2013-01-28

密碼時代宣告終結,Google新加密技術Yubico推動安全升級

密碼時代宣告終結,Google新加密技術Yubico推動安全升級
 

過往,網路世界只需帳號密碼作為防護足以堪用,今日隨著雲端科技普及,人們開始把重要資訊如財務資料、文件、數據等一股腦往雲端送,眼看密碼時代即將畫下句點,Google新法寶Yubico也應運而生。
 
Wired記者杭南(Mat Honan)去年8月Gmail信箱遭駭客入侵,Twitter帳號被張貼種族歧視言論,駭客遠端控制刪除他在iPhone、iPad和筆電上整整花了一年時間儲存的電郵和照片等資料,這起資安悲劇讓人感受到密碼的脆弱,也催生新的加密技術。
 
Google在本月出刊的「IEEE安全和隱私科技雜誌」(IEEE Security and Privacy)中發表論文,表示傳統密碼過於脆弱易遭破解,未來加密技術將走向實體化,將認證資料嵌入到戒指或其他硬體裝置,輕觸感應或插入裝置即可安全不費力地存取資料。
 
Google安全部門副總葛羅瑟(Eric Grosse)與工程師烏帕德希雅(Mayank Upadhyay)在研究中表示,許多產業體認密碼或存在用戶端的辨識數據cookies已不再安全,因此不斷試驗多種可以取代目前技術的加密方式,加密卡Yubico就是其中之一。
 
用戶只需把此小型USB插入裝置就能讓瀏覽器自動登入Google,目前研發團隊已修改Google Chrome讓用戶方便使用,只要插入、註冊就可以用滑鼠輕鬆點擊操作。
 
未來,智慧型手機用戶的Yubico加密卡經過認證,即可作為線上帳戶或信箱的鑰匙,甚至還可能以無線技術簡化「上鎖」及「解鎖」手續,即使手機沒有通訊也只需要輕觸裝置便可驗證。不過,實體化就意味者有失竊風險,萬一丟失必須立即掛失停用。
 
此項技術普及面臨的第一項挑戰是需有足夠的網站對應,Google表示希望能與其他網站合作,並已經開發出獨立於Google的裝置認證協定,不需任何特定軟體就可執行,還可防止網站用認證技術追蹤使用者。
 
在技術普及前,用戶可先倚賴現有的TFA技術,也就是雙重認證方式,除帳號和密碼認證外,再透過第二種方式來驗證身分,可用指紋等生物特徵,或是經由撥打手機和傳送簡訊等方式,現在台灣有許多網站業者用此種方式確認客戶身分,雖然這種技術仍有不完美之處,但比只設密碼來得安全。
 
面臨密碼時代終結不必過於驚慌,只要善用現有的TFA技術,搭配其他安全措施,保持警戒不輕信來路不明網站,最後,耐心等待實體化認證技術問世吧!
 
轉載自《WIRED》

以SDN為基礎 打造商用網路虛擬化


以SDN為基礎 打造商用網路虛擬化

伺服器虛擬化以及雲端運算概念仍在持續發展中,近來更進一步朝向網路環境延伸,網路虛擬化(Network Virtualization)逐漸成為新一代資料中心的組成架構之一。

只是,一向強調穩定性與可用性的網路為什麼要被虛擬化?VMware網路虛擬化平台技術顧問陳建民解釋,對於欲實現雲端運算概念,以提供雲端服務的企業,像是多租戶(Multi-Tenancy)的應用,傳統網路架構已不足以因應,開始出現瓶頸。「相信很少人遭遇過Layer 2 VLAN的可配置上限。在傳統網路部署環境中,可用VLAN的上限是4,094個ID,然而,這對於以雲端運算服務為業務核心的資料中心而言,是遠遠不夠的。」

以現在的技術來看,可能會採用VLAN的Trunking來解決,但接下來卻會面臨Trunking打通後,全部的網路設備不論是否為所屬管轄範圍,皆必須要彼此同步學習訊息,很快的就會造成存放MAC位址的TCAM記憶體發生Overflow,導致網路出現不穩定的狀況,即使是TCAM被加大仍有其應用上限。而近年來被稱為是新一代網路架構的軟體定義網路(Software Defined Network,SDN),即可讓VLAN數量不足等問題獲得解決,因為SDN架構本身就已具備橫向擴展(Scale-Out)、大量部署的能力。

OpenFlow潛在瓶頸

SDN這個透過軟體來定義的網路環境,實現方式是由控制器(Controller)來定義運作程序,再發佈到交換器依據指示來執行,因此架構上需具備兩個基本組件:控制器軟體安裝在x86平台,以及可支援OpenFlow協定的交換器(或稱為Edge端)。

陳建民提到,目前市場上已有許多廠商提供控制器軟體,包括Big Switch、NEC、HP,以及剛被VMware買下的Nicira。而交換器只要可支援主流協定OpenFlow,即可跟控制器溝通,讓SDN架構開始運作。

▲OpenFlow的兩種運作模式:Hop-by-hop與Overlay,其中Overlay透過建立Layer 2 over Layer 3通道,取代Hop-by-hop以VLAN為基礎的傳輸。(資料來源:NTT Technical Review)

OpenFlow是一個基於Layer 2運作的開放標準協定,將封包傳送的路徑稱為Flow。目前被區分為Hop-by-hop與Overlay(又稱Network Hypervisor)兩種模式。陳建民解釋,Hop-by-hop是OpenFlow最早採用的模式,每當OpenFlow交換器收到一個新的Flow產生時,必須把每一個新的Flow的第一個封包(Packet)發給控制器,再由控制器去指示交換器應有的動作,如此來回,控制器必須要去承受資料流的壓力,較容易造成效能瓶頸。因為控制器在SDN架構中的角色只是一個軟體處理程序,而不是一個硬體,就算是被設計成交換器的高速硬體式架構,但由於全部資料流都得經過它,不僅要解析封包、發佈,還要做修正,都得依賴CPU進行,若規模小的架構還可行,但若是大型資料中心則很容易就不堪負荷。

此外,Hop-by-hop運作模式下還會存在擴充方面的問題,就算控制器本身具備叢集(Cluster)能力,伴隨著網路逐漸增大,相對所承受的流量壓力也會變重。「因此企業運作環境要導入這種新興技術,除了交換器全部要改成可支援OpenFlow才可運作,另一個隱憂即是效能瓶頸問題。有一個較具指標性的觀察,就是全球企業營運環境,應該還找不到採用Hop-by-hop模式的SDN架構,至今仍是學術研究階段。」陳建民觀察。

可商轉Overlay模式

OpenFlow的另外一種Overlay模式,也是Nicira採用的方式,配置上的差異在於Edge端的交換器可以是傳統硬體設備或軟體式,而軟體式即為Nicira自行研發的OVS(Open vSwitch)。OVS是Nicira主導的開放原始碼專案,像是KVM、Xen等開放平台皆有提供支援,因為這些平台缺乏網路的堆疊(Stack),無法提供較進階的網路功能,因此OVS即可讓這些開放平台也可以做到類似傳統交換器的功能。

而OVS區分為開放原始碼版與商業版,Nicira中採用的OVS即是商業版,當中包含VMware針對驅動層、運算資源等方面的強化,以及技術支援,才能確保企業運用環境的穩定度。在Nicira架構中的OVS,並不只是一個軟體式交換器裝在Hypervisor上,而是一個混合型,也就是同時可擔任OpenFlow的代理程式。

安裝在Hypervisor上的OVS,具有標準交換器與OpenFlow Agent功能,目前支援VMware的VSA(vSphere Storage Appliance)、Citrix XenServer、KVM等虛擬化技術。一旦有新增加的虛擬主機產生,OVS會自動通知控制器,因此控制器所用來記錄的OpenFlow路由表(Flow Table)中,就會增加這一筆資料。若要去定義這些網路,只要透過API指令,控制器就會從資料庫中建立SDN架構的條件。

用VXLAN串聯網路層

陳建民舉例,在交換器資料表記載Network Virtualization 1有VM1與VM3虛擬主機,Network Virtualization 2有VM2,該紀錄會回報給控制器,以便IT人員根據現有的資源去定義網路,可能Network Virtualization 1含有安全、QoS控管政策、Network Virtualization 2則只有一般Layer2/Layer3政策而已。定義完成後,控制器會發佈到每一個OVS,於是在OVS中就會擁有各自的資料表,之後就可以根據這份資料表的規則,去建立Layer 2 over Layer 3通道(Tunnel),透過VXLAN(Virtual Extensible LAN)協定,未來在Layer 3還可進一步串起生態系統,像是防火牆、網路安全設備等廠商,即可在IP環境中的任何位置交換彼此的訊息。

如此一來,以後任何新產生的Flow,不需要再回報控制器,只有當新的虛擬主機產生時,才會跟控制器通報以存入OpenFlow路由表,但虛擬主機要不要啟用網路、如何應用,則是依據IT人員給予定義才會有作用。至於控制器本身則採用平行運算,叢集(Cluster)機制是三台Active/Active架構,來維持網路運作的穩定性。

「這也就是Nicira得以商業化,且在全球已經有應用案例的重要因素。為了實現SDN概念,Nicira花了四年研發Overlay的運作模式,所提供的並非是傳統網路硬體,而是網路作業系統,而這也就是VMware肯花12.6億美金買下Nicira的主因。」陳建民強調。

就實務面來看SDN架構,現階段除非像是電信等級的資料中心才能發揮其效益,目前距離多數企業的應用環境還很遙遠,但畢竟是多數網路解決方案供應商未來的發展方向,仍舊值得持續關注。

轉載自《網管人》

趨勢:APT攻擊和雲端資料外洩是2013年主要資安威脅


趨勢:APT攻擊和雲端資料外洩是2013年主要資安威脅

趨勢科技8日發表2013年「資安關鍵十大預測」(10 Threat Predictions for 2013)。報告中指出在2013年各種裝置、中小型企業與大型企業網路的安全管理將比以往更加複雜。除了消費端的多元平台挑戰,企業端的IT消費化、虛擬化及雲端平台的發展,也將面臨如何抵禦APT的強化攻擊和保護業務資訊兩大難題。

▲聚焦台灣資安市場,面對雲端應用的逐漸普及,以及駭客針對性攻擊的雙重挑戰,如何更精確的保障消費端和企業端用戶的資訊安全,是趨勢科技2013年的重要任務。

惡意與高風險的Android App程式數量預計在2013年當中將達140萬,相較於2012年攀升達四倍之多。Android就像過去十年Windows的角色般,正逐漸主宰行動運算領域。

趨勢科技台灣及香港區總經理洪偉淦表示:「隨著數位科技在生活中扮演越來越重的角色以及行動裝置快速普及,消費者已經正式走出個人電腦獨占的局面,擁抱多元平台。每一種平台都有自己的介面、作業系統和安全機制。這也意味著資安威脅將出現在更多令人意想不到的地方。我們同時發現,除了個人電腦以及行動裝置,連網電視等其他具備網際網路連線功能的裝置,也可能成為未來新式的攻擊管道。」

另一項由CNET與趨勢科技所進行的2012亞太地區企業資安調查報告指出,台灣對於BYOD的支持態度較整體亞太區的表現更為正面,而資料外洩防護是台灣企業最重視的資訊安全問題第二名,但要如何有效防範惡意程式透過各種管道如行動裝置入侵企業內部亦是相當重視。

針對上述未來預測和趨勢觀察,洪偉淦進一步分析:「BYOD趨勢的逐步發展,代表著使用多種運算平台和裝置也將成為企業端用戶的新趨勢,在此同時,因為雲端儲存的穩健發展,許多企業也將因採用公共雲端服務而得以降低成本、提升服務易用度以及穩定度。但對於資安防護而言,保護這些裝置將變得複雜又困難。」

此外,於2012年造成企業資安嚴重威脅的APT攻擊,未來也將更深更廣地持續擴大與強化,攻擊能力不容小覷。因此,除了網路犯罪者將繼續利用雲端犯罪,APT攻擊持續擴張和雲端資料外洩是2013年預測中的兩大企業資安威脅!

▲洪偉淦指出,趨勢科技2013資安預測中顯示,不論是否使用雲端儲存,資料儲存基礎架構都將成為資料竊盜攻擊的目標。隨著企業開始導入公有雲服務或建置企業私有雲來存放機密資訊,企業需要檢視原先的資安解決方案是否適用於雲端環境並已提供完整的防護。

趨勢科技所發布的「2013資安關鍵十大預測」報告,內容包含企業、個人數位生活與雲端發展上將會面臨的威脅與分析。

惡意與高風險的Android App程式數量將突破百萬
惡意與高風險的Android App程式數量預計在2012年底達到35萬個,這項數字在2013年當中將攀升四倍,大致上與該作業系統本身的成長率成正比,惡意與高風險的Android App程式將越來越複雜。

APT攻擊廣度以及深度持續擴大
 Gartner於2011年8月正式發表進階式目標攻擊(APT)因應策略報告後,如何防禦APT威脅已成企業資安規畫的重點。然而,駭客的攻擊廣度及深度將更為擴大,並且可能有更多的駭客及不法組織會持續投入。

網路犯罪者將大量濫用正當的雲端服務
 許多企業和個人都因為改用雲端來滿足其運算需求而受惠。企業因為採用公共雲端服務而得以降低成本、提升易用度、提高穩定度,2013年必定將出現更多正當服務遭人用於非法用途的情況。

資安威脅將出現在令人意想不到的地方
「數位生活方式」使得消費者的生活與網際網路的連結越來越緊密,而新技術則提供了新的攻擊管道。除了個人電腦、平板電腦或智慧型手機等,其他具備網際網路連線能力的裝置(如連網電視),若並非以安全性為最高設計考量,很容易就被有心的駭客入侵。

運算平台和裝置多樣化 保護這些裝置將變得複雜又困難
在以往同質性高的運算環境當中,使用者教育相對上單純,因為裝置只有幾種。但2013年將不再如此,每一種行動裝置平台都需要一種不同的安全防護。同樣地,隨著App程式的功能開始逐漸取代瀏覽器,資訊安全與隱私權問題就更難有通用的建議。

以政治為動機的電子化攻擊變得更具破壞性
2013年,我們將看到更多專門修改或破壞資料的網路攻擊,甚至對某些國家的硬體基礎建設造成破壞。這樣的發展,是網路犯罪者在蒐集資訊之後自然而然的下一步行動,不論是獨立的駭客團體或是由政府資助的團體。

資料外洩依然是2013年的威脅之一
 隨著企業開始將機密資訊移到雲端存放,企業將會發現,那些用來預防企業伺服器遭到大規模資料竊盜的解決方案,到了雲端環境將無法發揮應有效果。IT系統管理員必須確保雲端安全解決方案設定正確,並且在這方面擁有充分的防護能力。

解決網路犯罪需要二年以上來完成全面部署
儘管某些國家已經成立了網路犯罪防治組織,但大部分的工業化國家至少必須等到2015年之後才能有效地強制執行網路犯罪防治法律。企業仍必須在自己的IT基礎架構上採取更主動的預防措施,對於高風險的企業來說,威脅情報將成為標準防禦的重要一環。

傳統的惡意程式威脅將緩慢演進
惡意程式2013年的發展將著重於改進現有工具或回應資訊安全廠商的防堵。網路犯罪者將發現,能夠成功潛入受害者的電腦而不引起懷疑,比運用特定技術來發動攻擊更加重要。2013年,不同網路犯罪地下團體之間的彼此合作也將更加普遍。他們將專精於自己的特殊專長、攻擊手法與目標。

非洲將成為網路犯罪者新的避風港
非洲是傳奇的「419」網際網路詐騙的發源地,同時也逐漸成為精密網路犯罪的溫床。執法不嚴格的地區,向來就是網路犯罪的溫床,尤其當歹徒能夠對當地經濟有所貢獻,卻又不會攻擊當地的居民或機關團體就更受歡迎。

透過「2013資安關鍵十大預測」報告,讓消費者和企業端更能掌握未來資安發展趨勢,提早做好萬足準備。趨勢科技資深產品經理吳韶卿分享到:「為了有效應對2013的資安挑戰,一般使用者須遵守的四大須知包括:一、定時自動更新電腦;二、網路交易、下載和郵件的處理更為謹慎;三、行動裝置防護不可少;四、密碼管理不可輕忽。而企業端則要秉持三大原則積極以對:一、使用有效的解決方案來保護企業;二、標準化的政策保護客戶利益;三、建立、實行有效的IT使用準則。

資料來源:TrendWatch
轉載自《17INDA-硬底子達人網 》不及格網管

私有雲五大錯誤觀念

私有雲五大錯誤觀念
 
不斷炒作私有雲運算讓人對私有雲產生誤解,為減少市場炒作並且協助企業IT主管找出私有雲運算的真正價值,Gartner提出以下對私有雲的五大常見錯誤觀念,以及相對真實的情況。
 
虛擬化與虛擬化管理滲透率的快速升高、雲端運算服務的增多,以及促使IT更快運作與較低IT成本的壓力,皆將帶動私有雲運算的成長。然而,在急於因應上述壓力之際,企業IT單位宜小心提防炒作,相反地,應將焦點放在最具商業意義的私有雲成效。 不斷炒作私有雲運算,讓人對私有雲產生誤解,為減少市場炒作,並且協助企業IT主管找出私有雲運算的真正價值,Gartner提出以下對私有雲的五大常見錯誤觀念,以及相對真實的情況。
 

私有雲並非虛擬化 
 
伺服器和架構虛擬化是私有雲端運算的重要基礎,但虛擬化和虛擬化管理本身卻非私有雲運算。虛擬化有助更輕鬆地以動態的和精密的方式來匯集和重新配置架構資源(伺服器、桌上型電腦、儲存裝置、網路和中介媒體等)。
 
不過,虛擬化可透過許多方式展開,包括虛擬機器、作業系統、中介媒體組件系統、功能強大的作業系統、儲存抽象軟體、網格運算軟體,以及水平式擴充(Horizontal scaling)與群組(Cluster)工具。
 
私有雲運算利用了虛擬化的部分形式來創造雲端運算服務。私有雲運算是雲端運算的一種方式,僅可被單一企業所使用,或確保企業能完全與其他企業區隔開。
 
私有雲不僅與降低成本有關 
 
企業可透過私有雲減少標準服務所提供常見和死板的任務,達到減少營運成本的目的。私有雲可更有效地對資源進行重新配置,以符合企業需求,也可望降低企業在硬體設備上的資本支出。
 
然而,企業需要投資自動化軟體以使用私有雲服務,而省下的費用或許不盡然能因應支出。因此,降低成本並非私有雲端運算的主要的好處。
 
自助服務介面和使用計量背後的自助服務自動化所帶來的主要好處包括敏捷度、上市的速度、衡量動態需求或追求難得機會的能力,以及讓企業單位進行實驗的能力。
 
私有雲不盡然是就地部署(on-premises) 
 
私有雲運算是依「隱私」來定義的,而非根據位置、所有權或管理責任所定義的。當大多數的私有雲被就地部署(根據現有虛擬化投資的發展情況)時,就會有愈來愈高比例的私有雲服務會被外包出去,和/或進行遠端部署(off-premises)。
 
第三方私有雲將更加彈性定義「隱私」。第三方私有雲服務,或許須和其他企業共享資料中心設施,並在經過一段時日後與其他企業分享設備(從可取得的資料庫來進行分享)、分享資源,但能被卻隔離於虛擬私有網路(VPN)以及之間的一切。
 
私有雲並非僅是架構即服務(IaaS)
 
伺服器虛擬化是一大趨勢,因此也是私有雲端運算的主要促成因素。不過,私有雲不限於IaaS的任何形式。例如,相較於簡單的虛擬機器供應服務,開發與測試服務使得為開發商推出高階的平台即服務(PaaS)產品更具意義。
 
目前在雲端運算中成長最快的便是IaaS。不過,IaaS僅以便利的方式來提供最低層級的資料庫資源,而不會大幅修改IT單位處理的方式。
 
開發商可用PaaS來開發專門針對雲端感知(Cloud-aware)設計的新應用程式,並提供不同於舊有應用程式的全新服務。
 
私有雲並非永遠私有 
 
在許多方面私有雲僅係權宜之計。假以時日,公共雲服務會日臻成熟,提升服務層級、安全與法律遵循管理。因應特定需求的新公共雲服務將應運而生,部分私有雲將完全移至公有雲。
 
然而,大多數的私有雲服務將逐漸催生混合式的雲端運算,並擴大私有雲的有效容量以運用公有雲服務和第三方資源。
 
IT部門可從私有雲出發,將自己定位成企業所有服務的中間人,無論是私有、公有、混合,或是傳統服務的中間人。
 
私有雲日後會逐漸發展成混合雲、甚或是公共雲,可保留自助服務、客戶,和介面的所有權,我們稱之為「混合式IT」,這是未來IT部門的願景之一。
 
本文作者現任Gartner副總裁
 轉載自《網管人》不及格網管

弱點通告: Microsoft Internet Explorer 含有允許遠端執行程式碼的弱點,請使用者儘速更新!


弱點通告: Microsoft Internet Explorer 含有允許遠端執行程式碼的弱點,請使用者儘速更新!

風險等級:高度威脅  
摘  要:Microsoft Internet Explorer 含有允許遠端執行程式碼的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。
目前已知會受到影響的版本為 Microsoft Internet Explorer 6.X 、7.X 、8.X 版本,包含Windows XP、Windows Vista 、Windows 7 、Windows Server 2003 及Windows Server 2008 作業系統,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。
           
 影響系統:Microsoft Internet Explorer 6.X 、7.X 、8.X 版本
 (Windows XP/ Windows Vista/ Windows 7/ Windows Server 2003/ Windows Server 2008)   
           
 解決辦法:
 手動下載安裝:適用Microsoft Internet Explorer 6.X 、7.X 、8.X 版本之更新程式(MS13-008) 
 (Windows XP/ Windows Vista/ Windows 7/ Windows Server 2003/ Windows Server 2008) 進行Windows Update:Windows Update
           
 細節描述:
 Microsoft Internet Explorer 被發現含有允許遠端執行程式碼的弱點,惡意人士可利用此弱點使用水坑型攻擊(Watering Hole Attack) 手法,針對目標族群可能會瀏覽的網站植入惡意程式碼,當目標族群以有漏洞的瀏覽器瀏覽該站時會進行攻擊。該攻擊利用Internet Explorer 無法處理使用釋放後記憶體錯誤(use-after-free) 的漏洞使惡意人士取得使用者權限並得以遠端執行程式碼。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。   
           
參考資訊:SecuniaMicrosoft

微軟釋出緊急更新修補IE零時差漏洞


微軟釋出緊急更新修補IE零時差漏洞



MS13-008主要修補IE中的遠端攻擊程式漏洞,相關漏洞影響IE 6、IE 7與IE 8,並不影響較新的IE 9及IE 10。先前曾透過Fix it執行臨時修補的用戶則可於安裝此一更新後將其移除。

微軟於周一(1/14)釋出MS13-008以修補IE的零時差漏洞

微軟在去年底就已揭露該漏洞,但當時僅提供臨時的Fix it修補工具,而且也來不及在上周二(1/8)的例行性更新日修補,一直到本周才有完整的修補程式出爐。

MS13-008主要修補IE中的遠端攻擊程式漏洞,當使用者以IE造訪一個特製的網頁時,成功攻擊該漏洞的駭客便有機會取得使用者權限,該安全更新則修改了IE處理記憶體物件的方式。相關漏洞影響IE 6、IE 7與IE 8,並不影響較新的IE 9及IE 10。

微軟可信賴運算總經理Dustin Childs表示,微軟已看到針對該漏洞的有限攻擊,但可能有更多的客戶受到影響,多數用戶不需採取任何行動便能自動下載及安裝更新,並鼓勵其他用戶儘快進行手動更新,另外建議用戶升級到未受該漏洞波及的IE 9或IE 10。

至於那些曾透過Fix it執行臨時修補的用戶則可於安裝此一更新後將其移除。

根據資安業者的調查,此次針對IE漏洞的攻擊行動是採用Watering hole攻擊手法,駭客先針對目標族群常上的網站嵌入惡意程式,等這些目標族群以有漏洞的瀏覽器造訪該站時進行攻擊,駭客可能來自中國,所設定的目標族群為國防產業。(編譯/陳曉莉)

轉載自《iThome》