,使用者下載安裝後會同時被下載三個檔案autorun.inf、folder.ico以及svchosts.exe,只要手機一連上電腦,就會自動執行許多任務,包括開啟麥克風錄音、傳送SMS簡訊、開啟Wi-Fi等等。在新版的Windows作業系統預設關閉Autorun可不受影響。
這隻惡意程式的出現顛覆過去大家認知,以為感染手機的惡意程式不會對PC作業系統產生影響。資安專家提醒,企業必須對員工使用的智慧手機安全提高警覺,雖然DroidCleaner已被下架,但也凸顯目前Android 市集Google Play在程式審核上仍不夠嚴謹,必須採取更積極的管理。
轉載自《資安人科技網》
歐洲Black Hat報告:安全設備不安全!
歐洲Black Hat報告:安全設備不安全!
安全設備的存在是為了抵擋資安威脅,這也使得企業常常誤以為安全設備非常安全,然而,一名資安專家指出,多數的安全設備存在安全漏洞,包括電子郵件和網頁閘道器、防火牆、遠端存取伺服器、整合式威脅管理(United Threat Management,UTM)等。
在日前(3/14)舉辦的黑帽(Black Hat)歐洲2013安全會議上,NCC Group的滲透測試員Ben Williams指出,他針對市面上許多安全設備進行調查,其中不乏賽門鐵克(Symantec)、Sophos、趨勢科技(Trend Micro)、思科(Cisco)、Barracuda、McAfee和Citrix等知名廠商的產品,卻發現超過80%的產品存在嚴重的安全漏洞,而且這些漏洞很容易就可以被找到。
Williams表示,安全設備不安全的原因在於:使用缺乏維護的Linux系統、Web管理介面漏洞多。由於安全設備使用的Linux系統,多為老舊的內核版本(kernel version),或是安裝老舊和不必要的套件,以及缺乏妥善的配置,而且文件系統沒有完整的確認功能、缺乏SELinux或AppArmour內核安全功能,並且缺乏無法寫入和執行的機制。
至於Web管理介面的漏洞則有:
1. 無法防禦暴力密碼破解法(brute-force password cracking)及跨網站腳本的攻擊(XSS, Cross-Site Scripting);
2. 未經身分驗證的用戶可以查詢到產品型號和版本(這也使得攻擊者更容易尋找到這些設備);
3. 跨站請求偽造(CSRF/XSRF, Cross-site Request Forgery),即攻擊者誘騙管理員造訪惡意網站,進而取得管理權限,以及指令插入弱點(Command injection)和權限提升(privilege escalation)等。
至於攻擊方式,則視該設備在網路中的部署而定。Williams表示,安全設備上的漏洞不太可能被應用在大規模的攻擊,但很可能做為目標式攻擊之用,因此目前已經將研究結果通報給相關廠商,而多數廠商也著手開始修補這些漏洞。
另一方面,Williams也建議,為了避免這些漏洞被攻擊者運用,企業最好不要在外部網路環境執行Web管理介面和SSH服務,並將存取權限限制在內部網路中,而管理設備的Web界面也應該使用獨立的瀏覽器,與其他應用進行區隔,以盡可能降低安全風險。
轉載自《資安人科技網》
2013年3月18日 星期一
什麼是網頁內容的品質? 為什麼品質關係SEO的成敗?
什麼是網頁內容的品質? 為什麼品質關係SEO的成敗?
大家都知道搜尋引擎喜歡有品質的內容,如果網頁品質不好,就可能會受到Google Panda演算法的降級,但是什麼是網頁內容的品質呢? 我怎麼知道我的網站內容到底有沒有品質呢? 老實說,每個人都認為自己的內容好的不得了,脽會察覺自己的內容不夠優秀呢?
我們在"什麼才是有品質的內容 (quality content)?"談過,有四個問題你應該自己回答一下,如果能夠符合其中一項的話,那麼就是有品質的內容了。但是這四個問題的標準似乎太高了,可能很多網站沒有辦法產生這樣的內容,我們參考這篇"How the Quality of Your Website Can Make or Break Your SEO Success",以及加上我們的看法,整理了幾項有品質內容應該符合的項目,供給大家參考:
(1) 你的網站看起來是否有專業的感覺?
所謂專業感,可能不同類型的網站有不同的定義。但是基本上不能看起來像是尚未完成,或是過分幼稚。不過專業的網站代表需要花錢,並不是所有的網站都能夠有足夠的預算來讓網站美侖美奐,這裡所謂專業的感覺是指盡可能的在架構上專業,而不是要在美感上專業,只要架構上能夠符合搜尋引擎,在外觀上讓讀者接受,就可以算是符合專業的要求。如我們在網站優化的要求上說的,如果能夠符合配置優化與可解讀性的要求,就可以算是專業的網站。
(2) 你的網頁內容是否能夠讓讀者進行投入?
我們在"10種方法讓你的內容策略更加吸引讀者投入"提過,不是內容行銷就可以獲得成效,光有內容是無法感動讀者的。但是因為所謂投入(engagement)可以有很多類型,所以很難說明那些內容可以引起投入,只能說你的內容要具有足夠的說服力,去完成你所交付的任務。如果發現某些頁面力有未逮的話,就應該調整修改。例如如果你希望頁面要說服讀者加入會員,你可以就完成加入會員的數量來評估網頁的能力,慢慢的修正直到令人滿意。
(3) 你的網頁能否提供友善的瀏覽界面?
這個就是網站優化內所說的使用者介面優化,也就是要讓讀者可以順利沒有問題的瀏覽網頁。在"搜尋引擎友善 Search Engine Friendly (SEF) 不等於搜尋引擎優化 (SEO)"有提到,所謂友善程度有Search Engine Friendly(對搜尋引擎友善)、User Friendly(對使用者友善)、SEO Friendly(對SEO友善),這些都是達成SEO的重要元素,其中User Friendly就是要讓讀者可以順利沒有問題的瀏覽網頁。對搜尋引擎友善的界面,必須讓讀者知道往哪裡去,或是可以順利的找到他需要的內容,如果讓使用者覺得挫折而放棄,就不是對搜尋引擎友善的界面,也就不是有品質的頁面。
(4) 你的網頁是否能夠快速的顯示?
我們在"網站優化的要務 : 速度、速度、速度"就說過,對於搜尋引擎而言,速度影響資料抓取,如果這次抓不到,過陣子再來抓,但是對於使用者而言,如果你的速度實在太爛的話,你可能就永遠失去一個客戶。並且速度越來越是重要因素,因為使用者越來越沒有耐心,搜尋引擎也因為整體網路世界資料越來越多,更是不可能浪費時間在效能很慢的網站上。
(5) 你的網頁能否提供充分的資訊讓讀者了解該頁面所談的主題?
所謂充分的資訊就關係到網頁內容的長短、網頁談論的內容、網頁提供的參考資料或是連結。所以盡可能不要太短,因為過短就不太可能談得太深入,但是這個還跟網頁類型有關係,因此也不太容易說多長才算是符合品質規範。
但是基本上要讓讀者能夠充份瞭解所要傳達的意思,通常除了內容之外,最好有相關內容,這個內容可以是網站內的連結,也可以是網站外的連結。如果一個網頁只有template link (模板連結)而沒有任何的editorial link(內容連結),或是根本該頁面沒有連結,對於網頁來說都不是一件好事。
如在"Outbound Link Effect : 對外連結效應"說的,Outbound link 會與連往的頁面變成內容相關,這個就是搜尋引擎最需要的,如果這些連結真正的反應關聯性,就是搜尋引擎喜歡的有品質的頁面。
(6) 你的網頁中如果有廣告的話,廣告比例與位置是否恰當?
這個廣告比例與位置是Google清楚規範的項目,如果網頁打開就是一大堆廣告,如果把廣告抽掉,就幾乎沒有內容,或是廣告位置容易與內容混淆,都是會被Google認定低品質的。也許你會疑問,如果我的廣告不是Google的廣告,Google有辦法分辨廣告跟內容嗎? 答案是只有很少部分的廣告可能無法辨識,大多的廣告都逃不出Google的法眼的。所以如果想要讓網頁符合品質規範,最好清理一下你的廣告吧。
如這篇"The Top Heavy Update: Pages With Too Many Ads Above The Fold Now Penalized By Google’s Page Layout Algorithm"說的,雖然很難說多少廣告算是太多,但是主要就是不要喧賓奪主,並且Google說:"We have a variety of signals that algorithmically determine what type of ad or content...." 我們有各種以演算法來決定廣告與內容的訊號 ... ,也就是說不要期待你可以騙過搜尋引擎。
(7) 網頁標題與網頁內容是否吻合讀者期待?
是否符合讀者期待也是Google很重視的項目,因為如果Google發現他呈現的搜尋結果是使用者不喜歡的,他會毫不遲疑的把原本的資料下架。但是Google怎麼知道使用者是否喜歡呢? Google可以從各種管道得到的Clickstream知道。所以你的網頁標題如果跟網頁內容不符合,也許短期間可以偷到一些排名的好處,但是一旦被Google發現後,當然就會把你的網頁抽掉了。
(8) 網頁內容能否獲得社交網路的迴響?
這個項目跟上個項目有些類似,不同的是第七項是透過搜尋引擎而來的滿意度,而這個項目是透過社交網路的滿意度。這兩種不同管道的讀者可能目的會不盡相同,透過搜尋引擎而來的讀者是主動尋找,對於內容的要求與需求會較高,而社交網路而來的讀者,是被動看到內容,對於內容要求與需求就會相對較低。但是如果你能夠鎖定較精確的目標讀者的話,這兩者的差異就會降低。因此此時如果網頁內容如果能夠獲得迴響,就能夠表示網頁內容具有品質。
(9) 網頁內容是否原創並且主題是否為搜尋引擎所需要?
原創比較容易理解,就是指自己產生的獨特內容。但是甚麼是搜尋引擎所需要的呢? 比較簡單的說,就是主題不是芭樂的主題,就是搜尋引擎最需要的內容,也就比較容易被搜尋引擎所喜歡而獲得排名的優勢。例如大家知道eHow網站有非常多的內容,但是大部分的內容都屬於芭樂內容,例如: 我如何使用Microsoft Word撰寫專案報告? 我如何使用Microsoft PowerPoint製作專業的簡報? 這些內容大概國中畢業就可以寫的,而且網路上已經有太多類似的內容。
例如我們在"8個簡單步驟,作好On-Page SEO"說到,一連串說到unique (獨特的),就是盡可能不要寫大家都寫過的內容,標題不要大家都用一樣的,這樣才能夠吸引搜尋引擎。
(10) 網頁內容是否文法正確? 標示正確? 連結正確?
這個項目是關於正確性(correctness)的問題,也是搜尋引擎很希望網頁能夠遵守的規範,文法正確的話,Google就可以比較順利的依照各國語言的標準去處理網頁內容。標示(markup)正確,就可以讓Google比較順利的取出正確的語意內容來判斷網頁的意思。連結正確的話,Google就可以不必再花時間去揪出垃圾連結,並根據連結來關聯各個網頁。
可以讓搜尋引擎不需要花太多時間,就可以搞清楚你的網頁內容,就是搜尋引擎喜歡的有品質的內容。
如果你的網頁能夠全部符合上述的條件的話,絕對可以獲得不錯的搜尋排名,因為這些網頁對於搜尋引擎與使用者而言都是優秀的內容,只要是對搜尋引擎與使用者都有幫助的話,就可以保證SEO操作的成功。
轉載自《台灣搜尋引擎優化與行銷研究院》
大家都知道搜尋引擎喜歡有品質的內容,如果網頁品質不好,就可能會受到Google Panda演算法的降級,但是什麼是網頁內容的品質呢? 我怎麼知道我的網站內容到底有沒有品質呢? 老實說,每個人都認為自己的內容好的不得了,脽會察覺自己的內容不夠優秀呢?
我們在"什麼才是有品質的內容 (quality content)?"談過,有四個問題你應該自己回答一下,如果能夠符合其中一項的話,那麼就是有品質的內容了。但是這四個問題的標準似乎太高了,可能很多網站沒有辦法產生這樣的內容,我們參考這篇"How the Quality of Your Website Can Make or Break Your SEO Success",以及加上我們的看法,整理了幾項有品質內容應該符合的項目,供給大家參考:
(1) 你的網站看起來是否有專業的感覺?
所謂專業感,可能不同類型的網站有不同的定義。但是基本上不能看起來像是尚未完成,或是過分幼稚。不過專業的網站代表需要花錢,並不是所有的網站都能夠有足夠的預算來讓網站美侖美奐,這裡所謂專業的感覺是指盡可能的在架構上專業,而不是要在美感上專業,只要架構上能夠符合搜尋引擎,在外觀上讓讀者接受,就可以算是符合專業的要求。如我們在網站優化的要求上說的,如果能夠符合配置優化與可解讀性的要求,就可以算是專業的網站。
(2) 你的網頁內容是否能夠讓讀者進行投入?
我們在"10種方法讓你的內容策略更加吸引讀者投入"提過,不是內容行銷就可以獲得成效,光有內容是無法感動讀者的。但是因為所謂投入(engagement)可以有很多類型,所以很難說明那些內容可以引起投入,只能說你的內容要具有足夠的說服力,去完成你所交付的任務。如果發現某些頁面力有未逮的話,就應該調整修改。例如如果你希望頁面要說服讀者加入會員,你可以就完成加入會員的數量來評估網頁的能力,慢慢的修正直到令人滿意。
(3) 你的網頁能否提供友善的瀏覽界面?
這個就是網站優化內所說的使用者介面優化,也就是要讓讀者可以順利沒有問題的瀏覽網頁。在"搜尋引擎友善 Search Engine Friendly (SEF) 不等於搜尋引擎優化 (SEO)"有提到,所謂友善程度有Search Engine Friendly(對搜尋引擎友善)、User Friendly(對使用者友善)、SEO Friendly(對SEO友善),這些都是達成SEO的重要元素,其中User Friendly就是要讓讀者可以順利沒有問題的瀏覽網頁。對搜尋引擎友善的界面,必須讓讀者知道往哪裡去,或是可以順利的找到他需要的內容,如果讓使用者覺得挫折而放棄,就不是對搜尋引擎友善的界面,也就不是有品質的頁面。
(4) 你的網頁是否能夠快速的顯示?
我們在"網站優化的要務 : 速度、速度、速度"就說過,對於搜尋引擎而言,速度影響資料抓取,如果這次抓不到,過陣子再來抓,但是對於使用者而言,如果你的速度實在太爛的話,你可能就永遠失去一個客戶。並且速度越來越是重要因素,因為使用者越來越沒有耐心,搜尋引擎也因為整體網路世界資料越來越多,更是不可能浪費時間在效能很慢的網站上。
(5) 你的網頁能否提供充分的資訊讓讀者了解該頁面所談的主題?
所謂充分的資訊就關係到網頁內容的長短、網頁談論的內容、網頁提供的參考資料或是連結。所以盡可能不要太短,因為過短就不太可能談得太深入,但是這個還跟網頁類型有關係,因此也不太容易說多長才算是符合品質規範。
但是基本上要讓讀者能夠充份瞭解所要傳達的意思,通常除了內容之外,最好有相關內容,這個內容可以是網站內的連結,也可以是網站外的連結。如果一個網頁只有template link (模板連結)而沒有任何的editorial link(內容連結),或是根本該頁面沒有連結,對於網頁來說都不是一件好事。
如在"Outbound Link Effect : 對外連結效應"說的,Outbound link 會與連往的頁面變成內容相關,這個就是搜尋引擎最需要的,如果這些連結真正的反應關聯性,就是搜尋引擎喜歡的有品質的頁面。
(6) 你的網頁中如果有廣告的話,廣告比例與位置是否恰當?
這個廣告比例與位置是Google清楚規範的項目,如果網頁打開就是一大堆廣告,如果把廣告抽掉,就幾乎沒有內容,或是廣告位置容易與內容混淆,都是會被Google認定低品質的。也許你會疑問,如果我的廣告不是Google的廣告,Google有辦法分辨廣告跟內容嗎? 答案是只有很少部分的廣告可能無法辨識,大多的廣告都逃不出Google的法眼的。所以如果想要讓網頁符合品質規範,最好清理一下你的廣告吧。
如這篇"The Top Heavy Update: Pages With Too Many Ads Above The Fold Now Penalized By Google’s Page Layout Algorithm"說的,雖然很難說多少廣告算是太多,但是主要就是不要喧賓奪主,並且Google說:"We have a variety of signals that algorithmically determine what type of ad or content...." 我們有各種以演算法來決定廣告與內容的訊號 ... ,也就是說不要期待你可以騙過搜尋引擎。
(7) 網頁標題與網頁內容是否吻合讀者期待?
是否符合讀者期待也是Google很重視的項目,因為如果Google發現他呈現的搜尋結果是使用者不喜歡的,他會毫不遲疑的把原本的資料下架。但是Google怎麼知道使用者是否喜歡呢? Google可以從各種管道得到的Clickstream知道。所以你的網頁標題如果跟網頁內容不符合,也許短期間可以偷到一些排名的好處,但是一旦被Google發現後,當然就會把你的網頁抽掉了。
(8) 網頁內容能否獲得社交網路的迴響?
這個項目跟上個項目有些類似,不同的是第七項是透過搜尋引擎而來的滿意度,而這個項目是透過社交網路的滿意度。這兩種不同管道的讀者可能目的會不盡相同,透過搜尋引擎而來的讀者是主動尋找,對於內容的要求與需求會較高,而社交網路而來的讀者,是被動看到內容,對於內容要求與需求就會相對較低。但是如果你能夠鎖定較精確的目標讀者的話,這兩者的差異就會降低。因此此時如果網頁內容如果能夠獲得迴響,就能夠表示網頁內容具有品質。
(9) 網頁內容是否原創並且主題是否為搜尋引擎所需要?
原創比較容易理解,就是指自己產生的獨特內容。但是甚麼是搜尋引擎所需要的呢? 比較簡單的說,就是主題不是芭樂的主題,就是搜尋引擎最需要的內容,也就比較容易被搜尋引擎所喜歡而獲得排名的優勢。例如大家知道eHow網站有非常多的內容,但是大部分的內容都屬於芭樂內容,例如: 我如何使用Microsoft Word撰寫專案報告? 我如何使用Microsoft PowerPoint製作專業的簡報? 這些內容大概國中畢業就可以寫的,而且網路上已經有太多類似的內容。
例如我們在"8個簡單步驟,作好On-Page SEO"說到,一連串說到unique (獨特的),就是盡可能不要寫大家都寫過的內容,標題不要大家都用一樣的,這樣才能夠吸引搜尋引擎。
(10) 網頁內容是否文法正確? 標示正確? 連結正確?
這個項目是關於正確性(correctness)的問題,也是搜尋引擎很希望網頁能夠遵守的規範,文法正確的話,Google就可以比較順利的依照各國語言的標準去處理網頁內容。標示(markup)正確,就可以讓Google比較順利的取出正確的語意內容來判斷網頁的意思。連結正確的話,Google就可以不必再花時間去揪出垃圾連結,並根據連結來關聯各個網頁。
可以讓搜尋引擎不需要花太多時間,就可以搞清楚你的網頁內容,就是搜尋引擎喜歡的有品質的內容。
如果你的網頁能夠全部符合上述的條件的話,絕對可以獲得不錯的搜尋排名,因為這些網頁對於搜尋引擎與使用者而言都是優秀的內容,只要是對搜尋引擎與使用者都有幫助的話,就可以保證SEO操作的成功。
轉載自《台灣搜尋引擎優化與行銷研究院》
專家的搜尋引擎優化預測:2013年四大重要的SEO策略
專家的搜尋引擎優化預測:2013年四大重要的SEO策略
我們曾經在"2013年的SEO優化策略應該如何規劃?"談到幾個2013年的SEO策略,當時談到分散流量、多樣性、語意策略、注重人的因素、社交網路、行動流量,是幾個最重要的SEO策略,我們再來看看其他專家對於2013年SEO策略的看法 ...
這篇"Top 4 Strategic SEO Trends to Watch for in 2013"提到,光在去年的8月、9月,Google就已經更新演算法65次之多,由這麼多次的演算法更新中,各種因素雖然有許多激烈變化,但是有一些固定的趨勢,照著這些趨勢來調整自己的操作,就不會抓不到頭緒了。
(1) Quality is the new SEO (品質是新型態的SEO重點)。
這個跟我們說的~「SEO的方向會由純技術層面轉而更著重人的因素」很類似,以前可以靠著許多作假騙過搜尋引擎,但是越來越不行了,因為這些作假可以被人抓出來,或是被讀者厭惡。在新的SEO型態中,品質是越來越重要了,內容需要品質、連結需要品質、社交也需要品質,已經從量化的SEO變成質性的SEO。
我們在"什麼是網頁內容的品質? 為什麼品質關係SEO的成敗?"也說,你必須使用各種標準去檢討你的網頁,如果你的網頁能夠全部符合上述的條件的話,絕對可以獲得不錯的搜尋排名,因為這些網頁對於搜尋引擎與使用者而言都是優秀的內容,只要是對搜尋引擎與使用者都有幫助的話,就可以保證SEO操作的成功。
(2) Social plays an important role (社交扮演重要的角色)。
我們也說過~ 「社交化的網路活動已經成型」。社交的結果會影響搜尋,已經是無法改變了。我們在"Social SEO: 社交訊號(social signals)到底如何影響SEO?"說到,不管是直接或是間接的影響,都是因為社交訊號(social signals)引起了訪客的反應,然後這些訪客的反應去影響其他因素,剛好這些其他因素就是搜尋排名注重的因素。
並且從原本以訪客為中心的影響,已經變成社交訊號、搜尋排名、訪客三者互動影響。這樣的變化讓社交訊號更加直接的影響了搜尋排名。
(3) Mobile Friendly is Not an Option (對於行動設備友善的環境已經不是選項)。
我們也說~ 「行動設備的流量將會超越桌上型電腦」。也就是你不能再把行動設備友善程度當成有空再來處理,而是已經必需具備的要項。在"為什麼Mobile SEO(行動搜尋優化)很重要?"也說過,你必須具有Mobile Friendly(具有適合行動設備使用的介面)的行動網站,才能夠讓你的網站在行動時代具有競爭力。
(4) The Knowledge Graph (注意知識圖表)。
我們說~ 「語意策略會越來越重要」,這個語意策略就會是Google知識圖表的基礎。我們在"Knowledge Graph與Social Graph的對決"也說,許多讀者需要的是答案,而不是一大堆的資料,而知識圖表就是要滿足這個需求。Google持續的進行各種實驗後,應該可以逐漸接近搜尋者所希望的結果,並且如果你的內容能夠參與這個知識圖表,那麼你的網站當然就能夠更增加曝光。目前雖然知識圖表還屬於知識性的內容,但是後續會慢慢推廣到商業訊息,你的網站必須開始規劃語意策略來因應這種發展。
所以從上面的2013年四大重要的SEO策略來看,其實也跟我們的說法很類似,並且我們的建議還包括更大的範圍,你還必須把握「多樣性」的要素,流量多樣化、連結來源多樣化、錨點文字多樣化、行銷管道多樣化...等等。如果這些都能夠掌握到的話,你的2013年SEO策略就已經很完善了。
轉載自《台灣搜尋引擎優化與行銷研究院》
我們曾經在"2013年的SEO優化策略應該如何規劃?"談到幾個2013年的SEO策略,當時談到分散流量、多樣性、語意策略、注重人的因素、社交網路、行動流量,是幾個最重要的SEO策略,我們再來看看其他專家對於2013年SEO策略的看法 ...
這篇"Top 4 Strategic SEO Trends to Watch for in 2013"提到,光在去年的8月、9月,Google就已經更新演算法65次之多,由這麼多次的演算法更新中,各種因素雖然有許多激烈變化,但是有一些固定的趨勢,照著這些趨勢來調整自己的操作,就不會抓不到頭緒了。
(1) Quality is the new SEO (品質是新型態的SEO重點)。
這個跟我們說的~「SEO的方向會由純技術層面轉而更著重人的因素」很類似,以前可以靠著許多作假騙過搜尋引擎,但是越來越不行了,因為這些作假可以被人抓出來,或是被讀者厭惡。在新的SEO型態中,品質是越來越重要了,內容需要品質、連結需要品質、社交也需要品質,已經從量化的SEO變成質性的SEO。
我們在"什麼是網頁內容的品質? 為什麼品質關係SEO的成敗?"也說,你必須使用各種標準去檢討你的網頁,如果你的網頁能夠全部符合上述的條件的話,絕對可以獲得不錯的搜尋排名,因為這些網頁對於搜尋引擎與使用者而言都是優秀的內容,只要是對搜尋引擎與使用者都有幫助的話,就可以保證SEO操作的成功。
(2) Social plays an important role (社交扮演重要的角色)。
我們也說過~ 「社交化的網路活動已經成型」。社交的結果會影響搜尋,已經是無法改變了。我們在"Social SEO: 社交訊號(social signals)到底如何影響SEO?"說到,不管是直接或是間接的影響,都是因為社交訊號(social signals)引起了訪客的反應,然後這些訪客的反應去影響其他因素,剛好這些其他因素就是搜尋排名注重的因素。
並且從原本以訪客為中心的影響,已經變成社交訊號、搜尋排名、訪客三者互動影響。這樣的變化讓社交訊號更加直接的影響了搜尋排名。
(3) Mobile Friendly is Not an Option (對於行動設備友善的環境已經不是選項)。
我們也說~ 「行動設備的流量將會超越桌上型電腦」。也就是你不能再把行動設備友善程度當成有空再來處理,而是已經必需具備的要項。在"為什麼Mobile SEO(行動搜尋優化)很重要?"也說過,你必須具有Mobile Friendly(具有適合行動設備使用的介面)的行動網站,才能夠讓你的網站在行動時代具有競爭力。
(4) The Knowledge Graph (注意知識圖表)。
我們說~ 「語意策略會越來越重要」,這個語意策略就會是Google知識圖表的基礎。我們在"Knowledge Graph與Social Graph的對決"也說,許多讀者需要的是答案,而不是一大堆的資料,而知識圖表就是要滿足這個需求。Google持續的進行各種實驗後,應該可以逐漸接近搜尋者所希望的結果,並且如果你的內容能夠參與這個知識圖表,那麼你的網站當然就能夠更增加曝光。目前雖然知識圖表還屬於知識性的內容,但是後續會慢慢推廣到商業訊息,你的網站必須開始規劃語意策略來因應這種發展。
所以從上面的2013年四大重要的SEO策略來看,其實也跟我們的說法很類似,並且我們的建議還包括更大的範圍,你還必須把握「多樣性」的要素,流量多樣化、連結來源多樣化、錨點文字多樣化、行銷管道多樣化...等等。如果這些都能夠掌握到的話,你的2013年SEO策略就已經很完善了。
轉載自《台灣搜尋引擎優化與行銷研究院》
2013年3月14日 星期四
IDC:2013年是臺灣Big Data實踐元年
IDC:2013年是臺灣Big Data實踐元年
市調機構IDC發布2013年10大趨勢預測,其中,IDC預測2013年將會有越來越多企業成立專責組織來做巨量資料的分析應用,甚至實際影響商業策略
市調機構IDC日前公布臺灣2013年10大科技趨勢預測,其中,IDC預測,2013年將會是臺灣企業實踐巨量資料應用元年。企業從評估解決方案,到邁向正式採用,臺灣將會有越來越多採用巨量資料分析的案例出現。
成立專責組織負責分析巨量資料,真正影響企業決策
臺灣區IDC研究副總監江芳韻從4個面相來解釋預測結果,她表示,有臺灣企業已開始成立巨量資料專責組織,分析營運資料的工作不再只是散落在各營運部門。此外,企業內也開始採用不同的巨量資料分析工具,例如SAP HANA等。專責組織會先釐清營運需求的分析模型,包括清楚界定資料類型,有哪些營運資料是相關可交叉分析的。
更重要的是,江芳韻表示,這些專責團隊所分析出來的結果,是會真正影響企業營運決策的。
巨量資料專責團隊的最大任務,就是要分析出真正可以幫助營運成長的分析結果,並且給經營者後續營運上的建議和參考標準,營運績效等同於這些專責團隊的工作績效,與過去奉指示分析營運結果的報告大不同。
IDC觀察,臺灣大型製造業、電信業、金融業等,是目前臺灣採用巨量資料應用的先行業者。這些產業中,江芳韻表示,臺灣IC晶圓製造業者,近年來為了增加生產良率,早就有投入巨量資料工具,來分析生產製造過程。
而電信業者,也是IDC觀察積極採用巨量資料分析的產業。近年來,消費者行動上網比例增加,尤其在捷運、都市等人口高密集地區,就很容易發生3G行動上網塞爆的情形,電信業者為了解決高使用率的服務品質問題,也開始採用巨量資料分析工具,來觀察網路封包傳輸的問題。
而IDC也訪查臺灣企業採用巨量資料的態度,其中有超過4成的臺灣企業表示,2013年會受巨量資料趨勢影響而增加IT預算。 2013年將成為企業實踐巨量資料分析應用元年。
轉載自《iThome》
駭客公布美國第一夫人與梅爾吉勃遜等名人個資
駭客公布美國第一夫人與梅爾吉勃遜等名人個資
美國三大信用報告機構Experian、Equifax與TransUnion已證實了這些外流資料的真實性,而Equifax亦坦承某些名人的信用報告內容是來自該服務。
周一(3/11)有一蘇聯網站公布了從美國第一夫人Michelle Obama、副總統Joe Biden、FBI局長Robert Mueller、嘻哈天王Jay-Z、影星Mel Gibson等約20名美國政府官員及明星的個資,包括社會安全碼、電話號碼、地址,以及部份名人的信用報告等,而使得美國FBI與特勤局展開調查。
由於該站所揭露的訊息包含了必須自信用報告機構取得的內容,諸如Obama夫人持有Banana Republic的聯名信用卡,或是Jay-Z有無限額度的美國運通卡,以及這些信用卡的交易紀錄,使得外界很快就聯想到美國的信用報告評等機構。
根據美國媒體的報導,美國三大信用報告機構Experian、Equifax與TransUnion已證實了這些外流資料的真實性,而Equifax亦坦承某些名人的信用報告內容是來自該服務。不過,Equifax與TransUnion都說駭客應是從其他管道取得這些名人的個人資訊,再冒充自己是這些名人來存取信用報告,而不是網站被駭。
該俄國網站的標題為「秘密檔案」(The Secret Files),首頁是一張畫著誇張黑眼圈的女生照片,手指擺在唇上作出「噓」的禁言手勢,使用美國影集《雙面法醫》(Dexter)的獨白「如果你相信上帝能夠創造奇蹟,那麼便應該懷疑撒旦也有袖中乾坤」(If you believe that God makes miracles, you have to wonder if Satan has a few up his sleeve),上線3天就吸引超過30萬的訪客。
對於駭客如何取得這些名人的資料或是為何以這些名人為目標等訊息皆尚不得而知。
轉載自《iThome》
虛擬化可以有秒級擴充力,但要先備好策略
虛擬化可以有秒級擴充力,但要先備好策略
號稱能動態擴充的虛擬化技術,動態調整的速度可以多快?1秒鐘還是1分鐘?想要快速擴充資源,就得先算準最大用量
用虛擬化平臺擴充運算資源的速度可以多快?相較於傳統安裝實體伺服器要數天,甚至數周的部署速度,虛擬化平臺可以在數小時,甚至十來分鐘內,就可以提供一個新的虛擬機器來執行應用系統,的確快上數倍。
甚至,VMware臺灣資深技術顧問鄭建華表示,若是因應可預期的爆量,技術上可以達到「秒」級的擴充力,但若是不可預期的爆量,則只能達到以分為單位的擴充彈性。
「分」級水平擴充方法
鄭建華表示,用虛擬化技術擴充運算資源有3種作法,不同的作法能實現的資源擴充速度不一樣。對於不可預期的爆量需求,例如像手機預購網站塞爆的情況,最快只能在數分鐘內擴充資源,現有技術還無法將虛擬機器的擴充速度,縮短到1分鐘以內。
主要原因是,鄭建華解釋,雖然複製虛擬機器映象檔的速度很快,幾秒內就可以完成,但是虛擬機器內的作業系統開機需要一段時間,再加上應用系統啟動時間,往往需要1分鐘以上,也就拖慢了虛擬化平臺擴充資源的速度,只能達到「分」級的擴充力。
鄭建華表示,實務上一般企業會依據長期用量,也就是觀察一段持續期的用量變化,例如一個應用程式持續10分鐘都處於高負載的情況,才會動態調整來回應。這個持續期也是一種設定應用系統服務等級的方式,常見的持續期有10分鐘、15分鐘或30分鐘。因此,鄭建華表示,對企業內部應用系統而言,以分鐘為單位來擴充資源就夠了。
虛擬化技術的3種擴充方式
|
擴充方式
|
提高運算
資源的速度 |
作法
|
擴充限制
|
|
「分」級水平擴充
|
數分鐘可增加1個虛擬機器
|
建立新的虛擬機器,並完成網路組態和應用系統部署。預先準備內建應用系統的範本映象檔可加快擴充速度。
|
能因應不可預期的爆量需求。
|
|
「秒」級水平擴充
|
數秒內可增加1個虛擬機器
|
要預先完成虛擬機器的部署,包括內建應用系統也要預先建置。並事先開啟這些虛擬機器備用,待有需要時,動態將備用虛擬機器加入伺服器叢集分散用量。
|
需事先知道可能的最大用量,只能應付可預期的爆量需求。
|
|
「秒」級垂直擴充
|
數秒內可提高單一虛擬機器的運算資源
|
動態調整單一虛擬機器所使用的虛擬處理器核心和記憶體數量,來提高運算能力。
|
受限於虛擬機器所在實體機器的功能,難以大量擴充,也無法應付不可預期的爆量需求。
|
「秒」級水平擴充方法
虛擬化技術第二種擴充運算資源的作法,能在幾秒就可以完成動態調整,但前提是企業得先準備好虛擬機器,並且先啟動執行。當提供服務的虛擬機器塞爆時,透過負載平衡設備,將已經啟用的虛擬機器加入服務叢集來分擔流量,這樣擴充資源的速度就可縮短到幾秒內完成。
企業不只得先備妥且開啟足夠多的虛擬機器,並且要在每個虛擬機器中預先裝妥需要的應用系統,才能在應用系統需要擴充時,就能即時獲得支援,鄭建華表示:「企業必須能預估最大的擴充需求,事先備妥所有資源,虛擬化技術才能達到秒級擴充力。」
不過,鄭建華表示,這些備用的虛擬機器雖然開啟了,但是因為沒有實際執行企業應用,不會耗用太多實體伺服器的資源;只是,在一臺實體伺服器中也不能預先開啟太多虛擬機器,免得等到要使用這些虛擬機器時,反而實體伺服器的效能不足而影響虛擬機器。
要實現這樣的秒級擴充力,企業得先估算出最大用量,不管是用最大同時連線數、最大同時連線用戶數,或是最高網路流量等,都要找出應用系統的最高用量。
另外也要事先測試虛擬機器的能力,了解應用系統在不同規格的虛擬機器的執行效能,因為不同的應用程式需要耗用的運算資源不同,在虛擬機器中執行的效能也就不一樣,虛擬機器所配備的運算資源多寡,就影響著應用程式的效能。企業得先量測出不同虛擬機器的效能資訊,再比較所預估的最大用量,就可以計算出滿足最大用量需要多少虛擬機器。
例如一支應用系統在1個雙虛擬核心搭配256MB記憶體的虛擬機器中執行,可以承載1,000名用戶,企業若評估最大要服務10,000名用戶,就得事先啟用至少10個這種規格的虛擬機器,等到應用系統的使用率提高時,就可以在幾秒內擴充新的虛擬機器來分攤負載。
另外,要有秒級擴充力,得導入自動化的動態擴充機制,因為用人工監控流量變化,再手動增加虛擬機器來分流,再快還是需要數秒的時間,速度絕對比不上透過腳本程式呼叫虛擬化管理平臺的API。自動化動態擴充技術可依據警戒值,動態增加或者是減少虛擬機器的數量。
像iPhone 5預購網站或是火車訂票服務,都是提供外部民眾使用的服務,若以分為單位來擴充,速度上仍然來不及因應。這也是中華電信數據通信分公司重新設計臺鐵訂票系統的做法,先預估好最大流量,並且備妥承載最大流量所需的虛擬機器資源,並且在訂票服務啟用前,就先開啟至少能承載過半流量的虛擬機器,才足以快速因應搶秒的訂票行為。
「秒」級垂直擴充方法
上述兩種方式都是水平擴充的作法(Scale-out),虛擬機器還可以採取垂直擴充的方式(Scale-up),直接擴充虛擬機器的規格,例如增加虛擬處理器的核心數,或是動態增加記憶體,來提高應用系統的承載量。
鄭建華表示,這種擴充方式也可以達到秒級擴充的效果,以VMware的虛擬機器為例,單一虛擬機器最大可以增加到64顆虛擬處理器核心,記憶體則可以達到1TB。
但是採取垂直擴充的方式,虛擬機器的擴充能力就會受限於所在的實體伺服器。而實體伺服器的運算資源終究有限,無法使用垂直擴充的方式無限制地提高虛擬機器的運算能力。
整體來說,採用虛擬化技術來動態擴充雲端資源,是有條件的,技術上並非無法達到以秒為單位的反應能力,但在面臨不可預期的暴量需求時,得採取特別設計的作法。
常見的大型雲端服務如Facebook,Twitter、Google搜尋網站,這類網站之所以能快速動態擴充,是因為這些網站服務對資料一致性的要求不同,這類雲端服務可以容忍部分資料遺失,或暫時出現不一致的情況,所以,可以善用分散式架構來快速擴充運算資源。
但是企業應用系統卻不能容許資料出現不一致,尤其是與帳務、財務相關的資訊,所以,就難以採用分散式架構的解決方案,例如分散式的NoSQL資料庫來解決暴量的擴充需求。
企業若是租用公有雲IaaS服務,如Amazon EC2,微軟Azure等服務的虛擬機器,同樣也會遇到虛擬機器內建作業系統開機的延遲影響,而無法在1秒內快速擴充。
當然,租用公有雲服務的好處是,可以事先租用足夠的虛擬機器,等到有實際使用時再按量計費,比自建虛擬平臺更容易實現秒級擴充力的效果。
不過,採用NoSQL資料庫再搭配雲端公有雲服務,也不一定能達到秒級的擴充速度。
例如臺灣打造出全球5百萬下載量手機即時通訊軟體Cubie Messenger的力可科技,就租用了Amazon EC2來執行分散式資料庫Cassandra,每次新增一個服務節點,從取得虛擬機器空機到節點設定完成後,再自動複寫資料、重新平衡資料庫存取負載,啟動分散儲存機制等作業程序,也要10分鐘才能完成,而這已經是非常迅速的擴充速度了。
雲端是救星,但不是萬靈丹
整體來說,從技術上來看,雲端運算所謂的彈性擴充是有前提的,尤其是透過虛擬化技術來實現擴充彈性的作法,不論是技術上,或是實務上,企業應用可以實現以分為單位的擴充力,但要進一步達到秒級擴充力,則還要往前跨好大的一步。
雲端運算失靈了嗎?其實不盡然,事實上,雲端運算解決了不少問題,但雲端運算終究不是萬靈丹。
對許多企業而言,虛擬化能提供30分鐘或是1個小時的擴充速度,就已經足夠了。甚至,服務擴充能力或承載速度,是成本與服務水準的策略考量,要了解不同雲端運算技術的能耐,才不會迷失於雲霧中。
轉載自《iThome》
新世代的 BackTrack > Kali Linux 開放下載
新世代的 BackTrack > Kali Linux 開放下載
說明:(以下引用官方網站的內容)
Kali Linux是一個高級滲透測試和安全審計Linux發行版.
Kali是BackTrack Linux完全遵循Debian開發標準徹底的完全重建.全新的目錄框架,複查並打包所有工具,我們還為VCS建立了Git樹.
1.超過300個滲透測試工具: 複查了每一個BackTrack裡的工具之後,我們去掉了一部分不再有效或者是功能重複的工具.
2.永久免費: Kali Linux一如既往的免費.你永遠無需為Kali Linux付費.
3.開源Git樹:我們是開源軟件忠實的擁護者,所有人都可以瀏覽我們的開發樹,那些想調整或重建包的人可以得到所有源代碼.
4.遵循FHS: Kali被開發成遵循Filesystem Hierarchy Standard,Linux用戶可以方便的找到命令文件,幫助文件,庫文件等.
5.大量支持無線設備:我們構建Kali Linux使其儘可能的支持更多的無線設備,在各種各樣的硬件上正常運行,兼容大量USB和其它無線設備.
6.集成注入補丁的內核:作為滲透測試者或開發組經常需要做無線安全評估.所以我們的內核包含了最新的注入補丁.
7.安全的開發環境:Kali Linux開發團隊由一群可信任的人組成,他們只能在使用多種安全協議的時候提交包或管理源.
8.包和源有GPG簽名:所有Kali的包都在它們編譯和被提交時被每個開發者簽名,而源在其後也對其簽名.
9.多語言:雖然滲透工具趨向於用英語,但我們確保Kali有多語言支持,可以讓用戶使用本國語言定位到他們工作時需要的工具.
10.完全的可定製:我們完全理解,不是每個人都贊同我們的設計決定,所以我們讓更多有創新精神的用戶定製Kali Linux(甚至定製內核)成他們喜歡的樣子變得儘可能的容易.
11.ARMEL和ARMHF支持:自從基於ARM的設備變得越來越普遍和廉價,我們就知道我們將竭盡全力的做好Kali的ARM支持.因此有了現在的ARMEL和ARMHF系統.Kali Linux有完整的主線發行版的ARM源,所以ARM版的工具將會和別的版本同時更新.Kali現在可以運行在如下的ARM設備:
rk3306 mk/ss808
Raspberry Pi
ODROID U2/X2
MK802/MK802 II
Samsung Chromebook
轉載自《Kail Linux》
說明:(以下引用官方網站的內容)
Kali Linux是一個高級滲透測試和安全審計Linux發行版.
Kali是BackTrack Linux完全遵循Debian開發標準徹底的完全重建.全新的目錄框架,複查並打包所有工具,我們還為VCS建立了Git樹.
1.超過300個滲透測試工具: 複查了每一個BackTrack裡的工具之後,我們去掉了一部分不再有效或者是功能重複的工具.
2.永久免費: Kali Linux一如既往的免費.你永遠無需為Kali Linux付費.
3.開源Git樹:我們是開源軟件忠實的擁護者,所有人都可以瀏覽我們的開發樹,那些想調整或重建包的人可以得到所有源代碼.
4.遵循FHS: Kali被開發成遵循Filesystem Hierarchy Standard,Linux用戶可以方便的找到命令文件,幫助文件,庫文件等.
5.大量支持無線設備:我們構建Kali Linux使其儘可能的支持更多的無線設備,在各種各樣的硬件上正常運行,兼容大量USB和其它無線設備.
6.集成注入補丁的內核:作為滲透測試者或開發組經常需要做無線安全評估.所以我們的內核包含了最新的注入補丁.
7.安全的開發環境:Kali Linux開發團隊由一群可信任的人組成,他們只能在使用多種安全協議的時候提交包或管理源.
8.包和源有GPG簽名:所有Kali的包都在它們編譯和被提交時被每個開發者簽名,而源在其後也對其簽名.
9.多語言:雖然滲透工具趨向於用英語,但我們確保Kali有多語言支持,可以讓用戶使用本國語言定位到他們工作時需要的工具.
10.完全的可定製:我們完全理解,不是每個人都贊同我們的設計決定,所以我們讓更多有創新精神的用戶定製Kali Linux(甚至定製內核)成他們喜歡的樣子變得儘可能的容易.
11.ARMEL和ARMHF支持:自從基於ARM的設備變得越來越普遍和廉價,我們就知道我們將竭盡全力的做好Kali的ARM支持.因此有了現在的ARMEL和ARMHF系統.Kali Linux有完整的主線發行版的ARM源,所以ARM版的工具將會和別的版本同時更新.Kali現在可以運行在如下的ARM設備:
rk3306 mk/ss808
Raspberry Pi
ODROID U2/X2
MK802/MK802 II
Samsung Chromebook
轉載自《Kail Linux》
2013年3月13日 星期三
硬體就位 政府、金融、製造業聚焦桌面虛擬化
硬體就位 政府、金融、製造業聚焦桌面虛擬化
隨著個資法以及員工自帶設備上班(BYOD)的風潮,從去年開始延燒的桌面虛擬化方案,今年將繼續成為企業IT關注焦點。且隨著Zero Client等相關硬體周邊設備的逐漸完整,廠商看好今年桌面虛擬化在金融業、政府、以及高科技製造業的成長。
元大寶來證券資訊部副理游庭昆表示,由於法規等外在環境以及新技術方面的演進,如微軟XP升級Win 7/8、PC集中控管、BYOD等需求,元大寶來證券在2012年開始進行桌面虛擬化的導入專案。以個資保護的需求來說,做VDI跟傳統端點作業系統加端點DLP的軟體授權費來比差不多,沒有比較便宜,但VDI可以提供更多附加價值,如BYOD行動安全或作業系統無縫升級,並可節省後續管理的成本。元大自去年開始VDI專案,端點仍是搭配PC,將陸續等到端點PC要汰換時,就會直接考慮用ZeroClient。
VMware台灣區總經理陳學智看好今年桌面虛擬化的成長,來自於個資法、BYOD的需求皆有。而在政府部門,則除了個資法外,還有因為需要實體隔離、雙網隔離的需求而導入VDI的單位。VMWare台灣區副總經理林松源進一步指出,去年許多做VDI的金融、高科技製造都是小規模50-100U的採購,先讓IT部門或高階主管開始用,而今年則有擴大到其他部門的導入規劃。
作者:張維君
轉載自《資安人科技網》
Android危機 96%行動裝置病毒隱藏於此
Android危機 96%行動裝置病毒隱藏於此
行動威脅越來越大,尤其Android裝置風險更高,在所有行動裝置病毒中約莫96%為Android病毒,也因此,資安專家紛紛呼籲應嚴正對待Android安全威脅。
F-Secure最新發布的2012第四季行動威脅報告(Mobile Threat report)指出,Android病毒在第四季時快速提升到96%,比起第三季的49%增加了將近一倍。以2012年全年度來看,Android病毒占整體行動威脅的比例高達79%,相較於2011年的66%增加了13%。Symbia病毒以19%排名第二,其他平台的病毒占比則均在1%以下,包括iOS(0.7%)、J2MEW(0.7%)、Windows Mobile(0.3%)和Blackberry(0.3%)。
若進一步分析Android病毒的變化,第一到第三季的比重均落在46~49%,差異不大,第四季則快速飆升至96%。另一方面,Symbian病毒在前三季雖然有逐步增加的趨勢,但於第四季時,從第三季的21%急速下滑到4%。
病毒數量的增減也反映了行動平台的消長趨勢。Symbian病毒在2010年時以62%的比例遠高於Android的11%,2011年為兩者消長的交叉點,Android以66.7%取代Symbian(29.7%)成為最嚴重的威脅。F-Secure安全顧問Sean Sullivan表示,隨著Symbian被其他平台取代(尤其是Android),讓Symbian病毒快速式微,甚至可能在2013年銷聲匿跡。
報告指出,Android病毒快速增加主要是來自於付費簡訊(Premium SMS)的應用,其占整體Android病毒的21%,一旦手機遭受這類型病毒的感染,就會主動發出付費簡訊以訂閱服務,而達到欺詐目的。此外,銀行木馬程式也成了重要的威脅,透過竊取網路銀行的行動交易確認碼(mobile Transaction Authentication Number,mTAN),即攔截銀行傳送到用戶手機的交易確認密碼,進而將用戶帳戶中的金額轉出。
除此之外,有資安專家表示,Android的開放平台和App商店都是造成Android比其他平台更加危險之故,另外,多數Android裝置仍採用舊的版本,也被視為是相當嚴重的問題。根據Google最新資料顯示,高達44%的Android用戶使用兩年前推出的Gingerbread版本(2.3-2.3.7),該版本雖然存在許多安全漏洞,惟已經在後續版本被修復,但是最新版本Jelly Bean(4.1-4.2)的使用者卻只有16.5%。
不過也有人質疑F-Secure過度誇大Android病毒和行動威脅的問題,對此,另一家資安公司趨勢科技(Trend Micro)的全球副總裁Rik Ferguson於3/8撰文呼籲行動威脅的嚴重性。Rik表示,很多人認為過去兩年均被稱之「行動威脅元年」,但事後證明只是誇大,不過現在,這個問題是真的已經存在,而不是再一次的「狼來了」!
Rik進而指出,Trend Micro分析了200萬個以上的行動app樣本,結果發現有近30萬個是惡意程式,其中有6.9萬個來自Google Play,占Google Play上全部70萬個app的近十分之一,顯見行動威脅嚴重性。
Bitdefender資深電子威脅分析師Bogdan Botezatu也表示,Android病毒已經帶來銀行木馬、行動間諜、隱私入侵等威脅,而且隨著行動裝置提供付費機制,未來的Android威脅會更加危險!
轉載自《資安人科技網》
把握關機前黃金時刻 從記憶體鑑識取證臉書線索
把握關機前黃金時刻
從記憶體鑑識取證臉書線索
中央警察大學資訊密碼暨建構實驗室(ICCL)
本文將以社交網路Facebook為例,探討犯罪者盜用他人在網路上公布之個人相關資料,進行身分竊盜犯罪行為,並利用記憶體鑑識技術來協助鑑識人員找尋犯罪之證據,以還原事實的真相。
在過去沒有電腦與網路的時代,人們間進行社交活動,都需要透過直接面對面的互動,以傳達訊息與資料,但是在電腦及網際網路出現後,人們不但可以從網路上獲取資訊,也逐漸藉由電腦網路技術服務,如聊天室、討論區、BBS、E-mail、MSN等,與朋友們保持聯繫或分享檔案。
這些在Web 2.0的概念與技術發展後有了不同的面貌,這種基於分享、參與的新理念,開啟人們網路社交互動的另一扇窗,許多社交網路服務(the Social Networking Service,SNS)網站因應而生,這些社交網路服務網站基於Web 2.0技術讓使用者與朋友們彼此保持密切聯繫,或協助使用者找尋失聯已久的朋友,強化並擴大使用者的社交圈。
與傳統、單純的交友網站相比,社交網路服務網站提供使用者相當多的功能,尤其是使用者自創內容(User Generated Content,UGC)服務,有別於以往網站對使用者單方向的提供資訊,在社交網路服務網站中,使用者得以自行決定在網站上發布的內容,包括文字、照片、影音等等,甚至還能設定可觀看訊息的對象或群組,讓使用者能夠輕鬆地與朋友分享各類影音與訊息,也可以隨時掌握朋友的最新動態,或邀請朋友加入有興趣的社團及活動,這些都是社交網路服務網站促進彼此的交流與互動的功能。
由於社交網路服務網站與需要安裝程序才能使用的軟體不同,使用社交網路服務網站無須安裝程式,所以殘留在電腦內的數位證據相對較少。
因此,本文以使用者最多的社交網路服務網站「臉書(Facebook)」為例,藉由案例來實際操作解說,探討執法單位及鑑識人員如何透過數位鑑識技術,在揮發性記憶體內找尋犯罪相關的數位證據,來還原事實的真相。
記憶體鑑識
在一般的數位鑑識方法上,電腦設備的實體記憶體(Physical Memory)資料蒐集與分析往往並沒有扮演著關鍵角色。記憶體又可分為揮發性記憶體與非揮發性記憶體兩種。揮發性記憶體是指一旦失去電源後,儲存在其中的資料就會消失的記憶體。反之,非揮發性的記憶體在電源消失後,資料仍會存留在其中。大多數的電腦鑑識技術是處理非揮發靜態儲存媒體(Non-volatile Static Storage Medium),如硬碟、CD、DVD及快閃記憶體裝置。
數位鑑識過程中有兩個重要的步驟,分別是保全數位資料及分析資料,這對於非揮發性的靜態媒體來說,這些步驟是相當基本的。然而,實體記憶體不同於前者,它難以保全及分析資料。
另外,從靜態媒體和實體記憶體所回復的資料屬性亦不同,靜態媒體是一個資料長期儲存的地區,反之,實體記憶體是當作業系統處理運算資料時,資料短期暫存的區域。
因此,實體記憶體較難去從中得到資料以及進一步分析,且以往也常被認為是比靜態媒體有較少的獲益點。基於以上這些理由,記憶體鑑識不如傳統上的數位鑑識方法,被使用在數位鑑識的過程中。
隨著科技日新月益,儲存裝置在容量和反鑑識科技(Anti-Forensic Technologies)不斷地成長,如磁碟加密,已經變得普遍取得且容易使用,而藉由網路的應用,線上和網路應用軟體的趨勢已經變得越來越普遍。
以傳統的角度來看,實體記憶體的使用是被當作只能提供很少益處,且必須花費相當的努力及有高風險。然而,因為科技的發展如網路聯絡技術,著手在記憶體分析所得的潛在利益,將會比花費和努力更重要。因此,實體記憶體的使用可能掌握了回復具價值性證據的關鍵。
為了對數位證據進行扣押或證據鏈,而將電腦設備關機,所有在揮發性記憶體中的珍貴資訊將永遠消失。這個不可逆的過程,可能會危及正在進行調查的犯罪案件。因此,在蒸發之前取得數位證據,鑑識人員在犯罪現場要立即處理,是個迫在眉睫且具挑戰性的任務。
社交網路服務及Facebook
雖然社交網路服務提供的新功能給使用者,卻也提供新的犯罪場景給有心人士。有別於傳統的交友網站,在社交網路服務網站上,使用者可找尋原本就認識的朋友來建立朋友關係,但是多數人僅憑藉網路上顯示的照片或資料,未嚴加審核、確認該帳號的真實身分,即認定該帳號為某個好友,或甚至根本沒有檢查、把關,即接受網路上任意的交友申請,分享個人資料與動態,很容易因此成為有心人士進行社交工程攻擊的目標。
Facebook是一個起源於美國的社群網路服務網站,它為人們帶來另一種新型態的社交模式,用戶可以自行決定在網站上發布的內容,包括文字、照片、影片等等,也能設定可觀看的訊息對象或群組,讓用戶能夠輕鬆地與朋友分享各類影音與訊息,也可隨時掌握朋友的最新動態,或邀請朋友加入有興趣的社團及活動。
Facebook同時也開放應用程序介面(Application Programming Interface,API)讓第三方軟體開發者可以開發在Facebook上使用的各種應用程式或遊戲,促進用戶和朋友間的交流與互動。
因為Facebook所提供的眾多方便功能以及免費註冊的特性,讓它成為目前最受歡迎的社群網路服務網站。根據Facebook的數據統計,截至2012年9月,Facebook已經擁有超過10億個活躍的用戶。
Facebook發展至今已不再是一般的社群網路服務站,它結合了許多方便的功能,本篇文章將一些熱門的功能整理成一個表格方便理解,如表1所示。
表1 Facebook網站功能
不像非常流行的即時通應用程式Skype,Facebook需要使用者登錄E-mail用來辨識。反過來說,Skype要求使用者先申請一個Skype帳號,而且還要安裝軟體才能在用戶端正常執行。
在某些情況下,這些安裝程式會在檔案目錄或是Registry留下數位痕跡,這與Facebook完全不同。Facebook使用者只要在Facebook伺服器上註冊,不需要安裝程序,也不會像Skype一樣留下數位痕跡,因此本文從電腦中的揮發性記憶體中找到些許殘存證據,證明使用者剛剛執行Facebook的動作及行為。
Facebook鑑識
雖然Facebook所提供的網路安全機制似乎無法提供鑑識的線索,然而由於Facebook傳送資料前仍須經由記憶體進行訊息的接收與讀取,故經由記憶體的鑑識便能取得有利的數位證據。相關說明,討論如下:
Facebook記憶體鑑識實驗
對於記憶體鑑識的方式,已經有好幾種針對實體記憶體傾印的工具被發展出來。這些工具在細節操作上雖大多不同,但在理論上都是相同的。所有的工具都以達成可以直接讀取實體記憶體為目標。
本次實驗所使用的MANDIANT是一個免費軟體, 可以在網路上免費下載(http://www.mandiant.com/products/free_software)。使用時可分為以下幾個細部功能:
1. MemoryDD.bat主要用途是將電腦中的揮發性記憶體做成一個完整大小的映像檔(Image File)。
2. Process.bat可列出電腦執行中的程式、啟動時間及路徑。
3. DriverSearch.bat可列出電腦目前載入那些SYS檔,以利於鑑識人員判讀。
4. HookDetection.bat可列出作業系統中目前有那些hooks檔正在執行。
在這實驗中所需要用到的,便是MemoryDD.bat將記憶體做傾印。
而MadEdit是一款跨平台的編輯器,可運行於Linux、Windows系統,可對十六進制進行編輯,是一款FOSS(Free or Open Source Software,免費或開源軟體)軟體。
接下來,會以範例介紹如何運用MemoryDD.bat和MadEdit系統去讀取電腦裡Facebook存放在記憶體中的通訊內容,這對調查嫌疑人的相關證據相當有幫助。
範例演練
A君是進行詐騙犯罪的慣犯,而B君和C君是熟識的朋友,並且在Facebook上也互為好友。A君在Facebook建立一個帳號,利用B君在網路上分享的資料與照片,盜用B君的身分,在Facebook上與C君成為朋友關係,並透過C君所公布的Facebook塗鴉牆、個人訊息、照片內容等相關資料,了解C君的生活與動態、B君與C君的關係。
後來,A君的帳號以手機損壞無法使用且有急需為由,透過即時訊息功能,請C君協助購買網路遊戲點數,代收網路遊戲認證碼簡訊,並請C君告知認證碼,該帳號在獲取認證碼後即失去聯絡,C君在收到手機帳單,並向朋友B君詳加查證後,始知已遭到歹徒詐騙,及B君的身分被人盜用。
經由鑑識人員積極追查到A君的電腦,但A君矢口否認使用該Facebook帳號,此時,該如何證明A君確實使用過該帳號,為鑑識人員須提出證明並努力的方向。
在以下的章節中,將介紹鑑識人員如何從Facebook使用者端的記憶體中取出敏感性的資料。鑑識人員可藉此得到使用者登入帳號ID及帳號與密碼等資訊,以作為A君犯罪的證據或是往後追查的線索。
以下就是鑑識取證的步驟:
步驟一:將電腦中的揮發性記憶體製作或完整的映像檔
暫存於記憶體裡的所有資料,很有可能有嫌疑犯A君的犯罪證據。若第一線的鑑識人員打算將電腦關機,再將其帶回進行數位鑑識,暫存於記憶體裡的所有資料都會隨著電源的關閉而消失,這樣的話,就錯失了取得證據的最好時機。
要了解掌握取證的時機,在現場時就可以進行記憶體傾印(Memory Dump)來蒐集運轉中電腦主機裡的記憶體資訊,以便進一步分析暫存於記憶體裡的資訊。
MemoryDD.bat是可用來進行記憶體傾印的工具。MemoryDD.bat進行傾印(Memory Dump)時,會在DOS介面下自動進行,並在該安裝好的資料夾內新增一個資料夾,且產生記憶體映像檔。在圖1中,鑑識人員執行MemoryDD.bat完成後,就會如圖2所示,在MANDIANT資料夾下產生一個記憶體的映像檔。
▲圖1 以MemoryDD.bat進行記憶體傾印。
▲圖2 完成產生記憶體映像檔。
步驟二:進一步取得嫌疑犯登入的帳號ID
對於嫌疑犯A君,取得該嫌疑犯的ID對於線索的追查具有相當高的價值。從步驟一中所得到的映像檔,利用MadEdit可以取證映像檔中的使用者ID。如圖3所示,A君的使用者ID是1594132314。
▲圖3 找到使用者ID。
步驟三:使用者登入的帳號及密碼
回復密碼檔具有相當高的價值性,並可看出使用者的特徵,因為使用者經常會在其他的軟體或網頁上使用相同的密碼。
在某些特定使用的通訊科技中,密碼還可以被用來得到額外的資訊。例如,一些系統提供藉網路介面的帳戶資訊頁面,可以提供存取的資訊,例如語言信箱的訊息或是聯絡歷史記錄,都無法以其他方式
來獲得。 圖4顯示,在關鍵字pass=的查詢結果中發現有一段「email=cdcc3005@yahoo.com.tw&pass=richard168」文字,表示A君曾用cdcc3005@yahoo.com.tw登入Facebook,且密碼為richard168,並進一步利用所獲得的帳號及密碼登入Facebook,得知嫌疑犯A君和聯絡人彼此間所傳送的資料,如圖5所示,提供給鑑識人員追查的線索。
▲圖4 關鍵字pass=的搜尋結果。
▲ 圖5 由A君的Facebook帳號得到A君與聯絡人間互動內容。
由實驗結果可以蒐集到A君在Facebook所登入的帳號ID,並利用關鍵字得到A君Facebook的登入帳號與密碼,進一步蒐集到A君與其他聯絡人的聯絡內容,以深入了解A君在網路上與他人的互動細節、關係背景、聯絡頻率等等,而這對於鑑識人員來說,是一個很重要的證據來源。
結語
在許多人的日常社交活動中,Facebook扮演非常獨特的角色,但是它也造成潛在的威脅,個人資料可能會被不請自來的訪客任意破壞、散布及誤用。但無可避免地,隨著網際網路的快速發展以及全球網路漸趨完備,社群網站在未來的鑑識工作中將會越來越重要,藉由本文討論所取得的資料,將成為在Facebook鑑識的重要數位證據。
轉載自《網管人》
小心來自網路間諜程式 MiniDuke 的攻擊
小心來自網路間諜程式 MiniDuke 的攻擊
圖一、透過 Adobe Reader 攻擊的網路間諜程式 – MiniDuke (圖片來源)
最近,MiniDuke 這個間諜程式用不到兩周的時間劫持了 59 台電腦,包含 23 個國家的政府組織、研究機構及私人公司皆受到攻擊。MiniDuke 不同於以往的惡意程式,它有二點獨特之處:
1. 它只有 20KB 的大小,比目前多數的間諜程式小上許多
2. MiniDuke 使用組合語言 (Assembler) 撰寫,這在一般的惡意程式中相當罕見。
MiniDuke 冒充成機構或個人寄送含有 PDF 附件的電子郵件(此為一種魚叉式網路釣魚手法),該惡意 PDF 檔案利用最近已修補的 Adobe Reader 9/10/11 安全漏洞來發動攻擊。一旦使用者開啟該 PDF 檔案後,系統會自動下載惡意軟體,並連結到特定的 Twitter 帳號,之後 MiniDuke 便能夠在未經使用者允許的情況得到使用者的 Twitter 帳號,並透過加密的檔案開啟其他後門程式 (Gauss 網路間諜惡意程式 (英文)也採用相同的加密手法,避免惡意程式在不同系統中被分析識破的可能),讓駭客存取、移動和移除資料然後透過社群網路再次傳播。
提醒使用者,記得開啟作業系統中的『自動更新』功能來下載最新的資訊安全風險更新程式。當收到不在您預期的電子郵件,不管它是否『看起來像是』來自某個官方網站的郵件,不要立即開啟這些電子郵件所含的附件檔,也不要按下郵件中的任何連結,如果有任何疑問,可以打電話詢問原廠。如此便能很大程度的避免間諜程式的威脅!
轉載自《台灣微軟資安部落格》
2013年3月7日 星期四
Google公開搜尋結果的工作原理
Google公開搜尋結果的工作原理
當一次搜尋開始的同時,第一步就是得從30兆個獨立網頁中抓取和索引資料,2008年的Google官方報告還只有1兆個網頁,五年之內就成長為「30兆」個網頁,實在相當驚人;這些資訊全都儲存在Google索引(Google Index),目前大小約為1億GB,大約等同於300萬個我們平常所使用的USB隨身碟。
接著Google試著解讀你到底想要搜尋些什麼,因此演算法在此登場,包括拼音、自動完成文字輸入(autocompletion)、同義詞等功能,當Google認為已經清楚知道你想要知道的是什麼,就會從30億個網頁中將結果拉出,不過此時,Google還不會將結果呈現給你。
Google接下來繼續利用超過200個神祕因素評判搜尋結果,例如網頁品質、網域年份、內容的安全與適切性、以及你的背景資料(像是地點、Google+歷史紀錄、是用平板還是手機等);搜尋結果會在八分之一秒(不會超過太多)就呈現在你的電腦、平板、或是手機上。
千萬別以為這樣就結束了,Google如何測試真的執行了搜尋呢?Google也不全然都是電腦化,也會利用真正的「人力」評估搜尋結果,一年約進行4萬5千次,測試者確認搜尋結果並給予改善建議。那麼關於垃圾網頁的問題呢?無用網頁若是在Google搜尋排名排得很前面,試圖吸引網友點擊,Google會通知該網站,目前每個月約需通知4萬到6萬個這樣類型的網站。
原文出處:http://www.google.com/intl/zh-TW/insidesearch/howsearchworks/thestory/index.html
當一次搜尋開始的同時,第一步就是得從30兆個獨立網頁中抓取和索引資料,2008年的Google官方報告還只有1兆個網頁,五年之內就成長為「30兆」個網頁,實在相當驚人;這些資訊全都儲存在Google索引(Google Index),目前大小約為1億GB,大約等同於300萬個我們平常所使用的USB隨身碟。
接著Google試著解讀你到底想要搜尋些什麼,因此演算法在此登場,包括拼音、自動完成文字輸入(autocompletion)、同義詞等功能,當Google認為已經清楚知道你想要知道的是什麼,就會從30億個網頁中將結果拉出,不過此時,Google還不會將結果呈現給你。
Google接下來繼續利用超過200個神祕因素評判搜尋結果,例如網頁品質、網域年份、內容的安全與適切性、以及你的背景資料(像是地點、Google+歷史紀錄、是用平板還是手機等);搜尋結果會在八分之一秒(不會超過太多)就呈現在你的電腦、平板、或是手機上。
千萬別以為這樣就結束了,Google如何測試真的執行了搜尋呢?Google也不全然都是電腦化,也會利用真正的「人力」評估搜尋結果,一年約進行4萬5千次,測試者確認搜尋結果並給予改善建議。那麼關於垃圾網頁的問題呢?無用網頁若是在Google搜尋排名排得很前面,試圖吸引網友點擊,Google會通知該網站,目前每個月約需通知4萬到6萬個這樣類型的網站。
原文出處:http://www.google.com/intl/zh-TW/insidesearch/howsearchworks/thestory/index.html
2013年3月6日 星期三
通訊軟體大進化 當心個資外洩和成癮
通訊軟體大進化 當心個資外洩和成癮
想像如果有一天你的生活沒有行動通訊軟體會是如何?行動通訊軟體已經是現代人生活中不可或缺的一環,甚至造就「低頭族」的現象,市面上行動通訊軟體五花八門,然可愛貼圖硬是讓LINE在眾多行動通訊軟體中脫穎而出,但近期有不肖業者利用可愛貼圖名義擷取個資,便利與可愛的LINE背後有兩個問題值得深思:手機成癮與個人隱私問題。
無所不LINE 手機成癮症候群
你是否會覺得手機時常在震動?是否會時不時察看手機螢幕?小心,你可能得了「手機上癮症候群」。LINE、Whatsapp或是WeChat等行動通訊軟體隨時連線的即時性,讓人隨時隨地接收訊息不漏訊,但也造成許多成癮者。根據國內精神科就診人數統計,手機成癮者患者在近兩年內激增三成,許多患者多半發生於使用智慧型手機半年至一年後出現症狀。
美國新聞網站CIOInsight介紹九種智慧型手機成癮症症狀,其中一項為「時常不停地打字」,完全沉浸於文字與簡訊的世界,彷彿離不開聊天軟體。台灣近期因電訊機房火警,造成多家大型網站服務斷線,間接導致LINE無法運作,網友罵聲不斷,可見許多人高度仰賴LINE與友人聯繫。
按讚送貼圖 隱私權疑慮
究竟是什麼原因讓許多人離不開LINE?LINE是第一個推出「貼圖」的行動通訊軟體,可愛貼圖佔據一半螢幕,與以往表情符號與文字不同,生動、活潑與貼切的可愛貼圖,道出許多人的心情,不定期推陳出新的可愛貼圖,更抓緊使用者忠誠度。前陣子有不肖業者看準貼圖商機,利用臉書粉絲頁按讚送貼圖活動,擷取使用者個人資料,對民眾來說是詐騙行為,但對企業來說可算是另類行銷手法。
LINE貼圖有付費和免費兩種,不肖業者利用免費貼圖跨區贈送功能,吸引使用者前往粉絲頁按讚並留下帳號,對此,LINE已關閉跨區贈送免費贈圖功能,不肖業者目前已無法藉此騙取使用者個資,至於付費貼圖方面,不肖業者更不可能付費購買貼圖再轉送給使用者。LINE顧問表示,針對使用者個資部分,LINE背後有一套訪賭機制,無須擔心,不過還是要提醒使用者切勿將帳號給不明人士。
LINE平易近人的操作介面及可愛貼圖成功擄獲大眾,並且在大多數人生活佔有一席之地,但過度沉迷LINE除了影響時間分配外,更可能改變原來生活,另外,隱私權一直是LINE的相關爭議,使用者在送出任何確認前,應先審慎考量後果,得以免除個人資料外洩的危機。
記者/黃馨儀
轉載自《電子商務時報》
2013年3月5日 星期二
Samsung Galaxy Note II 爆發跳過螢幕鎖的漏洞
Samsung Galaxy Note II 爆發跳過螢幕鎖的漏洞
說明:
除了 iOS 6.1 前一陣子有相同漏洞外,現在 Android 的 Samsung Galaxy Note II 也出現啦!
由於筆者我並沒有該手機,所以國外爆出這個By Pass的漏洞時,並無法親自實驗可行性,如有讀者正好已經先更新,請留言是否真的可跳過去!
這個問題經由安全研究人員 TerenceEden 發現的,無需任何工具或手段,僅需在適當時機按下螢幕上首頁相對應的程序就能直接開啟該程序,繞過了系統解鎖介面。
整個過程很簡單,在鎖屏介面點選緊急呼叫,隨後點擊左下方的緊急呼叫聯繫人 ICE 按鈕,最後按下Home鍵,此時Home頁會短暫出現。
對於企圖利用此漏洞的人來說,可以運行哪些程序完全取決於使用者將哪些應用放在了首頁上,在此Home頁快速閃過的過程中快速點擊頁面上的相應程序即可運行。
步驟:
1.Lock the device with a "secure" pattern, PIN, or password.
2.Activate the screen.
3.Press "Emergency Call".
4.Press the "ICE" button on the bottom left.
5.Hold down the physical home key for a few seconds and then release.
6.The phone's home screen will be displayed - briefly.
7.While the home screen is displayed, click on an app or a widget.
8.The app or widget will launch.
9.If the widget is "direct dial" the phone will start ringing.
原文引用:
研究人員警告有新的Java漏洞與攻擊
研究人員警告有新的Java漏洞與攻擊
這與同樣在上周Security Explorations所爆的兩個零時差漏洞並不相同,新的漏動已出現攻擊,駭客利用該漏洞掌管Java虛擬機器(JVM)中的記憶體,並下載McRAT 木馬程式。
資安業者FireEye上周警告又出現新的Java零時差漏洞,且駭客已透過瀏覽器針對該漏洞展開攻擊。
這與同樣在上周波蘭資安公司Security Explorations所爆的兩個零時差漏洞並不相同,Security Explorations所發現的兩個漏洞會繞過沙箱保護機制,但只影響Java 7。
FireEye表示,不像其他著名的Java漏洞能夠輕易關閉安全管理員,此一漏洞可於Java虛擬機器(JVM)中任意讀寫記憶體,該漏洞一旦被觸發,攻擊程式便會尋找掌管JVM內部資料架構的記憶體,然後覆蓋它,成功攻擊後便會下載一個惡意執行檔McRAT ,這是一個木馬程式,將會繼續自遠端伺服器接收其他惡意程式。
該漏洞影響了Java v1.6 Update 41及Java v1.7 Update 15,後者是甲骨文最近才更新的版本。不過,由於該攻擊必須覆蓋大塊記憶體,因此並不是非常可靠,即使下載了執行檔,也無法成功執行它,只會導致JVM當掉。
FireEye指出,已通知甲骨文,公布此一漏洞的目的在於警告大眾,因為該漏洞波及了Java v1.6 與Java v1.7最新的兩個版本,使用者應該要關閉瀏覽器中的Java功能一直到甲骨文釋出更新為止,或是將Java設為高安全等級,以避免執行任何未知的Java程式。
層出不窮的Java漏洞已讓業者及甲骨文幾乎無法招架,Facebook、蘋果及微軟的工程師都因以支援Java的瀏覽器造訪iOS開發者網站iPhoneDevSDK而被駭,駭客甚至企圖入侵這些業者的內部網路,甲骨文今年以來則已釋出3次Java更新,其中兩次為緊急更新。(編譯/陳曉莉)
轉載自《iThome》
2013年3月4日 星期一
如何成為Full Stack SEO?
如何成為Full Stack SEO?
SEO人員到底是技術人員還是行銷人員? 是很難說得準的事情,SEO人員不能只有技術,也不能只懂行銷,而是必須技術與行銷兩種能力兼具,這樣的人多不多呢? 老實說真的很少 ...
最早我們在"網站優化是一個既科技又藝術的大工程"說,SEO不是網站優化,網站優化所需要的技能與知識包括了:視覺設計、人機界面、企業知識、軟硬體知識、網頁結構、網路技術、搜尋技術、寫作知識、語意技術 ... 等等太多東西。但是現在的情勢是希望SEO人員要進行網站優化,甚至於更多。
也在"台灣SEO市場是在擴大還是縮小?"說到,SEO的工作要升級成為Organic Web Strategist(自然網路策略家),其實就是SEOer要搖身變成ZMOTer啦,SEO達人就是要變成「零類接觸行銷專家」的意思。
現在這篇"We Need More Full Stack SEOs"也出來說,現在需要的是全方位的SEO人員。Full Stack就是在很廣泛的各種領域都要包括的意思,並且全方位的SEO人員不僅要全方位的知悉,還要全方位的精通(Full Stack Expert)。也就不僅要是一個通才,還要是一個各領域的專才。也就是作者說的~ The SEO Professional Skill Set is Both Specialized and Broad,SEO專家必須具有廣泛又精通的能力。
如下圖,SEO專家所需要的能力多樣性,高於初創公司,更高於傳統的工作。
如下圖,SEO的工作兼具了技術、行銷、銷售的領域。
如下圖,SEO所需要的跨界領域,已經是CEO等級的程度了。
但是我們的就業市場能夠給這樣的人才多少的薪水呢? 他必須要能夠做網管及硬體的工作,他必須要能夠做程式設計的工作,他必須要能夠做網頁美工的工作,他必須要能夠做文案行銷的工作,他必須要能夠做專案管理的工作,他必須要能夠做社交行銷的工作,他必須要能夠規劃企業策略的工作 .... 搞半天,SEO人才其實已經可以自己一個人開一家公司了。
這樣的SEO人才至少應該領別人三倍以上的薪水。
所以如果想要在SEO領域上有所發展,就必須要調整自己的能力變成Full Stack SEO,否則可能即早轉換跑道會比較開心。但是誠如作者所說的 ~ The benefits of being a well-rounded SEO professional will surely bear fruit in the long run, both in your strategic and tactical practice. 成為一個真正的SEO專家之後就能夠嘗到最終的甜美果實。
轉載自《台灣搜尋引擎優化與行銷研究院》
2013年3月1日 星期五
2013服務業IT投資- 行動化帶動服務業IT投資意願
2013服務業IT投資- 行動化帶動服務業IT投資意願
服務業積極擁抱行動裝置,帶動平板與Wi-Fi需求
2013年服務業IT投資
- 平均IT投資金額:5,917萬元
- IT預算成長率:6.27%
服務業營收和經濟發展息息相關,景氣不佳影響服務業IT投資意願,2013年IT預算成長率是近3年最低。
電信業大舉擴建機房,拉高服務業平均金額
產業景氣不佳,連動影響服務業的IT投資,服務業在2013年的IT預算略低於整體平均,為各產業中的第三名。調查數據顯示,有多家電信業者今年度的IT預算,因應大舉擴增機房而有大幅度增加,間接拉高2013年服務業的整體IT預算。若不計電信產業,其他服務業2013年整體平均IT投資約為3千萬元。
服務業 IT預算配置
服務業 雲端服務占IT預算比例
服務業 新專案占IT預算的比例
服務業 委外占IT預算的比例
服務業 2013年軟體投資動向
註:數值代表2013年投資該項的企業比例
服務業 2013年Windows 8導入趨勢
服務業 2013年Office 2013導入趨勢
服務業 2013年伺服器導入趨勢
服務業 2013年用戶端設備平均導入數量
服務業 資安投資Top10
註:數值代表2013年投資該項的企業比例
|
1.個資法
|
68.5 %
|
|
2.防毒防駭
|
53.2
|
|
3.郵件安全
|
45.0
|
|
4.垃圾郵件過濾
|
37.8
|
|
5.入侵偵測/防禦
|
35.1
|
|
6.上網行為管理
|
32.4
|
|
6.資料庫安全
|
32.4
|
|
8.無線網路存取控管
|
30.6
|
|
9.Log管理
|
29.7
|
|
10.文件控管
|
27.9
|
服務業 網通投資Top10
註:數值代表2013年投資該項的企業比例
|
1.網路設備升級
|
55.9%
|
|
2.Wi-Fi無線網路
|
43.2
|
|
3.專線頻寬
|
23.4
|
|
4.網路效能分析
|
20.7
|
|
5.SSL VPN
|
18.0
|
|
6.連外線路升級光纖
|
17.1
|
|
7.廣域網路負載平衡
|
15.3
|
|
8.視訊會議
|
13.5
|
|
8.伺服器負載平衡
|
13.5
|
|
10.網管平臺
|
11.7
|
|
10.整合通訊
|
11.7
|
服務業 儲存投資Top10
註:數值代表2013年投資該項的企業比例
|
1.磁碟陣列
|
43.2%
|
|
2.NAS
|
34.2
|
|
3.備份軟體
|
26.1
|
|
4.儲存虛擬化
|
25.2
|
|
5.磁帶
|
22.5
|
|
6.儲存管理軟體
|
14.4
|
|
7.重複資料刪除
|
11.7
|
|
8.iSCSI-SAN
|
10.8
|
|
9.FC-SAN
|
9.9
|
|
10.SSD
|
2.7
|
服務業2013年IT投資分析- 行動裝置普及,促使服務業打造便利無線連網環境
隨著各種行動裝置的普及,服務業在2013年,除了政府與學校、醫療業之外,成為第三名希望積極導入平板電腦的產業;因此,有許多服務業者在2013年最重要的網通投資之一,就是提供更便利的無線網路環境。
房仲業強打行動化,布建無線網路
根據調查,有將近4成(39.6%)服務業在2013年將導入平板電腦,僅次於政府與學校(61.3%)和醫療業(59.3%)。對於服務業而言,如何滿足內部與外部客人的需求,一直是服務業IT部門的重要任務之一。以臺灣的房仲業為例,近幾年來,許多房仲經紀人老早就已經以平板電腦或行動裝置取代筆記型電腦及桌上型電腦,平板等便利的行動裝置,讓房仲經紀人走到那裡都可以服務客人。
信義房仲集團資訊長蔡祈岩表示,該公司打算花2年的時間,從2013年開始,逐步讓兩岸的房仲經紀人,全部以行動裝置提供所有的房仲服務,筆記型或桌上型電腦開始退居第二線。
他表示,過去2年多,信義房屋開始讓所有的房仲經紀人,習慣以行動裝置或平板電腦提供相關服務。他原本還擔心行動裝置或平板電腦會有輸入不便的困擾,讓許多第一線的經紀人無法即時提供正確的資訊;也擔心臺灣3G網路連線速度過慢、智慧型手機普及率不夠高,以及手機遺失或者是手機內機敏資料遺失的風險,但這些都已不構成是困擾了。
經過2年多的推動,蔡祈岩發現,房仲經紀人以行動或平板裝置提供客人相關房仲資訊的服務時,即時與便利成為最大的服務優勢,使用到放在辦公室的筆記型電腦與桌上型電腦的機會已經越來越少了。
也因此,促使信義房仲集團決定,將以行動裝置作為所有房仲經紀人的核心武器。未來2年內,所有信義房仲集團的核心系統,全部都要能夠支援各種行動裝置與平板電腦,讓筆記型電腦與桌上型電腦,真正退居第二線及第三線,只有不得已、需要的時候,才改用桌機或筆電。
當行動裝置與平板電腦成為核心工具時,蔡祈岩表示,無線網路的布建與管理,就是隨之而來的重要任務。他指出,無線網路的頻寬還是大於3G網路,對於在店端的房仲經紀人而言,直接使用無線網路會比使用3G網路更便利,但是,怎麼做到提供足夠的無線網路頻寬,又可以確保足夠的安全防護與無線網路控管,也是IT部門必須仔細考量的IT投資面向。
鼓勵BYOD,打造辦公室無線網路
除了類似信義房仲集團以公司政策的鼓勵,帶動員工行動化之外,東森得易購資訊部總監沈仁勇表示,該公司因為鼓勵員工自帶裝置(BYOD),以私人的行動裝置或平板電腦,透過事先申請VPN的方式,就可以透過VPN連線存取公司重要的營運系統。
不過,沈仁勇認為,鼓勵員工以私人的行動裝置存取公司的系統時,公司便開始打造更普及的無線網路環境,讓各種行動與平板裝置可以更無縫的存取公司的營運系統。
他也說,員工雖然可以透過事先申請VPN的方式,存取公司的營運系統和機敏資料,但是,就公司營運上,還是有擔心機敏資料外洩的疑慮和隱憂。因此,東森得易購除了鼓勵BYOD的政策外,在今年度,也會開始強化對於相關行動裝置與平板電腦的管理,包括相關的裝置控管(MDM)或應用程式控管(MAM)。
另外,一位不願具名的流通服務業資訊部經理表示,今年度開始會在各店端提供無線網路服務,但是以內部員工使用為主。他指出,以往零售服務業的人員會習慣性回內勤辦公室使用桌上型電腦,但員工逐漸習慣使用筆記型電腦甚至是行動或平板裝置時,總公司在各個店端提供無線網路,就是一種滿足員工期待的服務。文⊙黃彥棻
轉載自《iThome》
訂閱:
文章 (Atom)