2009/09/28

王團研究室 初體驗

王團研究室?那幹嘛的… 可以吃嗎?

第一次聽到這名詞還以為我聽錯了,其實是風之谷裡面的王蟲



簡單說,王團研究室是電腦王雜誌的一種行銷活動。
它定期/不定期地舉辦一些資訊相關的論壇、講座、研討會等活動,
除了主辦單位電腦王與其他提供主題/贊助的協辦單位,還有一群人…
他們就叫做王團,這群人主要是雜誌讀者群中的所謂 "power user"。

因為陸續寫了幾篇跟防毒有關--正確地說是跟 Sophos 有關的文章。
有在接觸這個 (電腦雜誌、資訊媒體) 的朋友告訴我這個活動資訊

王團研究室—防毒必招-零時差守護之術
1.必修課程:認識USB病毒
2.菁英課程:主動防禦、即時截毒─防毒雙刀流
 沒有萬能的防毒─不可不知的外部救援妙招
3. OPEN BOOK隨堂測驗
4. Q&A時間
這邊不禁想問:有沒有行銷活動的名稱一定要取得這麼誇張的八卦!
我來翻譯一下:意思就是這是一個跟防毒有關的講座。主要有兩門課,
一是IT達人教你認識USB病毒;一個教你什麼是「主動防禦」的防毒機制。

主動防禦? 嗯… 聽來有點耳熟,那不就是我日前寫的《淺談HIPS》嗎?
而USB病毒則似乎是 Sophos 近來主打的噱頭,反正九月早就排滿滿的了,
也不在乎多這一攤,而且邀請對象也包括「部落客」,於是乎我就去了 XD


認識USB病毒

以往不管是教科書或是補習班,只要講到病毒免不了洋洋灑灑分了好多類。
不過在這堂課,老師僅分成三類,並統一命名為惡意軟體 (Malware, Malicious Software)
它們包括木馬程式 (Trojan)、蠕蟲 (Worm),與系統安全相關 (通常指 M$ 的各種漏洞:Q)
USB 病毒通常也以這兩種型式被儲存在 USB儲存裝置當中。

其中最常見的感染方式就是透過 Windows 的「自動播放」功能,
在 USB 儲存裝置連到電腦時,直接透過「自動播放」存取裝置,並啟動(activate)病毒程序。
這堂課學到最有用的就是「如何關閉 Windows 的自動播放功能」:
執行 > gpedit.msc > 電腦設定 > 系統管理範本 > 系統 > (右邊) 關閉自動播放
其他諸如惡名昭彰的兩隻 USB 病毒的介紹和歷史以及一些陰謀論就沒特別引起我的興趣。


主動防禦的防毒機制

這堂課就是由 Sophos 的工程師來講解了。
一開始當然免不了要介紹一下他們家的歷史… 沒說不知道,說了才曉得大有來頭。
原來現有的防毒軟體品牌雖然不下百種,但真正有核心引擎研發能力的還是在少數,
包括趨勢、諾頓、Sophos等,是屬於那少數,而其他品牌則是買他們的引擎重新包裝。

雖然沒有其他證明輔佐,不過以 1985 年創立到現在超過20年的資歷,應該是有兩下子。
也是他們自己說的,還有一點:Gmail內建的掃毒就是用 Sophos 的。
如果是真的,那我可要眼睛一亮了!

前文《淺談HIPS》中提到的「入侵防禦機制」,在 Sophos 這邊則是一個叫 Genotype 的東西。
瞇著眼睛仔細看了一下 Sophos 英國官網中的介紹
Sophos Behavioral Genotype Protection is a Host Intrusion Prevention System (HIPS) that monitors code on a computer, and blocks any that would behave maliciously before it is executed. Unlike other runtime HIPS, which monitor running code and intervene once they believe suspicious behavior has occurred, Sophos Behavioral Genotype Protection identifies and blocks malicious programs before execution.
裡面唯一的重點就是最後那兩個字,這個 Behavioral Genotype Protection也採用HIPS的機制,
且「號稱」能夠在「惡意軟體被執行之前」就攔截阻斷它們,這當然是一個拿來行銷的好字眼!
但若真的技如其名,能將惡意軟體的行為模式以「基因」的方式辨別,輔以廿多年的病毒經驗累積,
看來似乎也不是辦不到。

只是正確率有多高?誤判率有多低?難道別家一樣歷史悠久的防毒廠商就做不出來嗎?
這些問題… 恐怕就跳脫本次課程的討論範疇之外了 :P

一樣是出自課程中的資訊,現在的病毒層出不窮日新月異,甚至是最夯的社交網站也有。
雖然我也玩了包括 facebook/twitter/plurk 等東西,但還沒有遇到講師說的那種病毒型式:
首先是有在存取那些社交網站的電腦中毒,接著病毒會入侵受害者在那些社交網站上的帳號,
接著用那些帳號發佈含有病毒的訊息 ←某種程度上跟「媽~我被抓了快救我」這種詐騙電話很像。

這些社交網站或微網誌中的資訊,是比較不容易被 Google 等搜尋引擎紀錄下來的,
換句話說對防毒廠商而言,沒有辦法透過網路蒐集的方式去取得在社交網站中散佈的病毒資訊。
接下來帶來的結果,就是沒辦法更即時地更新病毒碼並有效保護可能中毒的使用者。
這時候,入侵防禦,甚至主動防禦的機制就更顯得重要。




王團活動

除了台上學到的東西,台下的活動和互動也挺有意思的。

Sophos 一開始曾推出下載病毒測試自己防毒軟體功力的活動,那些病毒當然都是四方蒐集而來,
這舉動似乎也造成了一些議題與質疑,而這件事也出現在活動中進行的小問答中。
有個小弟弟 (小學生吧!了不起國一!) 答對課堂中一個關於 Linux 的問題…
領了小獎品還不滿意,後面還追問「病毒收集的著作權疑慮」(當然他的表達能力沒那麼清楚)
最後被講師一句「沒有人敢宣稱某某病毒的著作權是他的」給打回去。
我說… 靠北那根本就是來踢館的吧 XD

另外中場進行的免費病毒檢測活動,我也把我的小狗機帶去給他們玩玩。
可能是剛換了新硬碟 (泣),所以還滿乾淨的關係吧,並沒有掃到什麼病毒,
倒是看他們用一個 USB 急救碟,直接完成開機、掃毒、解毒的動作,真是挺炫的呢!
事實上這個 USB 急救碟的介紹可以算是第三堂課。

因為我好狗運抽到那顆急救碟,而且已經有執行急救掃毒的動作過了,到時整理一下再寫一篇。
而且我的好狗運還不僅於此呢,另一個NB包也被我抽到了 XDDDDD
雖然一開始純粹是抱著湊熱鬧的心情去參加的,壓根兒沒想到抽獎這回事,
連獎項有些什麼都是到抽獎之時我才知道,但竟也讓我摸走一個NB包 (H)
這也是活動的另一個好玩之處:有好康!

以前工作時常參加公司舉辦的研討會,雖然也是見識到很多,但性質總是比較嚴肅一點,
這次參加的這個活動倒是相對有趣,唯一遺憾的就是主辦單位跟參加的人裡面都沒有㊣妹!

2009/09/26

88風災台東災區復原志工 - 重建紀事

下面簡單記錄在花東協助災後重建這一週的志工工作。
由於工作有進行分配,大家的工作內容與地點都有差異,
這邊以我自己的為主。

8/16 (日)
14:00 抵達花蓮縣青少年公益組織,進行初步介紹與講解
15:00 火車站發玉米 (吉安鄉物價平易)
16:00 志工所需 / 災區所需物資搬運與清點上車
17:00 吉安慶修院整理物資
17:30 抵達吉安志工之家
18:00 歡迎晚餐與活動簡報
20:30 『世界咖啡館』遊戲 (以腦力激盪方式討論志工活動目標)

8/17 (一)
08:00 啟程前往台東
11:00 抵達台東市靈鷲山台東中心
12:00 午餐與任務分派
14:00 抵達太麻里新東錦營造公司 (廠區,含辦公室/工寮)
15:00 抵達工作地點,分組開始協助清理 (起重機廠)
18:00 結束清理工作回到廠區清理用餐
20:30 當日心得分享

8/18 (二)
08:00 前往預拌場民房進行清理 (客廳/廚房)
12:00 午餐 /午休
13:30 於廠區進行清洗工作 (清洗從現場拿出來的機具、零件或其他物品)
17:30 晚餐
20:30 當日心得分享

8/19 (三)
07:30 民房清理 (董事長室)
11:30 午餐 /午休
13:30 廠區清洗工作
17:00 收工
19:30 台東市參加 (花青) 志工團聚餐
22:30 聚餐結束,回太麻里

8/20 (四)
07:30 廠區清洗工作
11:30 午餐 /午休
13:30 民房清理 (主臥室與其他房間)
15:30 遭鐵釘劃傷,離開現場
17:00 收工
18:30 台東志工團聚餐 (with 其他地方人士)
21:00 聚餐結束
21:30 踢翻腳指甲,隨台東市志工離開
23:00 於台東馬偕醫院急診處拔除指甲包紮
24:00 夜宿靈鷲山台東中心

8/21 (五)
09:00 協助其他物資整理
12:00 午餐 /與其他志工會合
13:30 啟程回花蓮
16:00 回到花蓮青少年公益組織 / 自由時間
18:00 晚餐
20:00 回志工之家,進行工作分享與討論
23:30 討論結束,準備夜遊

8/22 (六)
00:30 北濱玩沙灘排球
02:00 七星潭夜遊
06:00 離開七星潭 / 吃早餐
07:00 回志工之家休息
09:00 到慶修院搭棚子 / 搬義賣用木椅
12:00 花蓮市午餐
14:00 離開花蓮啟程回台北
16:00 抵達台北


2009/09/03

88風災台東災區復原志工 - 楔子

How many times would you have
to participate in a greatly meaningful activity
with a group of totally unknown people?
I've got one.



8/15號,透過噗浪與 PTT Emergency,我得知了這個訊息
就在前一天而已,我在《面對無情的災難,我們可以做什麼?》這篇,文中傳達了我的意志:
不想去有一堆媒體政客閒人進出的傷亡慘重災區;工作期間也想在會與上班族志工強碰的週末。
這個工作幾乎是最適合的,雖然一星期的長度還是著實讓我猶豫了一下…
不過回頭想過,這輩子我能有幾次機會如此付出?

一開始當然先查詢活動發起團體:花蓮縣青少年公益組織,雖然資訊很少但可以確定它是真的。
除此之外,由於號召的文章中描述很模糊,我在報名前也去信詢問了幾個問題:
1. 主要工作地點。是否集中在太麻里鄉?
2. 主要工作內容。即網頁所提的救災復原工作,是以清理為主嗎?或是搬運物資?
3. 一週的時間當中,除了農產品協銷日以外,是否有規劃工作進度?或是視現場需要分派任務?
4. 是否有與其他團體聯繫合作?(避免妨礙專業救災/重建工作)
5. 個人需準備的東西。清理工具相信當地會有準備,
是否需自備手套雨鞋雨衣等個人防護配備?
6. 看過報名表格內容了,但還是確認一下:
在重建區當地的交通與三餐是否會提供?
7. 我會從台北下去,若人數夠多是否可集中申請台鐵免費搭乘?(
因為人數的掌握在貴單位)
雖然到報名截止前還是沒收到回應,但我還是報名參加了。
事後知道,其實他們那時也是很多狀況都還不清楚。

雖然對廢話連篇的我來說很難,但要我用短短幾句話來描述這個活動,我會這麼說:
我們的主要目的為協助災後重建,但由於台東地區對這種志工救災機制並不熟稔,
所以我們另外也需要協助志工募集的工作,甚至設立一個志工招募站 (if possible)。

如同我在《面對無情的災難,我們可以做什麼?》裡面提過的921賑災經驗,
到底有哪些地區、多少人、需要什麼物資、數量多少?或需要多少人力?做什麼?
而我們手邊又有哪些物資?數量多少?有沒有車輛人力可以幫忙派送人力與物資?
這些資訊該跟誰接洽?該由誰主導?是否有權責問題?是否有時間急迫性?
這些問題也存在於我們這次的工作當中。

事實上整個志工活動有很多個面向可以分享和討論。
除了這篇楔子以外,至少還會有工作紀事救災雜記我們做了什麼等三篇。
在這邊預告,這幾篇最晚在國慶日前會完成,其實它已經拖夠久的了…
(11/1 13:50 補充自婊:阿是要在哪一國的國慶日前完成啊…)
(11/1 23:32 補充《我們做了什麼》)

而且把這些給寫出來,對我來說是一種責任。
完成的會陸續在此放上連結。



2009/09/02

淺談HIPS

從太麻里回來以後隔一週馬上開工,中間這一個星期完全處於HP紅血狀態。
除了養大小傷以外,腦袋的活力也趨近於零,乃至於救災心得完全動不了。
現在已經開工了,大小傷慢慢復原,腦袋也慢慢開始動了起來…
想起還有一篇早就醞釀過也架構得差不多的科技文,就在這邊先充個九月首po吧:P


HIPS

話說之前用的防毒軟體:Sophos,其中有一項賣點叫 HIPS (Host Intrusion Prevention System)

An Intrusion prevention system (IPS) is a network security device that monitors network and/or system activities for malicious or unwanted behavior and can react, in real-time, to block or prevent those activities. Network-based IPS, for example, will operate in-line to monitor all network traffic for malicious code or attacks . When an attack is detected, it can drop the offending packets while still allowing all other traffic to pass. Intrusion prevention technology is considered by some to be an extension of intrusion detection (IDS) technology.
要說 HIPS 得先說什麼是IPS。取自維基百科的解釋如上,簡單說 IPS 就是入侵防禦系統
IPS 是來自於 IDS (Intrusion Detection System, 入侵偵測系統) 的延伸,均屬網路安全的一環。
這樣的系統會監控網路,並偵測可能的惡意活動乃至攻擊。IPS 則更進一步地預防 (Prevent)。

由於是預防而不是阻擋,所以它與我們平常認知的防火牆有一點不一樣。
一般防火牆以「開放」與「禁止」的通道來攔截和放行網路上來往的各種訊息封包。
IPS 則更聰明。透過 IDS 偵測之後,可以即時反應,並決定每一個訊息封包該放還是該檔。

假設防火牆是機場海關,它可能會開放十個出口,拿北美/EU護照的走 1-5 號直接放行;
拿南美、東南亞國家護照的走 6-8 號檢查盤問;其他禁止進入的國籍則走 9 號辦理遣返;
特定國籍在被遣送前,得先到 10 號壓指印做紀錄以確保他們不會危害X國國家利益
IPS 夠聰明的話,海關出口大概就會有一隻機器人,掃一下你的瞳孔就知道,
該引導你往那個出口走 (例如A是生門,B是死門,C是求生不得求死不能 XD)



會想到要寫 HIPS,是因為在 survey 防毒的時候,看到這一個活動
那好像是 Sophos 辦的一個「試膽活動」(?),反正就是提供一堆病毒,
讓你下載回去試試看自己的防毒軟體夠不夠力!

01的討論中提到了「還沒下載或下載到一半就被防毒軟體給攔截了」這件事。
後來才知道這也是與 HIPS 相關的議題之一,再輔以 Sophos 官方的說法
主機入侵防禦系統(HIPS, Host Intrusion Prevention System)是一種針對未知病毒及可疑行為的新式安全防禦技術,主要是為防止未知弱點在完全無解毒碼情況下遭受零時差攻擊,因為再快的病毒碼更新速度,永遠和病毒第一次被發現時有一段時間差,再加上病毒碼也有更新時間差,所以在這段時間內,只靠病毒碼的比對,會讓系統處於高風險狀態。

What Is the 'HOST' ?

到這兒總算大概知道 HIPS 在秋什麼了 :P
可是那個 host 又代表什麼意思呢?同樣來自維基百科的解釋:
投入使用的入侵預防系統按其用途進一步可以劃分為單機入侵預防系統(HIPS: Hostbased Intrusion Prevension System)和網路入侵預防系統(NIPS: Network Intrusion Prevension System)兩種類型。

網路入侵預防系統作為網路之間或網路組成部分之間的獨立的硬體設備,切斷交通,對過往包裹進行深層檢查,然後確定是否放行。網路入侵預防系統藉助病毒特徵和協議異常,阻止有害代碼傳播。有一些網路入侵預防系統還能夠跟蹤和標記對可疑代碼的回答,然後,看誰使用這些回答信息而請求連接,這樣就能更好地確認發生了入侵事件。

根據有害代碼通常潛伏於正常程序代碼中間、伺機運行的特點,單機入侵預防系統監視正常程序,比如Internet Explorer,Outlook,等等,在它們(確切地說,其實是它們所夾帶的有害代碼)向作業系統發出請求指令,改寫系統文件,建立對外連接時,進行有效阻止,從而保護網路中重要的單個機器設備,如伺服器、路由器、防火牆等等。這時,它不需要求助於已知病毒特徵和事先設定的安全規則。總地來說,單機入侵預防系統能使大部分鑽空子行為無法得逞。我們知道,入侵是指有害代碼首先到達目的地,然後幹壞事。然而,即使它僥倖突破防火牆等各種防線,得以到達目的地,但是由於有了入侵預防系統,有害代碼最終還是無法起到它要起的作用,不能達到它要達到的目的。
當NIPS所監控的是其他網路設備 (router, bridge, gateway... etc.) 時,HIPS 就是監控 host。
所以這個 host就是「安裝/設定了 HIPS 系統的機器」,也就是你我所使用的電腦了。
以我為例,host 就是我的電腦,而提供 IPS 機制的就是 Sophos 了!


Avoid From the Latest Threats

包括維基百科與 Sophos 官網另外也提到了 HIPS 的一個特點:不怕新病毒。
這麼說或許有點誇大,但由於 HIPS 透過行為監控來揪出可能的惡意程序,
在某種程度上的確是不用擔心層出不窮的新病毒 /木馬 /廣告 /惡意程式,
也不需花時間和成本不斷更新遇到最新型病毒也沒輒的病毒碼。

不過它所帶來的另一個困擾,也是前文舉出各家防毒軟體時提過的:敏感
以我使用 Sophos 為例,首先遇到的就是只要在安裝完以後,
啟動任何一個會存取網路的程式,都會跳出寫著一堆有看沒有懂的文字的警告視窗。



但好處也是對我這種使用者來說,可以自己決定是否放行任何警告。
我這種使用者就是「不算 Power User,但具備簡單資訊相關知識」的人。
這邊剛好呼應到此篇所說的一些觀念:
…當某進程或者程序試圖偷偷執行的時候總是會調用系統的一些其他的資源,這個行為就會被hips檢測到然後彈出警告詢問用戶是否允許執行,用戶根據自己的經驗來判斷該行為是否正確安全,是則放行允許執行,否就不使之執行,一般來說,在用戶擁有足夠進程相關方面知識的情況下,裝上一個hips軟件能非常有效的防止木馬或者病毒的偷偷執行
上面說的是單獨使用 HIPS 系統,那可能真的需要一些更進階點的知識。
而像我這樣的 USER,使用像 Sophos 這種具備 HIPS 機制的防毒軟體,則是另一種搭配!
真是有種騎士拿長矛,警察拿手槍的感想 -- 什麼人用什麼武器啊!
其實真正的感想是幸好我當初沒有去念 Royal Hollaway 念資訊安全。


以上資訊為網路蒐集整理而來,如有錯誤煩請指正 :)

Reference:
Wikipedia (中文, 英文)
Sophos Lab Taiwan
瞭解何謂主機入侵防禦系統(HIPS)? by 甲胖



Google 搜尋 HIPS 的第一張圖竟是美臀㊣妹Shakira

hip (n.)
1. 臀部,屁股;髖部;髖關節[C]