作者ggg12345 (ggg)
看板Soft_Job
标题[讨论] 云端与扫毒=扫走机密资讯怎麽办?!
时间Thu Jun 2 14:30:56 2011
借 sniffer 炒热题, 再问: 云端的管理人员是否能扫走在云端的程式机密,
如 keygen, 开启软体的 secret key.
扫毒程式扫的位置从记忆体到任何储存装置都能扫, 云端的主机(Host)归
提供云端服务的操作人员管理, 也是任何的 guest VM space 都能扫得到,
这是否造成机密资讯被窃? 有防止的方法吗?
===================================================================
sniffer 的疑问 可把扫毒改用挖金矿来看, 找大公司的重要机密资讯(一),
也找出相关有兴趣者(二.的动作), 提供供需双方的另类行销服务.
===================================================================
※ 引述《sniffer (again)》之铭言:
: 标题: [技术] 云端扫毒=用你的资源帮厂商
: 云端扫毒, 有网友说是只要档案上传检查码, 云端告诉你有没有问题,
: 一、 一个档案用"你"的cpu扫过毒, 没问题後, 用"你的"网路上传到 server, 成为资料库
: 可能只上传 digest, 也可能上传整个档
: 问题:
: 1. 凭什麽用你的 cpu 帮他验证
: 2. 凭什麽上传你电脑的资讯给他用
: 3. 如果整个档上传, 还有版权问题, 作者有同意吗
: 4. 如果没上传这个档, server 怎麽知道你电脑真的有扫过, 不是山寨 client
:
: 二、 下次别人扫毒, 只要档案跟你一样, digest 就一样, 就不用扫,
: 上传 digest 比对就好
: 问题:
: 1. digest 不代表不能假造, 他用哪种演算法? crc 的话等於没用
: 2. server 会知道你跟某人档案版本一样, 隐私安全无保障
:
1F:→ roron:台积电把qualcomm, nvidia, ati, mtk的光罩设计都看光光 06/02 15:18
2F:→ roron:ic设计的机密都被台积电给盗去怎麽办? 06/02 15:19
IC Mask layout 的图又不是电路设计原图, 更不是设计文件, 抄走一个 Layout
图又不是查不出来, IC 盖子一打开, 跟图章一样比对就抓出来了.
扫你的电脑抄走提款卡密钥, 比对相同又能怎样? 去提款的人不会笨到是云端偷
看的.
3F:推 iincho:这的确是一个问题,所以我都不把敏感资料丢上server.. 06/02 16:11
4F:→ iincho:要丢到原端的某些资料先给他用private key加密一次再说XD 06/02 16:11
5F:推 sniffer:加密了扫不了毒 06/02 16:30
假如现在所有资料(包含重要的提款 key)都要移到云端去做处理, key 总要拿出
来在云端 guest machine 上使用, 譬如昂贵的 CADtool license key, 那要藏在
何处? 拿出来用总会是解开放进去, 解开存的地方不就被扫到?!
6F:→ Lordaeron:你真的没有隐私观念及商业观念,就别讲好了 06/02 16:57
7F:→ Lordaeron:被大公司抄走,他先做出来, 你小公怎麽证明是你的? 06/02 16:57
8F:→ Lordaeron:要跟大公司打官司? 不会吧? 06/02 16:58
9F:→ Lordaeron:更别说一些个人的资讯了. 06/02 16:59
10F:→ roron:是啊. 而且我也不见得要抄你的设计用在我的产品这样才会对你 06/02 17:06
11F:→ roron:造成伤害. 很多时候我知道你 "即将上市的产品" 在搞些甚麽鬼 06/02 17:07
12F:→ roron:这个情报本身就已经很具杀伤力了. TSMC厉害之处也就是它能让 06/02 17:07
13F:→ roron:客户真的很信任他背後不会去做诸如此类的勾当 06/02 17:08
任何公司对机密的电路图都会藏进几个奇怪的东东, 用IC Mask图全抄不被抓
出来才怪, 大公司如果偷人家的还敢先做出来冒充, 那就拿出研发记录来呈堂
捡验. 大公司被告油水才够多够让律师咬!
IC MASK layout 图不会注明用途与用在那里, 台积电通常也不知道那个IC如
何搭配电路成为某种产品, 等量产时才知道, 兜上人家公司跟产品就吃跟屁风.
14F:→ Lordaeron:你真的不要再讲下去了, 你藏是你家的事,我先做出来 06/02 17:34
15F:→ Lordaeron:在法律上, 就是我的, 我还告你侵权呢. 06/02 17:34
16F:→ Lordaeron:明白什麽叫法律吗? 我(这种大公司)还有闲人去申请专利呢 06/02 17:35
17F:→ Lordaeron:see? 06/02 17:35
18F:→ Lordaeron:你没商业观念,没法律观念,就别讲下去好了 06/02 17:36
别闹离题. 你要全抄, 就回答为何这样的输入会出现某种古怪的现象与效果? 小
公司岂只是藏? 关键不可少之处有额外作用是用抄就能知道的? 先做出, 竟然会
不知道这样用时, 这个设计的结果会这样? 要犯同样的好几个 怪错, 就先摊吧!
做系统做硬体的看来比只做软体的, 知道如何保护与运用智财权武器还找廉价工.
19F:→ Lordaeron:别以为别人都是笨蛋只有你最聪明,你以为你设计的东西别 06/02 17:47
20F:→ Lordaeron:人一定看不懂, 哪完全是你自作聪明的想法而已. 06/02 17:48
21F:→ Lordaeron:但不管如何,小公司就是受不了这种损失,更别说要跟大公司 06/02 17:48
22F:→ Lordaeron:打官司了. 06/02 17:48
一点都不用聪明. 从IC layout 图要还原为电路图, 还能还原找出功能方块的相互
作用, 预测出特殊效果, 那岂只是天才? 原设计者特意做进去的会那麽容易被看出?
做云端的, 应该就要跟开旅馆的一样, 会给租户专用的保险柜--最高明的应该是软
体做的保险柜!
23F:→ Lordaeron:对了,今天的新闻gmail又被hack 了,云端有多安全? 06/02 17:56
云端不安全, 扫毒的才更有发展空间. 就算不在云端, 扫毒的还不是在全机都扫?
24F:→ OpenSolaris:总之,重要文件别摆云端就比较没事。 06/02 18:12
25F:→ Lordaeron:最天才的只有你罗. 而扫毒压根只是买心安的而已. 06/02 18:18
那就是摆在自己的PC, 再用随意下载的防毒软体高兴的让他扫?
如果云端能提供租户专用的保险柜又会是如何? software license key 不重要?!
26F:→ Lordaeron:而将自己电脑的东西,全都放给某甲公司, 就是脑残的行为 06/02 18:18
27F:→ Lordaeron:因为连政府股份的金资都出事, 你私人公司, 我怎麽信. 06/02 18:20
28F:→ Lordaeron:我自己快二十年没用防毒软体了,除了帮朋友处理外. 06/02 18:28
29F:→ Lordaeron:给你柜又如何? 你要自己管? 自己管的话何苦去租? 06/02 18:28
软体的保险柜除了藏, 还要能配合着外面的应用软体想查看给看又有遮阳伞护
着不泄密, 验过了就踪迹全消放回保险柜. 这种柜PC也是想要的, 只是云端的
还要脱离云端系统管理员, 管理员与租户各自只能看见各自的.
30F:→ Lordaeron:云端扫毒,这种没稳私观念的, 实在是只能是口号 06/02 18:57
担心云端, 何不也担心一般PC里面一天到晚在里面扫的各类软体(如扫毒)?!
31F:推 luciferii:IC图不重要? 那某些大厂被偷的图倒底是谁在偷? 06/02 21:06
从个别电脑里面偷, 还是从云端偷, 都是担心被偷. 做晶圆代工的是不敢偷,
无从偷, 还是偷不动? 这不就是传统保险柜的概念? 晶圆代工厂也还是怕泄
漏客户的秘密, 那他们又如何防电脑管理人员偷走机密? 不准扫毒吗?
32F:→ Lordaeron:你哪国来的?我没在用扫毒,也不建议用扫毒,因为我认为 06/02 21:45
33F:→ Lordaeron:它九成有心的都扫不到 06/02 21:46
34F:→ Lordaeron:也因为我有一点点的隐私的观念,所以我不会认为云端扫毒 06/02 21:46
35F:→ Lordaeron:这个笑话式的"技术" 是个什麽好东西 06/02 21:47
36F:→ elase2000:你都敢用微软的作业系统了.怎麽不怕它把资料带走. 06/02 21:53
37F:→ Lordaeron:怕啊,它以前就干过了啊,难道你用linux 你不怕? 06/02 22:30
38F:→ Lordaeron:你有k 过redhat/ubuntu 的source 吗? 你用的真的跟 06/02 22:30
39F:→ Lordaeron:source 一样的吗? 还要不要玩文字游戏? 06/02 22:31
40F:→ Winggy:..... 连云端防毒这些东西的机制都没基本概念又开始衍伸了 06/02 22:32
41F:→ Winggy:曾老师... 我真的有点失望 06/02 22:32
42F:→ Lordaeron:哦,看来你会知道才会这样子讲,它有什麽机制呢? 06/02 22:43
43F:→ Lordaeron:如果有损失,要如何举证呢? 还是只能任由损失呢? 06/02 22:43
44F:→ Winggy:第一个问题我不想回答 第二个问题...你要不要考虑买个 DLP? 06/02 23:36
45F:→ Winggy:或是你搞个 protocol sniffer 自己全部都录喽 06/02 23:37
46F:→ Lordaeron:第二个你还是没回答到啊,今天要是我用你的云云云端 06/02 23:37
47F:→ Lordaeron:原来是没什麽保障的,还得付钱? 任何厂商,都得检讲清楚 06/02 23:38
48F:→ Lordaeron:赔偿的方式, 这很正常.but 你一副不想回答的,我就不知 06/02 23:39
49F:→ Lordaeron:为何了, 不是质疑别人不懂? 你懂又不回答? 06/02 23:40
50F:→ Winggy:你不是在问怎麽举证 ? 06/02 23:42
51F:→ Lordaeron:举证是第一个,怎麽赔也是重点. 06/02 23:43
52F:→ Winggy:怎麽赔就是你要去找律师了 你问工程师有鸟用 ? 06/02 23:44
53F:→ Lordaeron:果然又是一位出来闹的,你不是知道机制? 06/02 23:45
54F:→ Winggy:...... 这跟赔根本就两回事 麻烦逻辑清楚一点 06/02 23:46
55F:→ Lordaeron:sniffer/DLP? 可以让你知道对方拿去盗用这麽神? 06/02 23:47
56F:→ Winggy:至少先举证对方有东西 不然你从何搞起 ? 06/02 23:47
57F:→ Lordaeron:机制包括商业部分及技术部分. 不然你只懂技术部分, 你就 06/02 23:47
58F:→ Lordaeron:讲一下,如何保证 不会读取不该读的. 06/02 23:48
59F:→ Winggy:我还蛮确定每家厂商都有个东西叫做 EULA 06/02 23:53
60F:→ Winggy:如果你这麽 paranoid, 建议自己从 OS 干起 就没有这些疑虑 06/02 23:54
61F:→ Winggy:啊 最好连CPU都自己设计,机板自己拉 毕竟也有硬体後门先例 06/02 23:55
62F:→ Lordaeron:哦..原来是这样,说法是将问题一刀切,反正不是有就是 06/03 00:04
63F:→ Lordaeron:没有,然後将说法再扯到硬体及OS 上去,以避开说明 06/03 00:05
64F:→ Lordaeron:你可以的话,还是重点说吧 06/03 00:06
65F:→ Lordaeron:microsoft 有前例被告及被罚了 06/03 00:06
66F:→ Winggy:我只能说, 本篇文章的基本假设是云端防毒是把所有在系统 06/03 00:12
67F:→ Winggy:上面活动的档案全部都抛到云端上去 "扫毒" 06/03 00:13
68F:→ Winggy:这个假设是完全错误的 所以後续的讨论一点意义都没有 06/03 00:13
69F:→ Winggy:至於本篇还有提到什麽(一)(二)之类的 问防毒公司搞错边了吧 06/03 00:27
70F:→ Winggy:那个明明都是黑暗界在搞的, 挖资料找市场卖 06/03 00:28
改过来写好了: 扫毒与云端
放在 PC 上的私人资料会不会被冒充或恶意的扫毒软体扫走? (不用扯云端扫毒)
租用云端的虚拟机跑需要 license key 的 CADtool, license key 在云端虚拟
机上会不会被管云端的 操作管理人员 扫(偷看)走?
技术上要怎麽打开 license key 来用, 又不必怕被扫走?
※ 编辑: ggg12345 来自: 140.115.5.14 (06/03 00:53)
71F:→ Winggy:1. 这个问题根本跟扫毒无关 你用未受信赖的软体一样 会 06/03 00:58
72F:→ Lordaeron:基本上,我就只有看到现在的扫毒软体,什麽屎档都scan 06/03 00:59
73F:→ Winggy:2. 这个问题根本跟云端扫毒一点关系都没有 06/03 00:59
74F:→ Lordaeron:所以你讲的话,完全是个错误. 06/03 00:59
75F:→ Winggy: 那 请问你 license key 被偷走你的损失在哪 ? 06/03 00:59
76F:→ Winggy:3. 技术上的解法的话 ... 用盗版 ? 06/03 01:00
77F:→ Winggy:L 先生...host端原本就会每个档案都扫, 这跟云端关系在哪? 06/03 01:04
78F:推 Winggy:host端原本就只是个probe,把认为可能有问题的样本收集回报 06/03 01:08
79F:推 luciferii:老师的问题请找 Cloud Security Alliance 06/03 01:50
80F:→ luciferii:不过在质疑到云端前,现在可以先质疑ISP/ASP/Collo机房 06/03 01:51
81F:→ luciferii:的一线打工OP1会不会干这种事... 06/03 01:51
82F:推 luciferii:另,微软被告偷资料还被判刑? 是指哪件事? 06/03 01:56
83F:推 luciferii:你不希望防毒什麽屎档都 scan...就设排除不就好了? 06/03 02:00
84F:→ Lordaeron:Cloud Security Alliance? 你有举公守法? 06/03 06:37
85F:→ Lordaeron:microsoft偷传user 行为哪件事, 设排除? 哦..... 06/03 06:38
86F:→ Lordaeron:所以你都有设?排除? 不如设只它能scan? 06/03 06:39
87F:→ Lordaeron:致於跟云端何关?既然你不知何关,请问你又说它是错? 06/03 06:40
88F:→ Lordaeron:怪!!! 06/03 06:41
89F:→ Lordaeron:整理一下,从Winggy及luciferii 得到的结论就是 06/03 07:50
90F:→ Lordaeron:怕就别用,用就别怕. 你情我愿而已. 致於会不会做坏事 06/03 07:52
91F:→ Lordaeron:这个问题->不与回答. 06/03 07:53
92F:推 ledia:听起来满合理的 XD 06/03 07:59
93F:→ ledia:甚至连到便利商店买饮料好像都是如此 XD 06/03 08:00
94F:→ Winggy:跟不懂云端防毒搞啥玩意的很痛苦 把不同的两个东西硬说一样 06/03 08:12
95F:→ Winggy:所以我才问 L 先生关系在哪 这样也会被说我不知道何关 XD 06/03 08:13
96F:→ iincho:这个问题的确要和扫毒脱钩啊,基本上我是不信云端隐私这东 06/03 09:51
97F:→ iincho:西,但是说扫毒会泄露隐私...这又是引伸太超过.. 06/03 09:51
98F:推 luciferii:W明明是要打老师脸...L自愿跳出来挡..是叫舍身攻击吗? 06/03 10:03
99F:推 luciferii:用人家的软体/服务本来就是你情我愿,W说你不信任它可以 06/03 10:07
100F:→ luciferii:自行监督,我说你不信任它可以自己设定, 但是你都不愿意 06/03 10:08
101F:→ luciferii:那我就不知道软体商要作到什麽程度才能被信任了 06/03 10:09
102F:推 luciferii:照这种标准, 你永远不会相信任一软体厂商不作坏事 06/03 10:12
103F:→ luciferii:那就只好什麽都不要用吧 06/03 10:13
104F:推 luciferii:老师和L刚好表现两种极端, 一种对云端有天马行空幻想... 06/03 10:20
105F:→ luciferii:一种是对云端什麽都不信任什麽都反.. 06/03 10:20
106F:→ luciferii:但两者心态都来自W提过的...对云端防毒现况的错误猜测.. 06/03 10:20
107F:→ francej:讲难听点,你把东西放google,amazon可能还比放在国内安全:p 06/03 10:46
108F:→ francej:毕竟台湾的司法不是令人很有信心说.. 06/03 10:47
109F:→ askeing:「什麽framework都不用、什麽防毒都不用」 06/03 10:51
110F:→ askeing:期待哪天看到更强大的「什麽OS都不用」之类的 :P 06/03 10:51
111F:→ Winggy:讲个最实在的一点 这些什麽云端的实体安全绝对做得比个人好 06/03 11:24
112F:→ Lordaeron:云端的实体安全绝对做得比个人好? 你怎麽知道? 06/03 12:23
113F:→ Lordaeron:我信云端? 私有云可以啊. IBM在大陆卖了四年了,多爽 06/03 12:24
114F:→ Winggy:楼上 实体安全涵盖的范围你真的知道吗? 知道还有这个问题? 06/03 12:51
115F:→ Lordaeron:我不知道啊, 等你讲呢. 不要又不想讲哦 06/03 13:13
116F:→ Lordaeron:因为我还在等你的机制.... 06/03 13:13
117F:→ Lordaeron:忘了回一下luciferii, 云端就是要省钱是吧? 06/03 13:25
118F:→ Lordaeron:要自行监督, 要钱, 要人. 要自己设定, 要钱, 要人 06/03 13:26
119F:→ Lordaeron:啊? 不是说可以省钱哦. 06/03 13:26
120F:推 damaskala:只要使用观念好 几乎不会中毒 06/03 14:12
121F:→ Winggy:CISSP 有一个 chapter 就讲实体安全 你可以先去翻一下喔 06/03 14:26
122F:→ Winggy:光是你家的电力空调消防设施就不及格了 怎麽跟人家比 06/03 14:28
123F:→ Winggy:谁说云端只有省钱的?你放在公司就不必自己设定不必钱不必人 06/03 14:30
124F:→ shadow0326:越来越不想来soft_job板了 总是有些人口气让人反感 06/03 15:11
125F:推 Apohades:Lordaerond请问您新闻有好好的看吗? GOOGLE并没有被骇... 06/03 23:20
126F:→ Lordaeron:我看zdnet 不知你看什麽新闻呢 06/04 22:14
127F:→ Lordaeron:哦,云端给小公司, 不必要, 因为他没有24小时运作 06/04 22:15
128F:→ Lordaeron:PC 可以一天只开7小时, 当机就重开 06/04 22:15
129F:→ Lordaeron:大公司了, 就自己买私有云就好了. 致於你说的 06/04 22:18
130F:→ Lordaeron:电力空调消防设施就不及格, 不知哪家大公司的机房是 06/04 22:18
131F:→ Lordaeron:不及格的呢? 非得要你云端公司的才及格 06/04 22:18
132F:→ Lordaeron:哪如果一家大公司,将自身的机房都去掉,租用你的云端 06/04 22:20
133F:→ Lordaeron:然後还要hire 人来管理你云端的机器,不就有点, 神奇? 06/04 22:20
134F:→ Lordaeron:致於云端扫毒的问题,还是在於,要我将电脑里的你的防毒 06/04 22:21
135F:→ Lordaeron:认为"可疑" 的软体传到你的防毒云端. 就真的很可疑了 06/04 22:22
136F:→ Lordaeron:当然,有人的机制到现在都还未讲出来, 我还在等....6/4了 06/04 22:22
137F:→ Lordaeron:Winggy,你还是好好的回一下, 你的机制是如何能让人安心 06/04 22:25
138F:→ Lordaeron:使用你的云端防毒吧,不要扯到实体安全了.绕很远了呢 06/04 22:26
139F:推 luciferii:你应该先听话用 sniffer 看看云端扫毒是不是把你的可疑 06/04 23:19
140F:→ luciferii:档案上传回去再来质疑...前题就错误後面就不用讨论了 06/04 23:19
141F:→ luciferii:我记得前一串有人已经讲过基本的机制 06/04 23:20
142F:→ luciferii:还有在云端作扫毒,跟云端扫毒是两码事...你和老师两个 06/04 23:21
143F:→ luciferii:讲到後来都混在一起了... 06/04 23:21
144F:→ Winggy:我想我不需要浪费时间.. 反正这家伙只是为反对而反对 :p 06/04 23:55
145F:→ Lordaeron:哦...讲不下去就这样子讲了, 说有机制的是你,现在变成 06/04 23:58
146F:→ Lordaeron:是我有问题,我在问你机制呢? 06/04 23:59
147F:→ Lordaeron:luciferii,请问哪一篇呢. 06/05 00:00
148F:→ Lordaeron:哦, 我想了一下,曾经看到有人说可以传hash 值这种天才 06/05 22:04
149F:→ Lordaeron:想法,希望不是这一篇吧 06/05 22:05
150F:推 luciferii:我看了一下果然有,而且有被mark... 06/06 23:48
151F:→ Lordaeron:是哪一篇呢, 请指明吧, 你口中的机制. 06/07 21:47
152F:推 luciferii:如果指的这麽明你都找不到,我相信是你看不懂他在写什麽 06/09 02:14
153F:推 luciferii:那个讨论串也就一篇被mark 06/09 02:19
154F:→ Lordaeron:就是哪句特徵码, 什麽是不就是hash 一段code後的结果 06/09 20:57
155F:→ Lordaeron:从云端下载来分析这种自打嘴吧的话,不是说吃bandwidth? 06/09 20:58
156F:推 luciferii:特徵码就是hash一段code? 所以就说你完全看不懂... 06/09 23:09