搜尋此網誌

2010年4月25日 星期日

[從電影看資安] 令人防不慎防的後門 - 崔斯坦與伊索德

崔斯坦與伊索德 這部電影改編自華格納的同名歌劇,是一個媲美羅密歐與茱麗葉的愛情悲劇。故事描述因為一連串巧合而相遇甚至相愛的崔斯坦與伊索德這對戀人,因為夾在兩個國家與其國王之間,所以必須壓抑內心的情感。甚至崔斯坦必須將伊索德獻給對他有恩且受人愛戴的馬克王,以報答馬克王對他的無微不至的照顧,而另外一方面也為了維持兩國的友好關係。但是身為伊索德父親的愛爾蘭王卻沒有這麼知足,愛爾蘭王買通了不受親生父親馬克王愛護的梅洛,想要一舉取得馬克王的領土。梅洛將愛爾蘭王帶至一個他與崔斯坦年輕時發現的密道,想要經由這個密道直達堡壘的內部,以消滅馬克王的勢力。梅洛出賣自己父親的下場,就是被利用完之後遭愛爾蘭王殺害,而崔斯坦最終也為了拯救馬克王而犧牲。

年輕的崔斯坦與好友們發現了一個祕密。vlcsnap-2010-05-25-15h00m56s210

這個秘密就是一個無人知曉的密道。vlcsnap-2010-05-25-14h57m28s184

荒廢的密道通往堡壘的內部。vlcsnap-2010-05-25-15h00m06s244

密道也是伊索德打算跟崔斯坦私奔時的方便門。vlcsnap-2010-05-25-14h45m21s100

竟然馬克王不傳王位給我,那我就自己搶過來。vlcsnap-2010-05-25-14h42m07s187

走直達密道快又安全。vlcsnap-2010-05-25-14h47m44s252

小兵當然只能冒死從大門進攻。 vlcsnap-2010-05-25-14h49m58s48

被利用完的梅洛橋馬上就被拆了。vlcsnap-2010-05-25-14h54m40s41

崔斯坦也知道這個秘道,所以想利用這個秘道回到馬克王的身邊。中途遇到自食惡果的梅洛。vlcsnap-2010-05-25-14h56m00s58     

首先我要稍微跳脫一下解釋”後門”與”木馬”這兩個很常聽到的名詞,可能有不少人會這把兩個名詞當成是同一種東西。後門指的是我們在系統中留下一個不屬正常使用情形的管道,以利日後可以方便且不受限制的連結。而木馬指的是偽裝成其他功能的程式,例如像是偽裝成小遊戲的病毒。因為現在惡意程式大多包含一定程度的後門能力,所以很多木馬程式也擁有後門的功能,因而很容易產生後門與木馬是同一種惡意程式的誤解。

回到電影本身,在電影中那個鮮為人知的密道,其實就是一個 (堡壘的) 後門。事實上,後門並不一定是為了惡意的行為而建造,甚至後門最早期的目的往往為了自己的方便而設計。以堡壘的密道而言,可能是當初為了方便工人進出方便而保留,也可能是為了讓堡壘內部的人有一個緊急的逃生通道而設計。而在資訊系統方面,很多開發人員也會保留一個特定的後門,目的是為了方便日後的維護。這類後門雖然出發點都不是為了為惡,但是其對安全所帶來的危害卻是更為巨大的。首先,這樣的後門功能因為是開發人員打算自行使用,所以透過後門進行存取幾乎是擁有無限制的權限。無限制的權限在安全上所代表的意義就是極大的風險。另外一個原因在於這些鮮為人知的後門,因為未受到正式的列管,所以往往也就不會受到任何的保護。任何人只要知道找到入口,就可以長驅直入。一旦發生這種情況,大門 (其他安全機制) 做的再牢固,防禦再嚴密也無用之地。所謂的任何人,當然也包含叛徒 (如惡意的離職員工) 以及無心的路人。

在實際的系統中,很多開發者會利用輸入一個特殊的連結或/和密碼來當作後門的 (唯一) 鑰匙,自以為這樣的祕密絕對不會有人發現。當然,除了開發人員,系統維護與操作人員也都可能利用類似的手法來簡化自己日後的工作。很可惜的是天底下沒有絕對的秘密,一切的安全終將因為一時疏忽的心態而瓦解。要避免這類”善意”後門的產生,最重要的還是強化相關人員的教育訓練,讓他們了解這類行為所帶來的危害。除此之外,建立明確的規範與檢驗機制,也是不可或缺的手段。包含 code review、system baseline 的建立與比對,都是可以採用的手段。

2010年4月21日 星期三

[資安觀念] 古語有云,時間就是金錢

time-is-money不管你在工作上是不是從事資安相關的領域,或多或少都曾經面對要在許多不同解決方案中找出最佳作法的情況。如果是採用預算制,比較一般性的做法就是找出預算之內而且效果最好的解決方案。另外一個方法就是找出可以接受的最低成效,然後在此限制下找出最低成本的解決方案。後者通常適用於沒有固定的預算,或是對於成效有一定要求的情況。

嚴格說來,不管是哪一種方式,其實都是在成本與效果之間求取一個最佳解法,只是受到限制的條件不一樣。但是限制條件通常並不是如表面那麼單純且直接。例如以預算制的情況來說,雖然只要在預算內即可,但是有時候省下更多的錢也是功勞一件 (當然也有實際花費跟預算越接近越好的狀況)。而且即使對於省錢與否並不在乎,至少對於解決方案還是會有基本的要求。因此如果已經把預算用完還是無法達到基本的要求,同樣會出大問題。所以,比較明確的說法應該是受到限制的條件比重不一樣,但是基本上要考量的項目卻都是相同的。有關成本與效果的平衡,在資安的領域比較常用 Cost-Effective 這個名詞。接下來我想談談有關成本這個議題。

評估成本的方法有很多,TCO (Total Cost of Ownership) 是一種常見的評估方式,而 TCO 主要包含取得成本 (Total Cost of Acquisition) 與維運成本 (Operation Costs) 兩大部分。當然,儘管是所謂的 TCO,但是真的能夠把所有的顯性與隱性成本都找出來嗎?答案可能沒有那麼樂觀。也因此光是使用 Windows 還是 Linux 擁有較低的 TCO 這個議題就可以讓兩方人馬爭吵多年依舊沒有結論。不論如何,基本上TCO 在考量各個項目的成本時,會考量到相關人員的成本。例如當考量一個系統的維運成本時,我們會將所需分配的系統管理員人力成本納入計算。但是,一個系統所影響的並不是只有系統管理員。一個比較重要的系統,或許跟整個組織的所有人員都有關聯,甚至連組織外部的人員也會有所關聯。一旦有關聯後,對於這些人所產生的成本”理論上”就應該加以考量。不過理論終究是理論,很少評估方式會考慮到這樣的成本。主要理由有二,第一個是這樣的評估方式會讓待評估的項目變得又多又複雜,進而增加評估所產生的成本。另外一個更重要的理由,這些成本根本不是”我”的成本,所以不關我的事情。

舉例來說,如果 IT 部門要改良一個原有的系統,A方案可以不影響使用者目前的工作量,而且也不必增加原有的維護人力需求。B方式可以節省 50% 的維護人力 ,但是卻會增加組織內每個使用者 1% 的工作量。在其他成本皆相同的情形下,IT 部門會選擇哪個方案?通常應該是B…因為省下來的錢是 IT 部門的預算,而多出來的工作量跟 IT 部門沒有直接的關係。以這個例子而言,增加 1% 的工作量對於大多的使用者來說並不會造成太大的困擾,因此可能不會造成太大的反彈。但是如果因此增加了 10% 的工作量,那麼在推廣上就需要一些手段。當然,在組織內部發生這種問題,比較有制度的公司或許還有機會發現並加以解決。但是如果今天使用者並不是組織內部的員工,而是外部的使用者呢?誰會注意、甚至關心這些人的成本?只要能夠說服使用者接受,對組織而言當然是成本越低越好。

以說服的理由來看,資訊安全在某些時候確實是一個不錯的說詞。所以,我們上網路銀行轉帳需要先購買一個讀卡機、每次使用時先要找出讀卡機、使用後要記得馬上拔掉並收好。這樣的成本有多高?而避免的風險又有多少?兩者之間是否 Cost-Effective 確實存在很大的疑問。簡單來說,風險與成本對不同的人來說本就是不一樣的,但是當所有的算法都是廠商一廂情願的想法,所產生結果的可參考性自然有很大爭議的空間。Microsoft 安全研究員 Cormac Herley 在去年針對這個議題發表了一份論文,引起了一陣討論,也讓我們用更全面地眼光去看待 Cost-Effective 這句話。至少,就時間就是金錢這句話,不是只有”我”的時間才是金錢,”你”的也是。

相關連結:

2010年4月19日 星期一

[研究報告] OWASP Top 10 for 2010 正式公布

owasp_logo OWASP (Open Web Application Security Project) 每三年一次的 Top 10 報告,於日前 (2010/04/19) 正式定案。這次報告的副標題由 2007 年的 The Ten Most Critical Web Application Security Vulnerabilities 變成了 The Ten Most Critical Web Application Security Risks,顯示 OWASP 試圖跳脫以純技術眼光來看待 Web Application 議題的思考模式,而是以整體的風險來加以評估。當然,風險其實是很”個人化”的,所以 OWASP 所謂的風險依舊是以”一般性”的眼光來加以評估,在實際的應用上必須自行重新評估。

在獲選入榜的項目中,除了排名因為評估方式改變而有所變化外,還有下列幾項的變更:

  • 新增第六項為不正確的安全設定 (Security Misconfiguration)。
  • 新增第十項為未驗證的重新導向與轉發 (Unvalidated Redirects and Forwards)。
  • 移除第三項惡意程式的執行 (Malicious File Execution)。
  • 移除第六項資訊洩漏與不適當的錯誤處理 (Information Leakage and Improper Error Handling)。

雖然 Web Application 的安全風險絕對不只是 OWASP Top 10 中列出的項目,但是 OWASP Top 10 的內容依舊極具參考價值,對於有志增進 Web Application 安全的從業人員來說是很重要的文件,甚至更是許多相關產品或政府規範所必備的檢查項目。而且報告中也提供了問題說明與建議的解決方法,算是一份很好的學習與參考資料。這次公布的 OWASP Top 10 包含下列十個項目:

  1. 注入 (Injection)
  2. 跨站腳本攻擊 (Cross-Site Scripting, XSS)
  3. 失效的驗證與連線管理 (Broken Authentication and Session Management)
  4. 不安全的物件參考 (Insecure Driect Object References)
  5. 跨站請求偽造 (Cross-site Request Forgery, CSRF)
  6. 不正確的安全設定 (Security Misconfiguration)
  7. 不安全的加密資料儲存 (Insecure Cryptographic Storage)
  8. 限制網址存取失效 (Failure to Restrict URL Access)
  9. 傳輸層保護的不足 (Insufficient Transport Layer Protection)
  10. 未驗證的重新導向與轉發 (Unvalidated Redirects and Forwards)

相關連結:

2010年4月16日 星期五

[新聞時事] 上網資料全都露,花錢也不能了事。

privacy 根據 BBC 的報導,最近有一隻名為 Kenzero 的病毒 ,會將感染者電腦的上網資訊透過檔案分享的機制加以公開,要求使用者提供個人資料並利用信用卡繳交一筆”下架費”。嚴格來說,這筆金額數目並不大 (1500 日圓),所以對於受害者來說可能選擇花錢了事。但是有心份子的野心怎麼可能就此滿足,這些個人資料與信用卡資料進一步遭到轉賣,對使用者造成了遠大於表面情形的危害。除此之外,在歐洲也發生了病毒傳送違反著作權的假訊息,並要求受害者利用信用卡的方式進行線上繳交和解費用的動作。最後不管是否有進行費用的轉移,但是個人資料與信用卡資料外洩造成的危害,已經不是可以輕易用金錢加以比較了。這類的軟體,基本上稱之為威脅軟體 (Ransomware),利用人性面對威脅時易產生恐懼的心理以達成其不良的目的。在面對這類惡意軟體時,除了堅守不亂下載、亂執行程式的基本原則外,當發現有任何可疑的現象發生時,更應該尋求專業人士的建議,而不是嘗試私底下想要以錢加以私了,否則到時候可能變成了賠了夫人又折兵。

 

相關連結:

2010年4月13日 星期二

[新聞時事] 駭客盯上在家上網工作者

44146-KidComputerL 這幾年景氣不好,因此一些所謂在家兼差的廣告相當盛行。這類廣告幾乎沒有甚麼使用者的身分限制,標榜任何人都可以輕鬆賺大錢。當然,在 21 世紀的今日,兼差已經不需要像以前那般需要搬一堆塑膠花或是電子零件回家組裝,通常只要能夠上網就可以開始賺錢了。這些廣告當然有很多是確有其事,因此吸引了不少人投入,而駭客也已經將腦筋動到這些在家工作的大軍身上。駭客利用不實的廣告,吸引再在家工作者為其進行惡意程式的散布,一旦散布成功就可以依比例獲得金錢的回報。當然,不是所有的駭客都這麼”光明正大”,他們會偽裝成其他合法的行為 (例如進行線上調查),以欺騙原本善良的在家工作者。根據報導指出,不管採用甚麼名義,如果工作的任務包含下列幾個要項,那麼背後就很有可能是駭客組織在招兵買馬了:

  • 散布垃圾信或是社交工程的信件。
  • 信件內包含一個下載的網址,相當然爾,這個網址通常是連結到惡意程式。
  • 主要以美國與英國的電腦為目標。
  • 付費方式也有可能採用一般人常用的線上付款機制,如 PayPal。

雖然這些攻擊的目標目前以英美為主,但是招募的大軍並不需要限制在哪個國家或區域,因此每個人都還是必須多加小心。畢竟如果因此而觸法,那可真的跳到黃河也洗不清了。此外,因為在執行的過程中在家工作者自己的電腦也很容易受到感染,因此如果發現電腦有異狀,請記得盡速自救並審慎評估工作內容。

相關連結:

2010年4月11日 星期日

[新聞時事] 封鎖 Facebook 就沒事了嗎?

facebook 之前我提到許多次有關社交網站 (尤其 Facebook) 的議題,社交網站現今已經變成許多組織最大的安全威脅來源,而更大的問題在於社交網站該怎麼管對許多組織來說至今仍是沒有足夠的認知。最簡單的管理方式就是把社交網站當作非業務必要的網站,完全加以封鎖。這種做法在管理面與技術面都存在很大的問題,我在之前的文章已經討論過。事實上要達到完全的封鎖是不實際而且不可能的。舉例來說,以現在流行的手機上網 (透過電信網路,而不是組織的區域網路) 來說,有多少組織可以加以管制,而電腦連結手機上網已經不是甚麼困難的任務。

好吧,或許有很嚴謹的組織可以完全限制員工在上班時間的上網行為,那麼下班後呢?下班時間使用 Facebook 對公司會有甚麼危害?有的,有人利用 Facebook 收集了特定公司的員工 Email 帳號,然後針對這些 Email 帳號進行目標式的釣魚攻擊。這樣的目標式釣魚攻擊,透過假冒的組織網站取得員工的帳號與密碼,其成功率相當高 (接近 50%)。當然,公布使用者的 Email 僅是 Facebook 隱私權保護不足之處的一小角,但是對於組織而言卻可能因此遭受極大的風險。這種問題靠封鎖就可以避免嗎?答案很顯然是否定的。事實上,組織能做也是該做的就是訂定明確的網站使用規範,否則這種無心之過將會一再地出現,而組織也必須一再地在沉痛的經驗中加以學習,甚至因此造成組織莫大的成本。

相關連結:

2010年4月8日 星期四

[研究報告] 高達七成的組織使用雲端運算前沒有進行相關的安全評估

2699483974_3762267384 在評估雲端運算時,對於資訊安全的影響是很重要的一個因素。事實上,根據 ISACA 最近公布的一份問卷調查顯示,有高達 45% 的受訪者表示他們認為導入雲端運算所產生的風險是高於所帶來的效益,顯見現今雲端運算的導入對於資訊安全的潛在威脅是很大的。對照另一份由 Ponemon Institute LLC 與 Symantec 所共同發表的研究報告顯示,有高達七成的組織在使用雲端運算前並沒有對廠商進行相關的安全評估。在這些進行評估的組織中,有 65% 採用口頭的方式加以評估,其他評估方式依序是 合約規範 (26%)、檢查表或問卷 (25%)、安全相關的規範 (23%)、內部安全團隊 (18%)、第三方的安全專家或稽核員 (6%)。兩份報告的結論,或許可以看作是因果關係。因為 IT/IS 部門在導入雲端運算時並沒有參與其中的安全評估作業,所以對於其潛在風險自然較為擔憂。另外一方面,這也可以看出現今組織對於雲端運算所產生的安全威脅在認知與作為上仍是相當不足。當然另外一個有可能的原因是組織在面對雲端運算的決策時顯得太過於急躁了。雲端運算來勢洶洶,但是組織在面對這樣的技術與運用時,卻不能被沖昏了頭,以免未受其利而先受其害。研究報告的標題是 Flying Blind in the Cloud,講的正是這種貿然而進的風險,或許一開始馳騁的快感很吸引人,但是一旦出事後其後果可是很嚴重的。

在 Phnemon Institute LLC 與 Symantec 的報告中,其他重要的發現包含:

  • CRM 與 webmail 是使用最廣泛的應用服務。
  • Java/PHP/Python 等開發平台是使用最廣泛的平台服務。
  • 儲存是最常用的基礎服務。
  • 僅有少數的組織會針對儲存於雲端的重要資料進行主動式的保護措施。
  • 組織在採用雲端技術時往往會忽略一般常用的檢查程序。
  • 企業主往往在 IT/IS 部門對於安全風險沒有足夠掌握的情況下進行決策。
  • 僅有不到  20% 的組織在決策過程中會有 IT/IS 的團隊成員參與,而且這些參與的成員對於評估項目的掌握程度大多是不足的。
  • 大多數的企業內部對於由誰負責評估雲端技術的供應商存在很大的意見分歧。

原始報告可以在這裡下載

 

相關連結:

2010年4月5日 星期一

[技術分享] CA 憑證申請過程簡陋而易遭濫用

39882 根據 Betanews 文章的揭露,資訊安全專家 Kurt Seifried 將在下個月的 Linux Magazine 講解有關 CA 憑證申請易遭濫用的問題。簡單來說,步驟如下:

  1. 找尋一個免費的 webmail 服務供應商。
  2. 註冊一個帳號,例如 ssladmin。
  3. 到 RapidSSL.com 購買憑證,記得使用上述註冊的 email 帳號作為申請驗證的帳號。
  4. 完成後續的申請步驟。
  5. 步驟完成後你將會獲得這個 webmail 網域的合法憑證。

好吧,嚴格來說整個過程跟 CA 機制沒有關係,而是在於申請的流程中,CA 憑證發放單位為了便宜行事而採用了簡單的驗證機制,也就是僅檢查 email 帳號。email 會被竊取,對於 webmail 的網域來說更方便,甚至連竊取都不需要。對這些 CA 憑證發放的單位而言,越簡單方便的申請流程不但可以減省成本,還可以順便增加收入,所以何樂而不為。但是這樣的機制卻因為過於簡化而容易遭到濫用,或許是 CA 憑證發放單位始料未及的事情,也有可能是其已知卻不想去面對的問題。事實上,很多廠商在設計業務或產品時,都一再忽略安全的重要性,因為這些東西對大部分的客戶是沒有 (直接的) 價值、甚至是根本感覺不到的。即便是在安全產業內,這種現象也是很普遍,畢竟賺錢這個終極目標,對身處任何產業的公司來說都是一樣的。

事實上,要確認一個申請者是否真的擁有一個網域並不是那麼容易的事情,尤其是當申請的人可能來自於世界上的任何一個角落。以 Google 的服務而言,除了需要網域的 email 信箱外,也需要在網站的根目錄放置一個特殊內容的檔案,才能完成確認的動作。當然,駭客也有可能完成這樣的事情,但是機會相對來說已經減少了許多,更何況當駭客已經可以放置檔案到網站的根目錄,可能他已經有辦法取得網站的憑證,此時還需要自己再去申請一個嗎?此外,透過要求申請者在 DNS 加上一筆特定的記錄以確認網域的擁有權,也可以達到類似的保護作用。很多事情不是做不到,只是看廠商有沒有心思於此。

 

相關連結:

2010年4月1日 星期四

[教戰守則] 保護筆記型電腦的安全請記得這樣做

laptop-security 筆記型電腦 (Notebook/Laptop) 不但已經成為許多消費者選購電腦的首選,而且在企業的應用也越來越廣泛。因為筆記型電腦越來越輕便,而且相對來說屬於價格高昂的電子設備,因此也引起許多竊賊的覬覦。除此之外,因為隨處可用、可連網的特性,也讓筆記型電腦遭受安全危害的機會大大增加,因此筆記型電腦的安全問題對許多組織來說已經是一個不可不正視的問題

基本上筆記型電腦還是屬於電腦的一種,因此一些對於電腦安全的基本觀念與做法也同樣適用於筆記型電腦。例如像是安裝防毒軟體與定期更新等作法,對筆記型電腦來說同樣不可省略。但是因為筆記型電腦具備高移動性,所以特定問題所產生的危害相對提高不少,其中尤其是有關實體安全的部分,更是筆記型電腦目前所遭遇的最大危害。

以下我整理一些有關筆記型電腦的使用安全建議事項,希望對各位能夠有所幫助:

實體安全

  • 不要使用電腦背包。
    雖然有些電腦背包在使用上很方便,但是卻也讓竊賊很容易找到可下手的目標。大部分的竊賊其實只是隨機下手而沒有特定的目標,所以減少會引起竊賊注意的機會是相當有效的手法。
  • 隨身攜帶你的電腦,至少不能讓電腦離開你的視線。
    不管電腦是否處於使用中,還是放置於行李中,你都必須確保沒有其他人有機會竊取你的筆記型電腦。幾個常忽略的地方包含外出時將電腦留置於飯店房間、櫃台,以及搭機時將電腦進行行李託運。另外當電腦經過 X 光檢查機的時候,請務必特別注意你的電腦,以免因為誤取而造成電腦的遺失。另外一個容易失竊筆記型電腦的地方就是後車廂,因此請勿將電腦留置在無人看守的車上。
  • 購買電腦鎖等安全設備。
    當筆記型電腦在使用中,使用者往往很難一直位在電腦旁邊,電腦鎖可以在使用者離開的時候保護電腦不會受到竊賊的偷取。除了電腦鎖之外,還有其他的設備 (像是電腦保險箱) 可以保護電腦不被偷竊。
  • 不要將密碼等重要資料黏貼於筆記型電腦上或是與電腦一起放置在背包內。
    就像不要把提款密碼寫在提款卡上或是一起放置於皮包內,這樣做至少可以減少筆記型電腦萬一遺失後所可能造成的損害。
  • 不要將電腦放置在地板上。
    此點主要不是為了避免電腦的遺失,而是為了避免電腦遭受無意的破壞。這樣的破壞包含液體或重物的頃落,以及人為的踐踏或是踢擊。
  • 在筆記型電腦上作明顯的記號。
    雖然這麼作可能會破壞筆記型電腦的美感,但是對於隨機下手的竊賊卻可以提供相當程度的嚇阻效果。需要特別注意的是這類記號必須是無法輕易加以移除的,否則其所產生的嚇阻效果將大打折扣。
  • 安裝追蹤筆記型電腦位置的軟體。
    這類軟體可以在你電腦遺失之後追蹤電腦所在位置,以便你尋回電腦。如果你對於電腦內所儲存的資料比較在乎的話,你也可以選擇使用具備遠端刪除或封鎖功能的軟體,在電腦遺失後將電腦內的重要資料加以刪除或封鎖電腦的使用。此外,也有軟體可以在電腦遺失的同時發出巨大聲響以嚇阻竊賊。
  • 放置自己的連絡方式。
    有時候筆記型電腦的遺失純屬無意,在筆記型電腦上放上自己的連絡方式 (名片) 可以讓撿到筆記型電腦的人知道該如何歸還失主。
  • 使用雙重驗證系統。
    雖然有越來越多的筆記型電腦提供像是指紋辨識或人臉辨識等生物技術讓使用者進行登入的動作,但是通常卻是生物技術與原先的帳號/密碼機制並存,也就是使用者只要擇一進行驗證即可。這樣的做法只增加了方便性,但是對於安全性並沒有任何的幫助。因此需要使用強制雙重驗證的機制,以避免有心分子取得 (或猜到) 密碼後就可以進入系統。

資料安全

  • 定期更新作業系統與所使用的軟體。
    定期更新雖然已是老生常談的話題,但是依舊是很多電腦普遍存在的問題。作業系統目前幾乎都提供了即時線上更新的功能,所以你只要確定此功能是開啟的狀態即可。除了作業系統的更新外,所有使用到的軟體也應該維持在最新的狀態。通常我們可以透過像是 Secunia Personal Software Inspector (PSI) 這類免費或付費的機制來保持電腦在最新的狀態。
  • 安裝防毒軟體、防惡意程式軟體、主機型防火牆等軟體,並保持在最新的狀態。
    這些功能可能整合在一個產品中,也可能分屬於不同的產品,就看你所選擇的品牌與產品。在選擇上應該選擇知名的品牌,切勿使用來路不行的品牌。除了品牌之外,也必須確保安裝的檔案是由原廠所提供,而沒有被有心分子動過手腳。當然,這些軟體如果沒有持續更新以保持在最新的狀態,將無法提供有效的防護。
  • 將資料進行加密。
    目前有各種不同的加密形式可供選擇,包含檔案的加密、目錄的加密、磁碟的加密,以及整個硬碟的加密。硬碟加密當然是比較完整的作法,但是通常需要硬體或韌體的配合,因此退而求其次的作法則是採用磁碟的加密。當然,如果目錄或檔案的加密已經可以滿足你的需求,也是一種可供選擇的形式。
  • 使用螢幕防窺片。
    如果你會在公共場所處理具備機密性的資料,那麼螢幕防窺片可以保護你在使用電腦時不會讓旁觀者有太多的可趁之機。
  • 離開電腦時請記得使用以密碼保護的螢幕保護程式。
    當你在公共場合使用電腦時,如果有不得不離開的時機,除了使用電腦鎖之外,也務必啟用以密碼保護的螢幕保護程式,以免旁人操作你的電腦或進行破壞的行為。
  • 避免使用非必要或來路不行的軟體。
    很多來路不行的軟體會夾帶惡意程式一起運行,因此你應該使用原廠所提供的來源安裝或使用軟體。現在很多強調免安裝的軟體,在使用上尤其特別小心,須注意是否為原廠所提供或是為第三方所重新包裝的版本。對於第三方重新包裝的版本,應避免加以使用。
  • 使用 BIOS 的密碼。
    使用 BIOS 密碼雖然不能避免有心分子對筆記型電腦進行物理性的破壞,但是對於一般的竊賊而言通常不會花心思去解開這層保護,可以減少資料外洩的機會。
  • 關閉自動執行 (autorun) 的功能。
    就算你使用電腦鎖與螢幕保護程式,駭客一樣可以將內含惡意程式的光碟片或是外接式隨身碟插入你的電腦,以利破壞動作的進行。關閉外接設備 (光碟機與外接式隨身碟) 的自動執行功能可以避免此類問題的發生。
  • 關閉 USB/1394 等連接埠。
    儘管關閉自動執行的功能,駭客依舊可以使用連接埠 (尤其是 USB 埠)對電腦進行一定程度的存取。現在市面上有很多可以限制 USB 使用的軟體,透過這些軟體可以避免其他設備透過 USB/1394 埠對電腦進行連結。
  • 記得備份資料。
    不管再怎麼做好萬全的保護,筆記型電腦遺失的風險仍舊高於傳統式的電腦。再加上損壞的機會也高於傳統式的電腦,因此資料的備份更顯得重要。透過良好的備份習慣與合適的工具,可以讓你在問題發生後減少很多不必要的麻煩。

網路安全

  • 檢查是否為合法的無線存取點 (AP, Access Point)。
    因為有心分子可能偽裝成無線存取點以擷取使用者傳輸的資料,因此當進行連線時須確實確認是否為廠商所提供的無線存取點。
  • 盡量使用 (付費) 的公共無線網路服務。
    雖然現在有很多免費存取的私人無線網路服務,但是這些店家的設備其安全性通常較為薄弱,而且資料在傳輸時可能也沒有經過適當的加密,所以使用時會面臨較高的危險性。 如果你在家裡使用自行架設的無線網路存取設備,請記得使用安全的認證與加密方式。
  • 避免進行線上購物或存取網路銀行等隱私性較高的行為。
    無線網路屬於分享的網路存取技術,所以傳遞的資料很容易被攔截,因此在使用時應該盡量避免傳遞敏感性的資料。如果使用的無線存取設備使用未加密的方式 (或不夠安全的加密方式,如 WEP 或 WPA) 傳遞資料,更應該嚴格遵守此一守則。
  • 關閉檔案分享或其他網路服務的功能。
    在無線網路的環境下,除了檔案分享的功能需要關閉以避免成為駭客入侵的管道外,其他不必要的服務也應盡可能的加以關閉。如果你的電腦為了工作 (測試) 而安裝提供網路服務的應用程式 (如網頁伺服器) 時,更應該避免在無線網路的環境開啟這些應用程式。
  • 關閉藍芽、紅外線等不需使用的連線功能。
    雖然藍芽與紅外線可傳輸的距離不像 WiFi 那麼遠,但是依舊可以成為駭客入侵的管道。在大部分的情形下並不會用到這些功能,所以應該予以關閉,待有使用需求時再打開即可,而使用完畢後請記得馬上重新關閉。除了藍芽與紅外線外,如果不需使用 WiFi 進行連線,應該也要關閉 WiFi 的功能。如果你的電腦提供硬體按鍵的方式來控制這些設備的話,可以好好地善加利用。

對於保護筆記型電腦的安全你有甚麼好的作法與想法?歡迎你與大家一起分享。

相關連結:

About