[從電影看資安] 凡瀏覽過必留下痕跡 - 超急情聖

在電影超急情聖 (Don Jon) 中，男主角 Joseph Gordon-Levitt 飾演的唐冏平日沒啥興趣，就是跟三兩好友到夜店對女生品頭論足，並各自帶著”戰利品”回去享用一番。雖然看似令許多男生羨慕不已，不過唐冏這位老兄更大的興趣竟然是上色情網站享受 DIY 的快感。
就在一次夜店行動中，唐冏遇到了由 Scarlett Johansson 所飾演芭芭拉。唐冏視芭芭拉為天菜，當然不可能放過。雖然兩人交談甚歡，但是仍舊功虧一簣，逼的唐冏只好利用人肉搜索的方式找到芭芭拉的 Facebook 帳號。
兩人交往後，唐冏不改上色情網站的嗜好，甚至當場被芭芭拉抓包。為了手上的這隻鳥，唐冏只好宣示從此放棄網路上的這片大好森林。只不過江山易改，本性難移。雖然唐冏與芭芭拉進展順利，但是唐冏卻依舊偷偷持續上色情網站滿足生理所需，直到有一天…

DIY 帶給唐冏天堂般的樂趣

到夜店對女生品頭論足也是一定要的啦

慘了，遇到"舊情人"
甩了舊情人，馬上就發現天菜

被天菜打槍，只好退而求其次

得不到的最令人懷念

人肉搜索

可以一起看電影

可以在電影院熱吻

但是就是不能上床

就算上床也只能用"正常的姿勢"

只好看 A 片解解悶，沒想到卻被當場抓包

唐冏扯謊後兩人感情進展神速

46個？

唐冏該不會真不知道有瀏覽記錄這種東西吧？

年輕真好？

這下真的冏了
不過就是看 A 片嘛

心情鬱悶到只能上色情網站尋求慰藉 芭芭拉因為瀏覽器的瀏覽記錄而發現唐冏一直欺騙她，不但持續上色情網站，甚至可說是不眠不休，因此憤而離開唐冏。
利用瀏覽器上網，對使用電腦的人來說，可是說是再自然不過的事。而瀏覽器為了提供使用者更方便的使用經驗，也加入了許多聰明的機制。像是瀏覽記錄、網頁快取、Cookie、輸入欄位 (包含密碼) 等各式記錄，都可以大幅提昇使用經驗。不過這些資料，卻也可能包含了個人的私密資料 (如上色情網站的記錄)。這些資料一旦被揭露後，輕則尷尬收場，嚴重時身分被盜用也是有可能的。如果使用的是自己的私人電腦，對此倒也不用太過緊張。不過如果使用的是其他人的電腦、甚至是公共電腦，這可就是個大問題了。
對此，各個瀏覽器都有提供所謂的清除記錄功能，可以將上述資料分別加以清除。不過在使用時因為要手動執行，所以並不是很方便。比較方便的作法，可以使用如 Chrome 瀏覽器的”無痕式視窗”。透過無痕式視窗，我們就可以放心的使用其他人的電腦或公共電腦，而不用擔心留下任何記錄。不過儘管如此，還是應該避免在這些電腦使用很重要的網路服務 (如網路銀行)。因為無痕式視窗雖然可以避免留下記錄，但是卻無法避免後門程式竊取你所輸入的資料，所以還是有可能會有帳號被盜的可能性，可是千萬輕忽不得。

[從電影看資安] 小小的 USB 隨身碟，大大的資安問題 - 決勝機密

在電影決勝機密 (Paranoia) 中，男主角亞當卡西迪 (由 Liam Hemsworth 飾演) 任職於兩大電信公司之一的懷特電信。亞當出身藍領家庭，為了過更好的生活在公司中力求表現。雖然帶領的團隊有不錯的產品，但是在一次的簡報會議中得罪了大老闆，只好整組人打包到夜店尋歡回家吃自己。不過夜店尋歡就算了，亞當竟然還把帳算到前公司的頭上。大老闆尼可拉斯懷特對此相當不爽，威脅他必須到敵對公司艾康電信去當商業間諜，竊取最新產品的資訊。亞當被逼的別無選擇，只能默然接受。面試過程相當順利，還遇到了在夜店發生一夜情的女主角艾瑪詹寧斯 (由 Amber Heard 飾演)，原來她正是艾康電信的大將啊。
為了順利取得機密，亞當不但要拍新老闆賈克高達的馬屁，還得繼續陪女主角上床。就在一次翻雲覆雨後，亞當趁艾瑪洗澡時，順利從艾瑪的電腦中找到新產品的資料，並複製到 USB 隨身碟當中。亞當交差後，尼可拉斯懷特認為取得的資料還不夠，亞當只好規劃再一次的動作 - 侵入艾康研發中心竊取新產品的原型機。亞當成功利用竊取到的女主角指紋進入研發中心的管制區域，不過卻發現原來整件事是新老闆賈克高達的詭計，為的就是引誘尼可拉斯懷特犯罪，以便惡意收購懷特電信。深受無妄之災的亞當，利用原本被打槍的技術，順利取得對話記錄並指引 FBI 前往三人秘密會談的地點，讓兩個老闆一起到牢裡圍爐吃鱉。

男主角亞當是一個手機應用高手

健保好，沒有健保只好哭到飽

要升級就看這一次了

直接被大老闆打槍，冏

為什麼老外離職都只要一個紙箱就可以清完家當？

自動定位美女模式

不是應該聊聊昨晚的表現嗎？

表現可想而知

上個夜店竟然要 16000 美金！

當老闆就是懂得把握機會

快把這個笨小子推出去

面試裝上身

世界真是小小小

還好我已經先在夜店打好關係了

這種話還需要用問句嗎？

…

我絕不是在偷看女主角洗澡

目錄已經被鎖定

不怕，因為…

密碼就藏在包包裡！

WiFi 密碼也都幫你傳便便

既然有 USB 隨身碟，連 WiFi 是連心酸的嗎？

為什麼我老是找不到重要的檔案在哪裡？

雖然有些事情慢點好，但是不包含 USB 隨身碟的速度

還好動作夠快，順利取得資料

USB 隨身碟是一個偉大的發明，帶給我們方便的生活。不過 USB 隨身碟帶來的資安風險，卻也是讓人頭痛不已。USB 隨身碟的問題有兩個面向，一個是往內，另外一個則是往外的。所謂的往內，就是一些惡意的後門程式透過 USB 隨身碟進入電腦，甚至因而擴散到其他的電腦設備。而往外則是不應該外流的資料透過 USB 隨身碟洩漏出去。兩者相較，前者算是比較單純的問題，而後者則複雜許多。原因在於外流的資料包含兩種情況，一種是無意的，另外一種則是有心。一旦這兩種情況混在一起，就會產生方便性與安全性考量的衝突。電影中，男主角利用 USB 隨身碟帶走了女主角電腦中的機密資料就屬於有心的資料外流意外。雖然女主角有針對目錄進行鎖定，但是把密碼跟電腦一起放在包包裡，就跟把 ATM 提款機密碼寫在提款卡上面的行為一樣智障。

針對 USB 隨身碟的資安問題，一般常見的簡單手法包含限制 USB 使用、限制可連線的 USB 設備等。不過這些手法通常只有開跟關的選擇，應用上的限制較多，比較完整的方案則屬於資料外洩防護 (DLP) 與加密 (DRM) 兩種類型。簡單來說，DLP 著重在資料流出前的保護，而 DRM 則在流出後的保護。流出後的保護？沒錯，因為前面說到資料的流出可能是無心的 (例如 USB 隨身碟遺失)，甚至是必要的 (如透過 USB 隨身碟把檔案交給第三方)，而 DRM 可以確保這類狀況不會危害到資料的安全。在技術上，DLP 與 DRM 並不是二選一的問題。不過在實務應用與經濟考量上，DLP 與 DRM 通常不會一起導入，甚至一同運作時會互相影響。至於要選哪個，就看企業自己的評估與考量了。

[從電影看資安] 權限管理做的好，核彈乖乖不亂跑 - 白宮末日

去年美國白宮可說是流年不利，一連被炸毀了兩次，一次是在電影「全面攻佔：倒數計時」中，另外一次則是在今天我要跟各位分享的這部電影 - 「白宮末日」中。

講到美國政府，恐怖份子的目標總是不離核彈，而這兩部片也都無法免俗。在全面攻佔這部片中，三個美國最有權力的政治人物必須同時提供自己的密碼才能夠啟動核彈。雖然細節上有所不同，不過概念上與我之前的文章「缺一不可 – Two-Man Control」一樣，只是角色從兩個人變成了三個人。

至於在白宮末日中，核彈的啟動則同時需要美國總統的血型 (？)/心跳與密碼，在資安上屬於多重因素驗證 (Multi-factor Authentication) 機制。以發射核彈這樣高度敏感的作業而言，採用 Two-Man Control 會比多重因素驗證來的保險許多，原因在於可以避免因為美國總統個人的失心瘋而造成世界毀滅。不過這次分享內容的重點不在此，我們從權限的管理(回收)來看這個事件：

男主角從 G.I. Joe 逃脫後變成了議長的隨扈

有夠無聊的工作

還是當總統的隨扈比較屌，趕緊找關係

即使出賣身體也不在乎

人帥真好！

既然都出賣身體了，多要幾張白宮通行證也只是剛好

當然沒時間去看女兒的才藝表演，因為去陪吃飯保護議長了

拯救世界的英雄一開始一定是個糟老爸

這是美國總統隨扈的指揮官，兒子戰死在國外的一次行動中

男主角的女兒是個政治迷，連 PEOC 這麼專業的名詞都知道

解說員當然要臭屁一下，據說連核彈都炸不穿是吧？

轟!

白宮”又”被炸了

恐怖份子

比恐怖份子還恐怖的內奸，PEOC 再猛也沒用

男主角”不小心”就救了美國總統

破解核彈發射密碼只要30分鐘！

副總統搭著空軍一號到天上避難去了

不錯，還記得要更換核彈發射密碼

一行人對於如何處理美國總統失聯一事爭論不已

好機會

副總統在空軍一號上宣示成為總統

熱騰騰的核彈發射密碼

是有沒有這麼倒楣？

這下真的升天了

冏～史上最短命的美國總統

老三也會出頭天，議長成為新的總統

核彈發射器

真是先進的技術，血型也可以拿來當做身分辨識 (？)

原本的美國總統終於露面啦，不過他已經被取代兩次，密碼沒用也是必然

大叔可是很堅持的

這到底是偵測血型還是掌紋啊？不過多了好幾根手指頭，是外星人的掌紋吧

這樣也行！

沒想到大叔連核彈發射密碼都有

有需要這麼驚訝嗎？

想也知道就是你這個老三搞的鬼啊

Money Talks

終究還是邪不勝正啊

在電影中，原本的美國總統在被取代後，雖然重新設定過核彈發射密碼，但是卻沒有把開啟核彈發射器的血型跟心跳資訊一併予以更新。幸好原本的美國總統是屬於正義的那一方，如果是敵人，可就真的 GG 了。

雖然一般公司不會擁有核彈，但是卻有各式各樣的資訊系統。在這些系統中，總存在著許多的權限，其中尤以特權最為重要，擁有特權可以做出一般權限無法完成的事情。舉例來說，系統的管理者帳號就是一種特權，可以做的事…幾乎是所有事情了吧！所以很多公司的老闆平時對系統管理者可說是又愛又恨。只不過兩者之間通常相安無事，直到系統管理者離職的前一刻…如果又是非自願離職，老闆可能得提心吊膽好一陣子了。

如何落實權限的發放與回收，尤其是針對所謂的特權帳號，對老闆們而言可說是一項重要的安全考量。常見的資安措施如限制共享帳號、最小權限原則、定期更換密碼、多重因素驗證、稽核與完善的作業流程，都可以協助權限管理的進行。只不過權限管理沒有萬靈丹，所以必須多方加以考量，以免像電影情節般地百密一疏，功虧一簣了。