Danny Lan

如何成為駭客(Hacker)？
The Jargon File 對「hacker」（駭客）一詞下了許多定義，大部份的解釋是指那些能很快適應新技術、善於解決問題、勇於克服困難的高手。但是，如果您想知道如何成為駭客，則只能找到兩個相關解釋。
程式設計專家與網路大師形成了一個無形的團體，他們有共同的文化，其歷史背景可追溯到十幾年前，那時候，分時微電腦系統（time-sharing microcomputer）剛問世，而 ARPAnet 還停留在實驗階段。
「Hacker」一詞的起源，就是此團體對於他們文化的自稱。駭客們建造了 Internet、發明了今日的 Unix 作業系統。駭客們使得 Usenet 成真，使得 Web 暢通於世界。如果您已經是這個無形團體的成員，或是您曾經贊助、而其中也有人認識您、並稱呼您是 hacker，那麼，您就是駭客。
駭客的想法不侷限於「軟體駭客」文化，也有人將駭客一詞引用到其它領域，像是電子或音樂 － 事實上，在任何科學或藝術領域的頂端，都可以發現這樣的人。即使當年未能躬逢其盛，但是在今日，認同這種進取精神的軟體高手，也可被稱為駭客。事實上，有人甚至認為「hacker」其實是一個描述某種特殊文化與人格特質的形容詞，而非某特定工作領域的高手。在這裡，我們將專注於軟體駭客的技巧與態度，以及駭客文化的傳統。
還有另一種人也自稱為駭客，但其實不是。這些人（主要是男性青少年）擅於入侵別人的電腦與電話系統。真正的駭客稱這些人為「黑客」（crackers）【譯註：「黑客」原本是中國大陸對於 hacker 的譯詞，但是我覺得這個詞用來形容 cracker 其實更貼切、更傳神。】，而且不肖與他們打交道。正牌駭客大多認為黑客們生性懶惰、不負責任、不光明 － 有能力入侵別人的電腦系統，並不會使你成為駭客；這道理就像您學會砸車，不代表您具有汽車工程師的本事。不幸的是，許多專欄作家與作者也被愚弄了，他們使用「hacker」一詞來描述「cracker」，使正牌駭客遭受不名之冤。
基本的差別在於：駭客擅於創造，黑客專搞破壞。
如果您想成為駭客，請繼續看下去。如果您想成為黑客，去看 alt.2600 新聞群組吧，但是要有準備坐牢的打算，因為當您發現您的聰明不如自己的想像時，您可能會有五到十年的牢獄之災；而這就是我要對黑客說的話。
駭客心態
駭客解決問題並創造新事物，而且他們信仰自由與無私的自願奉獻。要成為一位受認同的駭客，您的行為舉止必須展現出您具備這種心態，而且這樣的行為是發自內心，不是表面做作。
然而，如果您認為培養駭客心態，只是為了受到駭客團體的認同，那麼，您顯然是會錯意了。駭客信仰只是幫助您學習、保持動機的重要法門之一而已。如同任何有創意的藝術，成為大師最有效的方法，是仿效大師的心靈思想，不是只有理性，情緒也很重要。
或許，這首現代禪詩道出了其中精神：

在我處理的問題當中，有很多問題都是防毒軟體無法正常安裝的情形。通常我在聽了對方的敘述之後，有將近一半以上的機會我會回答可能是因為中毒的原因才會導致無法安裝。或許有些人會認為我在推卸責任，把所有的問題都推給病毒，不過在看了以下的案例之後，希望能給大家一點新的想法。
其實我不只一次遇到這樣的案例了，起初我也認為可能是防毒產品本身的問題，產品安裝到最後總是失敗，這樣的情形相信一般人都會歸咎為產品本身的問題，或是有舊版的防毒軟體未移除乾淨，相信即使是原廠的技術人員也會如此認為。因此我不斷的在各類的官方文件以及安裝紀錄中找尋答案，甚至請原廠的技術人員協助，但是都無法找出真正的原因。
在我的認知中，Windows 系統主要由 "登錄檔" 以及 "檔案" 這兩種東西組成，當我們安裝一套軟體時，會將重要的元件寫入登錄檔中，使得系統透過登錄檔來呼叫特定的檔案，達到一定的目的，所有的設定幾乎都逃不過這個原則。因此當發生任何問題時，我會認定是登錄檔被更動造成防毒軟體無法正常寫入才會發生問題，於是必須從登錄檔來著手。
假設，更動登錄檔是惡意程式的傑作，因為我相信正常的的程式不會隨便去動到不該動的東西，當然偶爾會有例外，但是那很少見的。那惡意程式會更動的地方，通常一些第三方的小工具就能夠處理。所以當我用小工具去檢查時，就看到了在登錄檔中多了以下這樣的內容：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
熟悉防毒軟體的人一看就會知道，這三行內容都是跟防毒軟體有關，而 svchost.exe 也是 Windows 重要的元件之一。也就是說，有人將防毒軟體的元件透過登錄檔指向 svchost.exe，使得防毒軟體無法正常安裝運作。另一個案例則是將這些元件指向一個惡意的程序。
當然這只是我看到的一部分，在我遇到的案例中，病毒幾乎將市面上常見的防毒軟體元件都列進來了，其中還包括一些常用的系統小工具，也就是說病毒除了不希望讓防毒軟體能正常運作外，也不希望使用者能夠透過一些小工具來修復這個問題。由此可見現在病毒的手法的確越來越多變複雜，也越來越難防護。
所以，下次若遇到無法安裝防毒軟體的情形，記得也檢查一下是否有可能中毒或曾經中過毒。雖然不是所有的問題都跟病毒有關，但是病毒已經成為面對端點問題時不得不考慮的一個重要選項。

如果我沒記錯，真正開始抓病毒，應該是 1996 年左右的事情了。當時的作業系統還是以 MS-DOS 6.22 為主，大多數的病毒都是以感染系統中的執行檔的方式來散播，通常只要有一個執行檔中毒，磁碟中的其他執行檔也會陸續中毒。有時候感染的速度非常快，只需要短短幾分鐘，一個資料夾數百個檔案就全部淪陷了。
以當時的病毒類型以及感染的方式來看，若沒有防毒軟體來將病毒程式碼與執行檔分離，可能最後只有重灌系統一途才有辦法解決。在我個人看來，早期的病毒比現在的病毒還要難纏，除了病毒小到你不容易發現外，還會常駐在記憶體中，甚至將病毒寫入磁碟的 MBR(Master Boot Record) 中，等於一開機就得中毒，也就是所謂的開機型病毒，若沒有及時處理，後果實在不堪設想。也因此，早期要找出電腦是否中毒，通常需要將整個記憶體的紀錄 Dump 下來，才有可能找到病毒的蹤跡。

隨著時代不斷的進步，網路及作業系統都有非常大的突破，早期的病毒漸漸無法在現在的環境中生存，取而代之的是利用網路的特性，對網路進行破壞的蠕蟲(Worm)。這些病毒感染的速度快，而且善用網路攻擊技巧，透過一些攻擊手法就能直接入侵並感染遠端的電腦，可以在很短的時間內讓大量網路上的電腦都受到感染。有的 Worm 還會將系統中的特定資料傳送給特定的人，使得電腦資訊受到極大的威脅，電腦中的密碼，個人資料等較機密的資料都有可能因此外洩，攻擊者也能透過這些 Worm 來控制受感染的電腦，進而攻擊更重要的目標。

從上述的演變看來，早期的病毒雖然難纏，但是至少影響的範圍小，要感染其他的系統除非透過磁碟片才有可能作得到。而現在的 Worm，直需要短短的幾個小時，可能就能讓整個網路全部癱瘓，影響範圍大，相對的這些病毒作者似乎就比較不在乎容不容易被發現了。
其實自從踏入資訊安全工作以來，至今處理過的病毒數百隻，而確定當時防毒軟體無法處理的未知病毒，也抓了近百隻。除了少數仍需要防毒廠商的協助，利用防毒軟體清除外，大多數的病毒都能夠直接手動移除。當然我的意思不是說防毒軟體可以不用裝了，我們仍然需要防毒軟體的協助，才能預防已知病毒的入侵，並且很快速的將這些病毒清除乾淨。更重要的是，了解這些病毒的特性，就能在面對這些病毒威脅時能夠輕鬆以對，而不用動不動就用重灌的手段來解決問題，甚至可以免於聽信網路上的謠傳，讓自己蒙受更大的威脅與傷害。
by Danny Lan

USB 隨身碟病毒持續在網路上發燒，而且變種越來越多，更新也越來越快，防毒軟體根本無法有效預防這類型的病毒，使用者很難保證自己是不是下一個倒楣的受害者，除了希望防毒軟體能夠提高這類病毒的偵測與清除能力，難道我們就沒有其他可以事先預防被感染這類型的方法嗎？
其實這類型的病毒都有一個特性，就是會利用 Windows 自動執行的特性感染。當有一部電腦中毒後，會在與這部電腦連接的 USB 磁碟中寫入病毒以及一個名為 autorun.inf 的檔案，並且在 autorun.inf 中寫入自動執行病毒的程序，當這個磁碟連接到另外一部電腦時, 由於 Windows 在啟動自動執行功能讀到 autorun.inf 時，會立刻執行 autorun.inf 中的內容，病毒就會藉由這個機會感染到另外一部電腦。
既然我們已經知道病毒是用這種方式進入到我們的電腦，那我們就能在不確定 USB 磁碟中是否有病毒的情況下，利用以下的小方法，抑制系統不要啟用 Windows 自動執行的功能，這樣即使是磁碟中已經感染了病毒，也不會因為 Windows 自動讀取了 autorun.inf 而將病毒帶進我們的系統了。
要抑制系統不要啟用 Windows 自動執行的功能，可以在每次要接上 USB 磁碟之前，先按住鍵盤上的 SHIFT 鍵後再接上 USB 磁碟，直到系統已經找到卸除式磁碟機之後，再放掉 SHIFT 鍵。這方法適用於 Windows XP 以後的所有 Windows 作業系統，如果還在使用 Windows 2000 或更早之前的作業系統，基本上因為系統並沒有自動執行的功能，所以不用擔心病毒會從 USB 磁碟中感染。
當然，這個方法是無法預防病毒被寫入到 USB 磁碟中的，所以要在其他電腦上使用自己的 USB 磁碟時還是要特別小心，可以在使用完畢後利用上述的方式接上乾淨的電腦，然後檢查是否有 autorun.inf 或其他可疑的檔案被寫入到 USB 磁碟，如果發現已經被寫入 autorun.inf 或其他可疑的檔案，直接手動將這些檔案刪除即可。
by Danny Lan

"要如何設定防毒軟體才能有效的防止病毒入侵?"
剛開始我還真的不知道該如何回答這樣的問題, 因為資訊安全的設定沒有一定的準則, 要看每一個人對於資訊安全的要求到什麼樣的程度, 就如在某公司設定的防火牆規則, 不一定適用於另一間公司, 防毒的規則也是一樣, 每一個人的需求不一定相同, 而且安全與方便通常是互相矛盾的, 越安全代表的是使用上越不方便, 以現在大家對於網路與電腦的依賴程度來看, 要做到完全的安全是不可能的一件事
於是現在, 每次當有人問到我這一類的問題
我就會反問 "請問您對於網路安全要求是什麼?"
我簡單舉個例子, 以現在的 USB 病毒氾濫的狀況來看, 要防止 USB 病毒最有效的方法, 大概就是不要使用 USB 隨身碟了, 而我們都知道, 防毒軟體可以防的是已知的病毒, 也就是說防毒軟體必須要更新病毒定義檔, 才能有效的對病毒定義檔中有紀錄的病毒作處理, 如果今天發現的是一隻未知病毒, 未紀錄在病毒定義檔的資料庫中, 基本上防毒軟體就沒有太大的作用, 這是現在防毒軟體最大的弱點, 也是為什麼我們一直無法真正的阻斷惡意程式入侵的原因
可是大家也知道, USB 隨身碟已經成為常見的儲存工具, 大多數的單位並不會也無法禁止使用隨身碟, 因此我們要防範 USB 病毒的另一種方法, 就是針對 USB 病毒的行為特性來攔截, 例如禁止系統去讀取 USB 隨身碟中的 autorun.inf 檔案, 就能防止病毒被寫入系統, 像這樣子的動作, 就是透過一些簡單的技術來執行特定的政策, 以有效降低中毒的威脅
但是, 如果您告訴我, 公司的政策必須讓 autorun.inf 可以被讀取, 那就等於像是您明明知道冬天洗冷水澡又吹冷氣一定會感冒生病, 可是您偏偏就是要這麼作, 然後等到真的感冒後再來找醫生問要怎樣病才會好一樣, 我相信每一位醫生最後也都只能搖頭, 然後讓您打針吃藥了
其實電腦就像我們身體一樣, 我們不敢說冬天做好保暖工作我們就一定不會生病, 但是至少生病的機會不會那麼高, 如果我們能夠培養好自己的使用習慣, 落實並確實遵守資訊安全政策, 那就不用擔心那些威脅會一天到晚找上門來了
by Danny Lan

Information Security雜誌訪問各行業中的資安從業人員，不論是傑出的菁英或者是剛入門的新手，他們願意與讀者分享他們最深刻的資安經驗談，這其中包含了一些趣聞、專家智慧及成功案例，可以讓安全經理在制訂資安政策，維護網路與資料安全的同時，看看其他人一路走來的點滴。
Steven Johnston，加拿大通訊隱私辦公室，資深策略研究與政策分析師
了解你的業務需求。
尚未了解公司的業務需求與營運活動前，不要輕舉妄動。 要在「第一擊」就取得優勢，這是非常有用的軍事格言，我在通訊官的訓練中學到這一件事，而且清楚地瞭解我的任務就是提供安全的通訊頻道。
安全顧問或資安從業人員經常要做一些工作：包括風險評鑑、安全架構、政策、標準，選擇適當的保護措施、教育與提升安全認知。這些事情都應該以達到營運的需求和支援營運活動為最終目的，包括促成、支援、保護、復原與回復營運所需的活動。如果對營運的需求與活動沒有適切的了解，在規劃安全計畫時很有可能會遺漏掉一些你不了解的部份，或者選擇了不適用的安全措施和控制方法。

根據第12期賽門鐵克全球網路安全威脅研究報告以及Google最新的一份研究報告顯示，全世界已有超過三百萬個網址是惡意網站，幾乎平均每一千個網站就有一個是惡意網站。因此我們發現，除了線上遊戲持續成為惡意程式的主要攻擊目標外，攻擊者已經開始利用受信任的環境(如：知名網站)來攻擊使用者。
此類型的攻擊又被網路安全專家稱做「隱蔽強迫下載」。網路攻擊者通常會建立一些自動的工具去找出網頁程式的錯誤，利用這些弱點入侵受攻擊的網站並且安裝「隱蔽強迫下載」的軟體，讓網路使用者在不知情的狀況自動安裝了惡意程式。
由於攻擊者是攻擊並竄改受使用者信任的網站，因此當使用者瀏覽此受信任網站時，惡意程式碼就會經由正常的網路連線下載至使用者的系統中，一般的防火牆、入侵防禦系統以及未取得最新病毒定義檔的防毒軟體，都會無法偵測到此類型的攻擊。部份的惡意程式還會扮演「下載者(Downloader)」，在植入使用者系統後，自動上網下載最新的病毒變種，讓使用者防不勝防。
針對此類型的攻擊，除了加強公司內部的資訊安全政策外，目前許多資訊安全廠商均開發了所謂的端點防護技術，透過加強既有的防毒與入侵偵測技術，以及預先攔截指定的異常行為等方式，來降低感染惡意程式的機會。

前一陣子大家深受 USB 隨身碟病毒的困擾
尤其這病毒的變種非常的多, 不但防毒軟體不容易偵測
而且還會修改機碼, 讓大家無法將病毒檔案找出來
以下一個很簡單的小方法, 可以很輕易的幫助大家將機碼修復
讓系統可以正常顯示系統檔及隱藏檔, 大家可以參考看看