作者ggg12345 (ggg)
看板Soft_Job
標題[討論] 雲端與掃毒=掃走機密資訊怎麼辦?!
時間Thu Jun 2 14:30:56 2011
借 sniffer 炒熱題, 再問: 雲端的管理人員是否能掃走在雲端的程式機密,
如 keygen, 開啟軟體的 secret key.
掃毒程式掃的位置從記憶體到任何儲存裝置都能掃, 雲端的主機(Host)歸
提供雲端服務的操作人員管理, 也是任何的 guest VM space 都能掃得到,
這是否造成機密資訊被竊? 有防止的方法嗎?
===================================================================
sniffer 的疑問 可把掃毒改用挖金礦來看, 找大公司的重要機密資訊(一),
也找出相關有興趣者(二.的動作), 提供供需雙方的另類行銷服務.
===================================================================
※ 引述《sniffer (again)》之銘言:
: 標題: [技術] 雲端掃毒=用你的資源幫廠商
: 雲端掃毒, 有網友說是只要檔案上傳檢查碼, 雲端告訴你有沒有問題,
: 一、 一個檔案用"你"的cpu掃過毒, 沒問題後, 用"你的"網路上傳到 server, 成為資料庫
: 可能只上傳 digest, 也可能上傳整個檔
: 問題:
: 1. 憑什麼用你的 cpu 幫他驗證
: 2. 憑什麼上傳你電腦的資訊給他用
: 3. 如果整個檔上傳, 還有版權問題, 作者有同意嗎
: 4. 如果沒上傳這個檔, server 怎麼知道你電腦真的有掃過, 不是山寨 client
:
: 二、 下次別人掃毒, 只要檔案跟你一樣, digest 就一樣, 就不用掃,
: 上傳 digest 比對就好
: 問題:
: 1. digest 不代表不能假造, 他用哪種演算法? crc 的話等於沒用
: 2. server 會知道你跟某人檔案版本一樣, 隱私安全無保障
:
1F:→ roron:台積電把qualcomm, nvidia, ati, mtk的光罩設計都看光光 06/02 15:18
2F:→ roron:ic設計的機密都被台積電給盜去怎麼辦? 06/02 15:19
IC Mask layout 的圖又不是電路設計原圖, 更不是設計文件, 抄走一個 Layout
圖又不是查不出來, IC 蓋子一打開, 跟圖章一樣比對就抓出來了.
掃你的電腦抄走提款卡密鑰, 比對相同又能怎樣? 去提款的人不會笨到是雲端偷
看的.
3F:推 iincho:這的確是一個問題,所以我都不把敏感資料丟上server.. 06/02 16:11
4F:→ iincho:要丟到原端的某些資料先給他用private key加密一次再說XD 06/02 16:11
5F:推 sniffer:加密了掃不了毒 06/02 16:30
假如現在所有資料(包含重要的提款 key)都要移到雲端去做處理, key 總要拿出
來在雲端 guest machine 上使用, 譬如昂貴的 CADtool license key, 那要藏在
何處? 拿出來用總會是解開放進去, 解開存的地方不就被掃到?!
6F:→ Lordaeron:你真的沒有隱私觀念及商業觀念,就別講好了 06/02 16:57
7F:→ Lordaeron:被大公司抄走,他先做出來, 你小公怎麼證明是你的? 06/02 16:57
8F:→ Lordaeron:要跟大公司打官司? 不會吧? 06/02 16:58
9F:→ Lordaeron:更別說一些個人的資訊了. 06/02 16:59
10F:→ roron:是啊. 而且我也不見得要抄你的設計用在我的產品這樣才會對你 06/02 17:06
11F:→ roron:造成傷害. 很多時候我知道你 "即將上市的產品" 在搞些甚麼鬼 06/02 17:07
12F:→ roron:這個情報本身就已經很具殺傷力了. TSMC厲害之處也就是它能讓 06/02 17:07
13F:→ roron:客戶真的很信任他背後不會去做諸如此類的勾當 06/02 17:08
任何公司對機密的電路圖都會藏進幾個奇怪的東東, 用IC Mask圖全抄不被抓
出來才怪, 大公司如果偷人家的還敢先做出來冒充, 那就拿出研發記錄來呈堂
撿驗. 大公司被告油水才夠多夠讓律師咬!
IC MASK layout 圖不會註明用途與用在那裡, 台積電通常也不知道那個IC如
何搭配電路成為某種產品, 等量產時才知道, 兜上人家公司跟產品就吃跟屁風.
14F:→ Lordaeron:你真的不要再講下去了, 你藏是你家的事,我先做出來 06/02 17:34
15F:→ Lordaeron:在法律上, 就是我的, 我還告你侵權呢. 06/02 17:34
16F:→ Lordaeron:明白什麼叫法律嗎? 我(這種大公司)還有閒人去申請專利呢 06/02 17:35
17F:→ Lordaeron:see? 06/02 17:35
18F:→ Lordaeron:你沒商業觀念,沒法律觀念,就別講下去好了 06/02 17:36
別鬧離題. 你要全抄, 就回答為何這樣的輸入會出現某種古怪的現象與效果? 小
公司豈只是藏? 關鍵不可少之處有額外作用是用抄就能知道的? 先做出, 竟然會
不知道這樣用時, 這個設計的結果會這樣? 要犯同樣的好幾個 怪錯, 就先攤吧!
做系統做硬體的看來比只做軟體的, 知道如何保護與運用智財權武器還找廉價工.
19F:→ Lordaeron:別以為別人都是笨蛋只有你最聰明,你以為你設計的東西別 06/02 17:47
20F:→ Lordaeron:人一定看不懂, 哪完全是你自作聰明的想法而已. 06/02 17:48
21F:→ Lordaeron:但不管如何,小公司就是受不了這種損失,更別說要跟大公司 06/02 17:48
22F:→ Lordaeron:打官司了. 06/02 17:48
一點都不用聰明. 從IC layout 圖要還原為電路圖, 還能還原找出功能方塊的相互
作用, 預測出特殊效果, 那豈只是天才? 原設計者特意做進去的會那麼容易被看出?
做雲端的, 應該就要跟開旅館的一樣, 會給租戶專用的保險櫃--最高明的應該是軟
體做的保險櫃!
23F:→ Lordaeron:對了,今天的新聞gmail又被hack 了,雲端有多安全? 06/02 17:56
雲端不安全, 掃毒的才更有發展空間. 就算不在雲端, 掃毒的還不是在全機都掃?
24F:→ OpenSolaris:總之,重要文件別擺雲端就比較沒事。 06/02 18:12
25F:→ Lordaeron:最天才的只有你囉. 而掃毒壓根只是買心安的而已. 06/02 18:18
那就是擺在自己的PC, 再用隨意下載的防毒軟體高興的讓他掃?
如果雲端能提供租戶專用的保險櫃又會是如何? software license key 不重要?!
26F:→ Lordaeron:而將自己電腦的東西,全都放給某甲公司, 就是腦殘的行為 06/02 18:18
27F:→ Lordaeron:因為連政府股份的金資都出事, 你私人公司, 我怎麼信. 06/02 18:20
28F:→ Lordaeron:我自己快二十年沒用防毒軟體了,除了幫朋友處理外. 06/02 18:28
29F:→ Lordaeron:給你櫃又如何? 你要自己管? 自己管的話何苦去租? 06/02 18:28
軟體的保險櫃除了藏, 還要能配合著外面的應用軟體想查看給看又有遮陽傘護
著不洩密, 驗過了就蹤跡全消放回保險櫃. 這種櫃PC也是想要的, 只是雲端的
還要脫離雲端系統管理員, 管理員與租戶各自只能看見各自的.
30F:→ Lordaeron:雲端掃毒,這種沒穩私觀念的, 實在是只能是口號 06/02 18:57
擔心雲端, 何不也擔心一般PC裡面一天到晚在裡面掃的各類軟體(如掃毒)?!
31F:推 luciferii:IC圖不重要? 那某些大廠被偷的圖倒底是誰在偷? 06/02 21:06
從個別電腦裡面偷, 還是從雲端偷, 都是擔心被偷. 做晶圓代工的是不敢偷,
無從偷, 還是偷不動? 這不就是傳統保險櫃的概念? 晶圓代工廠也還是怕洩
漏客戶的秘密, 那他們又如何防電腦管理人員偷走機密? 不准掃毒嗎?
32F:→ Lordaeron:你哪國來的?我沒在用掃毒,也不建議用掃毒,因為我認為 06/02 21:45
33F:→ Lordaeron:它九成有心的都掃不到 06/02 21:46
34F:→ Lordaeron:也因為我有一點點的隱私的觀念,所以我不會認為雲端掃毒 06/02 21:46
35F:→ Lordaeron:這個笑話式的"技術" 是個什麼好東西 06/02 21:47
36F:→ elase2000:你都敢用微軟的作業系統了.怎麼不怕它把資料帶走. 06/02 21:53
37F:→ Lordaeron:怕啊,它以前就幹過了啊,難道你用linux 你不怕? 06/02 22:30
38F:→ Lordaeron:你有k 過redhat/ubuntu 的source 嗎? 你用的真的跟 06/02 22:30
39F:→ Lordaeron:source 一樣的嗎? 還要不要玩文字遊戲? 06/02 22:31
40F:→ Winggy:..... 連雲端防毒這些東西的機制都沒基本概念又開始衍伸了 06/02 22:32
41F:→ Winggy:曾老師... 我真的有點失望 06/02 22:32
42F:→ Lordaeron:哦,看來你會知道才會這樣子講,它有什麼機制呢? 06/02 22:43
43F:→ Lordaeron:如果有損失,要如何舉證呢? 還是只能任由損失呢? 06/02 22:43
44F:→ Winggy:第一個問題我不想回答 第二個問題...你要不要考慮買個 DLP? 06/02 23:36
45F:→ Winggy:或是你搞個 protocol sniffer 自己全部都錄嘍 06/02 23:37
46F:→ Lordaeron:第二個你還是沒回答到啊,今天要是我用你的雲雲雲端 06/02 23:37
47F:→ Lordaeron:原來是沒什麼保障的,還得付錢? 任何廠商,都得檢講清楚 06/02 23:38
48F:→ Lordaeron:賠償的方式, 這很正常.but 你一副不想回答的,我就不知 06/02 23:39
49F:→ Lordaeron:為何了, 不是質疑別人不懂? 你懂又不回答? 06/02 23:40
50F:→ Winggy:你不是在問怎麼舉證 ? 06/02 23:42
51F:→ Lordaeron:舉證是第一個,怎麼賠也是重點. 06/02 23:43
52F:→ Winggy:怎麼賠就是你要去找律師了 你問工程師有鳥用 ? 06/02 23:44
53F:→ Lordaeron:果然又是一位出來鬧的,你不是知道機制? 06/02 23:45
54F:→ Winggy:...... 這跟賠根本就兩回事 麻煩邏輯清楚一點 06/02 23:46
55F:→ Lordaeron:sniffer/DLP? 可以讓你知道對方拿去盜用這麼神? 06/02 23:47
56F:→ Winggy:至少先舉證對方有東西 不然你從何搞起 ? 06/02 23:47
57F:→ Lordaeron:機制包括商業部分及技術部分. 不然你只懂技術部分, 你就 06/02 23:47
58F:→ Lordaeron:講一下,如何保證 不會讀取不該讀的. 06/02 23:48
59F:→ Winggy:我還蠻確定每家廠商都有個東西叫做 EULA 06/02 23:53
60F:→ Winggy:如果你這麼 paranoid, 建議自己從 OS 幹起 就沒有這些疑慮 06/02 23:54
61F:→ Winggy:啊 最好連CPU都自己設計,機板自己拉 畢竟也有硬體後門先例 06/02 23:55
62F:→ Lordaeron:哦..原來是這樣,說法是將問題一刀切,反正不是有就是 06/03 00:04
63F:→ Lordaeron:沒有,然後將說法再扯到硬體及OS 上去,以避開說明 06/03 00:05
64F:→ Lordaeron:你可以的話,還是重點說吧 06/03 00:06
65F:→ Lordaeron:microsoft 有前例被告及被罰了 06/03 00:06
66F:→ Winggy:我只能說, 本篇文章的基本假設是雲端防毒是把所有在系統 06/03 00:12
67F:→ Winggy:上面活動的檔案全部都拋到雲端上去 "掃毒" 06/03 00:13
68F:→ Winggy:這個假設是完全錯誤的 所以後續的討論一點意義都沒有 06/03 00:13
69F:→ Winggy:至於本篇還有提到什麼(一)(二)之類的 問防毒公司搞錯邊了吧 06/03 00:27
70F:→ Winggy:那個明明都是黑暗界在搞的, 挖資料找市場賣 06/03 00:28
改過來寫好了: 掃毒與雲端
放在 PC 上的私人資料會不會被冒充或惡意的掃毒軟體掃走? (不用扯雲端掃毒)
租用雲端的虛擬機跑需要 license key 的 CADtool, license key 在雲端虛擬
機上會不會被管雲端的 操作管理人員 掃(偷看)走?
技術上要怎麼打開 license key 來用, 又不必怕被掃走?
※ 編輯: ggg12345 來自: 140.115.5.14 (06/03 00:53)
71F:→ Winggy:1. 這個問題根本跟掃毒無關 你用未受信賴的軟體一樣 會 06/03 00:58
72F:→ Lordaeron:基本上,我就只有看到現在的掃毒軟體,什麼屎檔都scan 06/03 00:59
73F:→ Winggy:2. 這個問題根本跟雲端掃毒一點關係都沒有 06/03 00:59
74F:→ Lordaeron:所以你講的話,完全是個錯誤. 06/03 00:59
75F:→ Winggy: 那 請問你 license key 被偷走你的損失在哪 ? 06/03 00:59
76F:→ Winggy:3. 技術上的解法的話 ... 用盜版 ? 06/03 01:00
77F:→ Winggy:L 先生...host端原本就會每個檔案都掃, 這跟雲端關係在哪? 06/03 01:04
78F:推 Winggy:host端原本就只是個probe,把認為可能有問題的樣本收集回報 06/03 01:08
79F:推 luciferii:老師的問題請找 Cloud Security Alliance 06/03 01:50
80F:→ luciferii:不過在質疑到雲端前,現在可以先質疑ISP/ASP/Collo機房 06/03 01:51
81F:→ luciferii:的一線打工OP1會不會幹這種事... 06/03 01:51
82F:推 luciferii:另,微軟被告偷資料還被判刑? 是指哪件事? 06/03 01:56
83F:推 luciferii:你不希望防毒什麼屎檔都 scan...就設排除不就好了? 06/03 02:00
84F:→ Lordaeron:Cloud Security Alliance? 你有舉公守法? 06/03 06:37
85F:→ Lordaeron:microsoft偷傳user 行為哪件事, 設排除? 哦..... 06/03 06:38
86F:→ Lordaeron:所以你都有設?排除? 不如設只它能scan? 06/03 06:39
87F:→ Lordaeron:致於跟雲端何關?既然你不知何關,請問你又說它是錯? 06/03 06:40
88F:→ Lordaeron:怪!!! 06/03 06:41
89F:→ Lordaeron:整理一下,從Winggy及luciferii 得到的結論就是 06/03 07:50
90F:→ Lordaeron:怕就別用,用就別怕. 你情我願而已. 致於會不會做壞事 06/03 07:52
91F:→ Lordaeron:這個問題->不與回答. 06/03 07:53
92F:推 ledia:聽起來滿合理的 XD 06/03 07:59
93F:→ ledia:甚至連到便利商店買飲料好像都是如此 XD 06/03 08:00
94F:→ Winggy:跟不懂雲端防毒搞啥玩意的很痛苦 把不同的兩個東西硬說一樣 06/03 08:12
95F:→ Winggy:所以我才問 L 先生關係在哪 這樣也會被說我不知道何關 XD 06/03 08:13
96F:→ iincho:這個問題的確要和掃毒脫鉤啊,基本上我是不信雲端隱私這東 06/03 09:51
97F:→ iincho:西,但是說掃毒會洩露隱私...這又是引伸太超過.. 06/03 09:51
98F:推 luciferii:W明明是要打老師臉...L自願跳出來擋..是叫捨身攻擊嗎? 06/03 10:03
99F:推 luciferii:用人家的軟體/服務本來就是你情我願,W說你不信任它可以 06/03 10:07
100F:→ luciferii:自行監督,我說你不信任它可以自己設定, 但是你都不願意 06/03 10:08
101F:→ luciferii:那我就不知道軟體商要作到什麼程度才能被信任了 06/03 10:09
102F:推 luciferii:照這種標準, 你永遠不會相信任一軟體廠商不作壞事 06/03 10:12
103F:→ luciferii:那就只好什麼都不要用吧 06/03 10:13
104F:推 luciferii:老師和L剛好表現兩種極端, 一種對雲端有天馬行空幻想... 06/03 10:20
105F:→ luciferii:一種是對雲端什麼都不信任什麼都反.. 06/03 10:20
106F:→ luciferii:但兩者心態都來自W提過的...對雲端防毒現況的錯誤猜測.. 06/03 10:20
107F:→ francej:講難聽點,你把東西放google,amazon可能還比放在國內安全:p 06/03 10:46
108F:→ francej:畢竟台灣的司法不是令人很有信心說.. 06/03 10:47
109F:→ askeing:「什麼framework都不用、什麼防毒都不用」 06/03 10:51
110F:→ askeing:期待哪天看到更強大的「什麼OS都不用」之類的 :P 06/03 10:51
111F:→ Winggy:講個最實在的一點 這些什麼雲端的實體安全絕對做得比個人好 06/03 11:24
112F:→ Lordaeron:雲端的實體安全絕對做得比個人好? 你怎麼知道? 06/03 12:23
113F:→ Lordaeron:我信雲端? 私有雲可以啊. IBM在大陸賣了四年了,多爽 06/03 12:24
114F:→ Winggy:樓上 實體安全涵蓋的範圍你真的知道嗎? 知道還有這個問題? 06/03 12:51
115F:→ Lordaeron:我不知道啊, 等你講呢. 不要又不想講哦 06/03 13:13
116F:→ Lordaeron:因為我還在等你的機制.... 06/03 13:13
117F:→ Lordaeron:忘了回一下luciferii, 雲端就是要省錢是吧? 06/03 13:25
118F:→ Lordaeron:要自行監督, 要錢, 要人. 要自己設定, 要錢, 要人 06/03 13:26
119F:→ Lordaeron:啊? 不是說可以省錢哦. 06/03 13:26
120F:推 damaskala:只要使用觀念好 幾乎不會中毒 06/03 14:12
121F:→ Winggy:CISSP 有一個 chapter 就講實體安全 你可以先去翻一下喔 06/03 14:26
122F:→ Winggy:光是你家的電力空調消防設施就不及格了 怎麼跟人家比 06/03 14:28
123F:→ Winggy:誰說雲端只有省錢的?你放在公司就不必自己設定不必錢不必人 06/03 14:30
124F:→ shadow0326:越來越不想來soft_job板了 總是有些人口氣讓人反感 06/03 15:11
125F:推 Apohades:Lordaerond請問您新聞有好好的看嗎? GOOGLE並沒有被駭... 06/03 23:20
126F:→ Lordaeron:我看zdnet 不知你看什麼新聞呢 06/04 22:14
127F:→ Lordaeron:哦,雲端給小公司, 不必要, 因為他沒有24小時運作 06/04 22:15
128F:→ Lordaeron:PC 可以一天只開7小時, 當機就重開 06/04 22:15
129F:→ Lordaeron:大公司了, 就自己買私有雲就好了. 致於你說的 06/04 22:18
130F:→ Lordaeron:電力空調消防設施就不及格, 不知哪家大公司的機房是 06/04 22:18
131F:→ Lordaeron:不及格的呢? 非得要你雲端公司的才及格 06/04 22:18
132F:→ Lordaeron:哪如果一家大公司,將自身的機房都去掉,租用你的雲端 06/04 22:20
133F:→ Lordaeron:然後還要hire 人來管理你雲端的機器,不就有點, 神奇? 06/04 22:20
134F:→ Lordaeron:致於雲端掃毒的問題,還是在於,要我將電腦裏的你的防毒 06/04 22:21
135F:→ Lordaeron:認為"可疑" 的軟體傳到你的防毒雲端. 就真的很可疑了 06/04 22:22
136F:→ Lordaeron:當然,有人的機制到現在都還未講出來, 我還在等....6/4了 06/04 22:22
137F:→ Lordaeron:Winggy,你還是好好的回一下, 你的機制是如何能讓人安心 06/04 22:25
138F:→ Lordaeron:使用你的雲端防毒吧,不要扯到實體安全了.繞很遠了呢 06/04 22:26
139F:推 luciferii:你應該先聽話用 sniffer 看看雲端掃毒是不是把你的可疑 06/04 23:19
140F:→ luciferii:檔案上傳回去再來質疑...前題就錯誤後面就不用討論了 06/04 23:19
141F:→ luciferii:我記得前一串有人已經講過基本的機制 06/04 23:20
142F:→ luciferii:還有在雲端作掃毒,跟雲端掃毒是兩碼事...你和老師兩個 06/04 23:21
143F:→ luciferii:講到後來都混在一起了... 06/04 23:21
144F:→ Winggy:我想我不需要浪費時間.. 反正這傢伙只是為反對而反對 :p 06/04 23:55
145F:→ Lordaeron:哦...講不下去就這樣子講了, 說有機制的是你,現在變成 06/04 23:58
146F:→ Lordaeron:是我有問題,我在問你機制呢? 06/04 23:59
147F:→ Lordaeron:luciferii,請問哪一篇呢. 06/05 00:00
148F:→ Lordaeron:哦, 我想了一下,曾經看到有人說可以傳hash 值這種天才 06/05 22:04
149F:→ Lordaeron:想法,希望不是這一篇吧 06/05 22:05
150F:推 luciferii:我看了一下果然有,而且有被mark... 06/06 23:48
151F:→ Lordaeron:是哪一篇呢, 請指明吧, 你口中的機制. 06/07 21:47
152F:推 luciferii:如果指的這麼明你都找不到,我相信是你看不懂他在寫什麼 06/09 02:14
153F:推 luciferii:那個討論串也就一篇被mark 06/09 02:19
154F:→ Lordaeron:就是哪句特徵碼, 什麼是不就是hash 一段code後的結果 06/09 20:57
155F:→ Lordaeron:從雲端下載來分析這種自打嘴吧的話,不是說吃bandwidth? 06/09 20:58
156F:推 luciferii:特徵碼就是hash一段code? 所以就說你完全看不懂... 06/09 23:09