蔡一郎的部落格

Yilang's Blogger

媒體報導-No N Korean surge seen, amid hacking reports: ministry

Published by Yi-Lang Tsai under , , on 12/21/2014 01:43:00 上午

2014年演講與授課清單

Published by Yi-Lang Tsai under , on 12/18/2014 04:06:00 下午
2014年-演講與授課清單
日期講題地點主辦單位
2014/12/31雲端安全關鍵報告國立中山大學資訊管理研究所國立中山大學資訊管理研究所
2014/12/26資安巨量情資中的關鍵報告國立清華大學第六屆台灣區Botnet偵測與防治技術研討會(BOT2014)
2014/12/24Honeynet資安誘捕系統建置實務崑山科技大學崑山科技大學
2014/12/23進擊的巨人-惡意程式台中教育大學數學教育系台中教育大學數學教育系
2014/12/17Honeynet資安誘捕技術崑山科技大學崑山科技大學
2014/12/17資訊安全與網路攻擊趨勢南台科技大學南台科技大學
2014/12/11萬物聯網之雲端資安發展趨勢財團法人張榮發基金會2014 BSI GRC管理策略年會
2014/12/5Kali Linux滲透測試實務(下)國立交通大學竹苗區網資安技術研討會
2014/11/28Kali Linux滲透測試實務(上)國立交通大學竹苗區網資安技術研討會
2014/11/26新世代DDoS攻擊下的資安威脅台南遠東香格里拉飯店Arbor Networks 新型態攻擊防護研討會
2014/11/14台灣學術網路(TANet)資訊安全趨勢裕元花園酒店103學年度全國大專校院資訊行政主管研討會
2014/10/31資安威脅與網路攻擊新趨勢國立台南高級海事水產職業學校國立台南高級海事水產職業學校
2014/10/29-30Linux系統與網路服務安全中華電信訓練所中華電信訓練所
2014/9/5物聯網世代下的企業營運智慧台大集思國際會議中心2014 雲端安全聯盟亞太年會
2014/8/27網站滲透測試實務高雄市警局高雄市警局
2014/8/21由巨量資安分析中所凝聚的營運智慧台北六福皇宮DAF2014 企業資安日論壇
2014/8/15網站弱點檢測實務高雄市警局高雄市警局
2014/8/14社群網路與行動通訊安全中華電視公司中華電視公司
2014/7/29網際網路資訊探勘高雄市警局高雄市警局
2014/7/17智慧連網時代的資安威脅中華電視公司中華電視公司
2014/7/7Botnet 101台大集思國際會議中心HoneyCon 2014
2014/7/3行動智慧連網與資安趨勢台北101國際會議中心Akamai Solution Day
2014/6/18雲端發展趨勢與安全管理新竹老爺大酒店Zscaler資安雲服務說明會
2014/6/12資安威脅與攻擊新趨勢高雄市政府公務人力發展中心高雄市政府
2014/6/11雲端安全認證檢測與推廣中心台灣雲端運算產業協會台灣雲端安全聯盟
2014/5/29Apache伺服器建置實務嘉南藥理大學資訊管理系嘉南藥理大學資訊管理系
2014/5/26進擊的巨人-惡意程式國立勤益科技大學資訊工程學系國立勤益科技大學資訊工程學系
2014/5/23誘捕系統與巨量資料分析ConfidentialConfidential
2014/5/22Email伺服器建置實務嘉南藥理大學資訊管理系嘉南藥理大學資訊管理系
2014/5/21巨量資安資料與趨勢分析國立高雄應用科技大學資訊工程學系國立應用科技大學資訊工程學系
2014/5/20淺談物聯網路之APT攻擊台北君悅大飯店CIO企業資安高峰會
2014/5/9物聯網的發展趨勢台南應用科技大學2014企業電子化實務應用研討暨論文發表會
2014/5/8FTP伺服器建置實務嘉南藥理大學資訊管理系嘉南藥理大學資訊管理系
2014/5/1DNS伺服器建置實務嘉南藥理大學資訊管理系嘉南藥理大學資訊管理系
2014/4/29進擊的巨人-惡意程式國立成功大學工程科學系國立成功大學工程科學系
2014/4/28職涯規劃與快樂人生國立高雄應用科技大學資訊工程學系國立應用科技大學資訊工程學系
2014/4/16APT攻擊與資安趨勢分析ConfidentialConfidential
2014/4/9APT、DDoS如影隨形維多利亞酒店與看不見的駭客開戰研討會
2014/3/28建立雲端基礎中的軟體定義安全界線國家高速網路與計算中心雲端運算技術與應用聯盟
2014/3/26網路服務的關鍵任務台北101國際會議中心2014迎接安全無虞的物聯網時代研討會
2014/3/21物聯網時代的資訊安全威脅聯經數位股份有限公司聯經數位股份有限公司
2014/1/23資訊安全威脅與案例分析高苑工商職業學校高苑工商職業學校
2014/1/17巨量資安資料雲端分析與應用台灣證券交易所台灣證券交易所
2014/1/3視覺化資料分析與應用吳鳳科技大學資訊管理系吳鳳科技大學資訊管理系

從2014 CSA Service Award看資訊服務

Published by Yi-Lang Tsai under , , , on 10/10/2014 10:00:00 上午
經過了許多年在資訊安全領域的投入,今年雲端安全聯盟(CSA, Cloud Security Alliance)有幸獲選為全球六位Ron Knode Service Award的得獎人之一,除了感受到來自國際上的認可之外,也為自己投入資訊領域多年,注入了一股暖流,畢竟太多的事情受限於體制或是既有的組織文化,常常無法依據資訊服務的標準來實行;目前參與全球雲端安全聯盟已近三年,從成立到今年辦理了許多的活動,與一些國內的單位、協會或是企業界,討論了許多國內在資訊產業發展的契機以及現階段遇到瓶頸,許多的人才也不斷的移往國外發展,主要在於國內的就業環境或是實質上的經濟收入,都遇到了困難,有機會且有能力的人,為了將來的發展或是家庭的未來,有些人就會選擇到國外尋求更好的發展機會,一個企業如果留不住人才,將會直接衝擊企業本身的發展,同樣的,一個國家無法讓人民可以感受到未來,人才一旦外移,這個國家就失去了競爭力。

資訊服務許多人都知道這個名詞,但大多數的人卻無法瞭解資訊服務帶來的價值,一位幫忙同仁處理資訊系統問題的員工,在個人的觀念中,其重要性不亞於從事產品研發或是系統管理的工作,尤其在現在資訊安全問題頻傳的時代,重要的研發成果如果沒有辦法管理資訊服務的環境,有再多的成果也是別人隨手可得的。雲端安全聯盟著重在雲端服務的安全研究,不時有相關的研討會或是白皮書的發佈,希望建立與推動在雲端服務世代下的資訊安全,對於企業或是個人都有不同層面的發展策略,目前不時聽到一些大型的雲端服務供應商發生資訊安全的事件,其實究其原因大多是因為管理政策未落實或是系統本身的弱點所造成,其中又以人為的失誤佔大多數,可能在安全架構的設計上或是程式的開發上,未考量到如何因應不斷變化中的資訊安全威脅。


目前國內不論在政府單位、法人單位或是民間的企業,在推展許多資訊服務架構或是對於資訊安全的認知上,仍然有許多成長的空間,許多人大多希望政府能夠幫忙做更多,其實能夠幫助自己的就是本身的能量,而能量的來源就需要許多人才的累積,許多的主管或是企業往往在意的是數字,除了業績之外,也連留住人才的薪資也是斤斤計較,除了福利無法吸引住人之外,這也難怪許多人都會選擇另一條不同的道路。

在資訊安全領域,如果從管理制度的角度來看,ISO 27001資訊安全管理系統(ISMS, Information Security Management System)是政府單位、學研單位以及企業最常採用的管理制度,許多的組織也透過第三方的稽核拿到了證書,照理說應該已普遍具有資訊安全管理的架構與觀念,不過有參與導入管理制度的朋友,應該就能夠體會許多單位在決定導入時,其實並非自發性的,有的主管單位的要求,有的是做個精簡版的驗證,更有些是為了拿到證書而做,在早期可以自訂驗證範圍的時代,就不難發現一些可笑的驗證範圍,一台伺服器或是一個線上平台,就是整個組織拿來參與驗證的範圍,台灣目前在全球擁有ISO 27001證書的單位是全球的第三名,但是相較對於資訊安全管理這件事的重視程度,遠不及這個第三名應該有的。

台灣還沒有出現具全球競爭力的雲端服務供應商(CSP, Cloud Service Provider),但是其中卻不乏具有創新能力的企業,如同許多創新的點子的出現,較顯少出現在有歷史的公司,其中的原因可想而知,在已有一段歷史的組織或是公司內談創意,基本上就有先天上的限制,固有的企業文化或是組織的運作,極可能在某些關鍵時刻,會讓原本的創新變得不可行,或是無法繼續發展;資訊服務也是如此,不同的組織都有其對於資訊系統或是資訊服務的發展歷史與架構,對於外來文化或是實施方案上的建議,大多需要較多的學習與磨合期,以雲端服務而言,許多雲端服務供應商也都是從傳統的資料中心或是資通訊的服務業者轉型的,其中對於雲端服務的定義除了基本的原則外,大部份都是各自表述,這也造成了許多人對於雲端服務在本質上的誤解。


台灣是資訊產業發展的主要國家,我們擁有許多的世界第一,不過反觀這些世界第一,大多數的員工並沒有獲得相對的待遇與福利,工時長、薪資少,有許多人也失去了家庭生活與健康,這些都是國家的成本,也是整個大環境發展下必須重視的問題。

參考資料:
CSA Ron Knode Service Award
https://cloudsecurityalliance.org/ron-knode/service-award/

2014 CSA Service Award Press
https://cloudsecurityalliance.org/media/news/csa-announces-annual-ron-knode-service-award-recipients/


心有多寬,世界就有多大

Published by Yi-Lang Tsai under on 9/21/2014 02:07:00 上午
投入資訊安全領域的這些年,有著不同以往的感動,今年也辦了幾件可以讓自己留存在記憶中的回憶,年輕時候磨練著自己的技術,一邊管著公司的網路、資訊系統、儲存設備等,每天繞著新的資訊技術學習,架設MRTG、配合FLASH製作樓層平面圖,瞭解每個座位的網路流量,有許多的創意都在摸索新技術的過程不斷的湧出,這段時期投入的是無窮的活力,每天都是新舊知識與技術的交雜,處理發生的問題,也得創造新的技術平台,做的是熟悉的資訊技術,因應工作的需求,管管系統與寫寫程式是每天的例行工作。

因對資訊安全事件頻傳,接著從調查局來進行資安事件調查起,對於資安的熱愛程度就開始有增無減,充滿著濃厚的興趣,近幾年來有感於工作環境能夠給予的資源有限,因此大膽的承接了幾個大型資安計畫,建置了台灣甚至是全球最大單一組織所建置最大規模的誘捕網路(Honeynet),以及協助教育部建置了台灣學術網路的資安維運中心,幾年下來也發掘了許多前所未知的資訊安全威脅,個人也很慶幸有機會看到整個台灣的網路安全現況,套句MIB所講的:「當我們仰望著星空時,有時候不知道一些事,也是一種幸福」。來自網路上的威脅與日俱增,只是在於有沒有能力看見,許多時候資訊安全是最後才會被考量到的,這也是不爭的事實,畢竟沒出事的時候,資安的投資倒真的是「無感」。

最近忙著公司計畫的事,也辦理了幾個資安會議,除了是擔負起國際資安組織在台灣的發展重任之外,最慶幸是辦了幾年的活動下來,人數每年都是倍數的成長,今年的HoneyCon會議已超過350人以上,而CSA APAC Congress在亞太總部的協助下,參加的人數整天下來也超過了500人以上,另外就是協助辦理會議的志工朋友,犧牲自己的休假,就是希望把資安會議辦好,不管是HoneyCon、CSA APAC Congress或是科技部資安計畫的成果研討會,三個不同主題與性質的會議,但是都有相同的企圖與目標,希望能夠喚起大家對於資訊安全的重視,也希望讓國際間可以看見台灣,而不是只在國內自己喊喊口號,自己騙自己一切是多麼的美好。

除了忙碌的處理資安事件之外,也秉持著當時投入寫作的初衷,希望把知識傳達給更多的人,平均一年超過30場次以上的演講,也成為每月跑攤行程的一部份,不同的場合為著相同的理由,圍繞著資安的主題,共同的學習與分析當下的資安問題,這個是最令人開心的事,因為有機會分享個人的心得,除了可以省思本身所學所知之外,也可以透過簡報資料或是教材的製作,學習一下新的知識或是瞭解新的工具軟體。抱持著心之所向,金石為開的想法,大膽的邀請產業界以及政府單位的協助,所幸這些單位都願意參與與協助這幾個資安會議的舉辦,並且給予實質的贊助,個人除了感激之外,還是感謝這些贊助商的友情支持,其中已不乏已連續支持四年的廠商,贊助商們熱情的支持讓主辦單位倍感溫馨,在今年又加入許多法人以及政府單位的支持,相信在國內推動資訊安全的活動,已逐漸受到重視,也期望明年能夠更擴大辦理。

研究人員與技術人員總是不善長於行政作業的,在不違反規定的前提下,做許多的考量往往是直接了當,並不會有額外的想像,不過這陣子從定期人員的離職規定到差勤的規定等等的事件,在夜深人靜的時候,莫不想像著這些處理的流程出了什麼問題,這些規定有什麼需要考量的,這些真的是隨時得因應行政單位的一個「想法」或是一個對於法規的「解讀」,得來個隨機應變才行,但是這些類型的人,大多是專注於自己的工作的,那有時間與心思真的去看看這些所謂的「規定」,寫的似是而非的文字,都需要經過解讀才能夠瞭解其中隱藏的涵意,這些技能偏偏又是這些類型的人最欠缺的,而當行政體系凌駕一切時,往往組織的運作就會出現問題了,而往往受到傷害的就是這群努力工作的研究人員與技術人員。

在職場上因為工作性質的不同,每個人或是不同的部門,對於事情的瞭解程度或是對於相同事情的看法,我想十之八九還是有所不同,經過十幾年來職場的考驗,現在個人的情緒也不如以往直烈,反而對於事情真相的反思,每件事都有正反兩個面向,相同的事情解讀的角度或是出發點的不同,所得到的結果就不盡相同,個人覺得最諷刺的,大多數的人對於工作的熱情是隨著年資而下降,往往幾年之後,早已忘記當時來面試時所展現的熱血與活力,舉足之間是充滿著如何的自信。

個人滿慶幸的是身旁總有一群熱愛資安的夥伴,不論是在公司內的團隊或是所連結的資訊安全社群,許多時候我們都有著共同的話題,那個網站有問題了?資料庫可以直接進入了?為什麼又是這個殭屍網路?那個IP實在是有夠扯的?今天又有新的漏洞了?你試了嗎?等等,這些對話常常就會出現在不同的地方,包括了郵件、社群、Line、Skype或是IRC上。

「心有多寬,世界就有多大」,是最近體悟滿深的一句話,許多時候在工作也好、待人處事也好,往往不自覺得會從個人的角度看事情,而所得到的結果充其量只能代表是由個人的經驗所產生的,有時候也真的在職場上遇過,真的有人換了個位置,就換了個腦袋,以往所熟悉的一夕之間變得如此的陌生,追逐權位利益,或是靠著抵損他人而獲得所謂的成就,這些人在我們的週遭並不難遇見,最可悲的是在成就之後的快感往往僅有九分十刻,一群在外打天下的戰士,被認可的成就竟不如整天待在公司內一天過一天,每天等著準時下班的員工,這個倒是真的很難想像,也許是另類的台灣奇蹟吧!

做人比做事難,隨著年紀的增長,這個體悟也更加的深切,許多時候內耗的殺傷力遠大於外患,所以個人就滿喜歡沒事看看管理類的書,就是希望不要犯了相同的錯誤,一個不留神可能就會對於目前工作的夥伴造成傷害,人的心思主導的外在的作為,不論所做的決定為何,都將影響到未來的發展,一件看似簡單的事,或是一句無心的話,都可能會影響著往後的發展。

許多人會選擇在適當的時候離開原本的職場,除了想要生活有些不同之外,有時候也是厭倦了當時的工作環境,或是看不見未來,如果人生無法看見或是預想自己的未來,這個套句資安的術語,就像是殭屍電腦一樣,無法擺脫中繼站的掌控,那是多麼可悲的一件事啊。

一時之間興起,隨筆散談...



媒體報導-Cloud Security Alliance announces Annual Ron Knode Service Award Recipients

Published by Yi-Lang Tsai under , on 9/20/2014 01:37:00 上午


媒體報導-雲端安全聯盟亞太年會 台北登場

Published by Yi-Lang Tsai under , , on 9/14/2014 12:21:00 下午

媒體報導-新唐人/NTD-iCloud洩密人心慌 CSA第三方認證護資安

Published by Yi-Lang Tsai under , on 9/07/2014 11:51:00 下午

波士頓城市慢遊

Published by Yi-Lang Tsai under , on 8/25/2014 12:00:00 上午
五月底的波士頓,氣候相當的不錯,尤其在這有兩所知名的一流學府,更是此次來波士頓之前,就決定要到訪的學校,每次到國外出差,如果去的地點剛好有這些耳熟能詳的名校,都是會安排的時間到這些學校的校園走走,感受不一樣的氣息,而且往往也會發現,這些學校之所以成為名校的原因,總有些獨特性。

在波士頓的哈佛大學以及麻省理工大學,我想沒聽過它們的人應該不多,每次來美國走訪一些著名的大學,都不難發現大學校園與週遭的生活環境大多是融合有一起的,哈佛大學也是如此,有時候要特別看一下指標,才知道已經離開了校園的區域。哈佛大學是美國歷史最悠久的大學,從1636年到現在,已有三百多年的校史,許多人到這都會來摸一下第一位贊助人約翰在哈佛大學中的銅像,據說來摸一下約翰的左腳,可以在考試中金榜題名,這也難怪他的左腳被摸的實在是夠亮的。

MARK 1是美國第一台可程式化運算的電腦,當然比起現在又小又快的電腦,MARK 1真的是夠大台的,不過在當時這台電腦是資訊科技發展過程中一個相當重要的里程碑,有機會到波士頓的朋友,不妨找個時間到這看看MARK I。

與哈佛相距不遠的麻省理工學院,是全球重要理工人才的搖籃,許多重大的發現或是技術的發明都來自這,在學校的旁邊還有一個博物館,展示了歷年來許多重要的發明,像機器人、人工智慧的相關技術等等。

這個校園的景色讓我駐足了許久,遠眺波士頓市中心,兩旁的樹木與蔚藍的天空成了相當怡人的景色,也忘了剛剛從哈佛大學走了快一小時到這的疲勞。

大多數的城市一定有陸上的計程車,而波士頓還有水上的計程車,雖然搭的人不多,不過看著水上計程車跑來跑去也是滿特別的。

許多的船,大大小小的就停泊在港口上,總有自己的一個避風港,人生又何嘗不是如此,大多數的時候,我們都是從一個避風港到另一個避風港,願意在人生旅程中經過風雨挑戰的,往往可以在擁有更精彩的人生歷練。

許多人夢想到國外,想著擁有更好的升學環境、生活環境等,不管原因為何,為的都是希望未來會更美好,看到這個景色,同樣的感觸油然而生,我們總想台灣那邊不好,常常有人自怨自艾,抱怨政府沒做什麼,有時候倒不如想想,我們為自己的人生做了什麼規劃,享受別人的給予,比起能夠給予別人所沒有的,往往來得難上許多。

在等待大嗑螃蟹之前,邊等待著,也邊欣嘗著波士頓的景色,遊艇、飛機在水上、天上來來去去,不過別忘了,所有的遊程都有終點,重點是如何到達這個終點,每個人選擇的方法與路徑是不一樣的,能夠獲得的當然也就因人而異了!

一群人,在水上練習著划龍舟,而這一群人有著共同的目標,在彼此的合作之下,有著完美的演出,在公司裏的工作團隊,

看著看著,排到座位就開始準備吃龍蝦了,一個大桶子是待會要被蟹殼跟蝦殼的,裏面有許多的工具可以使用,大大小小的叉子,不過我還是覺得雙手萬能吃起來最痛快。

點了兩磅的龍蝦以及帝王蟹腳,終於達成了此行的目的之一,就是來波士頓,一定得品嘗一下當地又便宜又好吃的龍蝦。

在飯店前的波士頓公園,一直到回國的前一天傍晚,才有空去逛逛走走,公園內的松鼠滿多的,一大堆的松鼠在地上、樹上跑來跑去的,一點也不會怕人。

景色怡人的公園,讓人想在公園內坐上一會,放寬自己的心胸與放鬆自己的心情,我想這是在繁忙的工作之餘,一定要有的,給自己的身體一個休息的時間。

松鼠到處找著食物,有的感覺是之前藏的,一下子就從藏東西的地方拿出來吃。

波士頓有許多精典的建築物,就夾雜在現代的建築之中,別有一番風味,有機會來波士頓除了享受慢活的旅行之外,造訪這些有著悠久歷史的建築,有是相當值得回味的。

每次來美國大多是商務的行程,幾天忙下來,除了參加會議與社交聚會之後,其實也沒剩多少的時間,可以好好的在不同的城市慢慢的品嘗,有時候總有那麼一點點的遺憾,希望下次還有機會再來。

FIRST 2014後記

Published by Yi-Lang Tsai under , , , , on 8/17/2014 02:22:00 上午
離FIRST會議舉辦的時間,已是三個月前的事了,最近接二連三的國內行程,包括在六月底辦理的HoneyCon 2014,把自己的行程排得滿滿滿,上班忙公司的事,下班忙著會議的籌備以及回覆國外資安組織的郵件,而一直無法空下來的時間把今年的FIRST會議重點做個整理,今年的會議在美國的波士頓舉行,已經舉辦了第26屆,今年選擇在Boston Park Plaza Hotel,是有特別涵意的,因為在25年前第一屆的FIRST會議就是在相同的飯店創立,也開啟了全球對於資訊安全事件處理的重視,二十幾年下來,現在的資訊環境與25年前大不相同,網路的普及以及新興的資訊服務與技術發展,讓資訊安全事件的處理更顯得需要更廣泛的技術以及更多國家對參與,因為網路是無國界的,單靠自己是無法因應現在的資訊安全威脅。

FIRST是Forum of Incident Response and Security Teams的縮寫,由全球各個國家的CERT/CC、CERT、CSIRT等單位所組成,其中大多數的協調中心(CC, Coordination Center)都是由政府單位或是官方的組織所組成,而台灣一樣有TWCERT/CC,早期由中山大學成立,運作了幾年之後,由TWNIC代管了幾年,在今年確定由中科院承接,而其它的單位像技服中心成立的TWNCERT以及目前服務的單位正在申請中的TWCSIRT,都有其成立的背景與任務,而每年的FIRST會議,就是這些不同國家、不同的單位以及資訊安全相關的專業人士共同參與的盛會。

今年的FIRST會議,個人所知總共來自三個單位共六個人參與,期待在這樣的場合,能夠與國際相關的單位接軌,也建立以國際上的合作關係,至少在資安領域是如此,碰過面總比只有電升郵件來往更有親切感,也是建立彼此互信關係的開始。


今年由NBCUniversal為當地的主辦單位,而贊助此會議的廠商也不少,其中台灣的Trend Micro也在其中,當然資訊安全的投入,必須是長時間的經營,才能夠看到些許的成果,這倒是與其它的產業較不同的地方,不像製造業只要準備好生財工具,馬上可以看到獲利。


個人滿喜歡今年的標題「Back to the 'root' of Incident Response」,也是個雙關語,除了地點是第一屆舉辦FIRST之外,有時候我們處理一些資訊安全的事件,往往會被其外表所呈現的跡象所迷惑,或是因為證據的不足,而無法找到發生資訊安全事件最根本的原因,尤其現在是全球化的時代,資安事件的發生,往往又跨越了真實世界的國度,只要網路能夠連上的地方與資訊設備,都有可能發生資訊安全事件,或是參與了某次的網路攻擊,造成資訊安全上的威脅,如何找到最根本的原因,就是從事資訊安全研究的人員最在乎的一件事,因此唯有找到發生的根源,才有機會杜絕日後再發生的機會。

今年有一些講者的場次環繞在DNS的議題上,除了今年利用DNS服務所造成的放大攻擊,針對一些攻擊者選定的對象,進行的DDoS攻擊,都能夠看到運用DNS服務管理上的缺陷所造成的影響,如果把DNS活動的紀錄,當成分析網路攻擊威脅行為的資料來源,可以獲得更多的助益。

大多數的場次,除了講者的分享之外,也可以看到許多的與會人員專注的聆聽台上所分享的資訊安全發生趨勢,或是特定議題的研究成果。

今年的會議安排了一個業界的參訪行程,一聽到是Akamai公司,馬上就提起了我的興趣,一定要到這家公司一窺究竟,因為它算是在資安領域的指標公司,透過全球部署的服務平台,可以協助客戶掌握網路上的一舉一動,尤其在DDoS以及攻擊流量的過濾上,在過去一些大規模的攻擊事件中,都可以讓使用它來提供網路服務的平台,降低遭到網路攻擊時所造成的損失。

果不其然,在公司入口的大廳,許多國際的資訊服務或是設備大廠都是它的使用者,可見其具備的防禦能力,普遍已獲得認可。

參觀了Akamai的維運中心,許多即時呈現的資訊,包括視覺化的技術,對於資料的分析而言,除了可以提供良好的使用者界面之外,最重要的可以讓網路管理人員以及資訊安全的分析人員,能夠掌握現在的網路使用情況。

每年參加不同的資訊安全並邊學習頂尖的研究人員或是研究機關所發生的技術,都能夠讓我們引發不同的新思維,也能夠為未來的發展方向以及著重的領域,有更清楚的輪廓。

相關網站:

媒體報導-工業局推動中華電信雲端服務安全 國際掛保證

Published by Yi-Lang Tsai under , , on 6/26/2014 11:30:00 下午

The Honeynet Project Annual Workshop 2014在華沙

Published by Yi-Lang Tsai under , , , on 5/24/2014 07:27:00 上午
今年的The Honeynet Project Annual Workshop遠在波蘭的華沙舉行,包括了三天的公開會議以及二天的組織會議,非營利型的組織其實最欠缺的就是穩定的財源,從幾年前開始辦理公開的會議之外,除了擴大研究成果的分享之外,主要也能夠透過會議的收入,多多少少補貼一些年會的支出,這點就跟個人每年在台灣辦理HoneyCon台灣誘捕網路技術研討會一樣,都是需要依賴贊助商的支持,尋找贊助之餘又希望能夠保有原本組織的特性。

今年的議題,主要聚焦在誘捕技術的發展現況、工具的開發進度、VirusTotal與Shadowserver的資安情資平台分享、行動裝置的安全議題、關鍵基礎設施誘捕系統的發展等,偵測與誘捕技術的發展上,必須與目前或是未來可以成為主要資訊安全威脅的項目有關,例如:Thug、Conpot、Ghost、Hpfeeds等,這些都是在The Honeynet Project中發了一段時間的誘捕系統,可以協助需要掌握網路上的資安現況,前兩天的會議以資安的趨勢與誘捕技術最新的發展為主,第三天則進入實作的課程,此次的課程包括了Understanding and Mitigating Botnets、Virtualization Security、Reverse Engineering Android Malware以及Malware Reverse Engineering等,這些都是可以應用在資安實務上的技術,對於研究工作可以節省許多的時間。


今年的會議由NASK支持舉辦,當然少不了介紹一些關於波蘭的資訊安全威脅現況,也讓其它各國的與會人員做個參考,可以對應到自己國家境內的資訊是否雷同,相對於台灣的資訊安全現況。

Conficker雖然已是古董級的問題了,不過因為惡意程式仍然持續的變種以及許多的資訊系統不一定已經處理了這個問題,造成在網路上偵測到的結果,Conficker仍然佔了大宗,不過許多的威脅仍然以Bot所造成的影響最大,這也許是因為許多的使用者並不知道自己所使用的電腦早已威染了惡意程式,並且加入了殭屍網路(Botnet)所致。

針對家用的設備,波蘭境內仍然與國內相似的個案,利用家庭使用的IP分享器,對於使用者進行資訊的竊取,並且假冒其身份存取網路上的服務。

目前惡意程式所形成的殭屍網路(Botnet),採用了動態網域名稱的技術,以增加分析上的複雜度,不過關於DGA的問題,目前已投入許多的研究,希望可以針對域名的產生規則進行分析,以掌握可能會被運用的域名,甚至進行相關的預測。

帳號與密碼是資安的防線,也是重要的問題,因為與人的使用習慣有關,而密碼的強度就直接影響了系統本身對於安全管理上的強度,目前透過誘捕系統,可以檢測遠端對於資訊系統的帳號、密碼探測,也瞭解一下這些自動化的攻擊工具,經常使用的密碼有那些,也可以提供系統管理人員千萬不要選擇這些會被猜測的密碼,降低可能的風險。

資安威脅情資以及資訊的視覺化處理技術,是今年的重點項目之一,許多的研究人員或是組織,分享了對於巨量資安資料的處理以及如何應用視覺化的技術,減輕分析上的複雜度,透過視覺化的分析平台,做為趨勢預測以及情資掌握的參考依據。

對於資訊的處理是一門大學問,不同的組織或是不同的研究人員,在選擇適合的分析方式時,往往與希望掌握的情資有關,所以設計出的來處理流程不盡相同,但是亦不脫離對於資料如何進行處理的大原則。

許多的朋友,每年藉著參加會議的機會,能夠聚上個幾天是多麼高興的一件事,每天都有不同的話題可以聊,也分享一下各自國家在資訊安全領域上的發展現況、最近在進行的研究等等。


後記:後兩天的組織內部會議就不方便分享了。

相關網站:
The Honeynet Project
The Honeynet Project Annual Workshop 2014

The Honeynet Project Taiwan Chapter
HoneyCon 2014

媒體報導-(會後報導)2014企業資安新趨勢:DDoS、APT與DNS防護刻不容緩

Published by Yi-Lang Tsai under , on 4/24/2014 01:14:00 上午

當資安核爆發生時

Published by Yi-Lang Tsai under , on 4/15/2014 05:00:00 上午
最近最熱門的資安議題,就屬OpenSSL所導致的致命弱點,可以讓攻擊者利用這個弱點取得目標主機記憶體中的機敏資料,Heartbleed Bug (CVE-2014-0160)可以稱得上是目前影響範圍最大的弱點之一,關於這個弱點的詳細資料,可以參考http://heartbleed.com/網站上的資訊,大多數的網站為了在通訊過程能夠確保資料傳遞的安全,都會啟用https的加密方式,尤其是對於網站提供用者登入或是具備網站後台的登入畫面,都會採用加密的通訊協定,希望在網路上的通訊無法被側錄與解析出其中的內容,一個多年來被公認是安全的處理方式,就在Openssl.org發佈了以下的弱點消息,一多之間成了許多系統與網站管理人最急需解決的資安問題,從1.0.1到1.0.2-beta都存在這個嚴重的漏洞,這幾天在資安領域投入了像核爆般的震撼,許多資安研究人員與駭客忙了起來,前者是為了把問題解決,後者是為了找出有問題的網站,大家都在比時間與速度,看誰能夠取得網站的機敏資料:

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley and Bodo Moeller for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.


上述這段簡短的公告,揭漏這個核爆級的資安問題,主要在於目前許多的網路服務,採用了OpenSSL的套件,以增強通訊上的安全,而這個關鍵點卻出了資安的大漏洞,影響的層面之廣可想而知,攻擊者可以使用這個漏洞,讀取目標主機的記憶體中64KB的資料,再利用傳送Heartbeat的封包,利用memcpy控制變數來複製錯誤的記憶體資料,而取得其中的機敏資料,這些資料可以包括了使用者的登入資訊、連線的Cookie等,當取得使用者的登入資訊後,攻擊者可以利用這些資訊假冒身份登入系統。

【電腦環境運作的檢測工具】

以下為目前主要在一般電腦上執行此漏洞檢測的平台,可以將測試的目標主機透過這些平台進行遠端的分析,以驗證目前目標主機所使用的系統環境,以及是否存在此漏洞。
  • 檢查套件的版本
透過套件管理程式,查看目前的使用的OpenSSL版本。以Ubuntu為例:
可以輸入 sudo apt-cache showpkg openssl 指令,就可以知道目前系統上所使用的版本。
...
blinc-server-maker, openssl 0.9.8
openvpn, openssl
openssl-blacklist, openssl 0.9.8g-9
...
  • Heartbleed test
網址:filippo.io/Heartbleed


  • eartbleed test
網址:possible.lv/tools/hb

  • LastPass Heartbleed checker
網址:lastpass.com/heartbleed

  • Qualys SSL Labs Server Test
提供相當完整的測試,並且模擬多種使用者端的環境以驗證是否在特定的版本將會出現這個資安問題。
網址:www.ssllabs.com/ssltest


  • Chromebleed擴充功能
網址:chrome.google.com/webstore/detail/chromebleed/eeoekjnjgppnaegdjbcafdggilajhpic


  • ssltest.py Test

#!/usr/bin/python

# Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford (jspenguin@jspenguin.org)
# The author disclaims copyright to this source code.
import sys
import struct
import socket
import time
import select
import re
from optparse import OptionParser
options = OptionParser(usage='%prog server [options]', description='Test for SSL heartbeat vulnerability (CVE-2014-0160)')
options.add_option('-p', '--port', type='int', default=443, help='TCP port to test (default: 443)')
def h2bin(x):
    return x.replace(' ', '').replace('\n', '').decode('hex')
hello = h2bin('''
16 03 02 00  dc 01 00 00 d8 03 02 53
43 5b 90 9d 9b 72 0b bc  0c bc 2b 92 a8 48 97 cf
bd 39 04 cc 16 0a 85 03  90 9f 77 04 33 d4 de 00
00 66 c0 14 c0 0a c0 22  c0 21 00 39 00 38 00 88
---
  • 美麗島雲端安全科技OpenSSL Heartbleed Tester


  • Mass scanning tools
網址:https://github.com/robertdavidgraham/masscan
網址:https://gist.github.com/search?q=ssltest.py

【行動版的檢測工具】
行動裝置是目前的主要的發展趨勢,許多人會在行動裝置上安裝許多的應用軟體,因此如果想要檢測Heartbleed的漏洞,也可以使用行動裝置上的應用軟體(APP)進行自我檢測。
  • Bluebox Security Heartbleed Scanner
網址:https://play.google.com/store/apps/details?id=com.bblabs.heartbleedscanner
  • Heartbleed Detector
網址:https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector
  • CMSecurity Heartbleed Detector
網址:https://play.google.com/store/apps/details?id=com.cleanmaster.security.heartbleed
  • Heartbleed Pulse
網址:https://play.google.com/store/apps/details?id=com.trustlook.heartpulse

【反向測試工具】
Heartbleed的漏洞影響的並不止於伺服器端的資訊外洩,對於使用者端也會造成部份的影響,因此在檢測的過程中,務必需要使用反向測試的工具,測試本身目前的環境是否存在同樣的問題。
  • Reverse Heartbleed
網址:https://reverseheartbleed.com/

  • Heartbleed Tester for Client
網址:http://heartbleed-detector.locsec.net/


【解決方案】
要解決這個問題,最好的方式就是將目前系統上所使用的OpenSSL昇級至1.0.1g的版本,能夠儘快的把這個已知的大漏洞修補好,另外再使用檢測工具以及反向檢測工具,同時驗證伺服器端與使用者端是否仍然存在漏洞所衍生出來的風險。

下載OpenSSL的位址:
http://www.openssl.org/source/

如果無法立即進行版本的昇級,建議可以加入-DOPENSSL_NO_HEARTBEATS參數後,重新編譯OpenSSL。