Posts

Showing posts from August, 2011

別的就管他娘

Image
我終於肯定,張小姐確實來人間走過一遭...


資安管理十誡 - The 10 deadly sins of information security management

近日查閱資安管理(information security management)資料,不時看到 Ten Deadly Sin 字眼出現,今晨看過往Business Management 雜誌對現在公司所在領域的幾個原廠總字輩大佬的專訪,又看到文末列出這十宗罪(十宗罪好像是大陸習慣用法?)。

透過谷歌,很快就查到,原來這十誡典出學者 B. von Solms and R. von Solms 於 2004年7月發表在 Computer & Security 的文章。此十誡言簡意賅,強調資安管理不是技術部門獨有的責任,旨哉斯言,爰執鍵(盤)為之記。
Not realizing that information security is a corporate governance responsibility (the buck stops right at the top) Not realizing that information security is a business issue and not a technical issueNot realizing the fact that information security governance is a multi-dimensional discipline (information security governance is a complex issue, and there is no silver bullet or single ‘off the shelf’ solution)Not realizing that an information security plan must be based on identified risksNot realizing (and leveraging) the important role of international best practices for information security managementNot realizing that a corporate information security policy is absolutely essentialNot realizing that informat…

Size Matters - 機器學習的分散式和平行處理議題

Image
John Langford的個人部落格看到這個消息:由 Ron Bekkerman (LinkedIn),John Langford (Yahoo! Research)和 Misha Bilenko(Microsoft Research)共同編輯的 Scaling up Machine Learning 將在今年底出版。而且他們將在 KDD 2011 以這本書為基礎發表 Scaling Up Machine Learning 的 Tutorial

依照 John Langford 的介紹:
This tutorial focuses on providing an integrated overview of state-of-the-art platforms and algorithm choices. These span a range of hardware options (from FPGAs and GPUs to multi-core systems and commodity clusters), programming frameworks (including CUDA, MPI, MapReduce, and DryadLINQ), and learning settings (e.g., semi-supervised and online learning). The tutorial is example-driven, covering a number of popular algorithms (e.g., boosted trees, spectral clustering, belief propagation) and diverse applications (e.g., speech recognition and object recognition in vision).
不在現場的我,是沒有機會親聆這場盛會啦,不過稍微瞄了下簡報檔,覺得這本書裡面的題材都蠻有意思的,比如說下面第一個圖提到克服隱私權疑慮的嘗試,和第二個圖 Tree Ensembles 的說明。

期待這本書的上市,不過看到價格實在是讓人有點遲疑啊,哈哈!




Defense in Depth 的解釋

Image
在資通訊安全領域,有個源於軍事領域的術語 defense in depth (DID), 在軍事上,DID 是一種策略理念,防禦不能只靠一道強大的防線(比如說中國的長城和法國的 Maginot Line ),必須用多層次(multi-layer)、多角度、多點、多面的防禦,提高攻擊者的成本與難度,延遲破解防禦的時間,讓防守者有足夠的時間、空間找出破解攻擊的方案。

有人是這樣詮釋的:在建立防禦據點時,整個防禦工事的部署一定要具備足夠的縱深,才能提高攻堅的難度與拉長敵軍的攻擊時程,以避免一下子就被長驅直入。縱深的另一層意義就是要有重重的關卡,就像洋蔥或高麗菜那般地一層一層地把核心包裹得密不透風。

以上的說法,把多層次的防禦和 in depth 的物理意義,說的精闢通透,但是沒有點出多點、多面的策略意義,而且把 DID 和資安領域另外一個詞彙 layered security 畫上等號。這兩個觀念雖然有很多重疊的地方,但畢竟不是同一件事,而且 layered defense 僅是 defense in depth 策略的一部分而已。

TechRepulibc 上有一篇 Chad Perrin 寫的短文,把這兩個很易於混淆的名詞間的差異解釋的很清楚。理解這兩個名詞最大的障礙就是望文生義造成的誤解,就像數學歸納法不是歸納,階層式防禦不只是千層派或高麗菜的層次,DID 裡的 depth 也不只是物理上的距離。

階層式的安全防禦理念說來單純,每個人(工具)都有優、缺點,寸有所長尺有所短,只用一種工具或技術來防禦顯然是不夠的,所以要應用各種技術布置在攻擊的路徑上,以達到最佳防禦效果。這個理念的精髓是工具間優劣互補(be used to cover the gaps in the others’ protective capabilities.),而不是用車輪戰累死攻擊方(當然,這是附帶的效果)。比如說,一個家計用戶,在上網的時候,可能採用的工具包括:
防毒軟體防火牆親子內容控制(Parental Control)隱私權控制軟體、像這樣從網路到內容,把安全防禦的網張到最大,就是典型的 layered security

DID 所圖則更遠大,防禦不僅要從技術面來考量,人員素質與觀念、工作標準程序都在策略範圍內,甚至還要考慮到反制手段(means tofight back actively…

人心早就不古!

今年(2011年)才開始,澳洲的 Vodafone Australia 就爆出资料外洩事件,接著一個又一個大型資安事故的新聞接踵而至。

先是 Sony Play Station 網路被駭,然後韓國最大的社群網路 Cyworld 三千五百萬筆客戶資料外洩,還有不要忘了惡名昭彰的駭客團體  Anonymous 宣佈攻破 Exxon Mobil, ConocoPhillips, Canadian Oil Sands Ltd., Imperial Oil, the Royal Bank of Scotland 的消息。上半年才結束,立刻傳來國際貨幣基金(IMF)資料外洩的消息,相形下,衛生署對萬芳醫院病歷外洩裁罰五萬的消息,根本就是不成話的小兒科。

Ponemon Institute 和 Symantec 每年做資料外洩事故成本(cost of data breach)分析,以美國企業為樣本空間的報告顯示:資料外洩事故逐年增加,且處理的成本也逐年升高。今年四月份,Verizon Business 發布年度 Data Breach Investigations Report (DBIR) 的副標題 Breaches Increased Dramatically 更是為這些資安事故的蓬勃「發展」下了「畫龍點睛」的註腳。

不過,資料外洩的事故,真的是如旭日東昇,一天比一天多嗎?資安領域著名的顧問公司 Securosis LLC 技術長 Adrian Lane 不這麼認為,他在 Dark Reading 發表的短文《Data Breach On The Rise?》以他自身輔導企業的經驗和媒體公佈的新聞相參照,斷言並沒有足夠的統計證據支持現在的資安事故比以前多(There is no statistical evidence that breaches are on the rise.)。

Andrian Lane 的論點很簡單,現在的資料庫技術和工具,確實比以前進步,但是人性並沒有改變、企業裡面便宜行事的流程沒有改善、為公司股價著想壓下資安(還包括工安)事故新聞的例子也沒有增減。僅憑登上媒體的公司的有名程度,就斷言現在的事故數比以前多,在論證上是站不住腳的。

換句話說,這年頭,好人沒有比過去少,壞人也沒有比過去多,人性如此,貪婪和犯罪企圖依舊。我們沒有活在比過去壞的世界裡,只是…

這回唱給未來的自己聽

Image
好一陣子,讀書筆記寫的不多,倒是傷春悲秋的東西炮製了不少,於是不得不面對師友親人的「關注」和「提醒」。面對大家的關心,鄙人當然是虛心檢討,從此少說廢話啦。不過,今日在 Scientific American 看到傷春悲秋有益身心的最佳辯護,心理學家 James W. Pennebaker 說,他在 1980 年代發現,把自己的情緒變化寫下來,對書寫者的健康有益。

啊哈,感謝親友團的關心,往後鄙人要是在此胡言亂語,純粹是為了健康著想啦。

坦白說,今年三月底到六月初一場莫名而來的病,給我莫大的困擾,身心都受到極大的磨礪摧折。但職場裡面碰到的周折,除了事件發生當下的不快,我倒不是這麼看重,只是慨嘆人性果真如此,奢求奇迹例外不可得而已。

奇妙的是,當初那些人與事的負面猜測,都在心有所感後不久直接、間接的證實。不知是該高興自己始終心明眼亮,或是隨著年紀益發洞燭世情,還是有超強的第六感(grin)。

四月初,聽過 Bob Dylan 演唱會後,寫了篇《給未來的自己》,提醒自己莫忘本心(還有,莫做爛好人)。今晨,博士班同學在 FB 上分享梁靜茹唱的《給未來的自己》,反正都是借他人酒杯,澆自己塊壘,用唱的也不錯。


又一碗字母湯( Another Bowl of Alphabet Soup)

雖然走進資安領域,不在原本的規劃裏,但既然被機緣牽進這村徑,總要好好逛遍這山林,庶幾不負這不可言、不可測的緣法。既然要逛逛這原未涉足的土地,那就得認真閱讀此處的風土誌,要認懂這裡的地圖,就得認得這裡的方言俚語,於是得再服一碗字母湯

ACL - Access Control ListAPWG - Anti-phishing Working GroupBASEL - Basel AccordsBSI - British Standards InstitutionCA - Continuous AuditingCA - Certificate AuthorityCC - Common CriteriaCCM - Continuous Control MonitoringCCM-AC - CCM for Application ConfigurationCCM-MD - CCM for Master DataCCM-T - CCM for TransactionCEH - Certified Ethical HackerCERT - Community Emergency Response TeamCM - Continuous MonitoringCME - Common Malware EnumerationCOBIT - Control Objectives for Information and related TechnologyDAD - Database Access DescriptorsDAM - Database Activity MonitoringDMZ - Demilitarized ZoneDLP - Data Loss PreventionDOS - Denial of ServiceDDoS - Distributed DOSFERPA - Federal Educational Rights and Privacy ActFGAC- Fine-Grained Access ControlGLBA - Gramm–Leach–Bliley ActGPG - GNU Privacy GuardGRC - Governance, Risk and ControlGTAG - Global Technology Audit GuideHIPAA …

I can do the same.

微軟研究院的研究員 danah boyd 在  Google Plus 發表了一篇頗長的文章, 談她對最近她發表幾篇談社群網路實名制和相關議題文章(比如說這個這個)的讀者反響的想法,深感讚佩。抄錄其中幾段於後,因為,就像文章後某個讀者的留言,我希望自己也能做到(I can do the same):
My arguments are not coming from a point of hatred towards any company or individual, but stemming from a determination to speak up for those who are voiceless in many of these discussions and to provide a different perspective with which to understand the issues.

And when I get pissed off about something, I rant. And that can be both good and bad. But I've found that my rants often make people think. That's what motivates me to keep ranting.

[Video] Are you ready for next thing

Image
Clifford Stoll 根本就是好萊塢電影中科學怪人的原型,總是穿著粗布襯衫、休閑褲與球鞋。神經質的眼神,稀疏蓬鬆而張揚的頭髮,隨著走動而飛揚。說話的語氣熱切,似乎總是想用最快的方式,讓你明白「一切」他想表達的東西。

在講台上,他常因為語速跟不上思緒,雙手十指互絞,然後從講台這頭跳躍奔走到那頭,蓬鬆張揚的頭髮,就飄動的更厲害了。當我放映他的演講影片給小朋友看,他們總是一口咬定,愛因斯坦就(應該)是這樣子的。

如果你只從Nick Bilton 的書《一位數位移民的告白》認識 Clifford Stoll,你可能會因為 Clifford 在 1995 年發表在新聞週刊的文章 Why Web Won't Be Nirvana - The Internet? Bah! 而認為他個是老朽、自大的蛋頭學者,不懂網路卻卻偏要大放厥辭,這下丟臉丟到家了吧。如果你真的這樣想,那就大錯特錯了。

其實 Clifford 真是個很難用三言兩語概括完的人,他是天文學家,也是電腦安全領域的先驅人物之一,1986 年在網路上和 KGB 駭客鬥法,他把過程寫在《The Cuckoo's Egg 》(中文書名叫 捍衛網路)裡,一直到最近幾年,還是很多教電腦安全的老師們指定的參考讀物之一。

1995 年,他出版了另外一本書《Silicon Snake Oil》,書的副標題叫做 Second Thoughts on the Information Highway,大約也就是那時候他投書給新聞週刊,談他對網際網路的憂心(The Internet? Bah!)。

也許他沒能正確預言後來網路技術的發展,和人類如何面對、使用這些技術的場景,但是他始終堅持著,他曾講過一段話 :
While I admire the insights of many of the people in the world of computing, I get this cold feeling that I speak a different language. 
下面的嵌入的影片是他在 TED 2006 的演講,就像他始終堅持的,他再次告訴大家 - 新事物,不代表未來。他不是科學怪人,也不是「從來不學什麼,也不忘記什麼」的蛋頭學者,他是始終對 explore next thing 抱著無比熱情的 Cliff…

[Video] Is NoSQL a Fad or the Future of Managing Data?

Image
Tim Anglade interviewed at OSCON 2011.

[Video] 下雨天的週末

Image
我好喜歡週末 我好喜歡雨天
我好喜歡 下雨天的週末
因為那小雨 我才可以和你
共撐一把雨傘 靠得好近 好近
因為那週末 我才可以和你
聊得好晚 好晚

[詩戀] 我們底戀啊 像雨絲

Image
感謝+老貓+Jyh-Ming Yang+Mulberry He,若不是他們,我幾乎忘了詩戀的味道,七夕凌晨,聽 鄭愁予的《雨絲》正好

我們底戀啊 像雨絲
在星斗與星斗間的路上
我們底車輿是無聲的
曾嬉戲於透明的大森林
曾濯足於無水的小溪

那是
擠滿著蓮葉燈的河床啊
是有牽牛和鵲橋的故事
遺落在那裡的
遺落在那裡的

我們底戀啊 像雨絲

斜斜地 斜斜地織成淡的記憶
而是否淡的記憶
就永留於星斗之間呢

如今已是摔碎的珍珠 流滿人世了