[討論] 雲端與掃毒=掃走機密資訊怎麼辦?!

借 sniffer 炒熱題, 再問: 雲端的管理人員是否能掃走在雲端的程式機密, 如 keygen, 開啟軟體的 secret key. 掃毒程式掃的位置從記憶體到任何儲存裝置都能掃, 雲端的主機(Host)歸 提供雲端服務的操作人員管理, 也是任何的 guest VM space 都能掃得到, 這是否造成機密資訊被竊? 有防止的方法嗎? =================================================================== sniffer 的疑問 可把掃毒改用挖金礦來看, 找大公司的重要機密資訊(一), 也找出相關有興趣者(二.的動作), 提供供需雙方的另類行銷服務. =================================================================== : 標題: [技術] 雲端掃毒=用你的資源幫廠商 : 雲端掃毒, 有網友說是只要檔案上傳檢查碼, 雲端告訴你有沒有問題, : 一、 一個檔案用"你"的cpu掃過毒, 沒問題後, 用"你的"網路上傳到 server, 成為資料庫 : 可能只上傳 digest, 也可能上傳整個檔 : 問題: : 1. 憑什麼用你的 cpu 幫他驗證 : 2. 憑什麼上傳你電腦的資訊給他用 : 3. 如果整個檔上傳, 還有版權問題, 作者有同意嗎 : 4. 如果沒上傳這個檔, server 怎麼知道你電腦真的有掃過, 不是山寨 client : : 二、 下次別人掃毒, 只要檔案跟你一樣, digest 就一樣, 就不用掃, : 上傳 digest 比對就好 : 問題: : 1. digest 不代表不能假造, 他用哪種演算法? crc 的話等於沒用 : 2. server 會知道你跟某人檔案版本一樣, 隱私安全無保障 : IC Mask layout 的圖又不是電路設計原圖, 更不是設計文件, 抄走一個 Layout 圖又不是查不出來, IC 蓋子一打開, 跟圖章一樣比對就抓出來了. 掃你的電腦抄走提款卡密鑰, 比對相同又能怎樣? 去提款的人不會笨到是雲端偷 看的. 假如現在所有資料(包含重要的提款 key)都要移到雲端去做處理, key 總要拿出 來在雲端 guest machine 上使用, 譬如昂貴的 CADtool license key, 那要藏在 何處? 拿出來用總會是解開放進去, 解開存的地方不就被掃到?! 任何公司對機密的電路圖都會藏進幾個奇怪的東東, 用IC Mask圖全抄不被抓 出來才怪, 大公司如果偷人家的還敢先做出來冒充, 那就拿出研發記錄來呈堂 撿驗. 大公司被告油水才夠多夠讓律師咬! IC MASK layout 圖不會註明用途與用在那裡, 台積電通常也不知道那個IC如 何搭配電路成為某種產品, 等量產時才知道, 兜上人家公司跟產品就吃跟屁風. 別鬧離題. 你要全抄, 就回答為何這樣的輸入會出現某種古怪的現象與效果? 小 公司豈只是藏? 關鍵不可少之處有額外作用是用抄就能知道的? 先做出, 竟然會 不知道這樣用時, 這個設計的結果會這樣? 要犯同樣的好幾個 怪錯, 就先攤吧! 做系統做硬體的看來比只做軟體的, 知道如何保護與運用智財權武器還找廉價工. 一點都不用聰明. 從IC layout 圖要還原為電路圖, 還能還原找出功能方塊的相互 作用, 預測出特殊效果, 那豈只是天才? 原設計者特意做進去的會那麼容易被看出? 做雲端的, 應該就要跟開旅館的一樣, 會給租戶專用的保險櫃--最高明的應該是軟 體做的保險櫃! 雲端不安全, 掃毒的才更有發展空間. 就算不在雲端, 掃毒的還不是在全機都掃? 那就是擺在自己的PC, 再用隨意下載的防毒軟體高興的讓他掃? 如果雲端能提供租戶專用的保險櫃又會是如何? software license key 不重要?! 軟體的保險櫃除了藏, 還要能配合著外面的應用軟體想查看給看又有遮陽傘護 著不洩密, 驗過了就蹤跡全消放回保險櫃. 這種櫃PC也是想要的, 只是雲端的 還要脫離雲端系統管理員, 管理員與租戶各自只能看見各自的. 擔心雲端, 何不也擔心一般PC裡面一天到晚在裡面掃的各類軟體(如掃毒)?! 從個別電腦裡面偷, 還是從雲端偷, 都是擔心被偷. 做晶圓代工的是不敢偷, 無從偷, 還是偷不動? 這不就是傳統保險櫃的概念? 晶圓代工廠也還是怕洩 漏客戶的秘密, 那他們又如何防電腦管理人員偷走機密? 不准掃毒嗎? 改過來寫好了: 掃毒與雲端 放在 PC 上的私人資料會不會被冒充或惡意的掃毒軟體掃走? (不用扯雲端掃毒) 租用雲端的虛擬機跑需要 license key 的 CADtool, license key 在雲端虛擬 機上會不會被管雲端的 操作管理人員 掃(偷看)走? 技術上要怎麼打開 license key 來用, 又不必怕被掃走?
※ ggg12345 來自: 140.115.5.14 (06/03 00:53)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1306996258.A.1C6.html

→ roron:台積電把qualcomm, nvidia, ati, mtk的光罩設計都看光光 06/02 15:18

→ roron:ic設計的機密都被台積電給盜去怎麼辦? 06/02 15:19

推 iincho:這的確是一個問題，所以我都不把敏感資料丟上server.. 06/02 16:11

→ iincho:要丟到原端的某些資料先給他用private key加密一次再說XD 06/02 16:11

推 sniffer:加密了掃不了毒 06/02 16:30

→ Lordaeron:你真的沒有隱私觀念及商業觀念,就別講好了 06/02 16:57

→ Lordaeron:被大公司抄走,他先做出來, 你小公怎麼證明是你的? 06/02 16:57

→ Lordaeron:要跟大公司打官司? 不會吧? 06/02 16:58

→ Lordaeron:更別說一些個人的資訊了. 06/02 16:59

→ roron:是啊. 而且我也不見得要抄你的設計用在我的產品這樣才會對你 06/02 17:06

→ roron:造成傷害. 很多時候我知道你 "即將上市的產品" 在搞些甚麼鬼 06/02 17:07

→ roron:這個情報本身就已經很具殺傷力了. TSMC厲害之處也就是它能讓 06/02 17:07

→ roron:客戶真的很信任他背後不會去做諸如此類的勾當 06/02 17:08

→ Lordaeron:你真的不要再講下去了, 你藏是你家的事,我先做出來 06/02 17:34

→ Lordaeron:在法律上, 就是我的, 我還告你侵權呢. 06/02 17:34

→ Lordaeron:明白什麼叫法律嗎? 我(這種大公司)還有閒人去申請專利呢 06/02 17:35

→ Lordaeron:see? 06/02 17:35

→ Lordaeron:你沒商業觀念,沒法律觀念,就別講下去好了 06/02 17:36

→ Lordaeron:別以為別人都是笨蛋只有你最聰明,你以為你設計的東西別 06/02 17:47

→ Lordaeron:人一定看不懂, 哪完全是你自作聰明的想法而已. 06/02 17:48

→ Lordaeron:但不管如何,小公司就是受不了這種損失,更別說要跟大公司 06/02 17:48

→ Lordaeron:打官司了. 06/02 17:48

→ Lordaeron:對了,今天的新聞gmail又被hack 了,雲端有多安全? 06/02 17:56

→ OpenSolaris:總之，重要文件別擺雲端就比較沒事。 06/02 18:12

→ Lordaeron:最天才的只有你囉. 而掃毒壓根只是買心安的而已. 06/02 18:18

→ Lordaeron:而將自己電腦的東西,全都放給某甲公司, 就是腦殘的行為 06/02 18:18

→ Lordaeron:因為連政府股份的金資都出事, 你私人公司, 我怎麼信. 06/02 18:20

→ Lordaeron:我自己快二十年沒用防毒軟體了,除了幫朋友處理外. 06/02 18:28

→ Lordaeron:給你櫃又如何? 你要自己管? 自己管的話何苦去租? 06/02 18:28

→ Lordaeron:雲端掃毒,這種沒穩私觀念的, 實在是只能是口號 06/02 18:57

推 luciferii:IC圖不重要? 那某些大廠被偷的圖倒底是誰在偷? 06/02 21:06

→ Lordaeron:你哪國來的?我沒在用掃毒,也不建議用掃毒,因為我認為 06/02 21:45

→ Lordaeron:它九成有心的都掃不到 06/02 21:46

→ Lordaeron:也因為我有一點點的隱私的觀念,所以我不會認為雲端掃毒 06/02 21:46

→ Lordaeron:這個笑話式的"技術" 是個什麼好東西 06/02 21:47

→ elase2000:你都敢用微軟的作業系統了.怎麼不怕它把資料帶走. 06/02 21:53

→ Lordaeron:怕啊,它以前就幹過了啊,難道你用linux 你不怕? 06/02 22:30

→ Lordaeron:你有k 過redhat/ubuntu 的source 嗎? 你用的真的跟 06/02 22:30

→ Lordaeron:source 一樣的嗎? 還要不要玩文字遊戲? 06/02 22:31

→ Winggy:..... 連雲端防毒這些東西的機制都沒基本概念又開始衍伸了 06/02 22:32

→ Winggy:曾老師... 我真的有點失望 06/02 22:32

→ Lordaeron:哦,看來你會知道才會這樣子講,它有什麼機制呢? 06/02 22:43

→ Lordaeron:如果有損失,要如何舉證呢? 還是只能任由損失呢? 06/02 22:43

→ Winggy:第一個問題我不想回答 第二個問題...你要不要考慮買個 DLP? 06/02 23:36

→ Winggy:或是你搞個 protocol sniffer 自己全部都錄嘍 06/02 23:37

→ Lordaeron:第二個你還是沒回答到啊,今天要是我用你的雲雲雲端 06/02 23:37

→ Lordaeron:原來是沒什麼保障的,還得付錢? 任何廠商,都得檢講清楚 06/02 23:38

→ Lordaeron:賠償的方式, 這很正常.but 你一副不想回答的,我就不知 06/02 23:39

→ Lordaeron:為何了, 不是質疑別人不懂? 你懂又不回答? 06/02 23:40

→ Winggy:你不是在問怎麼舉證 ? 06/02 23:42

→ Lordaeron:舉證是第一個,怎麼賠也是重點. 06/02 23:43

→ Winggy:怎麼賠就是你要去找律師了 你問工程師有鳥用 ? 06/02 23:44

→ Lordaeron:果然又是一位出來鬧的,你不是知道機制? 06/02 23:45

→ Winggy:...... 這跟賠根本就兩回事 麻煩邏輯清楚一點 06/02 23:46

→ Lordaeron:sniffer/DLP? 可以讓你知道對方拿去盜用這麼神? 06/02 23:47

→ Winggy:至少先舉證對方有東西 不然你從何搞起 ? 06/02 23:47

→ Lordaeron:機制包括商業部分及技術部分. 不然你只懂技術部分, 你就 06/02 23:47

→ Lordaeron:講一下,如何保證 不會讀取不該讀的. 06/02 23:48

→ Winggy:我還蠻確定每家廠商都有個東西叫做 EULA 06/02 23:53

→ Winggy:如果你這麼 paranoid, 建議自己從 OS 幹起 就沒有這些疑慮 06/02 23:54

→ Winggy:啊 最好連CPU都自己設計,機板自己拉 畢竟也有硬體後門先例 06/02 23:55

→ Lordaeron:哦..原來是這樣,說法是將問題一刀切,反正不是有就是 06/03 00:04

→ Lordaeron:沒有,然後將說法再扯到硬體及OS 上去,以避開說明 06/03 00:05

→ Lordaeron:你可以的話,還是重點說吧 06/03 00:06

→ Lordaeron:microsoft 有前例被告及被罰了 06/03 00:06

→ Winggy:我只能說, 本篇文章的基本假設是雲端防毒是把所有在系統 06/03 00:12

→ Winggy:上面活動的檔案全部都拋到雲端上去 "掃毒" 06/03 00:13

→ Winggy:這個假設是完全錯誤的 所以後續的討論一點意義都沒有 06/03 00:13

→ Winggy:至於本篇還有提到什麼(一)(二)之類的 問防毒公司搞錯邊了吧 06/03 00:27

→ Winggy:那個明明都是黑暗界在搞的, 挖資料找市場賣 06/03 00:28

→ Winggy:1. 這個問題根本跟掃毒無關 你用未受信賴的軟體一樣 會 06/03 00:58

→ Lordaeron:基本上,我就只有看到現在的掃毒軟體,什麼屎檔都scan 06/03 00:59

→ Winggy:2. 這個問題根本跟雲端掃毒一點關係都沒有 06/03 00:59

→ Lordaeron:所以你講的話,完全是個錯誤. 06/03 00:59

→ Winggy: 那 請問你 license key 被偷走你的損失在哪 ? 06/03 00:59

→ Winggy:3. 技術上的解法的話 ... 用盜版 ? 06/03 01:00

→ Winggy:L 先生...host端原本就會每個檔案都掃, 這跟雲端關係在哪? 06/03 01:04

推 Winggy:host端原本就只是個probe,把認為可能有問題的樣本收集回報 06/03 01:08

推 luciferii:老師的問題請找 Cloud Security Alliance 06/03 01:50

→ luciferii:不過在質疑到雲端前，現在可以先質疑ISP/ASP/Collo機房 06/03 01:51

→ luciferii:的一線打工OP1會不會幹這種事... 06/03 01:51

推 luciferii:另，微軟被告偷資料還被判刑? 是指哪件事? 06/03 01:56

推 luciferii:你不希望防毒什麼屎檔都 scan...就設排除不就好了? 06/03 02:00

→ Lordaeron:Cloud Security Alliance? 你有舉公守法? 06/03 06:37

→ Lordaeron:microsoft偷傳user 行為哪件事, 設排除? 哦..... 06/03 06:38

→ Lordaeron:所以你都有設?排除? 不如設只它能scan? 06/03 06:39

→ Lordaeron:致於跟雲端何關?既然你不知何關,請問你又說它是錯? 06/03 06:40

→ Lordaeron:怪!!! 06/03 06:41

→ Lordaeron:整理一下,從Winggy及luciferii 得到的結論就是 06/03 07:50

→ Lordaeron:怕就別用,用就別怕. 你情我願而已. 致於會不會做壞事 06/03 07:52

→ Lordaeron:這個問題->不與回答. 06/03 07:53

推 ledia:聽起來滿合理的 XD 06/03 07:59

→ ledia:甚至連到便利商店買飲料好像都是如此 XD 06/03 08:00

→ Winggy:跟不懂雲端防毒搞啥玩意的很痛苦 把不同的兩個東西硬說一樣 06/03 08:12

→ Winggy:所以我才問 L 先生關係在哪 這樣也會被說我不知道何關 XD 06/03 08:13

→ iincho:這個問題的確要和掃毒脫鉤啊，基本上我是不信雲端隱私這東 06/03 09:51

→ iincho:西，但是說掃毒會洩露隱私...這又是引伸太超過.. 06/03 09:51

推 luciferii:W明明是要打老師臉...L自願跳出來擋..是叫捨身攻擊嗎? 06/03 10:03

推 luciferii:用人家的軟體/服務本來就是你情我願，W說你不信任它可以 06/03 10:07

→ luciferii:自行監督,我說你不信任它可以自己設定, 但是你都不願意 06/03 10:08

→ luciferii:那我就不知道軟體商要作到什麼程度才能被信任了 06/03 10:09

推 luciferii:照這種標準, 你永遠不會相信任一軟體廠商不作壞事 06/03 10:12

→ luciferii:那就只好什麼都不要用吧 06/03 10:13

推 luciferii:老師和L剛好表現兩種極端, 一種對雲端有天馬行空幻想... 06/03 10:20

→ luciferii:一種是對雲端什麼都不信任什麼都反.. 06/03 10:20

→ luciferii:但兩者心態都來自W提過的...對雲端防毒現況的錯誤猜測.. 06/03 10:20

→ francej:講難聽點,你把東西放google,amazon可能還比放在國內安全:p 06/03 10:46

→ francej:畢竟台灣的司法不是令人很有信心說.. 06/03 10:47

→ askeing:「什麼framework都不用、什麼防毒都不用」 06/03 10:51

→ askeing:期待哪天看到更強大的「什麼OS都不用」之類的 :P 06/03 10:51

→ Winggy:講個最實在的一點 這些什麼雲端的實體安全絕對做得比個人好 06/03 11:24

→ Lordaeron:雲端的實體安全絕對做得比個人好? 你怎麼知道? 06/03 12:23

→ Lordaeron:我信雲端? 私有雲可以啊. IBM在大陸賣了四年了,多爽 06/03 12:24

→ Winggy:樓上 實體安全涵蓋的範圍你真的知道嗎? 知道還有這個問題? 06/03 12:51

→ Lordaeron:我不知道啊, 等你講呢. 不要又不想講哦 06/03 13:13

→ Lordaeron:因為我還在等你的機制.... 06/03 13:13

→ Lordaeron:忘了回一下luciferii, 雲端就是要省錢是吧? 06/03 13:25

→ Lordaeron:要自行監督, 要錢, 要人. 要自己設定, 要錢, 要人 06/03 13:26

→ Lordaeron:啊? 不是說可以省錢哦. 06/03 13:26

推 damaskala:只要使用觀念好 幾乎不會中毒 06/03 14:12

→ Winggy:CISSP 有一個 chapter 就講實體安全 你可以先去翻一下喔 06/03 14:26

→ Winggy:光是你家的電力空調消防設施就不及格了 怎麼跟人家比 06/03 14:28

→ Winggy:誰說雲端只有省錢的?你放在公司就不必自己設定不必錢不必人 06/03 14:30

→ shadow0326:越來越不想來soft_job板了 總是有些人口氣讓人反感 06/03 15:11

推 Apohades:Lordaerond請問您新聞有好好的看嗎? GOOGLE並沒有被駭... 06/03 23:20

→ Lordaeron:我看zdnet 不知你看什麼新聞呢 06/04 22:14

→ Lordaeron:哦,雲端給小公司, 不必要, 因為他沒有24小時運作 06/04 22:15

→ Lordaeron:PC 可以一天只開7小時, 當機就重開 06/04 22:15

→ Lordaeron:大公司了, 就自己買私有雲就好了. 致於你說的 06/04 22:18

→ Lordaeron:電力空調消防設施就不及格, 不知哪家大公司的機房是 06/04 22:18

→ Lordaeron:不及格的呢? 非得要你雲端公司的才及格 06/04 22:18

→ Lordaeron:哪如果一家大公司,將自身的機房都去掉,租用你的雲端 06/04 22:20

→ Lordaeron:然後還要hire 人來管理你雲端的機器,不就有點, 神奇? 06/04 22:20

→ Lordaeron:致於雲端掃毒的問題,還是在於,要我將電腦裏的你的防毒 06/04 22:21

→ Lordaeron:認為"可疑" 的軟體傳到你的防毒雲端. 就真的很可疑了 06/04 22:22

→ Lordaeron:當然,有人的機制到現在都還未講出來, 我還在等....6/4了 06/04 22:22

→ Lordaeron:Winggy,你還是好好的回一下, 你的機制是如何能讓人安心 06/04 22:25

→ Lordaeron:使用你的雲端防毒吧,不要扯到實體安全了.繞很遠了呢 06/04 22:26

推 luciferii:你應該先聽話用 sniffer 看看雲端掃毒是不是把你的可疑 06/04 23:19

→ luciferii:檔案上傳回去再來質疑...前題就錯誤後面就不用討論了 06/04 23:19

→ luciferii:我記得前一串有人已經講過基本的機制 06/04 23:20

→ luciferii:還有在雲端作掃毒，跟雲端掃毒是兩碼事...你和老師兩個 06/04 23:21

→ luciferii:講到後來都混在一起了... 06/04 23:21

→ Winggy:我想我不需要浪費時間.. 反正這傢伙只是為反對而反對 :p 06/04 23:55

→ Lordaeron:哦...講不下去就這樣子講了, 說有機制的是你,現在變成 06/04 23:58

→ Lordaeron:是我有問題,我在問你機制呢? 06/04 23:59

→ Lordaeron:luciferii,請問哪一篇呢. 06/05 00:00

→ Lordaeron:哦, 我想了一下,曾經看到有人說可以傳hash 值這種天才 06/05 22:04

→ Lordaeron:想法,希望不是這一篇吧 06/05 22:05

推 luciferii:我看了一下果然有，而且有被mark... 06/06 23:48

→ Lordaeron:是哪一篇呢, 請指明吧, 你口中的機制. 06/07 21:47

推 luciferii:如果指的這麼明你都找不到，我相信是你看不懂他在寫什麼 06/09 02:14

推 luciferii:那個討論串也就一篇被mark 06/09 02:19

→ Lordaeron:就是哪句特徵碼, 什麼是不就是hash 一段code後的結果 06/09 20:57

→ Lordaeron:從雲端下載來分析這種自打嘴吧的話,不是說吃bandwidth? 06/09 20:58

推 luciferii:特徵碼就是hash一段code? 所以就說你完全看不懂... 06/09 23:09