確認有能力提供足夠安全的服務平台,再來考慮所提供的內容與服務,以免害人害己!
最近收到一封朋友寄來的mail,標題是「資安健檢拿大獎!」裡面包含了行政院科技顧問組提供的2007資安健檢活動頁面(註1),可以讓使用者上網去做個簡單的小測驗,以了解自己本身的資安程度。
這算是最近三年以來固定都會在年底舉行的資安宣導活動吧!不過早在2005年資安健檢的活動頁面,就曾被揪出過一些小問題,其中最被詬病的就是填寫完測驗,準備傳送個人資訊以便參與抽獎活動時的頁面並未使用加密連線,可能導致連線遭到竊聽,致使個人資料外洩的問題,而到了2006資安健檢,這個問題依舊沒有被改善,也持續在部份資安論壇與資安界人士的討論中被提出質疑;一直到最近的2007資安健檢活動,這次改把頁面放置於i-security網站,而非以往的行政院國家資通安全會報網站中,也順便把機敏資訊連線未加密這個問題做了修正!總算跨出好的一步了!不過,喜悅沒有持續太久,過兩天馬上就爆出了放置2007資安健檢頁面的i-security網站本身可能具有SQL Injection與XSS漏洞,這個問題看起來似乎要比先前的問題還要更嚴重的多啊!
本來應該是測驗使用者資安意識與程度的網站,卻連本身的安全性都無法有效維護了!這也激發了筆者的一些想法,開始上網去搜尋一些資安網站的資料,赫然發現,許多標榜資安服務的網站,本身的防護根本就異常的脆弱!實在是看不出哪裡安全了!
以下筆者就舉些實際的案例來與各位做個分享:
1. 知名企業I公司:該公司在教導產品使用者啟用防護XSS攻擊的頁面,於2007年6月被發現具有XSS漏洞,這還真是諷刺阿!害我一度還以為是該公司篤行言教不如身教的觀念,打算以自身網頁的缺陷來對使用者作攻擊範例!
2. CISSP與(ISC)2網站:CISSP認證為(ISC)2國際資訊系統安全認證聯盟所核發,可說是全球公認最通行的資安頂級證照之一了!CISSP認證強調的是具備全方位的資安知識,並將資訊安全分為十個domain,必須對每個領域都具備一定的知識能力與技術基礎,才能夠順利通過考試,取得CISSP認證。
而且在報考資格上,CISSP也要求必須具備一定年限的資訊安全相關工作經歷,才能取得報考資格,並且每三年需重新審驗一次認證資格,以維持證照持有者的平均水準!
不管從哪方面來看,CISSP證照本身的持有者水準都可以說是無庸置疑的,但核發單位與CISSP本身的網站安全嗎?答案恐怕是否定的,同樣是在2007年6月,(ISC)2網站與CISSP網站也都被挖掘出具有XSS漏洞(註2),其中(ISC)2網站已在日前作了部分修補,而CISSP網站則是遲至目前(已4個多月)還未進行任何修補動作!這樣的網站安全嗎?筆者已經有點迷惘了!
3. PKI網站:最近因為工作需要,需要去了解一些PKI相關的知識,在網站上找阿找的,發現有些中文網站還蠻不錯的,細心地提供了PKI小百科的功能,方便我們這些門外漢對PKI做基本的學習與了解!
網站資料查阿看的,一不小心就跑出錯誤訊息來了!看來似乎同樣具有SQL Injection問題,再查了一下資料,發現連XSS問題都有了!
這下真的無言了!雖說PKI與Web Security屬於資訊安全的不同領域,但畢竟Web Security總是目前資訊安全領域中的顯學,遭受的攻擊也最為猛烈!再怎麼說也該做點基本的防護吧!至少,針對堪稱最經典的SQL Injection問題與今年最佳人氣王的XSS問題(註3),也該做點有效的阻擋動作吧!
4. i-security網站:也就是擺放這次2007資安健檢活動頁面的網站,就如同前面所說的,網站本身可能具有SQL Injection問題,而且確實存在XSS漏洞,可能遭受惡意使用者利用,對無辜的使用者進行攻擊!筆者是從這次的2007資安健檢才知道這個網站的,至於該網站的漏洞已經存在了多久?甚至是否已經被利用來進行惡意行為?這部份筆者就不敢再想下去了!
i-security其實是個不錯的網站,提供了許多資訊安全的相關資源,對於對資訊安全感到興趣的技術人員來說,是個很不錯的參考網站,可以在上面找到許多有用的資安相關文件與新聞資料;但最大的遺憾,大概就是它並未提供一個安全的平台吧!
而且更令我感到不解的是,該網站居然還有”HiTrust Secure Site by VeriSign”的信賴標章,雖然內容僅為標示該網站有做加密的資料傳輸,原來只要做到這種程度就算是安全了啊?這讓筆者對安全網頁的定義又更混淆了!
當然筆者也明白,VeriSign.com的專長原本就只是在於認證與授權方面,但在不夠清楚整個網站的結構與程式安全問題時,就發給「Secure Site」的信賴標章也難免會有點誤導之嫌,很容易讓使用者誤信該網站是十分安全的,因而掉以輕心!
5. 其他資安廠商網站:當然除了上述幾個較大的標的外,還有許多國內外的資安廠商,本身的Web Security也是不及格的!原本該是提供資安服務的廠商,卻反遭入侵置換頁面,甚至被植入惡意程式連結;更糟糕的是,還有某家提供所謂資安監控服務SOC的公司,也有遭受入侵紀錄,甚至在該公司下載驅動程式的頁面還曾經被駭客植入惡意連結,嚴重危及使用者權益!
其中有許多案例,在筆者常拜訪的幾個資安網站(註4)上,都有相關資料可供查詢,在此筆者就不贅述了!
看了這麼多的案例分享以後,不知道各位讀者有什麼樣的想法呢?
筆者不是資安專家,充其量只是個既聒噪又比較多意見的資訊人員吧!在我看來,其實最需要做資安健檢的,應該還是這些所謂的資安網站,就像多年前的廣告台詞「在刮別人的鬍子前,先把自己的刮乾淨!」既然要提供所謂的資安服務,也請務必先確定自己有能力提供足夠安全的服務平台,再來考慮所提供的內容與服務,以免害了自己,也間接害了別人!