為期2天的美國BLACK HAT DC活動,探討許多議題,無法前往的聽眾,別再錯過這次的精彩內容。
2009年BLACK HAT DC研討會總共分成幾個有趣的議題群,包含逆向工程、身分與隱私保護、網站安全、對系統底層的攻防、網路軍事化等。
狡詐DNS 人眼、自動偵測難察覺
逆向工程(Reverse Engineering),在近幾年來因為惡意程式與各種攻擊迅速發展之下,對於逆向工程這個冷冰冰的議題,也成為了大家爭相學習研究的大熱門,包含逆向工程方式攻擊無線網路感應器(Reversing andExploiting Wireless Sensors)、微軟Vista作業系統深入安全探討、透過DLL呼叫重建IAT表、對於衛星的入侵等。
另外還有身分與隱私議題,因為是在華府所舉辦的活動,難免會包含一些政策上與大面向上的思考,例如剛好最近有發生類似DNS問題的事件,其實在此活動中很重要的一場由Dan Kaminsky所演講的DNS安全與關鍵基礎建設之防護中就已經提及,很難偵測到對於DNS下毒的現象,而攻擊者也僅僅掌握住那DNS對應過期的短暫時間,卻有可能造成很大的影響,目前已經發現有利用此方式來做網路釣魚之犯罪,包含CNN、EBAY與PAYPAL都曾經發現過這樣的攻擊,而且攻擊者非常狡猾地使用非常類似之IP位址來做為汙染的方式,例如用66.133.221.10取代66.135.221.10,僅有一個位數不同,讓人眼與自動偵測程式也會漏掉這樣的攻擊。
在“M a k i n g P r i v a c y - P r e s e r v i n g D a t a Mining Practical with Smartcards ”這一場演講中,提到對於政府可能利用資料採礦的方式,找出個人的政黨喜好以及政府機關保存太多個人的隱私記錄,萬一這些機關其中一個有資料外洩或者做了不正當的用途,就會使得個人隱私受到嚴重的迫害,所以他算出使用智慧卡加上一個密碼學的演算法來避免此問題的發生,值得相關單位做參考。當然其中還是有提到最熱門的網站安全問題,介紹網站安全防火牆、XSS攻擊之防禦,目前還是有很多網站安全的問題,那為什麼大家都不去做修補呢?Ryan C. Barnett在介紹ModSecurity時提到,因為成本和風險的計算不夠明確,而且也沒有一家公司能夠有懂得這麼多程式語言的資安與程式專家。對於這樣幾乎無所不在的網站安全攻擊,Val Smith也揭露了大量資料隱碼攻擊的始末以及更詳細的手法分析,讓這個神祕的面紗被掀開,俗話說要知道怎麼防守必須先知道敵人的攻擊方式,尤其是在網站安全方面更是如此。因此也開始有人提出類似IPS的異常偵測方式,以網站防火牆來偵測各種非正常模式的網站應用系統的攻擊。
攻與防─無止境的拉鋸
本次的攻防議題中有幾個值得關注的議題,一個是對英特爾vPro的可信賴執行科技的繞過與破解,還有對於MAC的OSX的攻擊手法,這是屬於底層的攻防議題,也有像Flash的跨網站指令偽造(CSRF)與Google正在推Gears離線版的各種應用,沒想到又被驗證出可以做相關的攻擊,這是就是屬於網路應用面議題。
以Google Gears的離線攻擊來說,他原先的功能是讓使用者在自己的電腦中也有一份線上資料的備份,例如將線上日曆與行程由線上複製一份存放到你的電腦中,在你離線的時候也可以使用,這是一個非常方便而且令人讚賞的科技功能,但是現在被發現有可以攻擊這種服務的方式。只要透過設計過的可用於離線資料庫的資料隱碼攻擊(csSQLi),加上跨網站腳本攻擊(XSS),就有可能因此入侵你的電腦,因為線上的服務已經由你的離線程式接手,所以被攻擊的是你的用戶電腦。就像是批著羊皮的狼,可以透過HTTP Cookies與Flash本地端的共享物件竊取用戶之資料隱私,嚴重的就是透過Gears而直搗用戶電腦。
其中,最受關注的莫過於大家上網經常會使用的HTTPS,也就是SSL安全傳輸方法的安全問題。當您在網站上使用HTTPS時,真的有宣稱中的這麼安全嗎?駭客告訴你,NEVER!Moxie Marlinspike展示了一套名為SSLstrip的無線網路之SSL封包中間人攻擊與解碼的工具,將原本應該是看不懂的亂碼,從中攔截之後變成可以讀的明文,等於是讓SSL失去效用,而用戶當然是不會發覺。同樣的概念也出現在一般的有線網路中,只要放的位置對,一樣有機會達到這個效果,國內就有資安研發廠商已能做到這個功能,深為企業主愛用。對於SSL類似的攻擊手法其實層出不窮,在2007年與2008年都曾出現。
Moxie使用這套工具在公開的無線網路環境中,1天之內就獲取了超過200組的各式各樣帳號密碼,他呼籲要使用更嚴謹的EVSSL(Extended Validation SSL)認證方式,才能夠確保不會受到此手法的侵害,所以,不管是http還是https,建議使用者在公開網路使用帳號密碼,都要格外小心,三思而行。必須正視網路軍事化問題來自於越南的Duc Nguyen,針對多款筆記型電腦所使用的臉型識別身分驗證機制作破解,使用印出來的人臉圖形加以欺騙,除非廠商重新設計一套辨識方式,否則這樣的機制破解幾乎是沒辦法修補的。從這個問題可以發現到,安全的機制以及網路的發達,已經造成許多新的問題,網路的濫用與誤用加上很大的資訊知識落差,導致國家安全受到網路層面的威脅。
因此,從專家對美國必須正視網際空間軍事化衝擊的呼籲,可以嗅出些許今年大家對於資安的重視以及資安層級提升之方向。從“The Move from Strategic Indecision to Leadership in Cyberspace”這個衝勁十足的題目,就可以看出美國對於資安的掌握期望和對於現況之不足的擔憂,美國國土安全部的資安專家Paul Kurtz在第一天的開場,就引爆這一系列資安與國家安全議題探討。
美國國土安全部的資安專家Paul Kurtz表示,美國必須及早了解網際網路已經成為新的資訊武器、資訊戰與情報站的活絡場所,政府對於相當於網路上的卡翠那颶風事還無防備的,也呼應了日前美國總統歐巴馬所下令在2個月內重新檢視與稽核整個政府資訊系統之安全,他強調,網路上還是需要有公權力的介入,以維護正常用戶以及公平的權力,面對網路上的災害,是否有主責的單位呢?答案是權
責不明,因此他提出呼籲要及早準備應變。
對於網路上藉由入侵所達到的情報蒐集與商業間諜,遠比想像中的嚴重,已經危害到國家的安全基礎與經濟的發展。在冷戰之後,網路情報戰已經和反恐視為同一嚴重威脅,有條件地開發嚇阻性資訊戰武器是必要的,至少要能夠追蹤出攻擊來源與嚇阻式的防禦。最後他提出警告,如果今天發生資訊基礎建設的災難,目前是沒有緊急應變與招架之力的。