May
29
2008
近日很多資訊保安事故不斷被揭出,最令人驚嘆的莫過於入境處及警隊的內部資料竟然可以輕易外洩。我今早亦無意發現本地某大銀行的一個網上服務,其中一個用作測試的網站竟然中門大開,任人瀏覽,系統的設定,源碼以及一些登入戶口及密碼可以隨意下載,簡直豈有此理。
我已電郵那間銀行,要求她們盡快跟進,並調查有否洩露客戶資料。不過由此例子可見,被揭出的保安事故極可能只是冰山一角,相信有很多只是沒人發現沒報導出來而已。
資訊外洩事故,一定是人為疏忽。然而資訊科技業界都會犯的錯誤,要那些沒太多電腦知識的用家去避免確實有點困難 。但最令我氣結的是商經局局長馬時亨說成這是用家不理資訊保安政策的後果,期圖把責任推給用家。
資訊保安政策當然要有,但只有它並不足夠。在資訊保安範疇,盡職 (Due Diligence) 才是重點。所謂盡職,就是要把已訂立的政策,有紀律地透過負責任行為去執行訂立的管理常規。盡職是所有人的責任,負責資訊保安者尤甚,他應嚴謹對待每個處理資訊的步驟,亦要確保其管輆範圍內的程序有否違規,才可避免當中有任何狀況。現在很多的情況是,硬件不夠,軟件又陽春。用家保安意識薄弱之餘,指引不足,保安執行力不夠,幾環弱點加起來,不出事才怪。
各個機構現在最需要做的,是檢討一下機構裡的資訊保安,在政策,教育,執行上花多些功夫,全面檢討有否潛在危機,包括防止一切資訊帶離工作間。不要單純靠用家自律,這顯然是不會有效的。
no comments | tags: security | posted in 網絡見聞
Apr
25
2007
續
上篇。其實我想了解大家如何做 web application 的保護,順道引證一下自己的看法。
互聯網危機處處,雖然一個 application 放上網目的可能只是 form to email 般的簡單,但一些立壞心腸的人可會視之為攻擊目標,spammer 會視為免費 spam engine,惡作劇的 cracker 可能會利用它炸電郵信箱,若果這個 application 有 vulnerability 的話,更有可能被 hacker 入侵伺服器。
所謂攻擊,可是成千上萬。可以是機械化的 (spam bot),可以是人為的 (XSS);可以是 common 的 (DDoS),亦可以是 dedicated。當中最棘手的當然是針對性的攻擊,要防止的而且確要花很多資源,但一般常見的攻擊,要預防其實不難,諸如 input filtering 或 HTTP referer checking 都是其一,雖不是很驚為天人,但應付普通攻擊應該足夠有餘。
我常喜歡用家居保安做網上保安的例子:你也不會把家中門大開任人自出自入吧。雖然一個 web application 原意可能是方便,但方便自己時亦同時方便賊人,賊人永遠是取易捨難。簡單的加把鎖,已可防止一些無謂的損失。
no comments | tags: security | posted in 技術交流
Apr
13
2007
我想做個調查,了解大家做 web application 時如何做保安。
例如一張簡單 online form,是 form to mail 或者 form to DB,收集的不是個人敏感資料。大家在做這個 application 時會否做保安設定去防止 malicious usage?若有,會做到甚麼程度?
A. 甚麼也不做
B. 會 filter user input
C. 會 check HTTP referer
D. 使用 CAPTCHA
E. 使用 SSL
F. 會 Encrypt Mail / DB
歡迎留言說你的選擇,可以的話,請說一下你的理由。若有其他保安上的做法,亦歡迎補充。
2 comments | tags: security | posted in 技術交流
Jan
4
2007
為安全計,若你在斷纜期間曾使用 Proxy,趁現在網絡大致回復,快更改你網上服務的密碼。
no comments | tags: security | posted in 喃喃自語
Mar
11
2006
猶記得月前才看到一篇有關
從 Google 搜尋到敏感資料的文章,殊不知原來香港早就有最少 2 萬人的個人資料給 Google indexed !從
警監會資料外泄事件中再一次看到極大部份人都會忽略的問題 ── 互聯網保安的重要性。
Continue reading
1 comment | tags: google_cache, Information_Technology, robots, security | posted in 技術交流
