蔡一郎的部落格

Yilang's Blogger

2012美國拉斯維加斯之行(一)

Published by Yi-Lang Tsai under , on 下午3:01
每年幾乎都到會美國的拉斯維加斯參加Blackhat以及DEFCon,今年原本想換其它同事前來,不過後來因為行政作業上的一些問題,最後還是得自己來參加,而與以往不同的是,這次沒有同事一起來,只有獨自前往美國拉斯維加斯參加,算一算也是第三次來這個會議了,換個角度與心態想,放輕鬆後,更可以細細品嘗漫長旅程帶來的心靈沉靜,也可以趁機讓自己有機會思索四十而立之後的未來該如何打算,帶著標準的出國行李,一個隨身的後背包以及一只行李箱,雖然只放了三分之一,但是依以往的 經驗,需要帶回許多的包包與禮物,行李箱還是大一些比較夠用。


自從有了高鐵後,真的成為我出差或旅遊絕佳選擇,大多數都是直接搭高鐵前往,再配合台鐵、捷運或是汽車等不同的方式,都能夠抵達目的地,此行預計先前往桃園,Check In後再前往桃園機場等候。

此次出國搭乘長榮航空的班機,因此就可以輕鬆的在高鐵站就辦理報到,並且直接託運行李,然後再轉搭統聯客運前往機場,自從國內的航空公司有這樣的服務之後,真的讓前往機場的路上輕鬆很多。

此次有拿到長榮貴賓室的招待券,待會準備前往貴賓室候機,這邊比在登機閘門旁的候機室舒服多了,還有免費的網路、餐點、飲料等可以享用。


在登機前看到最近長榮一直主打的「Hello Kitty」飛機,整台飛機上都有Hello Kitty的圖案,想必很多粉絲會相當的心動,想要搭這班飛機出國旅行。

包括候機與飛行的時間,總共超過20個小時,每次來美國真的是夠遠的,不過終於順利的抵達了,此行入住Blackhat USA 2012會場對面的Flamingo Las Vegas Hotel,這家飯店最具代表性的主題,就是後方有個動物園,其中有這家飯店的代表動物-紅鶴,還滿多隻的,當然還有其它的動物,在沙漠中的城市有這樣的景色,倒是滿特殊的。

幾次來拉斯維加斯的印象,除了「熱」還是「熱」,還好白天需要參加會議,不然在外面的溫度,高達四十幾度,而且身上的水份流失很快,一定要經常的補充水份才行,這次來最大的感受,就是免費的無線網路變多了,以前只有McDonalds有免費的無線網路,現在連Starbucks都有了,有來這的朋友可以多多利用。


[IS]2 Workshop 2012實戰課程

Published by Yi-Lang Tsai under , , on 下午4:06
今年第一次辦理的[IS]2 Workshop是幾經考量之下,決定辦個與眾不同的資訊研討會,雖然以Workshop辦理的資安會議的方式,在國外是滿常見的,但是國內的資安會議有時候礙於投資成本以及辦理的課程主題不明確,或擔心無法收支平衡,大多數的主辦單位並不會做這樣的規劃,既然[IS]2是由兩個國際資訊安全組織所主辦的,當然需要引入不同的思維,此次安排了四門技術實戰的課程,包括了HonEeeBox Rapid DeploymentMalware Lifecycle and Botnet Monitoring using Honeynet TechnologyCuckoo Sandbox: How deep the brid's nest goes以及Malicious PDF Analysis,這些課程都由國內外知名的講師或是Honeynet工具軟體開發的作者,親自在台灣為學員講授最核心的資訊安全技術,也感謝參與人員的支持,讓此次的教育訓練課程順利成功,也為這次的會議劃下美好的回憶。
















[IS]2 Workshop 2012後記

Published by Yi-Lang Tsai under , , on 下午2:41
從會議結束一直忙到出國前夕,終於有點時間整理一下今年的[IS]2 Workshop 2012會議的資記載,[IS]2Innovation Information Security Summit的縮寫,中文可以翻成「創新資訊安全高峰會」,很多人問我為什麼要稱做[IS]2,當初的理念與想法,主要是想要結合已超過十年歷史的The Honeynet Project以及近三年剛誕生,但是已具有影響地位的Cloud Security Alliance(CSA)兩個國際資訊安全組織的能量,兩個資安國際組織都是非營利性的國際資訊安全組織,但兩者的定位與發展並不相同,目前則因為同時負責這兩個國際資安組織在台灣的運作與推動,而有這樣的機緣可以讓兩個國際組織在台灣激出火花,也建立兩個組織共同合作的契機。

The Honeynet Project是一個極技術導向的資訊安全組織,成員大多由各國的資訊安全專家或研究人員所組成,大家各自為所服務的學校、公司、單位、組織工作,在工作之餘投入心力於資訊安全技術,例如:誘捕網路或誘捕系統的研究(或稱蜜網、蜜罐),以發掘網路上的資訊安全問題;而CSA則是主要由獨立資安研究人員、雲端相關資訊安全設備廠商以及各國的正式分會所組成,以發展雲端服務中相關資訊安全技術為主,並且透過產、官、學、研的力量,共同規劃、提昇與改善雲端服務的安全性,去年第一次辦理[IS]2時,與幾位資訊安全同好正在討論台灣的資訊安全問題,不論在技術上、經濟規模上,都與國際的趨勢有些距離,因此希望透過國際資源的導入以及在國內提供國際的脈動與發展趨勢,提供共同省思如何在台灣的資訊安全領域注入需要的「創新」能量,換個思維看待資訊安全這個問題。

上半年的會議,以The Honeynet Project的技術會議為主,因此今年特別邀請了三位來自國外的講者,分別是Mark SchloesserMahmud Ab Rahman以及Claudio Guarnieri,分別以Next Generation Honeynet Technology、Reverse engineering Encryption Routine以及Koobface: the social monster為主題和與會人員分享最新的資訊安全技術,以及資訊安全廠商分享了目前最新的偵測與防禦技術,此次的會議除了第一天以研討會的方式辦理之外,第二天開辦了四場Hands-on的Workshop,直接由國內外的專業講師,其中有三場是外籍的講師,也是第一次直接邀請The Honeynet Project開發相關工具的研究人員,介紹如何進行誘捕網路的規劃與部署、PDF文件的分析、惡意程式誘捕系統以及行為分析平台,一天下來許多參加課程的學員都在講師的引導下收獲良多。

今年的[IS]2 Workshop 2012由The Honeynet Project Taiwan Chapter以及Cloud Security Alliance Taiwan Chapter共同主辦,中華民國資料保護協會承辦,承辦單位延續去年的活動經驗,今年做了一些不一樣的改變,例如:與媒體的合作讓活動更容易曝光等,都有助於會議的宣傳與推動。

今年是第二次辦理The Honeynet Project Taiwan Chapter的活動,線上報名人數已超過120人,當天與會的資安同好也將近百人,這些都是協會與工作人員、贊助廠商、合作媒體等多方宣傳下的成果,可以預期明年再辦理時,應該可以吸引更多的資安同好參加,不過對於負責會議承辦工作的資料保護協會人員而言需要給予最大的鼓勵與讚許。













談OWASP十大雲端服務的資安風險

Published by Yi-Lang Tsai under , on 上午7:48
一、簡介
雲端服務是目前最熱門的話題,許多的網站應用服務,都環繞在雲端的架構上,以提供使用者隨手可得的服務,而大多數的雲端服務,都是直接透過瀏覽器開發網站來取得,因此對於網站本身的應用程式安全,或是開發人員所撰寫的程式內容,是否有潛存的資訊安全風險,也成為確保服務品質以及使用者資料安全的重要依據。OWASP每年在全球各地舉辦的AppSec Conference(應用程式安全研討會),都吸引了許多的程式開發人員參與,每年都會有相關的重要的資訊安全發展趨勢,在會議上被揭露或發表,對於程式開發人員而言,掌握這些發展的趨勢,將有助於在開發過程中,能夠注意到所開發的程式本身在資訊安全上的要求。

應用程式在雲端服務的架構中,在屬性上較偏SaaS(Software as a Service)模型,OWASP(The Open Web Application Security Project)是網路應用程式安全的研究計畫,每年都發佈前十大的網站應用程式弱點,以提醒網站程式的開發人員,在開發網站的應用程式時,能夠避免這些經常遭到駭客攻擊的弱點,以提供高網站本身的安全,避免遭到入侵成功以及重要的資料遭到竊取,因此OWASP所發佈的訊息以及相關的研究成果,可稱得上是網路應用程式開發人員最重要的參考指南。

(圖)OWASP官方網站(www.owasp.org)

二、雲端安全十大風險評估的由來
雲端計算以及SaaS十大雲端安全風險評估,主要由網際網路上經常發生的資訊安全事件、資訊安全專家以及雲端服務的供應商來取得,目前許多常見的網路應用服務,例如:電子郵件、網站等,都能夠找到許多的雲端服務供應商,對於使用者而言,對於這些服務就不再需要自行架設伺服器,以及自行建置與管理相關的應用程式了,依據Gartner所發佈的統計分析數據,預估在2012年已採用雲端服務的企業,其中20%的企業將不再自己擁有資訊資產,因此如果針對轉移到雲端服務時,所需要考慮的安全議題進行分析,也成為相當重要的課題。

OWASP Cloud-10 Project,計畫的目標是透過資訊安全專家、雲端服務供應商進行較客觀的評估,包括雲端軟體的安全風險以及所需要花費的成本效益,在研究的過程中,希望針對SaaS服務的供應商進行分析,對於這些提供雲端軟體服務的供應商,進行風險的評估,取得較客觀的數據,而已經採用或是即將採用雲端服務的企業或使用者,則可以瞭解在使用雲端的軟體服務時,將會面臨那些的風險,也可以藉此提供進行因應措施,避免風險一旦發生時,能夠降低遭受到的損失。

三. OWASP十大雲端服務的安全風險
目前所評估出來的十大雲端服務安全風險如下,不過OWASP仍在進行最後的驗證與確認,不過預期將來發佈的最後版本,仍然會以此十大安全風險為主。

  • R1 – 權責與資料所有權(Accountability and Data Ownership)

傳統的資料中心對於本身所建置的資訊基礎設備,擁有最高的管理權,並且能夠確定資料在這些設備上的儲存位置,或是採用本身所設備的管理機制,以確定這些資料能夠受到妥善的保護,但是雲端服務的環境中,當企業或是使用者將本身所擁有的資料送到雲端服務的供應商之後,對於資料的控制權將會下降,而必須依賴雲端服務的供應商,對於這些資料進行儲存、備份、存取限制等相關的管理措施,這影響了原本對於資料保護的責任以及資料的所有權。


  • R2 – 使用者身份識別的整合(User Identity Federation)

以企業的營運而言,對於平台使用者的身份進行識別是相當重要的,透過身份識別可以依據使用者本身的職務或是工作上的需求,提供其所對應的使用權限,藉此進行資訊存取上的控制,而雲端服務的環境中,必須面對使用者在雲端服務中的身份識別問題,以及對於使用者跨越多個不同的雲端服務之間的身份識別問題,因此用戶是否採行聯合的身份識別機制,例如:Security Assertion Markup Language (SAML),進行不同服務供應商之間的統一識別方式,就是需要評估與考量的。


  • R3 – 法規上的適用性(Regulatory Compliance)

雲端服務的供應商可能來自世界上的任何一個角落,因此對於各個國家的法律問題,許多情況下並不是一致上的,因此對於採用雲端服務之前,必須對於服務供應商所在的國家,以及其適用的法規進行評估,以避免爭議發生時,無法得到法律上的保障,例如:歐盟對於資料的保護有相當嚴謹的法規要求,因此在美國的雲端服務業界,對於資料的儲存與處理的方式,也許就無法得到歐盟的認可。這些法律上的爭議需要在選擇雲端服務之前就能夠事先的研究與評估。


  • R4 – 業務持續運作與彈性(Business Continuity and Resiliency)

業務能夠持續的營運對於企業而言是相當重要的,以往當災難發生時,因為這些資訊系統或是相關的基礎設施,因為在自家的管理範圍內,企業能夠很快的進行這些資源的調配,以修復受到影響的服務,而雲端服務的環境中,當企業不再擁有這些基礎設施之後,則必須完全依賴雲端服務供應商能夠提供的環境,缺少了管理上的自主與彈性。


  • R5 – 使用者的隱私與資料的再利用(User Privacy and Secondary Usage of Data)

當使用者開始在社群網路上活動時,所填寫與發佈的資訊,以目前這些社群網路所提供的運用方式,大多還在模糊地帶,在這些服務的平台中,並沒有詳實的說明服務供應商將如何使用這些原本屬於使用者擁有的資訊,對於使用者的隱私將容易造成影響,而服務供應商的業界,也許會因為某些商業營運上的考慮而對於這些資料再次的運用,例如:販賣給廣告業界或是提供內部不同部門間的業務需求,這些對於原本擁有這些資訊的使用者而言,將會造成隱私權上的侵犯,但是在現行的服務條約中,大多有利於服務供應商,對於使用者是較不具保障的。


  • R6 – 服務與資料的整合(Service and Data Integration)

企業與雲端服務的使用者必須能夠確保所擁有的資料在雲端服務上的安全性,因此對於所提供服務與所儲存的資料如何進行整合,以確保在運用以及傳輸的過程中,不會因此對於服務與資料本身造成危害,也是需要納入風險評估的範圍。


  • R7 – 多重租賃與實體安全(Multi Tenancy and Physical Security)

在雲端服務上使用者,大多共享資源和服務,例如:CPU、RAM以及儲存的設施,因此在實體上的隔離較無法受到企業與使用者的掌握,而必須依賴對於邏輯隔離和其他控管的機制,以確定使用者不論是有意或無意,都不能干擾其他用戶的安全,涵蓋了機密性、完整性以及可用性上的考量。


  • R8 – 事件分析與鑑識的支援(Incidence Analysis and Forensic Support)

當資訊安全事件發生時,對於雲端服務供應商的應用程式,以及雲端服務的方式,在系統日誌的取得上是相當困難的,而且這些服務供應商,又可能分別將這些資料放置在不同的主機或是資料中心,而這些又可能受限於各個國家在法律規定上的不同,因此屬於這些用戶的日誌資料,可能同時存在相同的儲存媒體上,如何提供做為事件調查所需要的資料,這也是進行數位鑑識時,能夠取得服務供應商的支援多寡,而影響到原本對於資訊安全事件的掌握程度。


  • R9 – 基礎設施的安全(Infrastructure Security)

基礎設施的安全包括了設施本身以及正確的組態設定,因此雲端服務的環境中,使用者對於基礎設施安全上的掌握是最為薄弱的,這對於預計採用雲端服務的企業或是使用者而言,必須先針對這個環境上的改變進行風險的評估。


  • R10 – 非生產環境的揭露(Non Production Environment Exposure)

在企業內的資訊部門,大多會為企業設計相關的開發流程,以確定開發出來的軟體能夠符合企業的要求,而這部份的開發流程或對於資料的處理方式,並不會揭露出來,也許會被視為企業的商業營運秘密,而雲端服務的環境中,對於處理的流程在某些情況下,必須被揭露而用來取信於使用者,整個發展的環境可能會有來自外部的攻擊或是對於資訊取得的探測,這些對於雲端服務的安全性而言,是需要被納入風險評估的。

四、結語
雲端安全是推動雲端服務重要的影響因素,許多評估是否將資訊系統或是網路應用服務轉移到雲端平台的企業或是使用者,都會將安全的議題列入最重要的考量因素之一,因此雲端服務供應商如何建立使用者的信心,就成為相當重要的課程,雲端服務必須提供安全的保障,除了在基礎架構的設計上需要將安全的議題納入考量之外,對於機敏資料的處理機制,亦必須採用更為透明的處理流程,才能取信於使用者,OWASP針對雲端服務提供了十大安全風險必須考量素因,除了可做為雲端服務供應商在規劃上的重要參考之外,也可以提供打算使用雲端服務的企業或使用者,可以從安全的角度來選擇適合的雲端服務業者,為相當重要的參考資訊,以選擇一個具有安全基礎設計的雲端服務供應商。

本文同步發佈於TWNIC/CC電子報 http://newsletter.certcc.org.tw/epaper/201206/tech2_1.html