企业云盘的安全特性

#Security  #Tech 

Dropbox

Dropbox可谓网盘中的王者,目前也推出了企业版。看起来,企业云盘逐步得到应用。他们企业版主页上的一句宣传很霸气:超过 200,000,000 用户和 4,000,000 家企业通过 Dropbox 实现智能工作。

企业相关的主要功能点有:

我所关心的部分安全功能/特性有:

  1. AES加密存储,保障了黑客入侵了存储服务器,通常无法获取明文信息。当然,被人诟病的是:加密的密钥Dropbox自己拿着,实际上他们有能力「窃密」(云盘企业自己提供加密,是否合适?);
  2. 远程清除离职员工或遗失的电脑数据;
  3. 隐私中Dropbox提到「我们的隐私政策专为确保您的团队安全收集、使用和披露信息而设计」;
  4. 简单但够用的日志;
  5. 能方便地共享,也能「控制共享文件夹和链接的访问权限,禁止成员在团队以外进行共享」。

参考资料:

  • Dropbox企业版博客:https://www.dropboxatwork.com/
  • Dropbox Admin Console Overview:http://vimeo.com/59464655
  • 兼容Dropbox的第三方应用:https://www.dropbox.com/business/apps

Box

相比Dropbox,Box更专注企业市场,个人市场方面份额相对小一些。Box在页面上的「怎么保障安全」部分画了一张图:

Box宣传的安全特性有:

Spideroak

Spideroak宣称自己比其他云盘更安全的主要卖点(其实不少第三方加密业务都是这么干的)是:

  • 每个文件(包括文件的不同版本)、目录都有自己的密钥;
  • 使用用户的密码加密密钥;

参考:

  • Spideroak特点:https://spideroak.com/engineering_matters

用jekyll和github写博客

#Tech 

这些年写博客,用过免费博客平台(有的被墙,有的倒闭,有的被产品经理反人类的更新逼走……),也自架服务器用开源软件BlosxomLifeTypeMovable TypeWordPressfluxbb搭过。最近尝试用jekyll和github配合写博客,感觉不错,比较适合爱折腾人士和码农:

  • 无需备份,无需维护服务器;
  • 免费二级域名,也可以自定义域名,无需备案;
  • 使用者可以专注写作,不用考虑排版问题。

说明:

  • 我的平台是Mac,所以所有操作均基于Mac,其他平台可能略有不同;
  • 例子里使用的git用户名wulujia,域名wulujia.com,请更改为你自己的。

当然,用什么不重要,重要的是写。

jekyll

使用jekyll,你可以写markdown格式的文章,方便快捷地根据模板生成漂亮的网站或博客。Linux或者Mac平台下,使用非常简单:

~ $ gem install bundle jekyll
~ $ jekyll new my-awesome-site
~ $ cd my-awesome-site
~/my-awesome-site $ bundle exec jekyll serve
# => Now browse to http://localhost:4000

在 Mac 上,需要先下载安装 Command Line Tool

如果之前安装过,但是很久没更新,可以 bundle update 一下。

github

全球最大的源代码托管平台,如果不了解,可以参考:https://help.github.com/

准备工作

  • 注册帐号
  • 创建repo
  • 配置git
  • 准备域名并配置DNS

更新准备好的网站

git clone https://github.com/wulujia/wulujia.com.git
mv blog/* wulujia.com && cd wulujia.com
git checkout --orphan gh-pages
git add .
git commit -a -m "First pages commit"
git push origin gh-pages

更新完毕后,一般需要5-10分钟,就能访问到你的博客页面了。

[阅读全文]

敏感信息防泄露常见问题

#Security  #Tech 

更新历史

  • 2013-11-06,v1.0,创建文档

DLP企业

国内有哪些防泄密DLP厂商,各家的优势是什么?

国内的防泄密厂商很多,但良莠不齐,这里先列举部份主流厂商,欢迎朋友们补充:

  1. 大成天下:http://www.unnoo.com/
  2. 亿赛通科技:http://www.esafenet.com/
  3. 前沿科技:http://www.drm.net.cn/
  4. 思智泰克:http://www.sagetech.com.cn/
  5. 明朝万达:http://www.wonder-soft.cn/

国外有哪些防泄密(DLP)厂商,各自有什么优缺点?

国外主要有以下DLP大厂:

  1. symantec:http://www.symantec.com/business/products/family.jsp?familyid=data-loss-prevention
  2. trendmicro:http://us.trendmicro.com/us/products/enterprise/data-loss-prevention/index.html
  3. mcafee:http://www.mcafee.com/us/enterprise/products/data_protection/index.html
  4. CA:http://www.ca.com/us/products/product.aspx?id=8299
  5. microsoft:http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx

DLP是什么意思?

在信息安全领域,DLP是英文Data Loss Prevention(数据丢失防护)的缩写,有时也被称为Data Leak Prevention(数据泄露防护)或Information leakage prevention(信息泄漏防护),在中国,也往往被称为“防泄密系统”。

我们对防泄密(DLP)系统的定义是:用于防止数据信息被非授权获取与传播的计算机软硬件系统。

数据信息有三种“状态”,即使用中(data in use)、传输中(data in motion)与存储中(data at rest),在这三种状态下,也各有不同的“泄密场景”,例如:

1、使用中 a.操作失误导致技术数据泄漏或损坏; b.通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据。

2、传输中 a.通过email、QQ、MSN等网络工具传输机密资料; b.通过网络监听、拦截等方式篡改、伪造传输数据。

3、存储中 a.数据中心、服务器、数据库的数据被随意下载、共享泄漏; b.离职人员通过U盘、CD/DVD、移动硬盘随意拷走机密资料; c.移动笔记本被盗、丢失或维修造成数据泄漏。

这些场景都在防泄密(DLP)系统的管理范围内。

刚刚有客户问到CheckPoint的PointSec,是否能介绍一下这个产品?

Pointsec原来是一家瑞典企业,从事PC、笔记本电脑、PDA和智能手机的数据安全业务,在2006年被CheckPoint收购,当时CheckPoint发布的新闻参见: http://www.checkpoint.com/press/2006/pointsec112006.html

目前可以通过以下链接访问Pointsec产品的信息: http://www.checkpoint.com/pointsec/

什么是Metadata?

从字面意思看,Metadata是“元数据”的意思。但在信息安全领域,Metadata指的是在文件(通常有文档、电子表格、电子幻灯、音乐、照片、视频等)中存放的隐私信息。

这些信息可能包括了:作者、文件创建或修改的时间、文件的版本信息、注释等,对照片来说,还可能包括了照片的拍摄地点、拍摄时间、拍摄时的光圈快门等技术参数信息。

但对普通计算机用户来说,这些信息是不可见,也不容易被删除的,因此很容易由此造成隐私的泄露。

在哪里能看到最新的泄密事件发生趋势?

在DataLossDB,你可以找到一些公开的泄密案例信息: http://datalossdb.org/

该网站还对数据进行了分类,并按年度进行统计,从中可以有效发现泄密事件发生的趋势。

文件发给合作伙伴后,能防止他们进一步复制与传播吗?

在防泄密厂商的产品中,有两种方式可以防止文件被进一步复制与传播:

1、改变文档格式,用专用阅读器打开,并加上安全控制措施。ADOBE PDF、TSP文件锁等产品就是通过这种方式实现的;

2、不改变文档格式,但需要用专用“外壳程序”打开,铁卷密信是通过这种方式实现的。

防泄密软件究竟能否真正做到对程序源代码进行加密?

我们认为,在目前的技术实现中: 1、试图用常规的“透明加解密软件”对付有经验的程序员,是“不可能完成的任务”; 2、使用桌面虚拟化技术,代码全在远程,才有可能做到对程序源码的“完美加密”。

为什么说常规的透明加解密软件无法对程序源代码完美加密呢?原因简述如下:

因为应用程序最终需要被编译为exe/dll并发布,而exe/dll与doc的区别在于,exe/dll需要被运行和调试。

如果允许exe以明文状态存在,那么程序员就能把源代码作为资源,嵌入编译后的exe里,然后导出成明文。

如果exe在正式发布前以密文形式存在,那么一般的透明加解密产品恐怕没法通过配置策略满足这个需求。因为这些产品都是以访问文件的进程类型来判断是否解密的。访问exe的是它的父进程和它自己,访问dll的是加载它的进程。这些进程的类型是多变的,很难用规则准确匹配。

退一步说,如果通过改进产品满足了上述匹配,对进程本身来说,自己就是明文可读的。于是就无法防止exe运行时把程序员隐藏在资源中的源代码通过网络传递出去,尤其是当前开发的正是一个网络程序(比如QQ)的时候。

防泄密产品与防火墙、入侵检测、上网行为管理等安全产品有什么不同?

防泄密产品与防火墙、入侵检测、上网行为管理等安全产品的不同点——有许许多多,最直接的——产品名称就不同嘛 :)

[阅读全文]

数据泄露的防范之道

#Security  #Tech 

十年前,数据泄露还只是少数人关注的话题,今天提起,却已成为路人皆知而且急需解决的大问题了。究其原因,还是外部环境的变化,主要体现在:

  • 互联网发展,一方面让企业拥有了之前无法想像的海量用户数据,另一方面使数据存储、流动——甚至泄露更容易;
  • 科技就是生产力,知识产权的重要性受到空前的重视,包括创造者和偷窃者的重视;
  • 国家、企业、组织的各种窃密、泄密事件被大量曝光。

人们终于意识到,数据泄露就发生在自己身边,与自己的生活密不可分。

大成天下的解决方案

大成天下从最初的加密产品起家,到目前形成一整套完整的DLP(Data Leak Prevention)解决方案,走过了近十年的时间,十年磨一剑,成为目前国内敏感信息防泄漏最完整解决的厂商。

  • 加密解决方案:铁卷

    • 铁卷电子文档安全系统:透明文件加解密
    • 铁卷加解密网关:配合OA、ERP、PDM系统上传下载自动加解密
    • 密信文件防护:掌握外发文件安全性
    • IOS、Android版:通过移动设备访问铁卷加密文件

  • 监控解决方案:锐眼

    • DLP终端探针:监控Windows终端操作,发现泄密行为
    • DLP网络探针:发现网络流量中的敏感信息
    • DLP WEB网关:发现并拦截HTTP、HTTPS访问中的敏感信息
    • DLP存储扫描:扫描文件共享、WEB服务器、数据库等位置存储的敏感信息状况
    • 终端APT监控:监控Windows终端操作,发现可疑入侵行为

加密产品(铁卷)

可能有朋友会疑惑,不就是个加密吗,干嘛要这么多东西?换位思考,如果你是一家企业的CIO,面对不同用户形态各异的使用场景,是否也得提出符合这些场景的需求?

  • 所有文件加密、支持域、解密要审批、离线可用、异常报警——经过9年发展,铁卷很成熟了,该有的功能,能适应的场景都尽可能地考虑了;
  • 公司部分人部署了铁卷(还有些未部署),所有希望OA/ERP/PDM里流转的是明文文档,这时需要铁卷加解密网关,上传自动解密;
  • OA/ERP/PDM对合作伙伴开放,但希望从技术上保障合作伙伴不能泄密,这时铁卷加解密网关能帮你,下载自动加密,需要安装Agent才允许打开;
  • 部分领导使用iPad、手机等设备移动办公,这时你用得上铁卷移动版
  • 文件需要发给别人阅读甚至修改,但又不希望别人泄露。打开限制、网络验证、阅后即焚……密信是最简洁有效的解决方案。

附图,铁卷的策略配置:

监控产品(锐眼)

还有人会问,有了铁卷,为什么还做锐眼?

几年前,我们曾经认为中国的国情、法律现状决定了DLP产品的形态与国外不一样——国内从2005年以来,防泄密解决方案基本是加密和封堵。当时,我们的大多数客户也认为,最重要的是要让数据根本就出不去。因为一旦出去,控制难,处罚难。

而这两年,越来越多行业用户的想法是:

  • 我不怕被人(比如商业间谍)偷一次两次,我怕的是他偷了百八十次,我都没发现;
  • 企业里的『坏蛋』是始终是极个别人,不要为了这些人,导致日常工作的复杂度提升;
  • 轻量布控,多点布控。

所以我们花了两年时间,做了锐眼,锐眼的产品结构如下:

首页上显示的监控效果:

锐眼终端DLP捕获的数据:

大数据?

对我们来说,提大数据为时过早,不过铁卷、锐眼、APT监控……越来越多的探针布控,某些客户单日日志量已经有数百万条,怎么用好这些数据,这是我们正在思考和解决的问题。

通过NOSQL等技术,我们得以快速检索海量数据,并将其可视化呈现:

联系方式

大成天下官网:http://www.unnoo.com/
填写基本要求即可试用:http://www.unnoo.com/trialapp.html
400电话:400-1122-918

莫伸手,伸手必被捉

#Security 

观点

  • 刻意隐瞒真实身份的『骇客』一样会被挖出真实身份,更何况没有安全意识的老百姓;
  • 对『安全专家』而言,莫伸手,伸手必被捉(可能暂时没事,但人生路长,习惯了这种伸手方式,总会跌进某个坑里)。

新闻重放

  • 『丝路』(Silk Road)是著名的比特币交易网站,也是最大的地下毒品交易市场;
  • 2013年10月3日,丝路被查抄,管理员Ross Ulbricht(网名『恐怖海盗罗伯茨』,Dread Pirate Roberts,简称DPR)被捕;
  • 查抄者是由FBI、DEA、IRS和国土安全局组成的网络犯罪小组纽约办公室;
  • 截至2013年7月23日的网站完整数据被收集,包括用户账户和交易信息;
  • 八卦:据说2013年3月,丝路用户「FriendlyChemist」威胁并敲诈DRP 50万美金,另一位丝路用户「redandwhite」接受悬赏1670比特币,干掉了「FriendlyChemist」;
  • 受此影响,比特币价格从9月底的145美元降为123美元。

Ross Ulbricht(DRP)是怎么被抓的

  • 2011.1,id为altoid的人开始推广丝路,2011.10,altoid使用Gmail帐号rossulbricht@gmail.com发布文章《a venture backed Bitcoin startup company》,该邮箱是关键信息,通过该邮箱,altoid、DPR、Ulbricht迅速被关联起来:
  • Ulbricht的Google+和YouTube账户指向了Mises学院,DPR的文章中提到的经济学信息也指向Mises学院;
  • 丝路服务器日志中可以看出,登录IP、时间有时与Ulbricht所在地一致;
  • 一些使用假身份传递的包裹在发给Ulbricht时被拦截,里面有Ulbricht的照片,当然使用的不是他的真名。同期,DPR在使用这些假身份购买服务器;
  • 其中一个假ID被指认Ulbricht用于租房;
  • 在StackOverflow上发布《How can I connect to a Tor hidden service using curl in php》时用了真名,虽然迅速改名为frosty,但还是留下了痕迹。

总结DPR犯的错误

  • 使用真实姓名的gmail帐号为网站做宣传;
  • 在社交网站透露的信息能够推断出他的专业领域、院校的信息;
  • 登录服务器时偶尔没有使用代理、VPN、TOR;
  • 订购东西是寄到家里,而不是寄到某个代收点;
  • 在技术网站发求助帖时使用了真实身份。

丝路网站数据

创立于2011年2月,从2011年2月6日到2013年7月23日:

  • 拥有957,079名注册用户,30%的用户来自美国;
  • 交易了9,519,664比特币,614,305比特币佣金,一共有1,229,465笔交易;
  • 截止2013年5月,网站上有一万个产品被交易,70%是毒品类。

题外

  • 一本叫《掘金黑客》的书,讲一个金融骇客的犯罪历程,信息安全专业人士可以看看;
  • 最近很火的《绝命毒师》,感觉和丝路的DPR有点像;
  • 八卦一下,我怎么觉得tombkeeper有绝命毒师的几分神韵,有没有人有同感?

链接

关于Ulbricht,需自备翻墙梯

中文参考链接

英文参考链接