2th OWASP亞洲年會之最新與最實用

 14場集合最新Web威脅研究以及企業Web安全實作研討的精采演說，本文帶您重回現場。

　　第2屆的OWASP亞洲年會於10月27、28在台北盛大舉行，2天的議程、14位來
自美、歐、亞與台灣優秀的資安研究人員、超過1,000名聽眾齊聚一堂，為國內資安界帶來最新的Web威脅研究，以及對Web安全實務防禦之道的深入探討。

　　OWASP台灣分會會長／阿碼科技執行長黃耀文表示，今年的議程安排希望能同時滿足資安人員對於Web最新威脅的掌握，因此包括Robert Hansen（代號RSnake）與Steven Adair都將談到他們近期發現的資安問題。此外，對於企業Web防護實務該如何規劃，則有多位專家從滲透測試、網頁應用防火牆(WAF, Web Application Firewall)、原始碼檢測等不同角度，分析企業如何從顧問服務與工具佈署上得到最佳投資效益。

　　行政院國家資通安全會報技術服務中心劉培文主任致詞時亦表示，目前技服中心努力協助政府資安工作的推動，會針對人力、資源較不充足的地方政府，於每年的期初、期末針對OWASP公佈的10大弱點進行檢測，今年已施行到了第3年，技服中心發現到有結構性的問題，約有41%的地方政府，需要為了偵測出的弱點另外尋找經費，並且有55%的委外單位已不提供這類的服務，因此技服中心也開始配合研考會的計畫，從上游去改善，例如配合機房共構、資訊改造等。

最新威脅第一手掌握：Clickjacking、Web殭屍網路

　　本次會議中最受矚目的演說，當屬RSnake與Jeremiah Grossman發現的點閱綁架攻擊(Clickjacking)，在9月底美國OWASP會議中，礙於Adobe的要求而暫緩公告弱點細節，經過這1個月的時間之後，部分問題已在Adobe日前釋出的Flash 10中被修補，因此RSnake此次登台則說明示範了駭客可以如何利用Clickjacking發動攻擊。關於所有Clickjacking的細節請上RSnake blog查詢：http://ha.ckers.org/。
　　此次Clickjacking所牽扯到的問題很多，不只是微軟、Molliza等瀏覽器廠商修補完畢就沒事，就連瀏覽器的Plug-in軟體業者也都需配合修改。其實，在2004年Heap Spray技術出現後，使得瀏覽器被攻擊機率大為提升，現今Web攻擊的主要對象也由伺服器端轉為用戶端。而近期當瀏覽器大廠也逐漸提升其對於安全性的重視後，防護上較為脆弱的一環便出現在瀏覽器Plug-in上，例如現今幾乎所有瀏覽器上都會安裝Flash，且不同版本的瀏覽器可能安裝的是同一版本的Flash，因此攻擊Plug-ins的弱點顯然影響層面較廣，打擊面較大。

　　然而其實不論是點閱綁架攻擊、前陣子跨站冒名請求(CSRF)，或是難以偵測的變形Javascript網頁掛馬等各種Web威脅，都是由於整個Web設計當初沒有考慮到資安，而Web 2.0之後演變成為複雜的應用程式平台，才導致接連而來的安全漏洞。例如，CSRF的問題起因於HTTP通訊協定沒有session的概念，如果有session控制就不需要透過cookie，也就不會被盜帳號了。此外如何撰寫安全的網頁程式仍然需要推廣，網頁被掛馬了不需要先責怪瀏覽器有漏洞，而是先看自己的網頁程式是否沒問題。

　　美國長期監控全球殭屍網路的組織ShadowServer Foundation的Steven Adair，則發表Web殭屍網路與DDoS研究。IRC不再是駭客最常使用來操控殭屍網路的管道，而是網頁形式Http-based Botnet。Adair指出，每週都可看到很多新的Http-based殭屍網路形成，它們會使用動態DNS、可用直接(direct) IP存取。

　　由於Http-based Botnet進入障礙低、工具容易取得、容易架設，且被感染的機器可直接透過Port 80連回駭客處，易於傳遞竊取的資訊，而且是正常流量，很難被入侵偵測系統發現等因素，所以受到駭客歡迎。此外，Adair也談到許多BlackEnergy的DDoS Botnet攻擊。

　　另外，由技服中心林佳明所發表的演說：修改密碼無效！駭客還是在收取您的電子郵件！詳細內容請詳見本期專家開講P.94。

防護實務深入分析：滲透測試、WAF、原碼檢測

　　長期在美國帶領McAfee Foundstone服務團隊執行各種資安專案的總監陳彥銘，看待黑箱、白箱等檢測工具時，明白指出2種工具各有擅長，例如與登入有關的問題，白箱工具才能找到；而授權、錯誤處理等問題則是黑箱工具較有效率。他也提到美國企業對於資安問題會從管理層面思考解決方案，而非單從技術層面。尤其現階段，企業對於網頁程式安全問題已從滲透測試這類單點技術，思考到程式開發以及安全程式開發生命週期(SDLC)、架構分析、成熟性評估等層面。因此雖然市場上有能力提供滲透測試服務的廠商很多，但必須考量的是，每個企業隨著營運模式、規模的不同，其所進行的SDLC方式也必然不同，例如微軟也有一套SDL，但可能較適合中大型企業，而在人力、資源上不充裕就會較不適用。而資安服務廠商能否掌握企業差異提供進一步的諮詢建議，是企業在評選顧問服務應謹慎考量之處。

　　陳彥銘進一步指出，在提供滲透測試服務之後，他們會進一步將平衡計分卡的概念引導到客戶現有的資安問題上，運用管理科學的觀點來解決資安議題，還包括PMP專案管理的想法或6個標準差的管理模式等。用管理方法來解決資安問題才能找出根本問題，以避免問題解決能力單繫於個人身上，而人員離職又造成後續問題。此外，對於資安產業發展陳彥銘也提出心得觀察，他認為，資安產業應該學習從其他領域、方向來看，包括從生物科技、金融、醫療等不同角度。為何資安廠商提供的解決方案總是不夠有效，總是事後解決而非事前預防，也許可以得到解答。

　　Forrester研究機構負責Web資安市場的首席分析師Chenxi Wang則談Web 2.0時代各種資安技術比較與市場分析。隨著越來越多企業將Web 2.0相關的consumer technology利用在他們的企業營運上，例如使用訂閱Team Blog RSS、Wiki、MSN或利用YouTube來開啟視訊會議等。但CIO對此Web 2.0技術的運用的最大疑慮仍是安全性。畢竟，從07～08年，網站上隱藏有惡意程式的不斷攀升，且黑市的價碼越來越透明化，例如銀行帳號可販售200至300美金。Web 2.0使得攻擊面增多，而程式碼的安全檢測仍然十分複雜，包括認證與授權邏輯都是。無法再信任傳統的用戶端。

　　網頁應用防火牆的市場成長中，從去年到今年就約有2至3成的需求增加，詢問要找哪些供應商。畢竟弱點實在太多，讓企業不知應從何補起。但Wang認為不是擺了一台WAF就沒事，WAF只是讓企業有較多緩衝時間去修補漏洞。Wang亦認為黑箱與白箱測試都需要做，因為這2種看的是不同的問題。透過白箱約可以找到50～60%的弱點，而透過自動化黑箱工具則可找到約30%。其中有一部分弱點是兩者都可找出的，透過黑箱工具找可能較有效率些。最後她提出預測，以後程式碼的品質名譽會受到重視，也因此必須能夠辨識各種程式元件，例如open source變數。而將來這些程式碼的名譽資料，也許都能在網路上供查詢。

　　德國OWASP分會的Alexander Meisel，亦是德國art of defence公司技術長談到網頁應用防火牆(WAF)的最佳實務指引，佈署WAF至少是達到一定程度的資安底線，符合法規同時可即時修補問題，但WAF可能帶來的風險則包括誤判，使網路架構複雜度提高，甚至萬一出問題會使應用系統停擺。究竟企業要不要使用WAF，Meisel認為可以從3方面考量：1、公司面考量：該應用系統對公司很重要、公司內網頁應用系統數量眾多、系統複雜，且營運成本高、對效能與可堆疊性的需求；2、也須考慮應用系統之修改難易度、是否有完整的文件化、是否有維護合約以及第3方產品修改bug所需時間；3、考量財務費用：是否須避免因攻擊而導致的財務損失，以及估算使用WAF的相關導入成本。

　　導入WAF最佳實務包括需考量是集中或分散的基礎架構。至於效能方面，硬體裝置上每秒可支援多少吞吐量不重要，每秒可處理多少HTTP連線請求比較重要，此外需考量可支援多少同時線上使用者人數，以及在尖峰時間的網頁下載次數等。至於對組織面的建議則是，不要更改既定的安全政策，若要導入WAF需找專人進來管理。

　　最後在黃耀文的主持下，所有安全專家進行了一場論壇，討論是黑箱、白箱或WAF防火牆好？又工具好還是顧問好？其實各種工具有其優缺點，但以現今在OWASP會議的參與廠商來看，似乎白箱測試的廠商較為活躍。但對於應該聘用顧問提供掃描服務還是使用自動化工具檢測，企業也許應該回歸到投資報酬率的觀點來看，如果透過顧問所找到的弱點，類似像XSS、SQL Injection等從工具就可找出的漏洞，那麼此類投資就無明顯成效。反之，有些例如商業邏輯錯誤等漏洞無法透過工具找出，就需仰賴有經驗的顧問以人工方式來檢測。因此，對企業而言如何評選出有商業價值的顧問服務，在OWASP孟買分會K. K. Mookhey的演說中也做了精闢分析。