新 BLOG - 2008 放眼世界

前言：近期IT 至Hit 話題都算是個人資料外洩事件，天天新鮮。看來很像系統出了問題而引致事件，但總離不開是人為的錯失。不過你有沒有留意，這些問題通常都是在Google中發現，會不會是Google的搜索功能強勁了，可以入侵這些網上系統，令個人資料被Google儲起來？Google 是好人還是壞人？(一個有趣的比喻：「系統」是正版，Google 是專破「正版」的「老翻」)

這些事故，官方的解釋，通常都是說系統有問題並已修復，很小機會說是人為錯失(因為可能會被客戶追究)，證監會的事件就另外(因事情攪大，需要有人負責)。普通人聽這些解釋，都覺得可接受，不過我一聽，就非常好笑，很像一個天大的謊話。

先講下證監會的事件，官方說上載有密碼，下載沒有密碼，這位人兄的IT程度真是差得很，這些天大的錯失都可以錯，真的要送去讀書。你不如將你所有銀戶口的密碼寫在 Blog，讓天下間的人分享吧。這些根本與系統無關，就算你的系統有十萬個防火牆，三十層系統加密等等，但將一個已解密的檔案隨意放，有多好的系統也沒有用，完全是個人的知識的問題。送他去讀書吧。

又講講CSL事件，這件事與系統的設計有關了。CSL將一些客戶的資料輸出到 CSV檔，儲存到與系統相同的目錄下，而目錄並沒有保護，可以隨意列出檔案清單(Directory Listing)，這樣，在清單一按下 CSV 檔即可下載。完全犯了系統管理兩大錯誤。

一：將資料輸出到伺服器中可被讀取的位置，就算你的系統需要輸出一個暫存檔案，往後作處理，亦應將它輸出到Web Server無法讀取的目錄下，又或者已被保護/不會列出檔案清單的目錄(例如CHMOD 644/加了 index.html 或 .htaccess / .htpasswd 檔案 [Apache伺服器]等)，由於輸出的檔案，不是在你的系統程式管理下，即是在無需登入檢查之下，亦可讀取檔案。

二：輸出的檔案應該不可直接讀取，最好亦要經過系統檢查下讀取。例如寫一個 download.asp ，首先檢查是否已經登入，然後利用程式的開啟檔案程式碼，開啟檔案、讀取並輸出檔案下載，千萬不要檢查後就以 HTTP Redirect 指向真正的檔案路徑，否則黑客只要用一些可以讀取HTTP Header 的軟件、軟件防火牆，甚至瀏覽器的History，就可以知道檔案的真正位置。

另外最好有檔案下載時間限制，例如系統輸出的檔案，需要在十分鐘內下載，否則系統就會自動刪除這個檔案。這亦可以確保不會在伺服器上留有備份。

最後看看衛訊電訊的維修系統，系統將數百名用戶維修資料外洩。雖然系統的確是有密碼保護，但用了一些「低 B」的保護，就是用了JavaScript 檢查，即是你將瀏覽器的 JavaScript 關閉，就可略過檢查，繼續瀏覽資料。Google 何會理會JavaScript 呢，這個又是天大的笑話。雖然後來系統已更新了，在 ASP 中加入檢查，但在輸出的版面中，仍然只是有JavaScript檢查，即是現在仍然可以看到該個人資料。

看了這三個個案，都是人為的錯失。錯失一：電腦保安知識差！完全貪方便，就讓Google 有機可乘。錯失二：系統設計失誤。由於現在很多公司都需要電腦化，但負責設計系統的人員經驗不足，亦有些人員很像小學生交功課，草草了事，所以就產生保安漏洞。但其實，你現在使用中的電腦，亦可能有不少漏洞，例如沒有Windows Update，沒有安裝/更新防毒軟件，被安裝了不少偷聽/廣告/廣告軟件等等。不過一天沒有爆發，你就沒有理會吧。

由於電腦的普及，但市民對電腦的保安知識並無普及，有些更可以說是完全不懂，所以就很容讓電腦害死你。雖然政府已經有電腦保安事故協調中心，用作向市民推廣資訊保安的認識，但覺得力度不足到一般的小市民，通常是是在有大型事故後，才會在新聞中看到，但很快就變過眼雲煙。

上文雖然只是提了幾項系統設計問題及改善方法，但其實還有很多很基本的系統設計要點及操守，以下列舉兩三點，看看你又做了多少。

• 在設計自動登入時，不要將用戶密碼以Cookie方式儲在電腦，亦不要以Option的方法即可略過密碼檢查自動登入，例如 autologin=1; 就會自動登入。否則黑客自製一個Cookie 檔案，即可無需密碼就可自動登入。
• 不要直接將密碼直接儲存到資料庫，最好以單向加密方式儲存(即不可還原)。通常用戶都會以同一個密碼，作為多個系統的登入密碼，如果系統以Plain Text 儲存，黑客亦有機會利用這個密碼去登入或推算其他系統的登入密碼。
• 如果系統是需要透過互聯網於其他地點連線，但又只限於某些高層人士，不包括小員工，這樣就要在系統設計上加點功夫。例如設定某些戶口可以透過真 IP 登入，而其他戶口只可以經Internal IP (例：192.168.1.X)登入。又或者將系統仍然放在網內，網外無法連線，而高層人士需要透過VPN連接到系統網內，才可登入。
• 互聯網系統，最好使用SSL 加密方式連線，以確保傳送的資料已被加密；而系統傳送，盡量以 POST 方式傳送，由於用GET方式，網址上會留有填寫的資料，瀏覽器的History 就會留下該資料。

其實還有很多，你有興趣的話，真係找本書看看吧。這些都算是經驗之談吧。

最最後：你還記得這單新聞嗎？

 

 科學, 藝術/人文  回應的RSS 回應(3)  引用通告(3)   (0)
2006年03月23日