2008年3月26日 星期三

隨身碟感染的總結(Summarizing USB Device Infection)

這篇文章的連結 6 則留言:
這兩天在ZDNet上連續看見兩篇文章《網路流傳的隨身碟防毒招數有效嗎?》,《開源碼隨身碟防毒軟體》,原文應為OSSF的《避免隨身碟病毒,只需 1 招

其實我原本看到前篇時(ZDNet將其分成兩篇),心裡就有個疑問,那如果已經中毒的怎辦,直到後半段刊出後,我才發現,原來它著重的是預防,讓我心裡的疑問頓時消失不少。

這個隨身碟防毒KAVO系列的話題,在網路上也延燒的夠久了!直到現在,各家防毒軟體都可以認出它的蹤跡,仍然無法制止它的擴散,最大的感染源應該是人手一顆的隨身碟。無論是預防或是治療?我一直在想,這應該已經喚醒使用者的某些觀念了吧!?實際上卻不然...

2008年3月21日 星期五

虛擬磁碟的題外話(Footnotes to Ramdisk)

這篇文章的連結 7 則留言:
虛擬化」應該是近年來相當受歡迎的技術之一,其中包括了多作業系統應用的軟體(VMware、XEN)、虛擬磁碟(Ramdisk)和虛擬記憶體:Windows的pagefile.sys(分頁檔)、Linux的SWAP。
多作業系統:電腦可「同時」運行兩個以上的作業系統。
虛擬磁碟:記憶體虛擬磁碟空間。
虛擬記憶體:硬碟虛擬記憶體。
不過虛擬化的應用,很多人都是看得著摸不到,再不然就是已經悄悄地躲在系統內,例:

1.VMware:「一般人」有正版的Windows,還會想多裝嗎?
2.虛擬記憶體:無論是分頁檔還是SWAP,預設安裝就具備。

那只剩下虛擬磁碟沒說,其實在網路上有關RAMDISK的文章(請愛用Google)很多,我這邊不是要說安裝設定,而是來聊一些其它的事...

其實Ramdisk在幾年前應該是遙不可及的一種應用技術,因為那時候的記憶體價格居高不下,大多數人很難有餘力多買昂貴的記憶體來虛擬硬碟。

近年來,記憶體的價格比較能夠讓人親近,Ramdisk的應用也漸漸變多,大多數的人都是用來取代瀏覽器的暫存檔(temp)快取(cache),甚至有人用記憶體來取代分頁檔,因為記憶體存取的速度比硬碟快出許多,大多數都是看重它的讀取速率

其實,它的功用絕不是只有用在增加效能,對於其它部份它一樣能有建樹,例:資安防毒...等,主要是它特性上的應用,只是看你有沒有發現而已。

1.暫存檔:
如果將瀏覽器的暫存檔(例:Temporary Internet Files)改放在Ramdisk的磁碟區,你在網路上所有讀取的資料,只要你一關機,它就消失無蹤,別人要查也無從查起(當然還有加上其它的設定,例:畫面保留天數=0...等)。



2.Cookies:
除此之外,其實還有一個很多人忽略的部份,那就是Cookies,他與暫存檔的位置不同,如果也想把它直接移到Ramdisk內,可能就得要動點手腳(改登錄檔):

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders(Cookies:%USERPROFILE%\Cookies <--改至Ramdisk的磁碟區)

隨時清除暫存檔跟Cookies有什麼好處呢?

如果你有掃毒的經驗,我在先前的文章提到過清除病毒前,有些動作一定要先行處理,例:關閉系統還原清除所有暫存檔、將防毒相關軟體的病毒碼更新、進安全模式...等,如果你是把所有暫存檔(含Cookies)放在Ramdisk中,基本上你就不用做清除的動作,因為你重新開機進入安全模式時,它的內容就會全部消失。(這部份是記憶體的特性

如此也能夠降低被病毒的感染機率(並非完全不會中毒唷!),如果你有使用網路上很多文章提到的bat檔來備份及還原,還可以協助你分析究竟是那兒出了問題。

分頁檔的注意事項:
使用Ramdisk來取代分頁檔大型軟體做為暫存檔使用,原則上應該都將Ramdisk設定超過1GB才真的有實用價值,這部份可能在PC上較為常見,如果你採用Ramdisk的分頁檔太小,原則上很容易造成系統不穩程式突然中止的狀況,因為Windows無論記憶體大小,都有設置分頁檔的必要性。

最後,還有一點很多人會犯的錯誤,其實筆者自己就傻傻地發生過,那就是我把瀏覽器的暫存檔設在Ramdisk上(例:200MB),結果...我上Windows的自動更新,其中有一個套裝軟體的SP1(>200MB),我一更新就發現自動更新永遠無法完成,因為暫存區不夠將自動更新的程式完全儲存,一般來說或許200MB很夠用,如果你有下載較大的檔案(P2P或大型軟體),也要注意這部份的容量,否則抓了一晚都停在xx%,又不支援續傳的話...我想應該會有想吐血的衝動吧!

以上是我對Ramdisk的題外話,如有其它應用或看法,歡迎留言或指教。

2008年3月19日 星期三

無孔不入的社交工程(All-Pervasive Social Engineering)

這篇文章的連結 沒有留言:
先前我曾提到一些有關社交網路的議題《社交網路的風險》《網路服務的膠著度》,其實,這些服務的底層,都有一個屬於它應用範圍的技術,這部份有人稱它是「社交工程(Social Engineering)」。

以前大多是經由資訊的吸收來瞭解這部份,最近剛好有機會接觸到相關技術的應用,著實讓我覺得社交工程的威力真強大,真的很難不讓人擔憂,如果有人想要透過這樣子的技術來收集有效名單,一般使用者有什麼能力去防範這種東西呢?

除了社交網路服務(SNS)外,社交工程的技術早已經融入了我們生活之中,只是大多數人都不自知,就跟那些宣稱手中握有大量有效名單的人一樣,難道它們是逐一拜訪徵求你的同意後,再把你列入它們的有效名單之中嗎?(想太多...)

其實,現在有愈來愈多的軟體,要求你上網啟動後才能開始使用(或是電話啟動),跟錯誤回報相同,一定會再三聲明,不會挾帶使用者的個人資料。(至於傳出去了什麼,有多少人看得懂?)這些有事先告知的軟體商還算有良心一點,如果是地下的行銷公司,你絕對不會看見它們保證些什麼?

其實現在的部落格服務平台(BSP),也有很多利用這些技術的服務,例:「Mybloglog」、「xx朋友」、「誰來我家」...等,這些都算是社交工程下的產物,至於是否有個資收集的問題
,我想見仁見智(有興趣的人請自行參考電腦處理個人資料保護法,起初你可能是基於好奇方便或是其它原因採用這一類的服務。

如果你在查資料時,不慎點進了一個情色網站,結果你的頭像,就高高地掛在它們的Mybloglog上,是否會引起你的困擾?甚至會有種隱私權被侵犯的不好感受。

至於這一類的社交工程使用的手法有那些呢?除了Cookies、連上特定網頁的LOG檔之外,其中最常見的應該是電子郵件的社交工程。白話一點說:
1.XXX在幾點幾分看了那封電子郵件。(預覽也算...)
2.點擊了那些連結
3.如果把那封信轉寄給其它人(好東西和好朋友分享)。
...族繁不及備載。
這些是以不植入木馬的狀況下,就能做到的社交工程,若真的挾帶木馬請君入甕,能夠收集到的資料,可就不只這些社交上的互動而已,嚴重一點,你就有機會在網路上看見自己的「個人珍藏(直覺會想到xx照)」。

除此之外,這些使用者行為模式的資料收集,對於正派經營的大型公司來說,它們會非常有興趣,不過有興趣歸有興趣,能不能這麼做又是另外一件事,畢竟這牽涉到個人資料取得的合法性(雖然現在的合約,怎麼看都是對使用者不利)。

有人或許會開始想,那該怎麼防範自己落入社交工程的圈套呢?

說穿了...其實就跟一般聽見的資安宣導一樣,不要預覽點擊不知名的郵件,就算是看起來認識的信件來源,也不要輕易信任,畢竟要偽造信件來源名稱很簡單。(例:《廣告郵件的手法》)或者是執行附加檔案的危險動作,更應該要禁止。其它的就去翻貴公司的資安政策吧!(如果有...)。

除此之外,其它的防範方法都需要藉由網路架構政策面下手,不然以社交工程的破壞力,要在短時間內收集到大量使用者的操作習慣資安概念,其實一點都不難,如果再把這些資料加以分析,要找到弱點入侵,應該就不算是件難事,我想這一種社交工程的應用,用在滲透上頗有成效。(如果沒有法律的疑慮的話...)

如果你心存僥倖地想:「這種手法一定是高手才會!我才不會這麼倒楣呢...」,那麼你就了!其實這方面的技術,只差在你有沒有接觸過類似的東西(很多時候只是見不得光),不見得要高手才會使用(笨一點的人,就算土法鍊鋼一樣也能弄出個堪用的東西),頂多只是時間應用層面上的差別,真要說高手才會的部份,應該是對「人性」的掌控瞭解吧!

無論如何,這次讓我更加瞭解了它的原貌,與之前只靠片面資訊來拼湊出的知識不同,雖然這陣子爆肝的程度直逼臨界點,但是回頭來看,這仍算是一次難得的學習,當然也要多謝一起爆肝的人,多謝你們給了我這次機會,下次...。(還有多的肝可以爆嗎?)

最後,還是要提醒大家,社交工程對於個資的收集能力資安的破壞力有多大而已,不想讓自己的照片或個資上頭版的話,還是謹慎為上!

2008年3月12日 星期三

廣告郵件的手法(Spam Tricks)

這篇文章的連結 2 則留言:
這兩天還在跟朋友討論有關SPAM的相關問題,從仿造隱身跳板或其它各式各樣的手法,毫無設限的亂聊,結果,昨晚我的Gmail就收到了奇怪的信件,心裡還在想...不會吧?竟然這麼快就有東西可以驗證

什麼樣奇怪的信件呢?一封是我投遞失敗的回信,可以參考「您收到了從未寄送之郵件的退信。」(如下圖)。另一封則是收到我自己寄給自己的信(而且還被Gmail直接判別成垃圾郵件),我剛看到時,也是一頭霧水,自己去看那兩封的檔頭內容,才發現我只是替死鬼...,因為別人把表頭內的回覆路徑(Return-path)改成我的Gmail address。



今早又受到一次自己寄給自己的垃圾信件,不過這次Gmail已經加上警示訊息(忘了裁圖就清空了...),裡面只有夾帶著一張gif的圖片,連到某個不知名的網址,不過...還是有跡可循,因為我在Gmail的設定上,自己顯示的名稱有刻意「大寫」,而且我也只使用Webmail來收發Gmail的信件,所以全為小寫的寄件者名稱,原則上不會是我自己寄出的,應該都是屬於偽造信件(我自己有測試過,如圖)



其實,我剛收到時退信跟垃圾信時,我自己也嚇了一跳,難不成是我的Gmail帳號被?還是發生了什麼狀況?因此還馬上更換了Gmail的Password,靜下心來仔細看了一下這些信件的表頭內容,才發現到原來是我遇到SPAMMER使用的其中一種手法。

我列出那封別人假冒我的MAIL寄出的表頭HEADER(退信中有夾帶):
Return-path: <indeepnight@gmail.com>
Received: from esselte-h.takinfo.belso ([172.24.27.254] helo=esselte-1.takinfo.hu)
by herculesn.takinfo.hu with smtp (Exim 4.43)
id 1JZ7N2-0006kj-1H
for indeepth@szekkutas.tksz.hu; Tue, 11 Mar 2008 17:30:32 +0100
Content-Return: allowed
X-Mailer: CME-V6.5.4.3; MSN
Message-Id: <20080311113752.2962.qmail@den>
To: <indeepth@szekkutas.tksz.hu>
Subject: RE: MensHealth id 1827817
From: <indeepth@szekkutas.tksz.hu>
MIME-Version: 1.0
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit
X-Antivirus: avast! (VPS 000779-0, 08.10.2007), Outbound message
X-Antivirus-Status: Clean</indeepth@szekkutas.tksz.hu></indeepth@szekkutas.tksz.hu></indeepnight@gmail.com>

從這表頭中,其實就大概可以找到一些蛛絲馬跡,例如「X-MailerMessage-Id:、ISO-8859-1...等」都可以看出不會是我寄出的信件。

說明:
X-Mailer:通常是寄出信件的軟體名介面
Message-Id:原則上在
@前為自行產生@之後則是DOMAIN。
ISO-8859-1這個編碼應該不是一般人會用的吧?

其它的有興趣可以自己去問一下Google,可以得到不少資訊,甚至有些討論區還喜歡拿這些SPAM的表頭來品頭論足一番。

至於要怎麼防範這種事情發生呢?

老實說,我們也真的拿它們沒辦法,因為這部份總是有漏洞可循,無論是從軟體面(網路上有很多發信軟體)、網路架構(你可以透過PROXY或其它方式發信)、還是取之不盡免費信箱(連圖形認證也有機可趁《ZDnet:圖形驗證遭破解 Gmail也淪陷》)

無論怎麼防範,總是會造成使用者的困擾,防禦力高:想收的信收不到、防禦力低:你可能會把該看的信當圾圾信給刪了,很難兩全,或許公司內部的信件(特定名單),還可以用白名單來囊括,那...業務呢?總不能希望他們把每個潛在客戶的名單都列入吧!?

更何況...這些也能透過偽造的方式躲過過濾器,除此之外,一般個人或較小的企業又有多少資源能夠導入功能強大、效能也好的郵件過濾設備(頂多是防毒軟體的加減用吧!),因此,我們至少要能夠自行判斷那些是應該要開的郵件。

如果是一些信被自己誤刪還好,一個不小心,還會讓自己成為發送這種郵件的跳板僵屍電腦),那才是真的得不償失,不可不慎呀!(這是在警惕自己,不是嚇人唷!汗...)

2008年3月10日 星期一

免費軟體下的危機(Risks Beneath Freeware)

這篇文章的連結 20 則留言:
先前寫過一些防毒相關的文章,電腦要不要裝防毒軟體,在Windows系統下已成了不爭的事實,而愈來愈多人用的Ubuntu,是否要安裝For Linux的防毒軟體,可能還要一段時間才有定案。(這部份與病毒數量使用者定位有關)

不過,對一般使用者來說,都會拿銀子去買無法買斷的防毒軟體嗎?

老實說,個人會花錢買防毒軟體的人應該是少數!除了自己在網路上找的快樂版低調版的防毒軟體之外,最多人使用的防毒軟體,應該還是各大防毒軟體所推出的免費試用版,或是較長時間的試用版

其中又以avast! 4 Home EditionAvira AntiVir Personal(俗稱小紅傘)這兩個較常用的免費防毒軟體,使用這類防毒軟體最容易忽略的盲點是什麼?就讓我們繼續看下去...

2008年3月7日 星期五

網路服務的密碼危機(Crisis of Passwords to Webservices)

這篇文章的連結 4 則留言:
現在的網路服務何其多,小到上網留言、大至網路銀行轉帳,全部都能在網路上搞定,不過...也因為網路服務的多樣性,幾乎所有的服務都需密碼認證,這就代表 ── 你玩幾種服務,就得記住幾組帳號、密碼,時間一久就會多到讓你難以記憶。

或許你所使用的網路服務有支援「OpenID」,不然就是屬於特定的服務供應商(Google、Yahoo!...),能夠為你減輕許多記憶上的麻煩,雖然減輕了不小的負擔,相對的就是增加一次被駭所有服務風險,便利與危機的一體兩面就是如此。

然而,我在ZDNet看見了一篇新聞《網路交易安全升級 雅虎擬採動態密碼》,又讓我喚醒了密碼使用這部份的想法,無論你是採用何種方式,若真的不慎發生密碼被盜或遺失事件,真正有損失的,還是只有使用者本身吧!?...

以我自己來說,除了一般密碼以外,我也使用過類似動態密碼產生器(就是一個像隨身碟的裝置)、雙密碼動態鍵盤或是現在主推的晶片認證機制(提款卡、自然人憑證...等),端以使用便利性來說,其實各有利弊。

以動態密碼產生器來說,有誰會沒事多帶一個隨身碟在身上,大多數還是丟在家裡吧!它的確能夠避開被人側錄的風險,但是讓活用性也降低不少,如果你人在外面,臨時想登入該項服務,反而就變得求助無門,如果家中有人,還可以請信得過的家人,幫你按一下再告訴你密碼(通常是六位數字),如果是一人獨居在外,或沒人可以能助「一按之力」,你也只能乾瞪眼。

況且,這樣子的密碼產生器,就一定比較安全嗎?

再我看來,這有點像「防遠親不防近鄰」的做法,為什麼我會這樣說呢?雖然這一類的認證方式,都會多一組「使用者名稱」的確認,以免有人自己去按密碼產生器產生出一組密碼後自行登入(通常以金融服務居多)。可是...使用者名稱應該是可以被側錄下來的吧!?而且去「」一下密碼產生器,把密碼記在腦子裡應該也不難吧!?

這點也突顯了密碼產生器的弱點,以前用印章時,是怕被偷走或複印後去盜領,現在只要產生按一下記在腦子裡,然候在限定的時間內進行登入即可(不用把整個偷走),那個使用者名稱只要先行側錄就能到手(大多數的人,會用同個名稱),如此一來就算東西都還在你手裡,一樣能夠幫你的帳戶來個乾坤大挪移惡整一番

從這裡就能看出,網路服務所潛藏的密碼危機有多大,有時候仔細想想,用動態密碼產生器的安全性有比晶片卡來得高嗎?這一點應該還是有所爭議吧!?那雙密碼、動態鍵盤呢?這部份就見仁見智囉!

還記得我在引言上有一句:「真正有損失的,還是只有使用者本身吧!?」,因為,不管你使用何種密碼認證的方式,只要是你的密碼被盜、側錄、還是任何狀況的損失,都得自行負責。(不信的話,請去翻閱已經長蜘蛛網或是快被拿來包東西的合約書吧!)

其實平台業者或是密碼產生器的廠商,基本上都沒有什麼責任(因為它們只提供產品平台),除非是內部瑕疵漏洞被人駭走資料(安全沒控管),它們會"比較"有責任之外(其實以台灣發生過的實例,大多也是大事化小、小事化無...),其它的就只能使用者自求多福。

那怎樣的密碼認證方式比較安全呢?就筆者自己使用過的方式來說,至少要符合下列幾點:
1.全程採用https的加密連線
2.需要輸入密碼的部份均用動態鍵盤選取(用滑鼠點)。
3.搭配動態密碼產生器
4.強迫使用者名稱每半年變更一次(加上強度限制)。

如果,真的符合了以上我所說的四點,安全性會高一些,可是複雜性會多出許多(如果你有用過動態鍵盤的話,就會理解我說的意思),就變成了民眾接受程度不高,所以我手上有用的網路服務,也沒看過誰敢採用這種方案,頂多是加上一個動態數字的認證就很不錯了。

除此之外,如果你採用動態密碼產生器,還得小心別弄丟了,不然重辦一個也要花上不少錢(可能比你在銀行裡的存款利息還高吧?),這部份的開支,很有可能會因自己的疏忽,轉嫁到使用者身上。在商言商,為什麼銀行願意做這些呢?

因為吸引你到網路銀行(服務)上交易、轉帳,所產生的手續費會積少成多,這也是很多銀行眼紅的收入來源之一(網路交易的熱潮),畢竟賠本生意沒人做呀!(有時候網路服務的噱頭看看就好)

無論你從那個角度切入,都會發現網路服務上的「罩門」很多,我沒辦法像XDite一樣抓網站的Bugs,但是在求新求快的網路變遷下,我們也許該冷靜一下,看看那些才是自己真的迫切需要的服務,那些才是真的便民措施,而不是變相騙民。

我知道坊間有類似密碼記錄軟體(例:keypassKeePass Password Safe...等),那不過是換湯不換藥的作法,不太建議採用,密碼保存的最佳地點,可能還是自己的「腦袋瓜」裡吧!(傻笑...)

2008年3月6日 星期四

便利與管理的衝突?(Facilitation Conflict with Admin. )

這篇文章的連結 4 則留言:
今天跟已上市好一段時間的Vista交手,雖然先前也曾接觸,當時都是針對朋友的需求,尋找解決的方式而已,並沒有仔細去研究它做了什麼樣的改變,印象中是多了個UAC(User Account Control)的安全性設計。

如果不是受到XP停止販售(含隨機版)的影響,我也不想跟Vista正面交手,畢竟它的適用性可能比LINUX還要難解(參考《取代微軟的可行性》),最近正在尋找最適合的因應方案,一邊測試LINUX、一邊打電話去問M$的相關窗口(M$的人應該也覺得我很煩吧!?),雖然有探聽到怎麼在灰色地帶生存,充其量只能算是「不能說的秘密」。

不過,竟然在我的管轄中出現了Vista,我就得試著去駕御它,在今天的體驗裡,讓我的心頭浮上許多問號,安全性的增加不就是它的主要訴求嗎?為什麼有令我匪夷所思的操作介面?或許是一個便利的設計,但在管理的角度來看,這個設計卻與安全性增加的訴求相違背。

相同的介面雖然在XP時代也有,但是使用者(管理者)只需要簡單的幾個步驟就可以更改,至少不需要手動去更改登錄檔(REGISTRY),但是換到Vista後,卻得多費點功夫,才能解決這個看起來小,但是對管理上影響頗大的問題。

更何況有更改過登錄檔的人都知道,相關的風險都得自負,如果是你手上的Vista是Business版還好,可惜的是...大部份的隨機版本(OEM)都是Home版,對管理者來說,會有更多綁手綁腳的事會發生,但是,礙於實際面的考量,我想會採用隨機版Vista的公司,還是佔多數吧!?在管理上所耗費的成本(時間、人力、隱性開支...),往往都會被輕忽,但這也是IT的現況。

究竟是什麼讓我這麼疑惑呢?其實是WINDOWS使用者一定都看過的畫面,那就是「登入畫面」,或許有人會覺得很奇怪,這有什麼好在意的呢?

因為時代的演進,為了讓使用者能夠快速登入,就把所有使用者的名字都列出來,採用直覺的方式來點選要登入的帳號,這一點就有安全性的疑慮,如果是採用傳統的安全登入,就能夠避開「此地無銀三百兩」的風險。

在XP時代,也有這樣子的問題,不過...無論是XP HOME或PRO的版本,只要到【控制台】─【使用者帳戶】中,把「使用歡迎畫面」的勾選取消,就能夠回到以前那傳統登入的方式。(如需安全登入,參考下述的做法亦可)



結果在Vista下,竟有了如此大的不同,如果是Business版本還好,如果是Home版,就得想辦法處理,我把相關的解決方式列出來,差異性就一目瞭然:(含安全登入及清除使用者名稱)

Business版本:

安全登入(CTRL+ALT+DEL)
1.【開始】─右鍵「內容」─「開始功能表」。
2.「自訂」─「系統管理工具」。
3. 勾選「顯示在所有程式功能表和開始功能表本機安全性原則」。
4.【開始】─「系統管理工具」─「本機安全性原則」(Home版無)。
5.「本機原則」─「安全性選項」─「互動式登入」。
6.停用「不要求按CTRL+ALT+DEL鍵」。

清除使用者名稱
1.【開始】─「系統管理工具」─「本機安全性原則」。
2.「本機原則」─「安全性選項」─「互動式登入」。
3.啟用「不要顯示上次登入的使用者名稱」。

Home版本:

安全登入:(CTRL+ALT+DEL)
1.利用【視窗鍵】┼【R】,開啟「執行」的對話視窗。
2.鍵入「control userpasswords2或netplwiz」,開啟「使用者帳戶」。
3.選「進階」─再勾選「要求使用者按CTRL+ALT+DEL」。



清除使用者名稱:
1.利用【視窗鍵】+【R】,開啟「執行」的對話視窗。
2.鍵入「regedit」,開啟「登錄編輯程式」。
3.路徑HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
4.將「dontdisplaylastusername」的數值改為「1」。(自XP中截取)


(直接匯出reg檔,懶得找路徑的人,請自取:ddlun.reg

看到這裡,應該看得出為何我會有疑問了吧?為什麼Vista在不同版本中,這個這個「登入畫面」的入口,還得用不同的方式才能修改呢?如果說是Home和Business的區隔(Home版無「本機安全性原則」),我沒有意見,因為在XP的Home和PRO版也有類似的狀況,但是要恢復成傳統的安全登入,卻有如此大的不同。

我相信WINDOWS為什麼能夠擁有這麼大的市佔率(姑且不提商業手法),除了起步時間較早以外,採用直覺(圖形化)的使用方式也是一個很重要的因素,但是為了便利性,增加了安全性(管理)的風險,這真的值得嗎?還是我反應過度了?
(LINUX有人這麼做嗎?)或許每個人都有自己的想法...

但是,站在我自己的立場來說,一個缺乏安全性考量的作業系統,就算再「人性」化,要付出的代價太過龐大,我也只能「敬謝不敏」。

2008年3月3日 星期一

進退兩難的寄件者(Dilemmatic Sender)

這篇文章的連結 2 則留言:
垃圾郵件(SPAM)除了收到的人痛苦之外,被誤認為發送者的人(SPAMMER)也不好受,尤其是靠電子信箱來維繫營運的單位,衝擊更大。

在先前我有寫過一篇《廣告信(SPAM)的兩三事》,其實要不被認定為SPAMMER,老實說還挺困難的,尤其是不同部門對於電子郵件的需求也不盡相同。

有時行銷部門需藉由發送E-DM來達到宣傳目的,容易讓整個DOMAIN的MAIL名單,被列入黑名單的風險激增,不讓他們寄送又說不過去,讓它們寄送又得經常去解開被黑名單鎖定的狀況。如果是交給外面的廠商寄送,又有個人資料散佈的問題(況且被人告發,一樣有連帶責任),我想這應該是很多網路管理者的夢魘...

如果你手上的MAIL SERVER是自己手動刻出來的(SENDMAILPOSTFIX...),通常都是自己透過某些某些黑名單的機構來做認證。(例:http://cbl.abuseat.org),所以你要選擇何種方式來防範垃圾信件,或者是要透過白名單(White-list)來新增信任的郵件資料,全都操之你手。(先不論上游是否有相關設定)

如果貴公司是使用代管主機,無論服務端是在國內還是國外,是否有阻檔垃圾郵件的相關機制?其實要面臨的問題就會多出許多。

因為代管主機商它們也要維護其他人的使用權利,通常也會有一套自己防範垃圾郵件的機制,所以有時信件無故消失,也不一定能夠查得到蹤跡。這時候也只能詢問服務端,是否有發現信件延送阻擋,甚至是被丟棄的訊息,還是請對方在白名單上,幫你加上特定DOMAIN的MAIL ADDRESS。(也得是固定往來的機構才有用,潛在客戶就...)

我們知道黑名單的機制,只要是其中一個轉發的MAIL SERVER有相關設定,就有可能被攔下,至於每個攔下的訊息內容都會傳給使用者(Client)嗎?還是只回報給系統管理者,端看主機端的設定為何,也有可能SERVER會直接把退信的訊息給丟掉(Purge),如此一來就變得死無對證,想查也查不到。

這時候你就只能去黑名單的機構找找(DNSBL),查看自己MAIL SERVER的IP是否已被寫入,還是自己的DNS設定不夠完善(現在對於SPAM的判定,常和DNS的相關設定是否完善有關,例:反解的設定)。

如此說來,自己架設MAIL SERVER會比較好掌控相關情況,不過你還得考慮是否有足夠的頻寬設備維護人力等因素,不然很容易陷入裡外不是人的窘境,別以為一切自己來就能夠高枕無憂。

當使用者提出問題時,管理者必須很快地判斷問題出自何方,是否能夠尋求最快的管道來解決?這些都會成為自己對於環境熟悉度實際經驗的一種挑戰,因為最大的挑戰是:「使用者遇到的狀況無法預測」。排除了使用者口誤的敘述之外,還有對方的網路管理者使用者是否有提供足夠的資訊,讓我們能夠判斷整個情勢。

舉例來說:公家機關的投標機制,如果是採取線上的投標機制,通常會鎖定MAIL ADDRESS,也就是說:「只接受申請時的MAIL ADDRESS」。如果廠商的電子郵件,不慎被列入該主機的黑名單中(或列入
參考的驗證主機中),就有可能會永遠都收不到相關訊息。

只要一有人沒收到信(無論公、私事),網路管理者這時候就會被推到最前線,被質疑說:「為什麼我們的信箱,收不到某公家機關發送的信件?」、「為什麼我們寄去的標單,對方說沒有收到?」,這時候我們總不能說:「因為誰誰誰寄送了E-DM?」、「誰誰誰用公司信箱轉寄了太多信件給親朋好友」,害我們被列入黑名單?通常這種不能馬上拿出實據或是不方便拿出實據的事,大多數的網路管理者都是選擇忍氣吞聲(淚往肚裡吞)居多。

如果把MAIL主機的使用者權限縮小,僅允許內部人員透過EMAIL來傳遞資料訊息,又會有人怨聲載道,況且這樣子與外界的信件往來,也會變得極不方便,所以在便利與安全之間,要如何取捨,端看各家公司在資訊政策上的擬定為何。(可惜的是...沒有多少公司會擬定到這麼細)

一般使用者會想到這麼多嗎?

捫心自問,如果我現在的身份也是一般使用者,我也不會在意(雖然我不愛轉寄郵件),除了公事往來的需求之外,我也很少透過公司對外的信箱發送什麼信件,頂多是發送內部公告停機通知這一類的訊息。

在我與行銷人員的溝通往來之間,很多時候還是得把「醜話說在前頭」,就算自己主機能夠允許大量的信件發送,對方主機也不一定允許你這麼做。只要有其中一台主機認定發送端異常,你就會發現送往該主機的信件就會被打入垃圾信或擋回,如果你寫信去詢問對方的話,大多數收到的回應都是:「我們並沒有針對特定使用者或來源做阻擋,請檢查您的....」這一類的官方語言

其實嚴格說起來,它們的說法也沒有錯,如果它是透過第三方來驗證黑名單,的確不是它們所主導,如果是大型的服務提供者,就有自己的過濾條件(例:HTML格式、同一來源發送相同文件超過20封...),不過這也是一個「不能說的秘密」。(自由心證居多)

所以寄件者(郵件寄送)的作法,就決定了未來可能引發的問題有多少?限制與控管只是為了保護公司大多數使用者的權益,實際的作法還是得依輕重緩急而定,畢竟,EMAIL只是一種聯絡工具,這也告訴我們一件事,千萬別只用一種通訊方式來聯絡,否則它帶來的風險絕對比你享受的好處大得多。可惜的是,大多數人還是只看見EMAIL在「節省資源」這部份的優點,忘了它所帶來的風險。

防範SPAM的方式,除了上述以外,還有SPF,或是在主機RELAY的設定上加以控管(SMTP認證...等),這些都能夠減少SPAM的量,不過,最大的來源應該是在做電子行銷的地下組織(應該見不得光吧!?),現在一收信,超過八成都是垃圾郵件,如果能夠減少一半,我相信就能有更多的網路資源讓我們取用。不過也有人說:「垃圾信件也有它的文化!」(別懷疑...有人很愛看廣告信。)

不過,它的確是提供了動力,讓更多人投入信件過濾的相關技術,究竟是已經發生的事比較危險,還是未知的領域比較危險?誰知道呢?