第五屆駭客年會(HIT)昨日落幕,不僅在台上看到研究員對於各種系統漏洞的揭發,更從參與者看到資安圈的新血以及後起之秀輩出。揭露線上遊戲安全漏洞的Dark才念大一,本屆Wargame第一名選手則是名高二學生。主辦單位Chroot的主辦人Tim說此次更多學生族群的參與,總報名人數約385人比去年成長,甚至有更多女生參加。
由於許多遊戲為了防止外掛會使用Hackshield,而Dark則是深入研究之後成功破解Hackshield。他認為遊戲公司將許多功能包括攻擊速度、範圍的設定放在用戶端是比較不安全的,用戶端應單純操作就好。這場演說讓現場遊戲公司的員工捏了把冷汗。
然而線上遊戲公司該擔心的不只如此,在日前韓國被DDoS的攻擊當中,甚至台灣某遊戲公司的伺服器被用來當作Bot主機發動攻擊,在被通報前該公司渾然未覺。
而Nanika則從Ring0(前線)、SystemCall(交通要道)、IAT EAT Inline(重要據點)、NotifyCallBack(通信)及FileFilter(最後防線)深入介紹攻擊方式,而市面上所有防毒軟體則完全無招架之力。
在No-Name的演說中談到許多網站開發人員使用各種網路套件,然而入侵者從網站所提供的訊息中了解所使用的套件後,只要下載其套件加以研究就可找到0 Day漏洞。他並示範某網站將資料庫出處寫在程式碼中註解中,很容易就可下載回該DB並取得管理者權限。他指出,在最近的掛馬攻擊中,利用Flash漏洞再加殼來入侵攻擊很難偵測,往往需要用3~4套Flash檢測工具才能找出漏洞。他建議應該把變數、參數或路徑都換過,至少可以提高入侵難度。
而Ant則談到對殭屍網路的社交工程研究。過去透過軟體漏洞方式植入Bot,現在已經有許多利用社交工程從Yahoo mail或Gmail寄發郵件來騙人上鉤。而Command & Control Server也可直接透過Twitter或Pluk來操控Botnet,此外新型態的Botnet基於瀏覽器的特性可以跨平台,例如透過手持裝置來發動攻擊。
Militan.c7則對銀行系統安全問題做了研究,台灣的銀行系統有些只把入口做安全,對進去系統的人就不加以防範了。同時,在系統參數的設定上也有資訊洩露過多的問題,例如直接寫passwd,對開發人員方便的動作但可能造成系統安全漏洞。然而Militan.c7很感嘆的說,即使對銀行通報這些問題之後,許多銀行仍然不太重視。
對於時下熱門用來阻擋網頁攻擊的網頁應用防火牆(WAF),Outian則指出繞過WAF的2種方式。其中一種是特別發生在微軟ASP程式語言當中,只要在url命令列,在傳遞的網址參數或表單, 將欲注入的攻擊字串中加入 % 符號 (並非單純編碼),則 WAF 因無法看到攻擊特徵而失效,但進到 ASP 程式語言中,由於語言特性會將該 % 符號刪除而組回原本的攻擊字串 ,便達到入侵或駭客目的。然而其他的語言包括ASP.net就沒有此問題。