作者：趨勢科技 軟體架構工程師 Justin Foster

(趨勢專家看雲端運算 專欄，每週一刊出）

對於網路安全而言，雲端運算的可攜性和互用性似乎不太緊要，但避免vendor lock-in供應商綁定[1] 卻比提供更有競爭力的價格或更好的服務更為重要。依賴單一供應商有其內在風險，特別是在服務和資料的可靠性方面。

有史以來對於可攜性和互用性方面的需求往往通過標準化來解決。標準化的軌距使得洲際旅行成為可能，正如TCP/IP開啟全球通訊的歷史一樣。因此，許多人看到雲端運算，認為制定標準之後，vendor lock-in供應商綁定就能避免，這種想法並不奇怪。問題是我們真的需要被廣泛採用的標準嗎？雖然不理想，但是資源分享仍然可以通過提取或中間人來實現，而可攜性也能在一個擁有許多標準的環境裏通過資料轉換來實現。

當在“基礎設施即服務”（IaaS）裏談到互用性和可攜性時有兩個重要問題。一個是虛擬機器範本（或影像）的格式，它描述的是所需的虛擬資源的磁片和配置。這通常是由其潛在的虛擬化方案所控制，一些供應商已經創造出定制模式（比如，Amazon Machine Image）。開放虛擬化模式Open Virtualization Format (OVF)原意是為了統一標準指定的，但是公共供應商仍可能繼續以各種理由推出他們自己的格式。OVF無法成為通用標準，退而求其次，希望通過格式的轉換在實際應用上達成可移植。作為權宜之計，一些服務供應商開始採用多樣的格式在避免格式改變的費用，同樣的，一些設備支援HDDVD 和Blu Ray，直到打贏“標準”仗。

另一個挑戰是現有的API管理對於上傳、下載、偵測、配置和執行動作（比如硬碟啟動新任務）的不兼容。每個供應商有自己的API,這阻止協同軟體與多個服務供應商共同工作。要解決這一點，有很多方式。有些公司像Open Grid Forum正試圖設立一個標準，Open Cloud Computing Interface (OCCI)。其他的，像Eucalyptus，效仿Amazon Web Services interface將其作為一個事實的標準。VMware已經開發出自己的vCloud API，提交給Distributed Management Task Force (DMTF)，將其作為一個開放的標準。vCloud API將為基於VMware的服務提供商（今後或許還有其他服務商）提供互相協作的基礎，但肯定不是那些已經獨立的玩家。大多數提供商放棄官方的標準因為他們想要（並需要）在這個瞬息萬變的市場快速行動，而標準向來不是以速度著稱的。然而，缺乏行業廣泛應用的單個API並不一定會阻止服務的可攜性和互用性。

 Facebook Fired 顧名思義就是因 Facebook 而遭開除，這是網路俚語，代表因為 Facebook 上所發表的內容而遭到開除。

糟糕!講老闆壞話，被捉包！ 如果不確定粉絲團的真實身份，就不要在這裡講別人的壞話了。像這位女士 上網吐槽  ，卻被公司發現她在病假期間仍活躍於Facebook，公司將她開除，顯示已經有企業開始透過部落格和社群網站「觀察」員工。所以 千萬不要在Facebook講老闆壞話

 圖片來源：http://chinese.winandmac.com/humor/dont-talk-about-boss-in-facebook/

為了五斗米，大家要當心阿！將近半數的美國雇主會利用Facebook等社群網站，過濾謀職者的背景資...45%的受訪雇主表示，會利用社群網站查核應徵者的背景，去年調查時的比率只有22%。

提供兩個案例，看看微網誌或社交網站為何能讓人丟掉工作。

文末並提供其他案例連結。

案例一：

銀行實習行員家裡有急事請假，當天卻在 Facebook 張貼萬聖節派對照片

除此之外，社交網路也可能讓年輕人遭到開除。有一則故事如下：一位名叫 Kevin Colvin 的銀行實習行員 (這位老兄現在已經是家喻戶曉) 在發出電子郵件跟老闆說明因為家有急事而必須請假之後，竟然笨到在 Facebook 上張貼他在萬聖節派對上的相片，而相片的拍照時間正好是請假當天。由於像 Kevin 這樣的事件屢見不鮮，因此網路上現在流傳一個用詞叫做 Facebook Fired，意思是因為 Facebook 而遭開除。

校園徵才人員和企業雇主是否真的會上 MySpace 和 Facebook 調查一下應徵者的資料？ 趨勢科技資深分析師Rik Ferguson 說：「這是當然的。這些年輕人絲毫沒有想到他們的訊息一旦張貼之後，就完全脫離了自己的掌控。」即使他們將 Facebook 上的頁面刪除，這些頁面都已經被 Google 之類的搜尋引擎網羅，而且已經散播到網際網路的其他角落。不相信嗎？ Ferguson 說：「千萬別不信邪， 若不相信，可以到一個叫做 Tweleted.com 的網站上看看，這個網站專門讓人搜尋已經刪除的 Twitter 訊息。任何張貼在網際網路的訊息，在刪除之後都還能存活好長一段時間。」

趨勢科技 資深分析師 作者：Rik Ferguson

昨天，一位朋友憂心忡忡地和我聯絡，因為她的銀行帳戶裡有一大筆錢被轉到幾百英哩外的一個陌生的帳戶。前一天晚上，她還在家中透過網路銀行做了幾筆線上轉帳交易，一切看來都很正常。沒想到，隔天接到電話才知道某筆轉帳沒有到對方手中，她立刻從公司的電腦上網查了一下銀行帳戶，這時才赫然發現自己被偷偷匯走 5,000 歐元而渾然不知。

銀行對帳單顯示的非法匯款記錄

當然，這起案件已經通知了銀行和警方。銀行關閉了該帳戶的線上交易功能，並且著手追查這筆金錢的流向，而我和我朋友則開始追查她電腦上到底暗藏了什麼惡意程式。

如果您有在注意惡意程式的動向，或許您已經聽過一種「新一代」的銀行木馬程式，叫做：Bebloh 或 URLZone，這種惡意程式會盡可能竊取您帳戶上的資金，但卻不會超出您帳戶的透支額度，以確保轉帳順利完成。

當天稍晚，德國也報導了該起事件的後續故事。一位婦女在俄羅斯的聊天室遇到一些人，這些人提供 500 歐元的報酬請這位婦女幫忙轉帳匯款。其中一部分的款項要匯到土耳其的帳戶，另一部份要匯到俄羅斯的帳戶。這個洗錢帳戶是該婦女的兒子所有，該婦女將兒子的帳戶資料給了俄羅斯的犯罪集團，原因是「她兒子的帳戶有一定的帳戶透支額度。」 在前述非法轉帳交易得手之後的早上，歹徒每十分鐘就利用電話催促這位婦女將錢匯出。由於帳戶並非她本人所有，因此她必須到學校去接她兒子，然後再一起去銀行。當她們到達銀行之後，受害人早已通報這起竊盜事件，因此銀行攔截了這筆匯款。當該婦女還在銀行的時候，又接到歹徒的電話。就在銀行告訴該婦女這起竊盜事件，然後該婦女轉述給歹徒之後，歹徒就再也沒有來電。接下來，該婦女自行到警察局報案。想到自己因為一時天真而與網路犯罪集團擦身而過，心中感到無比惶恐也感到丟臉。結果，受害人在案件調查結束之前，都無法動用被盜匯的款項，而一些原本設定銀行帳戶直接扣繳的款項也無法支付。  

熟悉防毒產業的人都不陌生Virustotal 這個免費檔案掃瞄服務，現在出現了競爭對手，而且服務對象是駭客。這個俄國網站目前正在地下論壇大肆推銷其最新的服務。該網站提供了 18 種每日更新的知名防毒軟體掃瞄服務，駭客可以在發佈攻擊前將檔案經由這個非法機構「QA品管」檢測，一旦遭到防毒軟體偵測，他們就可以收到通知並且立即修改，如此就能繼續躲避偵測。該項服務是收費的，不過對地下經濟動輒”量販”收費的行情來看，應該是九牛一毛。( 請參考：Hotmail 量販價：10,000 個帳號密碼售價90 塊美元)

---------------------------------------------------------------------------------------------

助長網路犯罪的服務

趨勢科技 資深安全分析師 ：Rik Ferguson

新型惡意程式掃瞄服務再次證明地下犯罪經濟體系的蓬勃發展。

知名的 Virustotal 自動化惡意程式掃瞄服務最近出現了一個競爭敵手，但是這個俄國惡意程式掃瞄服務的對象卻是拼命想要躲避病毒碼特徵比對偵測的網路駭客。

Virustotal 是一項得獎且完全合法的服務，專門讓一般使用者上傳檔案，然後使用各大資訊安全廠商的最新產品來掃瞄上傳的檔案，服務完全免費。由於其經營方式完全合法，代表他們其實也和資訊安全廠商合作，將使用者上傳的樣本提供給廠商做為改進產品偵測率的參考。很顯然地，對於處心積慮不斷製造新式惡意程式以躲避偵測的網路駭客來說，顯然不願見到這項服務。

因此，「The Anti Virustotal」(反 VirusTotal) 網站便應運而生，為免助長其氣焰，此處不公開其URL。這個俄國網站目前正在地下論壇大肆推銷其最新的服務。該網站提供了 18 種每日更新的知名防毒軟體掃瞄服務，使用者可以將檔案直接上傳，或者提供 URL 供程式抓取，掃瞄程序可安排每隔 1、6、12 或 24 小時一次。訂閱這項服務的駭客可以透過 Jabber 或 ICQ 收到結果通知，也就是說，只要駭客的惡意程式一旦遭到防毒軟體偵測，他們就可以收到通知並且立即修改，如此就能繼續躲避偵測。這項服務並非免費，而且其定價結構顯然鼓勵使用者不斷大量使用該項服務。

   【2009年11月23 日─台北訊】讓全台3C玩家引頸期盼的「2009資訊月」活動即將於11/28(六) 熱烈登場，全球網路安全領導廠商趨勢科技今年資訊月以「邁向智慧生活」為主題，呼應當前網路應用的多元風貌，而搭載全球首創主動式雲端截毒服務 SPN( Smart Protection Network)的趨勢科技新一代消費端產品「PC-cillin 2010」，即是最能符合智慧生活應用的防毒軟體！本次資訊月活動，特別回饋廣大消費者祭出最實質的優惠方案：新購用戶隨貨附贈獨家防毒USB隨身碟，升級會員也將享有超低折扣續約價。此外，現場另有多樣驚喜好禮加碼回饋！最超值、最便利的PC-cillin 2010網路第一衛，將全面捍衛消費者多元數位生活！ (趨勢科技攤位號碼：A511、B922、C409、D420 ~ D424 )。 

Andy Dancer 趨勢科技 加密小組技術長

( 趨勢專家看雲端運算 專欄，每週一出刊)

每天越來越多的頭條是關於社交網路(social networking)，雲端運算和軟體即服務（SaaS）。這些快速增長的領域有一個共同元素—他們都依靠資料從私人電腦移動到雲端。理論上認為這些資料由服務提供商保護，而這些提供商是該領域的專家。但是幾乎沒有這種領域資料安全的事例，其中有些重要的隱含問題應該被考慮到。

Security Reseaches號召 Google 和其他公司用SSL來保護所有與他們的服務交互的行為。我同意這是大家需要做的基本底線，但是我認為要做的遠遠不止這些！許多雲端運算供應商並不重視相對的安全責任，在合約裏僅僅用密密麻麻的小字體標出來，比如Amazon EC2 證書條款 。在很多情況下，供應商不願詳述他們是怎樣保護顧客資料，僅僅是說“相信我們”—比方說，Salesforce.com, 然後用一大堆流行用語來描述他們的安全性，但卻拿不出任何一個公司可以用來審核的實證。網路世界（Network World）這樣辯解道，“……在由一個服務商提供的雲端面獲得PCI是困難的，甚至是不可能的。”在社交網路界，這場關於誰擁有上傳的資料的上傳的資料爭論甚囂塵上。

新版個資法草案若立法通過，非公務機關要證明「無故意或過失責任」才能免責，公務機關則須負「無過失責任」。

個資保護：有資料才有真相

勤業眾信會計師事務所副總經理萬幼筠在行政院資策會舉辦的2009創新服務論壇的個資保護議題上，用一句話點出目前個資法的精神：「有資料才有真相。」在個資法修法之前，地下經濟體並不屬於列管對象。他表示在新版個資法草案中數位鑑識成為關鍵，因為只要數位證據蒐集證明你是對的，對企業就會成為利點。但問題是很多機關平日沒有保留log，他表示即便駭客關掉 log 查得出關掉的時間，也會成為佐證。

建議企業的對策是：

料敵機先

進行封包檢測，針對終端電腦的可疑行為進行每日報表與每週統計。透過封包檢測將揭露已被種植的後門程式電腦IP位置與帳號，進而在敏感資料被竊取之前先行攔阻。

抓賊抓贓

當駭客透過公司網路將敏感資料傳送至外部同時進行檔案內容與比對，即時記錄違規電腦IP位置、傳送資料、甚至備份敏感資料供其事後稽核與存證。

個資法草案目前已擴大試(適)用範圍，如適用行業從舊法的僅適用於徵信業等八類行業擴增成一般行業及個人皆受規範，以及保護的客體從舊法的只限於電腦處理的個人資料擴大到非經電腦處理的個人資料。

根據電腦處理個人資料保護法修正草案，該草案除將名稱修正為「個人資料保護法」外，還包括以下2要點：

首先是擴大保護客體，不再以經電腦處理的個人資料為限。

其次是普遍適用主體，刪除非公務機關行業別等限制，使任何自然人、法人或其他團體，除為單純個人或家庭活動之目的而蒐集、處理或利用個人資料外，皆須適用本法。

這意味著修法通過後，最近爆發隱私爭議的網路購物平台業者將會被列入適用範圍。而且損害賠償金也將從原先合計最高總額新臺幣二千萬元增至行政院版草案的十億新台幣。

另值得關注的是，該法案對消費者比較有利(但相對於企業較嚴峻)的是受害民眾申請索賠時，不須負舉證責任，可逕行委託符合規定的公益團體，替當事人提起團體訴訟，如由個人資料保護協會等組織進行代訴。

新版個資法的衝擊與對策

企業面對的是法規與便利/福利的兩難，企業必須先瞭解自己應遵循的法規有哪些、內容為何，並且盤點出應該受到保護的資料。

接下來是瞭解企業內部現況。像是個人資料現存於哪裡、哪些被讀取或列印的可能性會發生，還有什麼樣的情況可能導致個人資料的外洩等問題，皆是企業主容易忽略的問題環節。

另外，個資法草案中關於非公務機關要證明「無故意或過失責任」才能免責，公務機關則須負「無過失責任」這方面的舉證，企業該如何防止資料外洩？禁止外人帶電腦進公司？禁止外人用電腦傳資料或帶出？禁止上網？還是鎖住USB Port？

    台北市政府法規會主委葉慶元在19日舉行記者會指出，有網友投訴，10月初玩Facebook臉書「開心水族箱（MyFishbowl）」遊戲時，依系統指示輸入手機號碼，卻在近日收到新台幣300元的簡訊費用帳單。其實 Facebook網站平台提供的電腦遊戲、心理測驗等應用程式，中隱藏許多陷阱。相關新聞：臉書會變臉小心個資曝光遇詐騙

這樣的事件其實不是偶發，在國外也有傳出案例，以下以 Twitter 為例。

微網誌帳號遭入侵，通常拿來做什麼？通常是像這樣，散發垃圾訊息：好友Twitter 你買巴西紫莓減肥？，但趨勢科技最近發現的案例是會邀你一起來玩智力測驗，並讓你的手機費每月多出10美金。

被入侵的Twitter帳戶，會發出邀請函請你的粉絲團一起來做個智商測試

圖 1、藉由 Twitter 散發的智商測驗訊息

這式直接訊息基本上通常是和Twitter極為相像的個人訊息，其中包含了一個看來像是智商測試的網站連結：

圖 2、使用者點擊傳單中的URL連結後進入的登陸頁面