資安‧管理

Hacking ISMS

2007-11-07T10:14:00.000+08:00

一直想要寫一寫這個主題系列的文章。

其實或許應該更狹隘，或是更精確的說Hacking ISO27001。

台灣的ISO27001通過家數雖然排名全球第四名，但是事實上資安的亂象未減，資安的困境未解，資安產業崩盤洗牌，顧問服務變成「包生子」，驗證服務那把大刀一直砍不下去，兩岸網軍還陷入口水戰！！

我想要談談的還是導入ISO27001的一些亂象，一些問題，一些撇步。ISO27001雖說算是個比較成熟的標準，但是離完全成熟還有段不小的距離，也因此，有些漏洞可以鑽，有些缺陷可以利用，有些vulnerability可以exploit，誰叫ISMS也是個System啊... :>

另一方面，其實我不認為ISO27001是無用的廢物，只能束之高閣或是棄如敝屣，所以也想要談談怎麼利用ISO27001，還要避開ISO27001擾人囉唆的那一面，避免濫用或是誤用了ISO27001。

講這麼多，何時會開始第一篇文章？

我也不知道ㄝ... XD

宣導還是強制？

2007-10-26T14:30:00.000+08:00

過去幾年接觸到的工作都是awareness重要，都是training重要，不過最近一年國外的一些資安演講，提出了一個概念就是「不要教育使用者，而是強制(enforce)他們」，理由是緩不濟急，且難以驗證成效。

這樣的論點我同意一半，而且非常同意理由。我認為不是教育使用者不重要而不去做，而是應該投注更多心力在強制資安政策的執行，而在資源有限的情況下，推動強制落實會比教育、認知宣導更為優先。

這點在國內環境似乎並不容易執行，可是，我們不知不覺間其實有在做：我們會教育使用者小心開啟附檔名是.pif的檔案，還是乾脆幫他裝上一套有效的防毒軟體？我們會教育使用者小心不明人士進入機房，還是乾脆刷卡密碼掌型指紋靜脈門禁管制？

沒有強制力，資安都是玩假的；就像幾年前很紅的「執行力」一樣，沒有執行力，什麼願景政策都是畫虎爛。

這點在政府機關尤其重要，很多人都以為政府機關很牛，推不動，錯了！只要你的資安規範寫的是「可以」、「應該」，那很多單位能不動就不動，能少做一點是一點，可是一旦寫的是「必須」、「不得」、「不可」，他們就算幹聲不絕還是會照做的，只是這點，又有多少做政府案子的資安顧問瞭解？

強制力不是蠻幹硬推，而是別交給人做，只要是由「人」來執行的工作，就有怠惰疏忽忘記錯誤造假竄改的問題，能自動化就自動化，能電腦做就電腦做，門禁系統不會怠惰，CCTV不會疏忽，防毒軟體不會忘記，系統稽核不會造假，System Log不會竄改，電子表單不會掉單吃案，系統管理員當然還是有機會上下其手，可是這在某程度上是只能盡力抑制而無法避免的風險，屬於「人」的風險。

至於Budget哪來？這部分就是另外一個問題了，例如如何有效連結到企業經營的核心價值，如何說老闆聽得懂的語言，如何爭取預算，如何管理並展現績效等，有機會再來談這部份。

雞肋伺服器

2007-09-29T08:28:00.000+08:00

資安界有件很轟動的大事。

一位天才駭客，入侵了許多知名網站並竊取個資販賣，然後，被抓。俗話說盜亦有道，既然有不上道的只能說他活該，讓我們在這邊為他默哀一分鐘... XD

其中某家知名但不具名的大公司也在受害者之列，探究其原因後，發現天才駭客原來是從一台荒廢已久的伺服器入手，這台伺服器並沒有擔負營運任務，年久失修，就像是湮沒在荒煙漫草裡的無名塚一樣，為世人所遺忘...

一般資訊化較久又有幾個閒錢的公司，或是有設備報廢年限的公家機關，或是根本在Internet上混飯吃的.com，系統與設備多會有汰換升級的動作，當系統或設備切換完畢後，多半會同步運行一陣子，以準備突如其來的不穩定狀態影響了系統運行時必須切換回舊系統。當一切穩定上軌道後，運氣好的，會把舊設備移作他用，砍掉重練，運氣不好的，就變成了雞肋伺服器，挪用嫌慢，砍掉(報廢)嫌煩。

另外像一些資本雄厚的公司，一用一主機，一機一世界，可以為了單一任務搞台主機寫個系統架個站，這樣做其實是沒錯的，可以避免干擾正常營運中的伺服器，不過這些曇花一現伺服器通常是網管最討厭的，數量又多，繁殖又快，管理權也不在自己手上，而且通常比較緊急，急著架，急著上，急著討打，急著遇駭。什麼時候任務結束也沒人通知，什麼時候活動結束也沒人知道，網管索性也不管了(事實上也沒法管，管來更費力，其他事都不用做了)，放著自生自滅，這些也是雞肋伺服器。

這種荒廢了的雞肋伺服器很麻煩，它從來沒經過正式程序下線，也不知道是不是要下線，什麼時候要下線。沒有人知道應該怎麼照顧它，因為它已經不再擔負營運任務，所以patch、升級、改密碼、檢查、稽核、Log Review、Monitoring、VA、PT不是跳過它、排除它、輪不到它，就是遺忘它、忽略它、隱藏它，等到日子一久、事情一忙，管理人員來來去去，沒有人記得它的存在時，它就真的變成"無名小站"了....

駭客這時只要不要太招搖重新吸引管理員的目光，就算在上面開會、開Party、開工廠、開私服，跑john、跑Hydra、跑SETI、跑UD，也不會有人注意的。

管理這些雞肋伺服器是一門學問，它們沒有正式下線，所以不能任意砍掉重練，就連關機這種節能環保省錢的事都不能做；決定它們生死的常常根本不是網管，而是其他部門，而負責人可能早就未交接離職了；有的根本已經被各方人馬所遺忘，用途不明，任務不明，負責人不明，架構不明，前途不明，root帳號不明，hostname不明...，網管只負責提供塔位以及出事時背黑鍋扛責任，其餘一概不管。

許多網管選擇撒手不管，出事再說；有的網管則是造冊列管，上面一堆的Unknown、N/A；有些網管選擇在雞肋伺服器外面加上重重防護，監聽監看側錄過濾一應俱全，只是本錢這麼粗可不是每家公司都做得到的；有魄力的就拿飯碗賭一賭，先關機然後看看系統服務是不是都還正常，運氣不好關到不知名的cache server，不知道哪天加上去的authentication server，不知道何時冒出來的Queue Server，甚至搞不清楚怎麼這邊才是Master的DS，那就鼻子摸摸趕快重開，然後洗洗耳朵準備挨罵；如果一兩天都沒人唉唉叫，那運氣不錯，裡面資料備份一份後應該就可以砍掉重練了，如果有人氣急敗壞暴跳如雷衝進來發飆，就是制式回答「我們不小心拔錯插頭，等下就能使用了」，順便記下來人是誰，以後出事好歹知道通知誰。不過，敢賭能賭還賭贏的網管畢竟只是少數.....

唉，雞肋伺服器，食之無味，棄之可惜，硬吞還會噎到，實在難搞啊～

IT Security Configuration Guides and Checklists

2007-08-10T15:55:00.000+08:00

簡單的隨手札記...關於IT的Security Configuration Guides and Checklists...

「Windows XP安全強化18招」
「讓網頁伺服器安全的七武器」
「電子郵件安全必殺五式」

這類的新聞、專欄、文摘實在看煩也看膩了，雖然其內容多半有其重要性，或是特別強調了某部分，以與當時的熱門資訊安全事件相呼應，但是這類文章多半「以偏蓋全」、「掛一漏萬」、「斷簡殘篇」，長長見識，增加點認知倒是可以，想要照著實作就有難度了，不僅不清楚怎麼做，甚至做完了還不清楚這樣算不算安全。

要實作，最好的方法還是要比較完整的安全指引或是實作指引。雖然現在資安變成了某種「顯學」，大廠多半會提供自身產品的安全強化指引，但是散落各處查閱耗時不說，文件品質也良莠不齊，一些比較中性，比較非產品面的安全考量也不會在這類指引中出現，最好的方法，還是一些比較中立，或是超然於產品面外的政府機關提供的安全實作指引會更容易遵循些。

下面就列了幾個比較好用的安全檢查與實作指引的網站，這些網站多半蒐羅了各式各類的安全檢查清單與設定指引，更好的是，有的還有Benchmark tool，可以用來安全檢查或是稽核用，讚！
NSA(美國國家安全局) Security Configuration Guide：
http://www.nsa.gov/snac/index.cfm?MenuID=scg10.3.1

NIST(美國國家標準局) Security Configuration Checklists Repository：
http://checklists.nist.gov/repository/category.html

DISA(美國資訊系統保護局) Security Checklists：
http://iase.disa.mil/stigs/checklist/index.html

SANS S.C.O.R.E. Checklists：
http://www.sans.org/score/checklists.php

CIS(Center of Internet Security) Benchmarks/Scoring Tools：
http://www.cisecurity.org/

另外關於Windows/IIS/SQL，微軟也提供了一套MBSA的自動檢查工具，可以做一些基本的安全檢查，這應該是對一般人來說最簡單也最懶惰的工具了。

想知道自己管的系統有多安全（或多不安全）嗎？檢查一下吧，保證會嚇一跳 :P

CSIRT Starter Kit

2007-08-10T15:51:00.000+08:00

http://www.terena.nl/tech/task-forces/tf-csirt/starter-kit.html

什麼是CSIRT? CSIRT的全名是Computer Security Incident Response Team, 也就是類似CERT的組織.

CSIRT通常是一個企業或是組織統一執行資訊安全事件應變處理的小組, 很多企業或組織希望成立一個內部的CSIRT, 可是卻不知道從何下手, 從哪裡開始, 因此, 有了這個網頁的誕生... 這個網頁內包含了CSIRT的FAQ, 與CERT, IRT等的差別, 需要準備什麼文件, 要執行什麼工作, 要準備哪些Tool, 還有, 很重要的, 怎麼訓練CSIRT的成員, 這邊都提供了不錯的資訊. 想在自己公司內搞個CSIRT嗎? 來看看吧...