2007年11月29日 星期四

資料共享的風險(Risks on Data Sharing)

最近讓許多電腦掛點的kavo或taso系列的惡意程式(這說法比較恰當)威力不小,各大資訊討論區、防毒軟體的佈告欄都可以看見它的足跡。

就連我上個月所寫的USB病毒的演化,也在昨天一下子多了很多人查閱,由此可以看出這問題持續延燒當中,不過,我今天是要來談這隻惡意程式所衍生出的資安問題。

我想這隻惡意程式(含變種)帶來的影響眾所皆知,不外乎就是:
1.自體隱藏、複製或系統鎖定來避開一般的刪除指令。
2.自動感染各個磁碟區。(自動執行)
3.自行竄改登錄值。

...略

這裡我最關心的還是自動感染各磁碟區這件事,在單純的使用環境下,看不出有什麼影響,一但你使用連線磁碟機和人共享檔案時,你就可以明顯地感受到它的存在。

在現在的工作環境中,檔案伺服器(File Server)的架構已經相當常見,無論是採用何種系統來規劃(SERVER、一般PC或高階的NAS),只要你有很多檔案需要在一個OFFICE或TEAM之間做交換及統整時,它就能夠派上用場,比使用MAIL(檔案大小受限)或FTP(需透過其它介面)來得便捷許多。

有些人只會在需要連線時,再透過網路芳鄰的方式來存取檔案伺服器中的內容,可是每次都要經過層層關卡點擊之後,才能夠找到我們想要的那層目錄。因為太不人性化,所以我相信更多使用者會採用連線磁碟機的方式來設定。

連線磁碟機說穿了只是一個類似我的最愛的工具罷了!直接把你常用的路徑記錄下來,掛載到我的電腦的其中一個磁碟區,這樣的好處是你可以不再需要記一長串的路徑帳號資料,可以在設定連線磁碟機時一並寫入。

連線磁碟機的使用方式:

1.我的電腦 --> 右鍵 --> 連線網路磁碟機。



2.選擇連線磁碟機的代號及路徑(善用瀏覽其它使用者連線)。



3.完成後,我的電腦會出現磁碟機(例:Z:\\FEDORA\MIS)。



若是利用捷徑,也能擁有記錄路徑的功能,但是帳號資料可能就會直接套用你本機使用者的帳號資料,而File Server上使用的帳號資料往往都是另外設定的共用帳號,不然資料怎麼透過它來交換呢?

所以,連線磁碟機在這部份的應用就優於捷徑的使用,不過也有相對的風險,例如:這一波惡意程式的侵襲。

為什麼這麼說呢?

其實這是我自己的親身實例,一旦惡意程式隨著某一位使用者的不當使用,造成電腦感染惡意程式進而影響檔案伺服器後,所有與那位使用者具有相同網路磁碟機的使用者,都有被該程式感染的風險(用滑鼠點兩下,開啟後就被感染)。

這就是透過網路磁碟機來共享檔案最大的風險,不只是使用者能夠任意地切換各磁碟區,就連惡意程式也不會受到密碼權限的阻擋,就能簡單地造成感染爆發。

可是在這種分享檔案的架構之下,我們又無法僅使用單向檔案傳送的方式來交換(實用性不佳),例:A資料夾僅有A可存取、B、C、D使用者只能讀取無法寫入,同理B、C、D也使用類似的架構,這樣看起來還不如直接透過FTP來交換檔案就好。

更別提這種檔案交換的模式,對於同一個TEAM的資料統整來說,是多麼複雜的一件事,因為主導者還得去每個人的個人資料夾中抓取相關檔案,有點多此一舉的感覺。

雖然連線磁碟機有這樣子的風險,但是在企業內使用的機率還是極高,所以最重要的還是使用者習慣電腦安全的防護

除此之外,我們這些有牌的打雜工(MIS),在File Server上的備份(即時或批次)就成為最後一道的安全關卡,千萬別小看了使用者的習慣可能帶來的巨大傷害呀!(唉...)

6 則留言:

  1. Hi, indeepnight
    我們是負責賽門鐵克台灣區的經湛公關。
    無意間在網路上發現您的部落格,我們十分欣賞您的文筆及對部落格經營的用心。
    另外,在看到您所分享的資安觀點後,我們一致認為您在針對此領域所發表的意見極具參考價值,
    因此在未來想邀請您一起來參與我們的活動﹗

    如造成您的不便,也請見諒,謝謝! 

    連絡方式:
    經湛公關
    verna
    verna@clavis.com.tw

    回覆刪除
  2. 這裡的文章應該算是我自己的一些工作心得跟想法。

    感謝您的光臨,還請不吝指教。

    回覆刪除
  3. hi,想請教說如果使用MSN檔案共享的話,
    病毒也會被分享麼???
    還有有辦法知道檔案有被分享的對象的存取紀錄(時間,檔案種類)????

    如您知道,煩請賜知

    回覆刪除
  4. 匿名:(你沒留名字我也不知該怎麼稱呼)

    這部份其實牽扯的有點廣,先對病毒分享來說,其實那個共用資料夾原則上是只放行特定種類的檔案(依副檔名辨識),所以說病毒如果改個副檔名,基本上也是能夠被分享出來,至於會不會感染給別人,就得看你做了什麼樣的行為,以及病毒類型有關。

    而且共用資料夾,據微軟的說法是只有他們自己的防毒軟體才能夠掃描裡面的東西...所以只要避開檔案檢查,原則上就能夠分享給別人。

    至於存取記錄的部份,我曾經看過,應該是在那個虛擬出的資料夾有你曾經分享過的檔案及存取記錄(通常是屬於隱藏檔,你要開啟檢視才看的見它!,msn8.5:資料夾的路徑應該是:「%userprofile%\local settings\application data\microsoft\messenger\你登入msn的email\sharing folder」(或是其上層資料夾,有點不太確定了!)

    希望這樣子對你有所幫助,不過...下次還是留個名字吧!^^"

    回覆刪除
  5. 我想請問一下~如果我有一台server~其他電腦要在開機的時候自動抓取server內的資料夾~該如何設定?~要完整下載到該台主機~該如何處理??麻煩了^^"多謝

    回覆刪除
  6. 綠洲:
      你要想把資料全部下載的需求,其實只要透過連線磁碟機+同步化軟體應該就可以做到。

    甚至你若是對批次檔有興趣的話,也可以自己寫個批次檔來copy你已經設定好連線磁碟機內的特定檔案。

    如果用軟體的話,你可以去試試「allway sync」(http://allwaysync.com/download.html)這類軟體,他就可以做資料的同步更新。

    至於批次檔的部份,你可以透過xcopy這個指令,應該也能夠達到需求,然後再把該bat檔放到工作排程內,應該也有類似的功效。(需要延伸的話可以google一下)

    類似:xcopy "來源資料夾" "目的資料夾" /S /D /Y(目錄有中文或空格需用引號隔開)

    希望對你有所幫助

    回覆刪除