→ Lordaeron:基本上, 希望靠"制度" 來維護資訊安全, 是痴人說夢 06/11 12:32
→ askeing:老師當時不就做了一系列的假設跟對應的方式? 06/11 12:47
→ askeing:其中之一:「其虛擬機記憶體的實質空間對 host system言, 06/11 12:47
→ askeing:也是加密隔離的」 這不就是不信任VMM才要跟他隔離? 06/11 12:47
→ ihon822:開VT不就好了嗎 06/11 12:48
→ askeing:除非您又要說,HostSystem是Dom0... 06/11 12:48
→ askeing:似乎覺得老師越扯越遠,L大說的是事實 06/11 12:51
→ Lordaeron:基本上工作過的人都知道,整個IT 安全在人,不在系統設計 06/11 12:57
→ Lordaeron:不在公司制度 06/11 12:57
→ Lordaeron:否則, 不會出現台灣財金公司被盜賣信用卡資訊, 瑞銀被 06/11 12:58
→ Lordaeron:盜賣德國的逃稅者資訊, 更簡單的, 如sony 被hack, 06/11 12:59
→ Lordaeron:google被hack, VISA 被hack 等等等... 06/11 12:59
→ Lordaeron:都是人的問題在作怪, 跟軟體,跟制度無關. 06/11 13:00
→ Lordaeron:所以對任何跟你說他百分百安全的, 你都可以說,這樣的公 06/11 13:00
→ Lordaeron:司, 可能百分百不安全, 因為他太滿了. 06/11 13:01
不用懷疑, 世界上本就沒有打不破的城牆? 圍死你, 你就會開門出來了.
這就是 "人" 的問題.
這是因為現在的硬體架構對 I/O, DMA, interrupt的虛擬化對 system VM
還不夠完整, 無法讓 Secure Module 受到完全隔離保護.
即使硬體架構完全虛擬化了, 也因為現在的使用與管理需求都用到遷移
(migration), 這就涉及掃讀抄走再竊用的問題.
operator 在此權限很大, 所以他不能逃避必要的 check 與記錄, 但若系
統不夠周密(如前述 DMA)在 hypervisor還能管制的地方就能防止這種漏
洞或缺失, 何況遷移時就是被複製移走, 透過 hypervisor 協助一定要加
密才能移出, 對重要的記憶體記載表區加密隱蔽就能防止被竊用.
這是依靠制度方法防止在位能人, 使之有所不能或不敢(如:一定有記錄).
→ Hadoop:不過資安保護功力還是有高下之分的. 至少還沒看到xbox live 06/11 14:15
→ Hadoop:也緊接著被hack 06/11 14:16
→ Hadoop:gmail, hotmail也還沒聽過有人真的hack進去把"所有"用戶 06/11 14:17
→ Hadoop:信件給看光光的 (頂多就是你自己密碼設得太簡單,或是被釣魚 06/11 14:17
→ Hadoop:密碼已經外洩了這樣.) 06/11 14:18
→ Lordaeron:話別說滿,xbox live沒出聲,不代表沒事,gmail上次大陸 06/11 14:24
→ Lordaeron:的事件, 是釣魚的嗎? 不要只看你想看,其它的裝作看不到 06/11 14:24
→ Lordaeron:致於check與記錄? 你是沒看過拿到root 權限的人走時 06/11 14:26
→ Lordaeron:擦光光? 06/11 14:27
→ Hadoop:gmail大陸事件有連結介紹一下背後的破解過程嗎? 沒印象說是 06/11 14:47
→ Hadoop:大陸網軍真的把gmail給破掉. 感覺就是密碼先被從他處盜了. 06/11 14:48
→ Lordaeron:你是來鬧的? 想扯說沒有破解過程就不算? 06/11 15:38
→ Lordaeron:從google 怎麼處理這件事, 多嚴重性你自己看, 你認為 06/11 15:39
→ Lordaeron:沒事發生也可以, 沒必要跟你講什麼的了. 06/11 15:39
推 luciferii:嘴硬到最後,還不是靠對OP的check與記錄,本來就是回歸 06/12 00:08
→ luciferii:到信任問題。 06/12 00:09
→ luciferii:除非你加解密是在外面作完才進來,或者你幻想的Security 06/12 00:09
→ luciferii:VMM是一個沒有人類有權限可以控制的東西(那是什麼東西?) 06/12 00:10
推 luciferii:不然終究還是一定只能回歸到制度面。 06/12 00:13
→ luciferii:至於你對patch或binary translation和防毒之間的議論 06/12 00:13
→ luciferii:我只感覺老師要嘛是不懂軟體,要嘛就是不懂病毒... 06/12 00:14
→ Winggy:還在蓋大樓... 老師既然心意已決就讓他做吧 06/12 00:18
→ Winggy:至少讓他有點事情做 早說過這是枝微末節沒有產品化潛力.. 06/12 00:20
→ Winggy:另外... L 先生不知道有沒有聽過一個名詞叫 forensics .. 06/12 00:25
推 luciferii:他要是真的在作...就不會有這一大串偏離現實的大樓了XD 06/12 02:12
→ Lordaeron:沒聽過呢, 我還在等你的機制Winggy老兄, 別跟我說哪篇 06/12 12:35
→ Lordaeron:好笑的取hash 的方式來處理,hash 的範圍有多大,大家心裏 06/12 12:35
→ Lordaeron:有數, 這種東西連emule 都會collision 06/12 12:36
→ Lordaeron:Winggy,不要再搬英文出來扯了, 你的機制和取證,全部講 06/12 12:36
→ Lordaeron:成一篇吧, 我期待你的哪篇文章的高論. 要討論就來吧. 06/12 12:37
→ Lordaeron:別每次都留下一個term, 然後就沒下文了. 06/12 12:37
推 luciferii:又在提hash..你的理解程度跟sniffer有拼... 06/12 14:16
→ luciferii:至於 Forensic 這個term要解釋,基礎篇的篇幅...大概只 06/12 14:17
→ luciferii:要4190頁A4...如果你照Winggy的鐘點費付他,可能他考慮 06/12 14:17
→ luciferii:為你在BBS寫上一篇... 06/12 14:17
→ Winggy:這年頭的小朋友怎麼都喜歡用自己的無知嗆別人幫他上課.... 06/12 17:50
→ Winggy:wipe log 的案例也不是沒處理過 大部分的資料還是可回復 06/12 17:51
→ Winggy:gmail 帳密在大陸會被盜的原因不知道的人大概沒在注意新聞 06/12 17:52
→ Winggy:自從CNNIC申請了一個 trCA後 在大陸上 SSL 請多保重 06/12 17:58
→ Winggy:forensic 現在已經有 enCase 這麼方便的工具了 自己學 06/12 18:12
→ Lordaeron:luciferii 我的理解也就是哪樣,不然你指的哪篇我從到到 06/12 21:56
→ Lordaeron:尾看不出你大朋友所說的什麼機制呢 06/12 21:57
→ Lordaeron:你的理解力特好, 你就講講吧, 特徵碼呢 06/12 21:57
→ Lordaeron:還是什麼其它方法可以不整上傳的,他沒講,你有講我沒看到 06/12 21:58
→ Lordaeron:Winggy 請問原因是什麼? 我看來看去就不知原因呢, 你高 06/12 22:02
→ Lordaeron:見嘛, 給一下吧 06/12 22:02
→ Lordaeron:致於你口中的哪本偉大的書, 小的手中剛好有. 06/12 22:10
→ Lordaeron:所以不用你教了, 但我希望你用你的encase 來弄個系統 06/12 22:10
→ Lordaeron:我幫你公開徵求破解者而且要讓encase 失效的看看 06/12 22:11
→ Lordaeron:luciferii 等你的回應哦,我沒錢給你的哦你可以學 06/12 22:35
→ Lordaeron:Winggy, 說一些term就閃人, 然後又開另一個term 06/12 22:36
→ Lordaeron:我是不需要鐘點費的,就等你的回應, 別再回些被mark只有 06/12 22:37
→ Lordaeron:一篇這種文字了. 06/12 22:37
推 luciferii:你自己裝個sniffer起來不就知道特徵碼是什麼了,要有實 06/12 22:51
→ luciferii:作精神喔,反正你也不會信任別人講的。:D 06/12 22:52
→ Winggy:呃.. 我擔心L先生可能負擔不起買一套 enCase 跟我的鐘點.. 06/12 22:52
→ luciferii:還有我猜你可能沒有那本書,所以你不知道 Encase 是什麼 06/12 22:53
→ Winggy:所以我有個建議, 我知道偵九隊有, 如果你朋友可以去 hack 06/12 22:53
→ luciferii:才會問出那個怪問題.... 06/12 22:53
→ Winggy:警政署網站的話... 我相信偵九隊很願意免費為您驗證 06/12 22:53
→ Winggy:另外那本書你一定誤會了 那本是入門書 並沒有很偉大 06/12 22:54
→ Winggy:我只是推薦你看看 就會知道哪些是可能自動化去收集資料的 06/12 22:56
推 luciferii:扣掉蒐證和保存的專業器材不談,其實Encase不貴了啦 06/12 22:57
→ luciferii:今年才知道資拓宏宇有在賣,有興趣的可以去弄一套玩 06/12 22:58
→ Winggy:我只記得他們當初賣的是整個 kit ... 06/12 23:02
推 luciferii:私家用的話買軟體就好了...山上和警方當然要有全套工具 06/12 23:04
→ luciferii:(只是會不會用和有沒有在用就不知道了...) 06/12 23:04
→ Winggy:當初的報價到七個位數啊...... 06/12 23:05
→ Winggy:L 先生 忘記提醒 千萬要跟你的朋友說在前面 刑責要自付... 06/12 23:19
推 luciferii:那整套是將近八位的七位數,軟體是靠近六位的七位數啦 06/12 23:27
→ Lordaeron:luciferii 我沒本事看code 就知它怎麼編碼的呢,你本事大 06/12 23:54
→ Lordaeron:Winggy兄原來你的encase 就這點本事? 不是可以偵什麼隊? 06/12 23:55
→ Lordaeron:你公開一台機器來玩,就是比賽,偵什麼隊都沒用. 06/12 23:56
→ Lordaeron:來吧,不要兩立在這講什麼專業器材了,上陣實戰吧. 06/12 23:56
→ Lordaeron:EnCase 有多大本事我又不是查不到 06/12 23:57
→ Lordaeron:還有資拓宏宇這樣的資策會分出來的公司,有什麼好賣名字 06/12 23:57
→ Lordaeron:的? 大家都知道他們在幹嘛的 06/12 23:58
→ Lordaeron:就不用再扯了. 我還在等你的link 說明google 是怎麼被破 06/12 23:58
→ Lordaeron:的哦. 還有上次的機制還未講呢 06/12 23:58
→ Lordaeron:要吐我沒follow google怎麼被hack 不知道, 我就等著被 06/13 00:00
→ Lordaeron:你吐... 06/13 00:00
推 luciferii:你真的不知道 Encase在幹嘛對吧...不知道幹嘛要去破它? 06/13 00:29
推 luciferii:還有gmail那件事你明明就已經被吐了...被吐還看不懂應該 06/13 00:35
→ luciferii:自己多去看懂...總不能什麼事情都要人家每句解釋吧 06/13 00:35
→ luciferii:我就看懂Winggy吐的內容,他講的也很清楚。 06/13 00:36
推 luciferii:機制在那本入門書裏也提了,怎麼你有書都不看要一直問, 06/13 00:41
→ luciferii:人家給書單要好好用功才才行。 06/13 00:42
→ Winggy:我真的不曉得要對這位小弟弟證明什麼.... 06/13 00:50
→ Lordaeron:你回答不出來的,真的不用再說些什麼,省省就可以了 06/13 00:50
→ Winggy:尤其這位小弟弟還拿著我十年前說的話當金科玉律 06/13 00:51
→ Lordaeron:更別說,大陸廣告賣到爛掉, 什麼大不了的功能呢 06/13 00:53
→ Lordaeron:你還是教我,怎麼看個sniffer 的log 就可以知道特徵碼是 06/13 00:54
→ Lordaeron:怎麼編的吧. 06/13 00:54
→ Lordaeron:你和Winggy繞半天了,都只有一直在拖開話題而已. 06/13 00:55
→ Lordaeron:一直以為哪種enCase 多強, 以為別人都不知filesystem 06/13 00:55
→ Lordaeron:破你的EnCase 就是不讓你恢復你想看的log 06/13 00:56
→ Lordaeron:see? 06/13 00:56
推 luciferii:笑...Encase 被個小毛頭批成這樣,看來整個國際司法界都 06/13 01:11
→ luciferii:該作廢了...lol 06/13 01:11
→ luciferii:有人好心會教你。對不懂的領域嘴砲只能自爽,但是行內人 06/13 01:12
→ luciferii:都會看笑話的... 06/13 01:12
→ askeing:如果有機會,能去DEF CON的話應該會更好玩~ 06/13 03:30
→ Lordaeron:哈...小毛頭,你還是省省吧, 內行人呢 06/13 07:02
→ Lordaeron:你到現在都還在顧左右而言他,我問的問題從沒正面回答過 06/13 07:03
→ Lordaeron:更別說有人連file system這種簡單的東西,都不知道可以 06/13 07:04
→ Lordaeron:破壞到你無法復原的, 還說Encase 呢 06/13 07:04
→ Lordaeron:現在就丟出台灣駭客年會? 你參加過? 它跟Encase 何關? 06/13 07:06
→ Lordaeron:你很懂的話,還是快教我怎麼只看sniffer的log就知編碼 06/13 07:07
→ Lordaeron:方式吧, 別再跟我打哈哈, 特徵碼了. 06/13 07:07
→ Lordaeron:等你呢, 內行人....Encase.....哈.... 06/13 07:09
→ Lordaeron:忘了講,先吐Encase 可不是我,但看完功能後的確連 06/13 07:09
→ Lordaeron:final data in NTFS 都不如. 06/13 07:10
→ Winggy:我想可能有人認為 forensic 只是把檔案救回來就沒了.... 06/13 10:42
→ Winggy:還會嗆 lucifer 有沒有參加過駭客年會 你是第一個 06/13 10:43
→ Lordaeron:so?駭客年會跟Encase 何關?台灣的警察單位除了Encase還 06/13 11:12
→ Lordaeron:有在用FTK呢,Encase 多偉大呢? 06/13 11:13
→ Lordaeron:再來既然這麼有本事來個駭客年會的,就問你們要不要開台 06/13 11:13
→ Lordaeron:機子來比試了嘛, 扯哪麼多, 扯哪麼久幹嘛呢 06/13 11:14
→ Lordaeron:你愛用Encase, FTK 什麼鬼都沒問題的. 06/13 11:14
→ Lordaeron:到現在機制沒回我,吐我沒follow google 的事件, 也沒回 06/13 11:15
→ Lordaeron:我哪裏有說明. 依然在顧左右而言他. 兩位, 回一下吧. 06/13 11:16
→ Winggy:google 前面已經講過可能原因 看不懂只能說你不夠專業了 06/13 13:09
→ Winggy:我保證一定可以讓你的 "朋友" 大大顯個身手 06/13 13:14
→ Winggy:警察單位用 ftk 應該是我七八年前做一個訓練課程開始的吧.. 06/13 13:18
→ Winggy:畢竟不是每個單位都有預算去買設備 06/13 13:19
推 luciferii:Defcon 倒是每年都會辦搶旗賽,有興趣找你的朋友去打進 06/13 13:40
→ luciferii:決賽吧:D 加油 06/13 13:40
推 luciferii:FTK功能上差 Encase 還蠻大的,不過不用錢嘛XD 06/13 13:44
→ luciferii:只是要呈堂的話,要多花點功夫。 06/13 13:44
→ Winggy:對 證據力是重點.... 06/13 17:02
→ askeing:搞不好人家不把DEF CON的比賽放在眼裡 ╮(﹋﹏﹌)╭ 06/13 17:26
在那自比 不得了的駭客 , 還猛吹鐘點費 抬身價. 問題解沒一個, 還屁一堆!
再把問題說一次: 解不了, 就不要只會吹抬青! 也不要找偵九國安的藉口.
放在 PC 上的私人資料會不會被冒充或惡意的掃毒軟體掃走? (不用扯雲端掃毒)
租用雲端的虛擬機跑需要 license key 的 CADtool, license key 在雲端虛擬
機上會不會被管雲端的 操作管理人員 掃(偷看)走?
技術上要怎麼打開 license key 來用, 又不必怕被掃走?
→ luciferii:老師可能還是不懂你的問題是因為太蠢所以大家只想吐巢 06/13 21:07
→ luciferii:不想認真理你... 06/13 21:07
→ luciferii:如果是你的學生來問,可能還會有人認真講解一下...可惜 06/13 21:09
→ luciferii:你已經是就教授了...於是只好變成茶餘飯後的話題... 06/13 21:10
→ askeing:我是認真覺得老師可以去跟搞VM的人提議 06/13 21:26
→ askeing:或是去VMWorld開個topic,也許意見會更多更全面 06/13 21:26
→ askeing:至少就我角度來看,一開始的假設跟最後的結論根本就衝突 06/13 21:27
→ askeing:假設:不信任雲端公司,雲端公司可能偷撈資訊 06/13 21:27
→ askeing:結論:信任VMM,設立查核機制 06/13 21:28
→ askeing:事實:VMM完全在雲端公司的掌控下… 06/13 21:28
→ askeing:這樣還滿詭異的就是 O_Oa 06/13 21:28
推 luciferii:討論雲端服務的信任是一回事,不過老師硬要扯防毒和 06/13 21:37
→ luciferii:License Key 就一整個好笑... 06/13 21:37
看看這個文章:
Protecting the confidentiality of virtual machines against untrusted host
2010 International Symposium on Intelligence Information Processing
and Trusted Computing
另一個 hHype 前面已提過, 比較偏重 security policy 設定, 有個 實驗的 rHype
http://www.research.ibm.com/secure_systems_department/projects/hypervisor/
看到防毒掃檔掃記憶體就跳?! 乾脆就稱惡意的/冒充的掃毒軟體 還不是一個樣?
→ Winggy:老師 加油 要實做喔 06/14 04:23
哈! 台灣資安落伍囉, secure hypervisor 都已有好幾個了.
※ 編輯: ggg12345 來自: 140.115.5.45 (06/14 04:54)
→ Winggy:老師你沒問題的, 人家的 isolation 只有做到 VM level 06/14 05:33
→ Winggy:還沒有辦法跟 VMM isolate, 所以老師還是有機會贏 IBM 06/14 05:34
→ Winggy:如果最後還可以做到 physical isolation 更好 06/14 05:35
→ Winggy:就不需要擔心雲端供應商的實體安全做不好整台儲存設備被偷 06/14 05:36
→ Lordaeron:超好笑的,你參加了def con什麼鬼呢? 還在扯Encase? 06/14 08:09
→ Lordaeron:你們要是真有本事, 就拿出來,拿不出來就開始扯東扯西 06/14 08:10
→ Lordaeron:問的每個問題都不回答, 一直扯開話題, 好笑.... 06/14 08:10
→ Lordaeron:真本事啊, 拿出來吧, 別老拿台灣式的大拜拜來說嘴了 06/14 08:11
→ Lordaeron:另外, FTK 是2008年的事了, 七八年前呢, 原來這叫專業? 06/14 08:12
→ Lordaeron:這兩年還有書教如何用open source tool 來取證的 06/14 08:13
→ Lordaeron:用Encase 就像我給的link的人兄說的哪樣而已囉. 06/14 08:13
→ Lordaeron:牛皮吹很大呢..... 06/14 08:17
推 luciferii:不知道老師要貼同樣的老東西貼幾次,而且還跟主題無關又 06/14 09:40
→ luciferii:自己搞不懂...lol 06/14 09:40
推 luciferii:至於樓上,越用google糗越大...(笑) 06/14 09:44
→ Winggy:ftk 我 2001 年就在用了喔.. 我不知道你哪邊查來的 2008 06/14 12:24