2008年4月7日 星期一

資料的刪除與復原(Deleting and Recovering Data)

2 則留言:
前先日子的陳冠希事件,我想在IT業界應該就興起一股資料加密保存刪除的口號,無論是PGPGPG還是該用什麼軟體徹底刪除資料,一下子整個業界都在討論。

雖然那個事件,可能還談不上什麼資料的加密、刪除或復原的技術,但是也讓大家突然驚覺自己竟是如此的不堪一擊,不過,話說回來也沒什麼好訝異,試問自己...你會在自己擁有的電腦裡,在資料部份執行加密(有些人連登入密碼都懶得設了...),還是採用不同的軟體來徹底刪除資料?(有需要嗎?)

況且,如果電腦真的出問題了,有多少人能把硬碟拆出來處理(尤其是在保固期內的筆記型電腦),或是再進行加密讓人無法從中獲取個人私密的資料,就算有方法可以用,對於絕大多數人來說,電腦只是一個工具,能不能用才是他們在意的,很多時候,我們只是想太多...

早些時日,我也嘗試著把個人的資料透過加密軟體(例:已經被微軟拿掉的Private Folder 1.0),封鎖在一個特定的資料夾內,雖然可以用來保護自己的資料,但是一個不小心(密碼移失、重灌...),就連自己都無法將資料夾內的資料取出(筆者也發生過類似的慘劇),所以一般人有多少會在自己的電腦裡加裝這一類的軟體呢?就算裝上去,是不是有種此地無銀三百兩的感覺?公司是否能夠接受呢?這些都是要思索的問題。

所以漸漸地就會從積極的資料加密,演變成消極地把資料徹底刪除,但是這一點卻也跟公司的政策有關,如果有人在離職前夕,來個臨別一擊,把所有資料清空...,公司也不可不防,無論採用何種手段,都有其問題存在。

資料的刪除與復原,對於有經驗的人來說,我想復原的機率還是比刪除來得多,也許有人會問,刪除資料這麼簡單誰不會,直接按「Delete」再去「資源回收筒」清除,或者是直接按「shift+Delete」不就可以了嗎?

這種直覺刪除資料的方法,如果你有使用過任何一種復原軟體(例:FINAL DATA...等),輕輕一掃...就原形畢露,所以這也談不上什麼清除,至於使用第三方的軟體來清除(例:ERASER...等),好處是能夠將資料徹底清除(常註於系統之中,通常直接右鍵就有快捷選單),壞處就是...一旦誤刪,想要救回來的難度也就增加不少,如果是重要的資料的話!還是只能找專業的資料救援公司,不過它們開出的價錢絕對會讓你嚇一跳(大多以MB計費...)。

所以這一種刪除資料的軟體究竟適不適合安裝呢?這部份就是真的見仁見智,至少在公司來說...我覺得不太適合,就算真的要安裝,可能也只有極少數人能夠使用(具自制力且能分辨輕重的人),不然IT人員隨時都得有心理準備要救火

至於資料復原的使用時機呢?

如果是自救還好,因為一切的資料都不算機密,一旦你把機器交到他人之手,你就得在心裡有所盤算。因為用軟體掃描的方式,大多數的做法都是來個全系統掃描,如此一來,會把你的陳年舊事,無論是你想記得或是不想記得的資料一併救回來,到時是否會有把柄落入它人之手,掌控權可能就不在自己手中。(陳xx事件 Part 2~~誤)

這篇文章沒提到那些軟體該如何使用(例:Final Data、Eraser...等),主因是網路上有不少的文章可供參考,再來,我就算錄一次操作流程,好像也沒好到那兒去...,重點只是想喚醒電腦的使用者,你們該怎麼處理你電腦中的資料,備份?刪除?還是讓它像沉封的記憶一樣,一點點地逝去...(等到硬碟滿了再來考慮加大硬碟、還是刪除舊資料?)。

每次在幫人維修電腦時,總是會看瞄到一些原本不該存在於電腦裡的資料,若是在工作場合,我會順手將它終結,再還一台"乾淨"的電腦給使用者,如果是私底下幫人處理的電腦,我大都是抱著「視若無睹」的心態,顧好我該做的事即可,如果...我稍微按個什麼「CTRL+C」、「CTRL+V」,自己可能先觸法不說,我就能夠獲取不少人的個人資料照片把柄...。

這樣子的風險不可不慎,電腦不只是一個鐵塊而已(聽人這樣稱呼過),它除了能夠當作一個很便利的工具之外,它也能夠成為傷害使用者於無形的媒介,端看你怎麼保護自己。至於是「」電腦、還是電腦「」,這就只能自己多花點時間去琢磨,畢竟術業有專攻,想要有怎樣的收獲,操之在己。(我好像寫到最後都是在嚇人...逃)

2008年4月1日 星期二

即時通訊的加密實「錄」(Simplite for MSN Messenger)

17 則留言:
即時通訊(IM)已經成了網路族不可或缺的軟體之一,雖然有人用MSN(LIVE)MessengerYahoo!即時通,無論是那一個,它都縮短了人與人之間溝通的距離(還是因為太方便,距離更遠了呢?

如果你是用MSN的人,而且有內容加密的需求,我想你就一定聽過這個軟體「Simplite for MSN Messenger」,因為它是免費的,又能夠為你的MSN內容加密,讓你能夠避開有心人士的截取,不過...它還是有不少要注意的地方。

不然的話,你只是多裝了一套會跟你MSN連動的軟體,至於有沒有加密,如果沒有去抓內容的封包,我相信你也不太清楚究竟是傳了什麼出去...

其實這部份的應用很多,網路也能夠找到不少的資料,至於為什麼會有這樣子的需求呢?真不知道是用來SNIFFER(嗅探)MSN的軟體太多好奇心驅使?還是使用者真的很在意自己的隱私?無論是那個原因,畢竟網路上有什麼都不奇怪。

這類軟體真的那麼無孔不入嗎?

其實也不盡然,一般這種軟體都有個先天障礙,那就是無法跨過SwitchRouter,所以你身處的網路環境,如果是以此為架構,想撈到別人傳送的內文,也不是件簡單的事(我可沒說一定不行唷!)。

如果你是網路管理者,直接在最前方的閘道裝上Sniffer的軟體,如果它能正常運作的話(沒有因為流量過大漏接停擺...),你就能夠抓到後方所有人的傳送內容。(截取是一回事,分析就是另外一件事了)

再不然就是直接把軟體掛在對方的電腦內,至於用什麼樣的手法,我想這就不是這篇文章要討論的重點,況且Google對岸上能找到的資料,絕對能讓你看個三天三夜...

除了Sniffer軟體之外,其實Simplite for MSN Messenger也有不少限制:
1.必須雙方裝設,並認同對方的金鑰後才能加密。
2.多方通話時,要視情況解除加密,不然有人會看見亂碼
那要怎麼測試,是否已經成功加密了呢?除了你自己去找相關的Sniffer軟體來實驗之外,也別無它法,我自己是用Wireshark(原名Ethereal)這套軟體來抓取自己的封包內容,如此一來,就能檢查自己的加密是否有成功。

至於軟體的使用方式,請拜Google,有人會說有圖才有真相(No Pic No Truth),這次來點不一樣的好了!這次我是有影片有真相,錄得不好之處還請見諒呀!尤其是馬賽克。(我也想清晰一點,難不成要我放4X MB的原始檔上去?雖然2X MB也沒小多少...XD)

Wireshark Sniffer MSN Live Messenger:


Simplite for MSN Messenger:


PS:我知道解析度有點糟,等我找到更好的平台再來更新!(若不嫌棄,也可來信跟我要原始檔)

雖然看起來很像偷懶,但是...請相信我,錄這影片的時間絕對比裁圖還要久得多,我想有錄過的人,就能夠理解其中的奧秘(感覺像手殘...),順便補償一下大家,快一周沒有更新部落格...

至於原生的即時通訊軟體,我印象中沒有記錯的話,似乎只有SKYPE採用加密的通道,至於文字的內容是否也無法側錄,待我有時間測試過後,再上來與大家分享(還是有人測過了願意分享的...),我還是很歡迎大家的指教跟蒞臨。(至於人身攻擊...我可就不留情了,謝謝各位的配合。)

2008年3月26日 星期三

隨身碟感染的總結(Summarizing USB Device Infection)

6 則留言:
這兩天在ZDNet上連續看見兩篇文章《網路流傳的隨身碟防毒招數有效嗎?》,《開源碼隨身碟防毒軟體》,原文應為OSSF的《避免隨身碟病毒,只需 1 招

其實我原本看到前篇時(ZDNet將其分成兩篇),心裡就有個疑問,那如果已經中毒的怎辦,直到後半段刊出後,我才發現,原來它著重的是預防,讓我心裡的疑問頓時消失不少。

這個隨身碟防毒KAVO系列的話題,在網路上也延燒的夠久了!直到現在,各家防毒軟體都可以認出它的蹤跡,仍然無法制止它的擴散,最大的感染源應該是人手一顆的隨身碟。無論是預防或是治療?我一直在想,這應該已經喚醒使用者的某些觀念了吧!?實際上卻不然...

2008年3月21日 星期五

虛擬磁碟的題外話(Footnotes to Ramdisk)

7 則留言:
虛擬化」應該是近年來相當受歡迎的技術之一,其中包括了多作業系統應用的軟體(VMware、XEN)、虛擬磁碟(Ramdisk)和虛擬記憶體:Windows的pagefile.sys(分頁檔)、Linux的SWAP。
多作業系統:電腦可「同時」運行兩個以上的作業系統。
虛擬磁碟:記憶體虛擬磁碟空間。
虛擬記憶體:硬碟虛擬記憶體。
不過虛擬化的應用,很多人都是看得著摸不到,再不然就是已經悄悄地躲在系統內,例:

1.VMware:「一般人」有正版的Windows,還會想多裝嗎?
2.虛擬記憶體:無論是分頁檔還是SWAP,預設安裝就具備。

那只剩下虛擬磁碟沒說,其實在網路上有關RAMDISK的文章(請愛用Google)很多,我這邊不是要說安裝設定,而是來聊一些其它的事...

其實Ramdisk在幾年前應該是遙不可及的一種應用技術,因為那時候的記憶體價格居高不下,大多數人很難有餘力多買昂貴的記憶體來虛擬硬碟。

近年來,記憶體的價格比較能夠讓人親近,Ramdisk的應用也漸漸變多,大多數的人都是用來取代瀏覽器的暫存檔(temp)快取(cache),甚至有人用記憶體來取代分頁檔,因為記憶體存取的速度比硬碟快出許多,大多數都是看重它的讀取速率

其實,它的功用絕不是只有用在增加效能,對於其它部份它一樣能有建樹,例:資安防毒...等,主要是它特性上的應用,只是看你有沒有發現而已。

1.暫存檔:
如果將瀏覽器的暫存檔(例:Temporary Internet Files)改放在Ramdisk的磁碟區,你在網路上所有讀取的資料,只要你一關機,它就消失無蹤,別人要查也無從查起(當然還有加上其它的設定,例:畫面保留天數=0...等)。



2.Cookies:
除此之外,其實還有一個很多人忽略的部份,那就是Cookies,他與暫存檔的位置不同,如果也想把它直接移到Ramdisk內,可能就得要動點手腳(改登錄檔):

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders(Cookies:%USERPROFILE%\Cookies <--改至Ramdisk的磁碟區)

隨時清除暫存檔跟Cookies有什麼好處呢?

如果你有掃毒的經驗,我在先前的文章提到過清除病毒前,有些動作一定要先行處理,例:關閉系統還原清除所有暫存檔、將防毒相關軟體的病毒碼更新、進安全模式...等,如果你是把所有暫存檔(含Cookies)放在Ramdisk中,基本上你就不用做清除的動作,因為你重新開機進入安全模式時,它的內容就會全部消失。(這部份是記憶體的特性

如此也能夠降低被病毒的感染機率(並非完全不會中毒唷!),如果你有使用網路上很多文章提到的bat檔來備份及還原,還可以協助你分析究竟是那兒出了問題。

分頁檔的注意事項:
使用Ramdisk來取代分頁檔大型軟體做為暫存檔使用,原則上應該都將Ramdisk設定超過1GB才真的有實用價值,這部份可能在PC上較為常見,如果你採用Ramdisk的分頁檔太小,原則上很容易造成系統不穩程式突然中止的狀況,因為Windows無論記憶體大小,都有設置分頁檔的必要性。

最後,還有一點很多人會犯的錯誤,其實筆者自己就傻傻地發生過,那就是我把瀏覽器的暫存檔設在Ramdisk上(例:200MB),結果...我上Windows的自動更新,其中有一個套裝軟體的SP1(>200MB),我一更新就發現自動更新永遠無法完成,因為暫存區不夠將自動更新的程式完全儲存,一般來說或許200MB很夠用,如果你有下載較大的檔案(P2P或大型軟體),也要注意這部份的容量,否則抓了一晚都停在xx%,又不支援續傳的話...我想應該會有想吐血的衝動吧!

以上是我對Ramdisk的題外話,如有其它應用或看法,歡迎留言或指教。

2008年3月19日 星期三

無孔不入的社交工程(All-Pervasive Social Engineering)

沒有留言:
先前我曾提到一些有關社交網路的議題《社交網路的風險》《網路服務的膠著度》,其實,這些服務的底層,都有一個屬於它應用範圍的技術,這部份有人稱它是「社交工程(Social Engineering)」。

以前大多是經由資訊的吸收來瞭解這部份,最近剛好有機會接觸到相關技術的應用,著實讓我覺得社交工程的威力真強大,真的很難不讓人擔憂,如果有人想要透過這樣子的技術來收集有效名單,一般使用者有什麼能力去防範這種東西呢?

除了社交網路服務(SNS)外,社交工程的技術早已經融入了我們生活之中,只是大多數人都不自知,就跟那些宣稱手中握有大量有效名單的人一樣,難道它們是逐一拜訪徵求你的同意後,再把你列入它們的有效名單之中嗎?(想太多...)

其實,現在有愈來愈多的軟體,要求你上網啟動後才能開始使用(或是電話啟動),跟錯誤回報相同,一定會再三聲明,不會挾帶使用者的個人資料。(至於傳出去了什麼,有多少人看得懂?)這些有事先告知的軟體商還算有良心一點,如果是地下的行銷公司,你絕對不會看見它們保證些什麼?

其實現在的部落格服務平台(BSP),也有很多利用這些技術的服務,例:「Mybloglog」、「xx朋友」、「誰來我家」...等,這些都算是社交工程下的產物,至於是否有個資收集的問題
,我想見仁見智(有興趣的人請自行參考電腦處理個人資料保護法,起初你可能是基於好奇方便或是其它原因採用這一類的服務。

如果你在查資料時,不慎點進了一個情色網站,結果你的頭像,就高高地掛在它們的Mybloglog上,是否會引起你的困擾?甚至會有種隱私權被侵犯的不好感受。

至於這一類的社交工程使用的手法有那些呢?除了Cookies、連上特定網頁的LOG檔之外,其中最常見的應該是電子郵件的社交工程。白話一點說:
1.XXX在幾點幾分看了那封電子郵件。(預覽也算...)
2.點擊了那些連結
3.如果把那封信轉寄給其它人(好東西和好朋友分享)。
...族繁不及備載。
這些是以不植入木馬的狀況下,就能做到的社交工程,若真的挾帶木馬請君入甕,能夠收集到的資料,可就不只這些社交上的互動而已,嚴重一點,你就有機會在網路上看見自己的「個人珍藏(直覺會想到xx照)」。

除此之外,這些使用者行為模式的資料收集,對於正派經營的大型公司來說,它們會非常有興趣,不過有興趣歸有興趣,能不能這麼做又是另外一件事,畢竟這牽涉到個人資料取得的合法性(雖然現在的合約,怎麼看都是對使用者不利)。

有人或許會開始想,那該怎麼防範自己落入社交工程的圈套呢?

說穿了...其實就跟一般聽見的資安宣導一樣,不要預覽點擊不知名的郵件,就算是看起來認識的信件來源,也不要輕易信任,畢竟要偽造信件來源名稱很簡單。(例:《廣告郵件的手法》)或者是執行附加檔案的危險動作,更應該要禁止。其它的就去翻貴公司的資安政策吧!(如果有...)。

除此之外,其它的防範方法都需要藉由網路架構政策面下手,不然以社交工程的破壞力,要在短時間內收集到大量使用者的操作習慣資安概念,其實一點都不難,如果再把這些資料加以分析,要找到弱點入侵,應該就不算是件難事,我想這一種社交工程的應用,用在滲透上頗有成效。(如果沒有法律的疑慮的話...)

如果你心存僥倖地想:「這種手法一定是高手才會!我才不會這麼倒楣呢...」,那麼你就了!其實這方面的技術,只差在你有沒有接觸過類似的東西(很多時候只是見不得光),不見得要高手才會使用(笨一點的人,就算土法鍊鋼一樣也能弄出個堪用的東西),頂多只是時間應用層面上的差別,真要說高手才會的部份,應該是對「人性」的掌控瞭解吧!

無論如何,這次讓我更加瞭解了它的原貌,與之前只靠片面資訊來拼湊出的知識不同,雖然這陣子爆肝的程度直逼臨界點,但是回頭來看,這仍算是一次難得的學習,當然也要多謝一起爆肝的人,多謝你們給了我這次機會,下次...。(還有多的肝可以爆嗎?)

最後,還是要提醒大家,社交工程對於個資的收集能力資安的破壞力有多大而已,不想讓自己的照片或個資上頭版的話,還是謹慎為上!

2008年3月12日 星期三

廣告郵件的手法(Spam Tricks)

2 則留言:
這兩天還在跟朋友討論有關SPAM的相關問題,從仿造隱身跳板或其它各式各樣的手法,毫無設限的亂聊,結果,昨晚我的Gmail就收到了奇怪的信件,心裡還在想...不會吧?竟然這麼快就有東西可以驗證

什麼樣奇怪的信件呢?一封是我投遞失敗的回信,可以參考「您收到了從未寄送之郵件的退信。」(如下圖)。另一封則是收到我自己寄給自己的信(而且還被Gmail直接判別成垃圾郵件),我剛看到時,也是一頭霧水,自己去看那兩封的檔頭內容,才發現我只是替死鬼...,因為別人把表頭內的回覆路徑(Return-path)改成我的Gmail address。



今早又受到一次自己寄給自己的垃圾信件,不過這次Gmail已經加上警示訊息(忘了裁圖就清空了...),裡面只有夾帶著一張gif的圖片,連到某個不知名的網址,不過...還是有跡可循,因為我在Gmail的設定上,自己顯示的名稱有刻意「大寫」,而且我也只使用Webmail來收發Gmail的信件,所以全為小寫的寄件者名稱,原則上不會是我自己寄出的,應該都是屬於偽造信件(我自己有測試過,如圖)



其實,我剛收到時退信跟垃圾信時,我自己也嚇了一跳,難不成是我的Gmail帳號被?還是發生了什麼狀況?因此還馬上更換了Gmail的Password,靜下心來仔細看了一下這些信件的表頭內容,才發現到原來是我遇到SPAMMER使用的其中一種手法。

我列出那封別人假冒我的MAIL寄出的表頭HEADER(退信中有夾帶):
Return-path: <indeepnight@gmail.com>
Received: from esselte-h.takinfo.belso ([172.24.27.254] helo=esselte-1.takinfo.hu)
by herculesn.takinfo.hu with smtp (Exim 4.43)
id 1JZ7N2-0006kj-1H
for indeepth@szekkutas.tksz.hu; Tue, 11 Mar 2008 17:30:32 +0100
Content-Return: allowed
X-Mailer: CME-V6.5.4.3; MSN
Message-Id: <20080311113752.2962.qmail@den>
To: <indeepth@szekkutas.tksz.hu>
Subject: RE: MensHealth id 1827817
From: <indeepth@szekkutas.tksz.hu>
MIME-Version: 1.0
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit
X-Antivirus: avast! (VPS 000779-0, 08.10.2007), Outbound message
X-Antivirus-Status: Clean</indeepth@szekkutas.tksz.hu></indeepth@szekkutas.tksz.hu></indeepnight@gmail.com>

從這表頭中,其實就大概可以找到一些蛛絲馬跡,例如「X-MailerMessage-Id:、ISO-8859-1...等」都可以看出不會是我寄出的信件。

說明:
X-Mailer:通常是寄出信件的軟體名介面
Message-Id:原則上在
@前為自行產生@之後則是DOMAIN。
ISO-8859-1這個編碼應該不是一般人會用的吧?

其它的有興趣可以自己去問一下Google,可以得到不少資訊,甚至有些討論區還喜歡拿這些SPAM的表頭來品頭論足一番。

至於要怎麼防範這種事情發生呢?

老實說,我們也真的拿它們沒辦法,因為這部份總是有漏洞可循,無論是從軟體面(網路上有很多發信軟體)、網路架構(你可以透過PROXY或其它方式發信)、還是取之不盡免費信箱(連圖形認證也有機可趁《ZDnet:圖形驗證遭破解 Gmail也淪陷》)

無論怎麼防範,總是會造成使用者的困擾,防禦力高:想收的信收不到、防禦力低:你可能會把該看的信當圾圾信給刪了,很難兩全,或許公司內部的信件(特定名單),還可以用白名單來囊括,那...業務呢?總不能希望他們把每個潛在客戶的名單都列入吧!?

更何況...這些也能透過偽造的方式躲過過濾器,除此之外,一般個人或較小的企業又有多少資源能夠導入功能強大、效能也好的郵件過濾設備(頂多是防毒軟體的加減用吧!),因此,我們至少要能夠自行判斷那些是應該要開的郵件。

如果是一些信被自己誤刪還好,一個不小心,還會讓自己成為發送這種郵件的跳板僵屍電腦),那才是真的得不償失,不可不慎呀!(這是在警惕自己,不是嚇人唷!汗...)

2008年3月10日 星期一

免費軟體下的危機(Risks Beneath Freeware)

20 則留言:
先前寫過一些防毒相關的文章,電腦要不要裝防毒軟體,在Windows系統下已成了不爭的事實,而愈來愈多人用的Ubuntu,是否要安裝For Linux的防毒軟體,可能還要一段時間才有定案。(這部份與病毒數量使用者定位有關)

不過,對一般使用者來說,都會拿銀子去買無法買斷的防毒軟體嗎?

老實說,個人會花錢買防毒軟體的人應該是少數!除了自己在網路上找的快樂版低調版的防毒軟體之外,最多人使用的防毒軟體,應該還是各大防毒軟體所推出的免費試用版,或是較長時間的試用版

其中又以avast! 4 Home EditionAvira AntiVir Personal(俗稱小紅傘)這兩個較常用的免費防毒軟體,使用這類防毒軟體最容易忽略的盲點是什麼?就讓我們繼續看下去...