[轉貼]電腦一開就會洩密

科學人 2009/06/19
撰文／吉布斯（W. Wayt Gibbs）；翻譯／王怡文】

(照片提供/科學人)


重點提要

■即使最嚴密的網路安全系統，也無法確保你的電子資料不被有心駭客竊取。

■研究人員已經證實，光是利用眼球反射的電腦螢幕影像或印表機發出的聲響，就能從中讀取資訊。

■這類攻擊難以防禦，而且無法追蹤。


透過貝克斯（Michael Backes）的星特朗望遠鏡觀看走廊另一端的筆記型電腦，螢幕上的18點字清楚得幾乎就像電腦放在我膝上一樣。我再度確認了一下，這台筆記型電腦不僅位於10公尺長廊的另一端，而且背向望遠鏡，而我看到的清晰影像來自旁邊桌上的玻璃茶壺反射的倒影。貝克斯在德國薩爾蘭大學研究室的實驗發現了值得注意的事情：很多東西都會將我們螢幕上的秘密反射到偷窺者的相機裡，眼鏡、咖啡杯、塑膠瓶、金屬飾品等，效果都不錯。貝克斯甚至在最近的研究中發現，電腦使用者的眼球，光是「看著資料」就會洩密。


除了螢幕影像的倒影之外，還有許多方式會讓我們的電腦資訊經由所謂的旁通道（side channel）洩漏出去，這種安全漏洞逃過了我們用來保護敏感資料的加密處理與作業系統。最近，研究人員示範了五種方法，不需在目標電腦上安裝任何軟體就能偷偷記錄資訊（例如按鍵）。技術高超的觀察者甚至可以藉由讀取網路交換器的發光二極體（LED）閃爍訊號，或是仔細分析螢幕發出的微弱電波頻率，擷取他人的資料，甚至利用某些印表機發出的噪音也能竊取資料。


除了少數機密軍事計畫之外，大多數資訊安全研究人員都忽略了旁通道攻擊，而著重在不斷強化加密系統與網路通訊協定的防禦力，然而那只能確保資訊在電腦或網路裡的安全。旁通道攻擊利用的是電腦與真實世界之間沒有保護的地帶：從鍵盤、螢幕或印表機附近，在資訊被加密之前或被轉換成人類可閱讀的形式之後竊取。這類攻擊也不會留下異常記錄或損毀檔案等竊密行跡，沒有線索能讓安全研究人員找出竊密發生的頻率。這些專家只能確定一件事：只要資訊露出弱點並且含有可觀的金錢或智慧價值，那麼早晚一定會有人試圖偷走它。


螢幕與鍵盤都會洩密

藉由旁通道偷取資訊的概念，比個人電腦還早問世。第一次世界大戰時，參戰國的情報單位就懂得互相竊聽對方的作戰指令，當時的野戰電話只有單線，回傳的電流是利用地表傳導，間諜將地下的桿子連接到放大器上，就能竊聽對話。1960年代，美國軍事科學家開始研究電腦螢幕放射出的無線電波，並推出代號「暴風雨」（Tempest）的計畫，發展電磁波屏蔽技術，至今仍用於政府和銀行的機密電腦系統。如果沒有暴風雨屏蔽技術，當普通陰極射線管螢幕將影像一行行掃描出來時，竊密者就能在附近的房間甚至鄰近建築物內接收該螢幕的電波，重新組合出影像。


許多人認為平面顯示器普及之後，就不用在意「暴風雨問題」了，因為面板使用的電壓低，而且並不是逐行掃描影像。然而，英國劍橋大學電腦實驗室的電腦科學家孔恩（Markus G. Kuhn）於2003年指出，平面顯示器螢幕也會從影像傳輸線輻射出數位訊號，包括筆記型電腦在內，這些放射出來的訊號能在好幾公尺外被人接收並解碼。螢幕每秒更新畫面60次以上，取平均值去除圖樣的共同部份之後，留下的就是改變的畫素，以及目標顯示器上任何肉眼可判讀的資料。


孔恩表示：「30年前，這種攻擊所需的電磁波分析設備，只有軍用品供應商才有，如今在任何設備充足的電子實驗室裡都能找到。儘管這些設備仍然很笨重，不過遲早會被做成筆記型電腦擴充卡。」


另一個類似的例子是，洛桑瑞士聯邦理工學院電腦科學研究生弗亞紐（Martin Vuagnoux）和帕西尼（Sylvain Pasini）發現，利用普通的電波監控設備也能隔牆接收按鍵訊號，這種攻擊不需依賴電源振盪，所以對於用電池供電的筆記型電腦（在機場航站就會看到一大堆）也有效。


2008年10月，弗亞紐和帕西尼將這項技術拍成影片，公佈在網路上。他們正在準備一份研討會論文，描述從隔牆接收到的電波訊號推算出按鍵訊號的四種方法，距離最遠可達20公尺，其中較新的一種方式精確率達95%，孔恩解釋：「判別鍵盤哪個鍵被按下的方法，就是輪詢矩陣電路的行與列。輪詢過程會放射出微弱電波脈衝，這些脈衝的時間座標就會透露是哪個鍵被按下。」他在10年前就曾提出其中一種方法（但未曾試過）。


2008年5月，美國加州大學聖巴巴拉分校維格納（Giovanni Vigna）領導的團隊，發表了第五種不需高檔電波接收器就能側錄按鍵的方式。他們只需一部尋常的網路攝影機，以及一種叫做「拍得清」（ClearShot）的聰明軟體，就可以分析手指在鍵盤打字的視訊，運用動態追蹤演算法搭配精密的語言學模型，即可推算出最可能打出的字。維格納指出，「拍得清」推算按鍵文字的速度，大約和人類打字一樣快，只是沒那麼精確。


表面上，似乎不可能有人會讓自己的網路攝影機這樣背叛自己，其實並非如此。利用網路攝影機側錄影像，大概就像誘騙使用者去點擊網頁上看似無害的連結那樣簡單，這種手法就叫「點擊綁架」（clickjacking）。2008年10月，白帽安全公司的葛羅斯曼（Jeremiah Grossman）和安全理論公司的韓森（Robert Hansen）詳細列出他們在許多網頁瀏覽器及Adobe Flash軟體所發現的程式漏洞。惡意網站利用這些漏洞就能控制電腦的麥克風和網路攝影機，側錄音訊和視訊。一不小心點擊到惡意連結，使用者就遭到監視了。


然而，貝克斯指出：「這些偷窺方法幾乎都是擁有特殊知識與設備的專家才能進行。而反射影像偷窺法的不同之處在於，只要花500美元買個望遠鏡，幾乎人人都能做到，這幾乎不可能完全防範。」


有「眼睛」盯著你

貝克斯是德國馬克士普朗克軟體系統研究所的研究員，他在進入學術界之前服務於蘇黎世IBM實驗室，當時就已經聲名遠播。他將大部份的時間花在研究密碼學背後的數學，不過每年都會和學生進行一項純為興趣的新計畫。今年他們撰寫電腦程式解讀點陣印表機的噪音（這種吵鬧的機器目前仍常用於航空業、銀行與醫院），將錄音內容翻譯成當時印表機正在列印的頁面。基於這項研究的成功經驗，貝克斯的團隊已試著用同樣的方法來對付噴墨印表機。貝克斯說：「噴墨印表機顯然困難得多，因為它相當安靜。」


2008年某一天，貝克斯走過辦公室時發現研究生們正忙著打字，又突然想到一個點子，可做為年度興趣計畫。貝克斯說：「真想知道他們這麼拚命是在做什麼？」他注意到有位學生桌上的茶壺有一小塊藍白相間的影像，原來那是電腦螢幕的倒影，於是蹦出了一個點子。他說：「隔天我跑去休閒用品店買了一支普通的家用望遠鏡（435美元），以及一部600萬畫素的數位相機。」


這套設備效果出奇得好。望遠鏡瞄準湯匙、酒杯、壁鐘的倒影時，就能清楚讀出字型大小適中的字。幾乎任何反光表面都管用，但曲面效果最好，因為它們能呈現出更寬廣的房間區域，因此偷窺的駭客不必尋找看得見螢幕倒影的最佳視點。不幸的是，我們每位電腦使用者臉上都鑲著接近球狀、高反射度的東西：眼球。我們能從盯著螢幕看的眼球讀取數位機密嗎？

Linux date

有用的Linux date設定方式
http://www.simplehelp.net/2008/12/18/the-linux-date-command/

# date +”%d/%m/%Y”
14/12/2008

You can also use spaces and commas. Here’s a pretty fancy example:

# date +”%A,%B %d %Y”
Sunday,December 14 2008

Say you’re writing a shell script to back up the logs form you server. You want the backup script to get the logs for the day before and back them up. Here’s how you can get the previous day’s date:

# date –date=”yesterday”
Sat Dec 13 12:04:03 IST 2008

Similarly, you can also get tomorrow’s date:

# date –date=”tomorrow”
Mon Dec 15 12:04:39 IST 2008

You can get last or next month’s date:

# date –date=”last month”
Fri Nov 14 12:06:23 IST 2008

# date –date=”next month”
Wed Jan 14 12:06:25 IST 2009

Pretty cool stuff, eh! You’re just getting started. You can customize the date you want more precisely than by day and week, and get the date five days ago or seven days from now:

# date –date=”5 days ago”
Tue Dec 9 12:08:26 IST 2008

# date –date=”7 days”
Fri Dec 21 12:09:23 IST 2008

You can even ask it more difficult questions such as:

# date –date=’next Saturday’
Sat Dec 20 00:00:00 IST 2008

Or something totally in the future:

# date –date=’2 years 3 months 4 day’
Fri Mar 18 12:12:16 IST 2011

CISSP第一次考試結果

Thank you for sitting for the Certified Information Systems Security Professional (CISSP)® examination on 10/26/2008. We recognize and commend the significant personal commitment you made with regard to the testing experience, as well as the time and effort spent preparing for the exam. We are sorry, however, to inform you that you did not achieve a passing score. Your scaled score on the examination was 634. A scaled score of 700 or higher is required to achieve a PASS status on the examination.

To help you understand how you performed on the examination, the content areas that are tested in the exam are listed below. Next to each domain is a ranking number that indicates your relative performance in answering the questions for that domain. For instance, the numeral 1 indicates your highest scoring domain, and the number 10 indicates your lowest scoring domain

ACCESS CONTROL (6)
TELECOMMUNICATIONS & NETWORK SECURITY (4)
INFORMATION SECURITY & RISK MANAGEMENT (9)
APPLICATION SECURITY (8)
CRYPTOGRAPHY (3)
SECURITY ARCHITECTURE & DESIGN (7)
OPERATIONS SECURITY (2)
BUSINESS CONTINUITY & DISASTER RECOVERY PLANNING (5)
LEGAL, REGULATIONS, COMPLIANCE & INVESTIGATIONS (1)
PHYSICAL (ENVIRONMENTAL) SECURITY (10)

We hope you will reapply to take the exam again. The above performance information should guide you in your preparation efforts. If you haven't previously acquired a copy of the Study Guide or Candidate Information Bulletin (https://www.isc2.org/cgi-bin/request_studyguide.cgi?displaycategory=694), it is highly recommended that you do so. In addition,CBK® Review Seminars are also available through (ISC)² and could be effectively utilized by focusing on the course modules corresponding to those domains requiring the most improvement.

For examination retakes, you must complete and submit the examination application again. The application provides (ISC)² with contact information and requires that you demonstrate the mandatory experience. Through the application, you will also execute the Candidate Agreement, select your test site and date, and submit the appropriate fee. Visit www.isc2.org for registration information.

Thank you for your participation, and we wish you the best of luck in your future endeavors.


(ISC)² Services

[CISSP]TelecommunicationAndNetworkSecurity

nmap
ARP spoofing(ARP cache poisoning)
MAC flooding
spoofed_vpn_server


PPTP相關文章
is still vulnerable to offline password-guessing attacks from hacker tools such as L0phtcrack. At this point we still do not recommend Microsoft PPTP for applications where security is a factor.
PPTP
PPTP
PPTP
L2TP
CHAP

EAP
EAP
EAP
RADIUS

802.1x可以被session hijacking破解

ATM,Frame Relay,PSTN
IPSec-1
IPSec-2

kerberos
network attack
S-HTTP

email spoofing

DDOS攻擊類型
Tribal Flood Net
Stacheldraht
Trinoo

[CISSP]道德規範

https://www.isc2.org/cgi-bin/content.cgi?category=12
四大點的每一個小點，都必須看
會考20題左右

CISSP上課記錄-1

老師說只要讀上課的官方教材或是再買一本第三方的書籍(如ALL IN ONE)，補齊教材看不懂的
基本上就夠了，也可以去ISC網站，買Guide to the CISSP CBK，內容比上課教材更齊全，考古題只建議去這裡做http://www.cccure.org/，不過考試題目都是199幾年就有了未見更新，考試費用，分16天前報名499美金和599美金，今年4月底前報名才有499美金，之後就變為549美金，考上後，每年需繳85美金，每年需上40學分的研討會或是課程，只要有關資安，都可以自己上網填寫，官方組織並不會要求證明，換言之有交85美金，基本上就可以維持證照的有效性，3年會換一次證照，只要一年沒交85塊，3年到，證照就會失效

這張證照是以資訊主管角度來討論資訊安全，強調資安的廣度，而不是技術深度，台灣目前大約250人拿到此證照

課程內容以降低資安風險為主要考量

Availability:可用性
Confidentiality:機密性
Integrity:完整性
此三點在十大領域，每個領域都要考量到這三點

CISSP重點放在內部資安(70%)，外部資安(30%)
資安政策需要企業高層支持，資安主要用來支持業務賺錢，如果導入資安造成業務不能推動，當然要以業務為優先
導入資安，要做成本效益分析，投資80萬防止30萬損失，則不需要做，此為風險接受，會有計算題，意思就是錢要花在刀口上

風險只能降低，不可能變為0，