觀點

資安專家預測 2005年最嚴峻的資安威脅

2004 / 12 / 27
美國資安危機預報小組
資安專家預測       2005年最嚴峻的資安威脅

千瘡百孔的瀏覽器
加州大學柏克萊實驗室的首席工程師Eugene Schultz說:「IE的弱點正快步的浮現,而且絕大部份皆是相當地致命。」

隨處可見的IE瀏覽器正是構成電子商務的一個基礎要件,並且這也是造成不斷地受到網路攻擊的傳染媒介。我們將探討為何每當IE的漏洞出現時,這些網路攻擊會變的更加頻繁也更加危險。

目前是加州大學柏克萊實驗室的首席工程師Eugene Schultz說:「IE的弱點正快步的浮現,而且絕大部份皆是相當地致命。」 就拿WindowsXP SP2來講好了,研究人員發現,會招來嚴重IE安全性問題的漏洞,在SP2釋出的幾天之內才得到修補。

IE深深地與Windows作業系統糾結在一起,會對其他要倚靠瀏覽器相關動態連結檔和程式的軟體,造成潛在性的傷害。正當攻擊者仔細地去分析IE,找出足以提供入侵的漏洞時,這個問題更是日益嚴重。就如同在九月份所發現的JPEG處理程序中,有一個緩衝區滿溢的漏洞,入侵者會攻擊這些傷口並且植入後門程式。

正因為企業從線上金融和購物交易到廠商供應鏈以及管理後端資料庫,皆仰賴Web的關係,使得瀏覽器成為這些罪犯下手的主要目標。

另外備受關注的一例,就是今年六月間,在IE中所找到的Download.Ject漏洞。只要用戶端隨便瀏覽過這一百多個受害的商務網站,他們便會連結到一個俄國網頁,然後下載並安裝一隻名為Berbew的木馬程式;之後,這些犯罪者就會利用此木馬盜取成千上百的信用卡卡號和金融密碼。

其實與其要掌控IE的漏洞,那倒不如遵循以下的幾個步驟,便能保護你的企業免受池魚之殃:

強化瀏覽器的組態設定吧!幾個企業等級的管理工具,如Windows Group Policy或是微軟的IE管理工具包,兩者都可以將使用者用不到的功能關掉,包括像是ActiveX控制項以及Java applet的指令碼選項,光這些就足以讓攻擊者藉由安裝木馬程式,任意刪除或存取受害者的檔案了。也順便一塊強化作業系統的組態設定吧!需要現成的設定樣本,都可以到www.cisecurity.org的網安中心免費下載使用,所有專門為Windows2000、WindowsXP、Linux、Solaris和其他作業系統所設計的樣本,這裡一應俱全。

一個完善的資安修補管理程序,也可以讓你快速測試和佈署這些深具急迫性的補救措施。

另外,採用Cisco、Juniper/Netscreen和Check Point Software Technologies的防火牆與代理伺服器產品,也能濾掉未經信任的ActiveX控制項、Java applet以及網頁指令碼等。

蟲蟲危機與機器人大戰
杜絕這波病毒危機的最好方式,即是安裝個人是防火牆,並者檢查你的防火牆軟體,是否已限制住只容許正常網路服務的流量通過。

從Bagle到Sasser再到Phatbot的身上,我們實在是看不出來,今年這些無情的惡意程式有什麼樣的相同點。預報小組更預測,到了2005年,惡意程式的數量及毀滅性將會大大的增加,而且將出現一群群地蠕蟲(Worms)和機器人遠端控制程式(Bots)。

壯大這個將至的風暴有幾項因素:

機器人遠端控制程式通常是伴隨著原始程式,然後被下載安裝到這些毫無戒心的電腦上,它也是一種高效能的後門程式,懂點程式的人只要稍加修改一下,就可以創造出新版本的惡意程式。而且,今日的蠕蟲程式和機器人遠端控制程式都巳經高度的模組化,以便可以快速地加入更新、更令人討厭的功能。有些惡意的遠端控制程式更是有超過一百種以上的功能模組,樣樣都具有不同的能力,譬如可以發動DoS阻斷式攻擊,或者轉發圾垃郵件,甚至也能對已遭控制的電腦下達攻擊指令。

甚至,攻擊者還會使用蠕蟲程式來散佈這些機器人程式。僅僅一隻簡單的發信蠕蟲,便可以將機器人程式傳播到數以千計的電腦系統上,創造出一個擁有分散式能力的機器人網路(bot-net)。

在2004年可以發現到Netsky和Bagle的蠕蟲變種版本,所以我們可以見證一個更新的狀況:利用機器人程式來散佈蠕蟲程式。攻擊者若是使用數以千計的機器人程式作為散佈蠕蟲的起始點,便可以快速地攻陷遭殃的機器,然後再植入更多的機器人程式。接著,我們就掉入一個弔詭的輪迴之中:蠕蟲散佈機器人程式,而機器人也散佈著蠕蟲程式。

再者,之後被創造出來的蠕蟲和機器人程式,絕對會比今日我們所看到的還要更加危險。

現職於Intelguardians Network的資深安全顧問Mike Poor說︰「如果惡意程式的製造者擁有毀滅性的駭客工具和蠕蟲程式,他們會引發出網路大災難的。」 當更新、傳播力更強的惡意程式在極短時間內就大舉攻陷目標時,這一波惡意軟體風暴將挑戰傳統防毒軟體的極限。

教訓就是:不要單單只依賴辨識蠕蟲特徵的防護系統。 還有你得確定防毒軟體會自動更新病毒碼。
另外,安裝個人式軟體防火牆吧!還有件要緊的事,就是檢查你的防火牆軟體,是否已限制住只容許正常網路服務的流量通過。
可以使用諸如Cisco、McAfee以及Sana Security的單機型的入侵偵測系統(host-based intrusion systems)。
還有運用網路型的入侵偵測防護系統(network-based intrusion systems),可以快速地的偵測到會造成流量異常及具攻擊性的蠕蟲程式。像是TippingPoint Technologies,Check Point Software Technologies,Q1 Labs, Mazu Networks,Arbor Networks和 ForeScout Technologies等幾家的產品都值得使用。

阻絕式封包攻擊逐漸升溫
利益因素促成今年阻斷式封包攻擊不斷升溫,攻擊者針對賭博和色情網站業者進行勒索。

過去,一個駭客需要很有耐心的先入侵200台機器才能發動分散式阻斷服務攻擊(DDoS)。而今日則有所不同,不太高明的攻擊者只需匯集擁有數以億計的機器人網路(bot-net),便能辦到此事。

現今發動的封包氾濫攻擊,都是正常的HTTP請求封包,相較於2000年MafiaBoy這名駭客用來癱瘓Amazon、Yahoo和eBay的攻擊,更是難以去偵測防範。

「機器人網路(bot-net)意指任何人皆可發動這樣的阻斷式攻擊,就因為它所產生的封包流量,是來自正常的網路,所以幾乎難以去辨識是否有問題。」SAIC Rapid Solutions Laboratory的首席科學家同時也是主管身份的Jim Jones這麼地說道。

現在,我們再加入利益這個動機因素;可以看到今年阻斷式封包攻擊不斷升溫,是針對那些賭博和色情網站業者進行勒索的緣故。攻擊者脅迫受害人除非付錢,否則便無預警地發動足以中斷他們生意的阻斷式攻擊。這種收保護費的情節,就跟地痞流氓勒索當地的商家一模一樣。攻擊者也極可能朝其他的目標下手,包括電子商務網站,亦或是金融機構。

可是實在是沒有辦法來完全抵擋這樣大量的分散式阻斷服務的攻擊,能作的就是趕快偵測到這個網路風暴,緩和它並且平安地渡過危機。所以有幾件事情是你該作的:

與ISP業者合作,確定是否有足夠頻寬採行多種方式去連結到網際網路,這樣一來,你的系統也許會比較禁得起分散式阻斷服務的攻擊。

請在防火牆的組態設定裡,加入氾濫封包偵測及自動調節網路流量的能力,這樣可以查到一些造假的網路流量,並能夠處理短時間內所引發的小型風暴。

要是你服務於一個大型企業或者投身在ISP裡頭的話,請將錢投資在可以偵測及阻撓封包攻擊的設備,像是Arbor Networks﹑Mazu Networks﹑Lancope 以及Cisco這幾家公司的產品等。還有順便詢問一下ISP業者,是不是有使用這類的設備來阻擋封包攻擊。

另外,對於這種勒索式的脅迫,請定出一個反應處理的政策吧!不然,對於這種網路風暴,誰能決議是要勇敢面對,還是放棄讓步?

閃電般的痛擊電子商務
在過去12~18個月之間,銀行遭受網路攻擊還有網路詐騙等情事以驚人的速度成長。

就顧客而言,他們對於電子商務的信心指數,就怕真的那麼一個不小心。 SANS 網路風暴控管中心的主任Marc Sachs說︰「多數的金融銀行正在建置一個只需少數出納人員的系統,而且客戶只要經由網頁或ATM的方式便能完成交易。」他接著說 ︰「可是,在過去12~18個月之間,銀行遭受網路攻擊還有網路詐騙等情事卻以驚人的速度成長;無論是對於無數因詐騙而來的損失,還是在客戶信心大幅滑落部分,都讓金融界感到相當的苦惱。」

除了客戶信心程度減低以外,預報人員還發現一個足以摧毀客戶整個信心的特大號風暴逐步接近。一群壞蛋現在正反過來利用線上交易的防禦系統來對付系統自己,而且這是極有可能會觸發一場相當大的阻斷式封包攻擊行動。

談一下它是如何辦到的:一般金融服務業是這樣運作的;假設在犯罪集團大筆竊來的信用卡卡號之中,有超過50%的卡號仍在市面上可以使用的話,犯罪者會利用部分卡號作為消費之用。但假若因貪心而用了過多的卡號,自動防偽系統便會偵測到這種可疑地消費特徵,進而馬上中止這些卡號的使用。

可是今時今日的系統攻擊者,也許是恐怖份子也說不定;他們會大規模地針對這個功能,打從一開始的時候便以無數的偽造卡號作交易,以超出系統的負荷;而自動防偽系統會在瞬間要自己去中止這數百萬筆的卡號。想像一下,在假日購物正旺的時刻,成千成百的機器人網路淹沒了電子商務網站。數以百萬的信用卡交易會停在那裡,使得顧客會認為交易中心停擺了,接著,消費者會對線上消費的信心變得更蕩然無存。

針對這種情形的最好辦法,就是要知道會有這種情形發生,並且要隨時作好準備工作。所以防偽系統的管理人員就應該先測試系統,看它在遭遇到大量湧進的造假資料時,會作出什麼樣子的反應。請與他們商量,擬定出一套在面對這樣狀況下,該如何偵測到攻擊情況並回應此種情形的劇本。看是否該降低或關閉自動防偽系統的偵測及中止卡號使用的能力,讓交易得以持續進行?或者是盡其所能來強化系統資源?

為了防止那些壞蛋騙取客戶的基本資料,勢必要採行一些保護措施。像是與反網路釣魚(Anti-Phishing)的團體合作,他們會蒐集有關網路釣魚的資料,並拿這些來討論反網釣的手段,其中當然也包括教導顧客如何防範網釣以及對其提出示警的辦法。

此外,有些公司企業也提供反詐欺的服務,像是專作系統防護安全的Symantec公司;又如Cyota,MarkMonitor和Cyveillance等,在防詐欺層面上,也有專門的解決之道。

空氣中彌漫著一股壞味道
無線網路沒有實體線路的羈絆,原本就不甚安全的無線網路,現在更是成為一個討論的議題。

正當企業著手佈署無線網路之際,即便是已經有關於無線網路WEP協定的弱點文件在,也有提及那些到處找尋可供無線上網存取點的人,以及設置不當存取點的警告;然而,他們卻沒有太多的網路安全顧慮,所以無線網路的安全問題預料將會持續遭到重大的攻擊。

netForensics的資訊安全制定者Anton Chuvakin說︰「只因無線網路沒有實體線路的羈絆,原本就不甚安全的無線網路,現在更是成為一個討論的議題。」

確實是這樣,較新的802.11i協定便是一肩扛起802.1X的責任,使用強大的加密功能以改進先前無線網路協定的缺點;擁有暫時性金鑰整合通訊協定TKIP(Temporal Key Integrity Protocol)的Wi-Fi保護式存取(Wi-Fi Protected Access)的產品,更是可以解決WEP(Wired Equivalent Privacy)靜態加密金鑰的弱點。雖然支援這類協定的產品才剛要進入市場,然而,先前已建置無線網路的企業,卻不太願意再花大把的錢去投資在這裡。所以很多企業組織就不再使用有安全缺陷的WEP,或是已針對那些設置不當的無線網路存取點,作了點改進措施。不過等著看吧!能輕易設置不當存取點連出去的那些企業團體,從零售業者,到擁有分部的金融服務業,還有與其他行業共用大樓的企業,會遭遇到更多的網路攻擊。 要是您選擇擁抱無線網路,在配置網路存取點時,要記得採用安全的組態設定,避免明文傳輸,也不要使用WEP和LEAP這類協定來加密。而是要採取更嚴謹地認證和加密方式,可以透過只允許無線網路通過的VPN網路,來接收所有來自無線網路的資訊。

然後,使用跟那些壞蛋一樣的工具來檢查你的無線網路是否設置不當?NetStumbler、Wellenreiter、Kismet等工具都可以試試;另外,考慮一下AirDefense和AirMagnet這兩家功能性更廣的產品,它們可以用來監控您的無線網路、偵測不當設置的存取點,甚至還具有入侵偵測的功能呢!

資安危機預報小組
要預測資安風暴,你確實是需要一個預報員來告知風暴的路徑會怎麼移動。我們這個團隊的專家利用了有關科技走向的相關知識,也運用了教育、商業以及政府過去的經驗,再加上敏銳的直覺,來預測2005年風暴的走向。

擁有CISSP證照,資安危機預報小組首席,Intelguardians資安顧問公司的創立人之一,亦是資訊安全測試協定組織的成員。

現職於netForensics的資安專家,擁有GCIA、GCIH證照。專長包括系統入侵偵測技術、UNIX安全防護、電腦鑑識、誘捕系統,著有Security Warrior一書。

SAIC Rapid Solutions Laboratory的首席科學家同時也兼任主管,曾在政府機關、學界及產業界擔任過資安方面的職務。

加州大學柏克萊實驗室的首席工程師,也是Computer and Security雜誌的總編輯,擁有CISM、CISSP證照。著作(包括與人合著)的書共有五本,發表過一百多篇的論文。

Intelguardians Network的資深安全顧問,負責滲透測試,系統安全的稽核以及作整體資訊架構的審視。

SANS 網路風暴控管中心的主任,之前曾任職於National Security Council。