Danny Lan

Hacker 的能力絕對不應該只有黑站而已。
當我發現 2014 年 318 學運現場懂 IT 技術的人，在最短的時間內利用自己所知所學的所有資源與技巧，建立起完整的指管通情系統，不但讓內外的人可以了解狀況整合物資及意見，也扮演第四媒體的角色，讓全世界看到不同觀點的學運，努力將最真實的情況傳遞給所有人，我只有感到深深的佩服。因為這才是 Hacker 能力所應該真正發揮的地方。如果未來能將這些經驗應用在正確的地方，甚至是大型事件的支援、災難的後勤的支援，台灣也是可以很強大的。
我們這些擁有技術的人，或許在網路電腦的世界中擁有強大的力量，如何將我們所知所學的，在我們需要的時候好好發揮出來，才是一個真正的 Hacker 所必須不斷學習的事。
by Danny Lan

如何成為駭客(Hacker)？
The Jargon File 對「hacker」（駭客）一詞下了許多定義，大部份的解釋是指那些能很快適應新技術、善於解決問題、勇於克服困難的高手。但是，如果您想知道如何成為駭客，則只能找到兩個相關解釋。
程式設計專家與網路大師形成了一個無形的團體，他們有共同的文化，其歷史背景可追溯到十幾年前，那時候，分時微電腦系統（time-sharing microcomputer）剛問世，而 ARPAnet 還停留在實驗階段。
「Hacker」一詞的起源，就是此團體對於他們文化的自稱。駭客們建造了 Internet、發明了今日的 Unix 作業系統。駭客們使得 Usenet 成真，使得 Web 暢通於世界。如果您已經是這個無形團體的成員，或是您曾經贊助、而其中也有人認識您、並稱呼您是 hacker，那麼，您就是駭客。
駭客的想法不侷限於「軟體駭客」文化，也有人將駭客一詞引用到其它領域，像是電子或音樂 － 事實上，在任何科學或藝術領域的頂端，都可以發現這樣的人。即使當年未能躬逢其盛，但是在今日，認同這種進取精神的軟體高手，也可被稱為駭客。事實上，有人甚至認為「hacker」其實是一個描述某種特殊文化與人格特質的形容詞，而非某特定工作領域的高手。在這裡，我們將專注於軟體駭客的技巧與態度，以及駭客文化的傳統。
還有另一種人也自稱為駭客，但其實不是。這些人（主要是男性青少年）擅於入侵別人的電腦與電話系統。真正的駭客稱這些人為「黑客」（crackers）【譯註：「黑客」原本是中國大陸對於 hacker 的譯詞，但是我覺得這個詞用來形容 cracker 其實更貼切、更傳神。】，而且不肖與他們打交道。正牌駭客大多認為黑客們生性懶惰、不負責任、不光明 － 有能力入侵別人的電腦系統，並不會使你成為駭客；這道理就像您學會砸車，不代表您具有汽車工程師的本事。不幸的是，許多專欄作家與作者也被愚弄了，他們使用「hacker」一詞來描述「cracker」，使正牌駭客遭受不名之冤。
基本的差別在於：駭客擅於創造，黑客專搞破壞。
如果您想成為駭客，請繼續看下去。如果您想成為黑客，去看 alt.2600 新聞群組吧，但是要有準備坐牢的打算，因為當您發現您的聰明不如自己的想像時，您可能會有五到十年的牢獄之災；而這就是我要對黑客說的話。
駭客心態
駭客解決問題並創造新事物，而且他們信仰自由與無私的自願奉獻。要成為一位受認同的駭客，您的行為舉止必須展現出您具備這種心態，而且這樣的行為是發自內心，不是表面做作。
然而，如果您認為培養駭客心態，只是為了受到駭客團體的認同，那麼，您顯然是會錯意了。駭客信仰只是幫助您學習、保持動機的重要法門之一而已。如同任何有創意的藝術，成為大師最有效的方法，是仿效大師的心靈思想，不是只有理性，情緒也很重要。
或許，這首現代禪詩道出了其中精神：

在我處理的問題當中，有很多問題都是防毒軟體無法正常安裝的情形。通常我在聽了對方的敘述之後，有將近一半以上的機會我會回答可能是因為中毒的原因才會導致無法安裝。或許有些人會認為我在推卸責任，把所有的問題都推給病毒，不過在看了以下的案例之後，希望能給大家一點新的想法。
其實我不只一次遇到這樣的案例了，起初我也認為可能是防毒產品本身的問題，產品安裝到最後總是失敗，這樣的情形相信一般人都會歸咎為產品本身的問題，或是有舊版的防毒軟體未移除乾淨，相信即使是原廠的技術人員也會如此認為。因此我不斷的在各類的官方文件以及安裝紀錄中找尋答案，甚至請原廠的技術人員協助，但是都無法找出真正的原因。
在我的認知中，Windows 系統主要由 "登錄檔" 以及 "檔案" 這兩種東西組成，當我們安裝一套軟體時，會將重要的元件寫入登錄檔中，使得系統透過登錄檔來呼叫特定的檔案，達到一定的目的，所有的設定幾乎都逃不過這個原則。因此當發生任何問題時，我會認定是登錄檔被更動造成防毒軟體無法正常寫入才會發生問題，於是必須從登錄檔來著手。
假設，更動登錄檔是惡意程式的傑作，因為我相信正常的的程式不會隨便去動到不該動的東西，當然偶爾會有例外，但是那很少見的。那惡意程式會更動的地方，通常一些第三方的小工具就能夠處理。所以當我用小工具去檢查時，就看到了在登錄檔中多了以下這樣的內容：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
熟悉防毒軟體的人一看就會知道，這三行內容都是跟防毒軟體有關，而 svchost.exe 也是 Windows 重要的元件之一。也就是說，有人將防毒軟體的元件透過登錄檔指向 svchost.exe，使得防毒軟體無法正常安裝運作。另一個案例則是將這些元件指向一個惡意的程序。
當然這只是我看到的一部分，在我遇到的案例中，病毒幾乎將市面上常見的防毒軟體元件都列進來了，其中還包括一些常用的系統小工具，也就是說病毒除了不希望讓防毒軟體能正常運作外，也不希望使用者能夠透過一些小工具來修復這個問題。由此可見現在病毒的手法的確越來越多變複雜，也越來越難防護。
所以，下次若遇到無法安裝防毒軟體的情形，記得也檢查一下是否有可能中毒或曾經中過毒。雖然不是所有的問題都跟病毒有關，但是病毒已經成為面對端點問題時不得不考慮的一個重要選項。

如果我沒記錯，真正開始抓病毒，應該是 1996 年左右的事情了。當時的作業系統還是以 MS-DOS 6.22 為主，大多數的病毒都是以感染系統中的執行檔的方式來散播，通常只要有一個執行檔中毒，磁碟中的其他執行檔也會陸續中毒。有時候感染的速度非常快，只需要短短幾分鐘，一個資料夾數百個檔案就全部淪陷了。
以當時的病毒類型以及感染的方式來看，若沒有防毒軟體來將病毒程式碼與執行檔分離，可能最後只有重灌系統一途才有辦法解決。在我個人看來，早期的病毒比現在的病毒還要難纏，除了病毒小到你不容易發現外，還會常駐在記憶體中，甚至將病毒寫入磁碟的 MBR(Master Boot Record) 中，等於一開機就得中毒，也就是所謂的開機型病毒，若沒有及時處理，後果實在不堪設想。也因此，早期要找出電腦是否中毒，通常需要將整個記憶體的紀錄 Dump 下來，才有可能找到病毒的蹤跡。

隨著時代不斷的進步，網路及作業系統都有非常大的突破，早期的病毒漸漸無法在現在的環境中生存，取而代之的是利用網路的特性，對網路進行破壞的蠕蟲(Worm)。這些病毒感染的速度快，而且善用網路攻擊技巧，透過一些攻擊手法就能直接入侵並感染遠端的電腦，可以在很短的時間內讓大量網路上的電腦都受到感染。有的 Worm 還會將系統中的特定資料傳送給特定的人，使得電腦資訊受到極大的威脅，電腦中的密碼，個人資料等較機密的資料都有可能因此外洩，攻擊者也能透過這些 Worm 來控制受感染的電腦，進而攻擊更重要的目標。

從上述的演變看來，早期的病毒雖然難纏，但是至少影響的範圍小，要感染其他的系統除非透過磁碟片才有可能作得到。而現在的 Worm，直需要短短的幾個小時，可能就能讓整個網路全部癱瘓，影響範圍大，相對的這些病毒作者似乎就比較不在乎容不容易被發現了。
其實自從踏入資訊安全工作以來，至今處理過的病毒數百隻，而確定當時防毒軟體無法處理的未知病毒，也抓了近百隻。除了少數仍需要防毒廠商的協助，利用防毒軟體清除外，大多數的病毒都能夠直接手動移除。當然我的意思不是說防毒軟體可以不用裝了，我們仍然需要防毒軟體的協助，才能預防已知病毒的入侵，並且很快速的將這些病毒清除乾淨。更重要的是，了解這些病毒的特性，就能在面對這些病毒威脅時能夠輕鬆以對，而不用動不動就用重灌的手段來解決問題，甚至可以免於聽信網路上的謠傳，讓自己蒙受更大的威脅與傷害。
by Danny Lan

USB 隨身碟病毒持續在網路上發燒，而且變種越來越多，更新也越來越快，防毒軟體根本無法有效預防這類型的病毒，使用者很難保證自己是不是下一個倒楣的受害者，除了希望防毒軟體能夠提高這類病毒的偵測與清除能力，難道我們就沒有其他可以事先預防被感染這類型的方法嗎？
其實這類型的病毒都有一個特性，就是會利用 Windows 自動執行的特性感染。當有一部電腦中毒後，會在與這部電腦連接的 USB 磁碟中寫入病毒以及一個名為 autorun.inf 的檔案，並且在 autorun.inf 中寫入自動執行病毒的程序，當這個磁碟連接到另外一部電腦時, 由於 Windows 在啟動自動執行功能讀到 autorun.inf 時，會立刻執行 autorun.inf 中的內容，病毒就會藉由這個機會感染到另外一部電腦。
既然我們已經知道病毒是用這種方式進入到我們的電腦，那我們就能在不確定 USB 磁碟中是否有病毒的情況下，利用以下的小方法，抑制系統不要啟用 Windows 自動執行的功能，這樣即使是磁碟中已經感染了病毒，也不會因為 Windows 自動讀取了 autorun.inf 而將病毒帶進我們的系統了。
要抑制系統不要啟用 Windows 自動執行的功能，可以在每次要接上 USB 磁碟之前，先按住鍵盤上的 SHIFT 鍵後再接上 USB 磁碟，直到系統已經找到卸除式磁碟機之後，再放掉 SHIFT 鍵。這方法適用於 Windows XP 以後的所有 Windows 作業系統，如果還在使用 Windows 2000 或更早之前的作業系統，基本上因為系統並沒有自動執行的功能，所以不用擔心病毒會從 USB 磁碟中感染。
當然，這個方法是無法預防病毒被寫入到 USB 磁碟中的，所以要在其他電腦上使用自己的 USB 磁碟時還是要特別小心，可以在使用完畢後利用上述的方式接上乾淨的電腦，然後檢查是否有 autorun.inf 或其他可疑的檔案被寫入到 USB 磁碟，如果發現已經被寫入 autorun.inf 或其他可疑的檔案，直接手動將這些檔案刪除即可。
by Danny Lan

"要如何設定防毒軟體才能有效的防止病毒入侵?"
剛開始我還真的不知道該如何回答這樣的問題, 因為資訊安全的設定沒有一定的準則, 要看每一個人對於資訊安全的要求到什麼樣的程度, 就如在某公司設定的防火牆規則, 不一定適用於另一間公司, 防毒的規則也是一樣, 每一個人的需求不一定相同, 而且安全與方便通常是互相矛盾的, 越安全代表的是使用上越不方便, 以現在大家對於網路與電腦的依賴程度來看, 要做到完全的安全是不可能的一件事
於是現在, 每次當有人問到我這一類的問題
我就會反問 "請問您對於網路安全要求是什麼?"
我簡單舉個例子, 以現在的 USB 病毒氾濫的狀況來看, 要防止 USB 病毒最有效的方法, 大概就是不要使用 USB 隨身碟了, 而我們都知道, 防毒軟體可以防的是已知的病毒, 也就是說防毒軟體必須要更新病毒定義檔, 才能有效的對病毒定義檔中有紀錄的病毒作處理, 如果今天發現的是一隻未知病毒, 未紀錄在病毒定義檔的資料庫中, 基本上防毒軟體就沒有太大的作用, 這是現在防毒軟體最大的弱點, 也是為什麼我們一直無法真正的阻斷惡意程式入侵的原因
可是大家也知道, USB 隨身碟已經成為常見的儲存工具, 大多數的單位並不會也無法禁止使用隨身碟, 因此我們要防範 USB 病毒的另一種方法, 就是針對 USB 病毒的行為特性來攔截, 例如禁止系統去讀取 USB 隨身碟中的 autorun.inf 檔案, 就能防止病毒被寫入系統, 像這樣子的動作, 就是透過一些簡單的技術來執行特定的政策, 以有效降低中毒的威脅
但是, 如果您告訴我, 公司的政策必須讓 autorun.inf 可以被讀取, 那就等於像是您明明知道冬天洗冷水澡又吹冷氣一定會感冒生病, 可是您偏偏就是要這麼作, 然後等到真的感冒後再來找醫生問要怎樣病才會好一樣, 我相信每一位醫生最後也都只能搖頭, 然後讓您打針吃藥了
其實電腦就像我們身體一樣, 我們不敢說冬天做好保暖工作我們就一定不會生病, 但是至少生病的機會不會那麼高, 如果我們能夠培養好自己的使用習慣, 落實並確實遵守資訊安全政策, 那就不用擔心那些威脅會一天到晚找上門來了
by Danny Lan

當氣候持續暖化、資源減少，面對不斷生病的地球，渺小的我們還能做些什麼？ 
這是我每天看著地球發燒、能源漲價、北極冰塊逐漸消失這些新聞時，心裡不斷重複的聲音
或許，從看似平凡的日常生活開始著手，會是最簡單有效的好辦法。
台灣某知名咖啡連鎖店光是在2007年就用掉3,263,100個外帶紙杯；而台灣的政府機關以及學校的紙杯使用量就將近3500萬個，可以堆成2366座101大樓，所消耗的林木資源更是難以估計。 

對於愛喝咖啡的我，看到這樣的資訊，心裡面難免難過了起來。幾次坐飛機飛越台灣中央山脈，或開車經過中橫時，看著滿山的綠樹可能因為自己一念之間而逐漸消失殆盡，生為這地球的住民，真的應該多多為這個家盡點心力，即使我們經過中橫時，感覺自己是多麼的渺小。
近年來流行所謂的「隨行杯」，漂亮且獨一無二的杯身，裝著自己喜愛的飲料，實在是種有品味的享受。
其實不只是喝咖啡，即使是珍珠奶茶，不論去消費的店家是否因此而給予折扣，都可以使用自己的杯子，不但能展現個人風格及品味，又能環保愛地球。
所以，咖啡當然要喝，不過下次要喝咖啡的時候，記得帶上自己喜愛的杯子，喝一杯獨一無二的咖啡，也為地球盡一份心力。 
愛地球，從一杯咖啡開始 ...
by Danny Lan

---

世界地球日
 

Information Security雜誌訪問各行業中的資安從業人員，不論是傑出的菁英或者是剛入門的新手，他們願意與讀者分享他們最深刻的資安經驗談，這其中包含了一些趣聞、專家智慧及成功案例，可以讓安全經理在制訂資安政策，維護網路與資料安全的同時，看看其他人一路走來的點滴。
Steven Johnston，加拿大通訊隱私辦公室，資深策略研究與政策分析師
了解你的業務需求。
尚未了解公司的業務需求與營運活動前，不要輕舉妄動。 要在「第一擊」就取得優勢，這是非常有用的軍事格言，我在通訊官的訓練中學到這一件事，而且清楚地瞭解我的任務就是提供安全的通訊頻道。
安全顧問或資安從業人員經常要做一些工作：包括風險評鑑、安全架構、政策、標準，選擇適當的保護措施、教育與提升安全認知。這些事情都應該以達到營運的需求和支援營運活動為最終目的，包括促成、支援、保護、復原與回復營運所需的活動。如果對營運的需求與活動沒有適切的了解，在規劃安全計畫時很有可能會遺漏掉一些你不了解的部份，或者選擇了不適用的安全措施和控制方法。

你是哪裡人呢?
是原住民? 外省人? 客家人? 閩南人? 還是新住民?
這是我一位廣播朋友今天在節目中討論的話題
有些人分享了小時候, 僅用一句臨時學來的客家話應付祖父母的問話
也有些人分享了看到自己的外省父親, 無法回去故鄉探望親人的心情
更有許多人是各個族群的混血, 證明了族群早已經融合
我很喜歡那位主持人講的一段話~
不管你是哪裡人? 你是混哪裡的人?
今天住在這片土地上, 一定對這片土地有無法言喻的感情
不管這片土地叫什麼名字, 她都是你生長的地方
每天聽著新聞, 聽著那些已經塵封卻又一再被翻開的歷史
我們知道過去有很多的不得已, 有很多的難過, 甚至有很多的仇恨
但畢竟那些都已經過去了, 不斷的回憶過去, 並不會讓我們忘掉悲傷
我們還是居住在這個土地上, 或許我們一輩子都不會離開這裡
為何就不能讓歷史永遠是歷史呢?
或許有人會說, 我們不能忘記歷史, 我們也不是要忘記歷史
但是我們應該讓歷史成為我們的動力, 讓這片土地更美好
在國外的時候, 常常都會被人家問到是哪裡來的?
有時候還會被誤認為是中國人, 日本人, 韓國人
對他們來說, 亞洲人長得都一樣
而面對來自各個地方的人們, 他們也都會表現出不同的態度
「台灣」對當地人來說, 是個又熟悉又陌生的地方
甚至於只是個在地圖上找不到的小點
記得之前聽到馬修連恩的專訪
他用他的音樂, 紀錄了這片土地的美, 這片土地的生命力
你無法相信, 一個來自加拿大的音樂家
甚至比我們自己還了解台灣, 還要愛這美麗的台灣
如果連我們自己都無法愛這片土地, 那這世界上又會有誰來尊重我們呢?
[b]如果我們無法讓自己的心靈富強起來, 擺脫那些惱人的意識形態
那我們永遠都會是世界地圖上那個找不到的小點 [/b]
你是哪裡人呢?
我們都是台灣人!

根據第12期賽門鐵克全球網路安全威脅研究報告以及Google最新的一份研究報告顯示，全世界已有超過三百萬個網址是惡意網站，幾乎平均每一千個網站就有一個是惡意網站。因此我們發現，除了線上遊戲持續成為惡意程式的主要攻擊目標外，攻擊者已經開始利用受信任的環境(如：知名網站)來攻擊使用者。
此類型的攻擊又被網路安全專家稱做「隱蔽強迫下載」。網路攻擊者通常會建立一些自動的工具去找出網頁程式的錯誤，利用這些弱點入侵受攻擊的網站並且安裝「隱蔽強迫下載」的軟體，讓網路使用者在不知情的狀況自動安裝了惡意程式。
由於攻擊者是攻擊並竄改受使用者信任的網站，因此當使用者瀏覽此受信任網站時，惡意程式碼就會經由正常的網路連線下載至使用者的系統中，一般的防火牆、入侵防禦系統以及未取得最新病毒定義檔的防毒軟體，都會無法偵測到此類型的攻擊。部份的惡意程式還會扮演「下載者(Downloader)」，在植入使用者系統後，自動上網下載最新的病毒變種，讓使用者防不勝防。
針對此類型的攻擊，除了加強公司內部的資訊安全政策外，目前許多資訊安全廠商均開發了所謂的端點防護技術，透過加強既有的防毒與入侵偵測技術，以及預先攔截指定的異常行為等方式，來降低感染惡意程式的機會。