https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

2th OWASP亞洲年會之最新與最實用

2009 / 07 / 09
張維君、吳依恂
2th OWASP亞洲年會之最新與最實用

 14場集合最新Web威脅研究以及企業Web安全實作研討的精采演說,本文帶您重回現場。

  第2屆的OWASP亞洲年會於10月27、28在台北盛大舉行,2天的議程、14位來
自美、歐、亞與台灣優秀的資安研究人員、超過1,000名聽眾齊聚一堂,為國內資安界帶來最新的Web威脅研究,以及對Web安全實務防禦之道的深入探討。

  OWASP台灣分會會長/阿碼科技執行長黃耀文表示,今年的議程安排希望能同時滿足資安人員對於Web最新威脅的掌握,因此包括Robert Hansen(代號RSnake)與Steven Adair都將談到他們近期發現的資安問題。此外,對於企業Web防護實務該如何規劃,則有多位專家從滲透測試、網頁應用防火牆(WAF, Web Application Firewall)、原始碼檢測等不同角度,分析企業如何從顧問服務與工具佈署上得到最佳投資效益。

  行政院國家資通安全會報技術服務中心劉培文主任致詞時亦表示,目前技服中心努力協助政府資安工作的推動,會針對人力、資源較不充足的地方政府,於每年的期初、期末針對OWASP公佈的10大弱點進行檢測,今年已施行到了第3年,技服中心發現到有結構性的問題,約有41%的地方政府,需要為了偵測出的弱點另外尋找經費,並且有55%的委外單位已不提供這類的服務,因此技服中心也開始配合研考會的計畫,從上游去改善,例如配合機房共構、資訊改造等。

最新威脅第一手掌握:Clickjacking、Web殭屍網路

  本次會議中最受矚目的演說,當屬RSnake與Jeremiah Grossman發現的點閱綁架攻擊(Clickjacking),在9月底美國OWASP會議中,礙於Adobe的要求而暫緩公告弱點細節,經過這1個月的時間之後,部分問題已在Adobe日前釋出的Flash 10中被修補,因此RSnake此次登台則說明示範了駭客可以如何利用Clickjacking發動攻擊。關於所有Clickjacking的細節請上RSnake blog查詢:http://ha.ckers.org/
  此次Clickjacking所牽扯到的問題很多,不只是微軟、Molliza等瀏覽器廠商修補完畢就沒事,就連瀏覽器的Plug-in軟體業者也都需配合修改。其實,在2004年Heap Spray技術出現後,使得瀏覽器被攻擊機率大為提升,現今Web攻擊的主要對象也由伺服器端轉為用戶端。而近期當瀏覽器大廠也逐漸提升其對於安全性的重視後,防護上較為脆弱的一環便出現在瀏覽器Plug-in上,例如現今幾乎所有瀏覽器上都會安裝Flash,且不同版本的瀏覽器可能安裝的是同一版本的Flash,因此攻擊Plug-ins的弱點顯然影響層面較廣,打擊面較大。

  然而其實不論是點閱綁架攻擊、前陣子跨站冒名請求(CSRF),或是難以偵測的變形Javascript網頁掛馬等各種Web威脅,都是由於整個Web設計當初沒有考慮到資安,而Web 2.0之後演變成為複雜的應用程式平台,才導致接連而來的安全漏洞。例如,CSRF的問題起因於HTTP通訊協定沒有session的概念,如果有session控制就不需要透過cookie,也就不會被盜帳號了。此外如何撰寫安全的網頁程式仍然需要推廣,網頁被掛馬了不需要先責怪瀏覽器有漏洞,而是先看自己的網頁程式是否沒問題。

  美國長期監控全球殭屍網路的組織ShadowServer Foundation的Steven Adair,則發表Web殭屍網路與DDoS研究。IRC不再是駭客最常使用來操控殭屍網路的管道,而是網頁形式Http-based Botnet。Adair指出,每週都可看到很多新的Http-based殭屍網路形成,它們會使用動態DNS、可用直接(direct) IP存取。

  由於Http-based Botnet進入障礙低、工具容易取得、容易架設,且被感染的機器可直接透過Port 80連回駭客處,易於傳遞竊取的資訊,而且是正常流量,很難被入侵偵測系統發現等因素,所以受到駭客歡迎。此外,Adair也談到許多BlackEnergy的DDoS Botnet攻擊。

  另外,由技服中心林佳明所發表的演說:修改密碼無效!駭客還是在收取您的電子郵件!詳細內容請詳見本期專家開講P.94。

防護實務深入分析:滲透測試、WAF、原碼檢測

  長期在美國帶領McAfee Foundstone服務團隊執行各種資安專案的總監陳彥銘,看待黑箱、白箱等檢測工具時,明白指出2種工具各有擅長,例如與登入有關的問題,白箱工具才能找到;而授權、錯誤處理等問題則是黑箱工具較有效率。他也提到美國企業對於資安問題會從管理層面思考解決方案,而非單從技術層面。尤其現階段,企業對於網頁程式安全問題已從滲透測試這類單點技術,思考到程式開發以及安全程式開發生命週期(SDLC)、架構分析、成熟性評估等層面。因此雖然市場上有能力提供滲透測試服務的廠商很多,但必須考量的是,每個企業隨著營運模式、規模的不同,其所進行的SDLC方式也必然不同,例如微軟也有一套SDL,但可能較適合中大型企業,而在人力、資源上不充裕就會較不適用。而資安服務廠商能否掌握企業差異提供進一步的諮詢建議,是企業在評選顧問服務應謹慎考量之處。

  陳彥銘進一步指出,在提供滲透測試服務之後,他們會進一步將平衡計分卡的概念引導到客戶現有的資安問題上,運用管理科學的觀點來解決資安議題,還包括PMP專案管理的想法或6個標準差的管理模式等。用管理方法來解決資安問題才能找出根本問題,以避免問題解決能力單繫於個人身上,而人員離職又造成後續問題。此外,對於資安產業發展陳彥銘也提出心得觀察,他認為,資安產業應該學習從其他領域、方向來看,包括從生物科技、金融、醫療等不同角度。為何資安廠商提供的解決方案總是不夠有效,總是事後解決而非事前預防,也許可以得到解答。

  Forrester研究機構負責Web資安市場的首席分析師Chenxi Wang則談Web 2.0時代各種資安技術比較與市場分析。隨著越來越多企業將Web 2.0相關的consumer technology利用在他們的企業營運上,例如使用訂閱Team Blog RSS、Wiki、MSN或利用YouTube來開啟視訊會議等。但CIO對此Web 2.0技術的運用的最大疑慮仍是安全性。畢竟,從07~08年,網站上隱藏有惡意程式的不斷攀升,且黑市的價碼越來越透明化,例如銀行帳號可販售200至300美金。Web 2.0使得攻擊面增多,而程式碼的安全檢測仍然十分複雜,包括認證與授權邏輯都是。無法再信任傳統的用戶端。

  網頁應用防火牆的市場成長中,從去年到今年就約有2至3成的需求增加,詢問要找哪些供應商。畢竟弱點實在太多,讓企業不知應從何補起。但Wang認為不是擺了一台WAF就沒事,WAF只是讓企業有較多緩衝時間去修補漏洞。Wang亦認為黑箱與白箱測試都需要做,因為這2種看的是不同的問題。透過白箱約可以找到50~60%的弱點,而透過自動化黑箱工具則可找到約30%。其中有一部分弱點是兩者都可找出的,透過黑箱工具找可能較有效率些。最後她提出預測,以後程式碼的品質名譽會受到重視,也因此必須能夠辨識各種程式元件,例如open source變數。而將來這些程式碼的名譽資料,也許都能在網路上供查詢。

  德國OWASP分會的Alexander Meisel,亦是德國art of defence公司技術長談到網頁應用防火牆(WAF)的最佳實務指引,佈署WAF至少是達到一定程度的資安底線,符合法規同時可即時修補問題,但WAF可能帶來的風險則包括誤判,使網路架構複雜度提高,甚至萬一出問題會使應用系統停擺。究竟企業要不要使用WAF,Meisel認為可以從3方面考量:1、公司面考量:該應用系統對公司很重要、公司內網頁應用系統數量眾多、系統複雜,且營運成本高、對效能與可堆疊性的需求;2、也須考慮應用系統之修改難易度、是否有完整的文件化、是否有維護合約以及第3方產品修改bug所需時間;3、考量財務費用:是否須避免因攻擊而導致的財務損失,以及估算使用WAF的相關導入成本。

  導入WAF最佳實務包括需考量是集中或分散的基礎架構。至於效能方面,硬體裝置上每秒可支援多少吞吐量不重要,每秒可處理多少HTTP連線請求比較重要,此外需考量可支援多少同時線上使用者人數,以及在尖峰時間的網頁下載次數等。至於對組織面的建議則是,不要更改既定的安全政策,若要導入WAF需找專人進來管理。

  最後在黃耀文的主持下,所有安全專家進行了一場論壇,討論是黑箱、白箱或WAF防火牆好?又工具好還是顧問好?其實各種工具有其優缺點,但以現今在OWASP會議的參與廠商來看,似乎白箱測試的廠商較為活躍。但對於應該聘用顧問提供掃描服務還是使用自動化工具檢測,企業也許應該回歸到投資報酬率的觀點來看,如果透過顧問所找到的弱點,類似像XSS、SQL Injection等從工具就可找出的漏洞,那麼此類投資就無明顯成效。反之,有些例如商業邏輯錯誤等漏洞無法透過工具找出,就需仰賴有經驗的顧問以人工方式來檢測。因此,對企業而言如何評選出有商業價值的顧問服務,在OWASP孟買分會K. K. Mookhey的演說中也做了精闢分析。

專訪SecTheory執行長Robert Hansen

問:為何會發現Clickjacking的問題?Clickjacking現階段的影響程度如何?

  過去我就喜歡研究架構性的問題,我認為網路廣告是導致產生Clickjacking攻擊的主因,網站仰賴的是網路廣告帶來的收益。瀏覽器業者不這麼積極修改是因為怕對廣告收益有所衝擊,因此他們現在正在尋找其他可讓衝擊減緩的解決方式。其實Clickjacking會與其他XSS、SQL Injection等手法一樣,攻擊原理大家都已經知道,但實際攻擊會等5~10年後才爆發。但至少可以確定的是,現在已經對駭客攻擊造成阻礙,讓他們需從其他網際網路上容易下手處發動攻擊。

問:與Clickjacking相關的問題似乎不僅瀏覽器,還包括瀏覽器元件?

  相關的議題有很多,但可簡單分為2類。一是與瀏覽器相關,也就是把一個網站內容藏在你的滑鼠下面,當你點擊A實際上卻是點擊B。另一則是把相關Flash等物件隱藏在網站下面,當你點擊這些物件,你實際上是跟AcitveX控制項、JavaApplet等物件互動。這是為什麼Adobe會希望我們延後發表,因為當你使用Adobe時,它跳出警告視窗要存取你的網路攝影機或麥克風時,你按下的是“Except”實際上卻可能被駭客所控制。

問:面對此類攻擊,網管人員至少可以有哪些自保之道?

  目前我是有看見一個資安產品雛形可解決此問題,但產品化的解決方案則無。但網管人員可透過以下4種方式來自保: 第1,盡可能讓網頁Session Timeout時間縮短,使用者很快就被登出。第2,確認網頁沒有使用框架(frame),可以用framebusting code此類工具。第3,動態改變網頁的位置。這點也許很難,但如果可以做到,駭客就無法利用此漏洞了。第4,讓URL加密,使每個使用者的URL都是唯一值,這樣駭客也無法發動攻擊。

問:你認為網頁安全威脅、漏洞研究的下一步熱門重點會是什麼?

  很多人都有不同的研究重點也都很有趣。對我而言,下一步會是inter protocol exploitation。讓瀏覽器可以與所有的通訊埠溝通,用各種的語言溝通,不是以特定通訊路徑的方式,可以傳送攻擊探測程式到那個通訊埠。這樣一來,當你去某網站時,我可以強迫你代替我發送垃圾郵件,也可以攻擊網站伺服器,代替我去攻擊某個網站伺服器。這會是我接下來的研究重點。其實現在,在網路上大概有超過兩、三百個不同的攻擊探測程式未被發現。