以往對於通訊或是資料的收集,總得大費週章,Richard Perkins以及Mike Tassey在會議上展示了一台無人駕駛的偵測機,整台飛機由目前的遙控飛機改裝而來,只不過除了原本的動力與控制系統外,還安裝了許多的電子裝置,用來收集通訊與自動的破解某些編碼的資訊,另外配合飛機上的控制電腦,還能夠預先設定好飛行的路徑,以便偵測結束後,能夠自動返航,這個展示算是這次會議上相當獨特的,筆者認為未來技術更為成熟時,也許有量產的可能性。
行動裝置的安全
自從智慧型手機與平台電腦的普遍化,資訊安全的議題就沒停歇過,在今年的Black Hat會議上,有許多針對行動裝置或是所使用的系統進行安全探討的議題,例如:惡意程式、個人資訊的外洩等,開放式的架構能夠讓平台快速的建立,但衍生的資訊安全問題卻不容忽視,許多的Android平台使用者由Android Market下載並安裝這些應用程式時,超過九成的使用者並不會仔細的確認安裝這些程式後,對於系統資訊的存取權限,因此也讓這些別有目的的應用程式,能夠快速的存取與使用者隱私或與行動裝置相關的資料。
Botnet
的相關議題
殭屍網路的威脅仍然是今年的主軸之一,有多場展示了Botnet最新的攻擊趨勢以及採用的技術,例如:VoIP的攻擊手法等。目前的惡意程式具備以往多種行為模式,包括了電腦病毒、蠕蟲、木馬程式等,綜合了這些行為模式,除了無法採用特徵比對的方式進行偵測之外,造成的影響也比傳統的惡意程式大不相同,目前殭屍網路已採用許多暱蹤的技術,能躲避資訊安全設備的偵測與追蹤,因此瞭解新一代惡意程式的生命週期,能夠掌握其行為模式,並且一步研發出相關的偵測機制。
攻擊者除了利用殭屍網路進行控制之外,也利用運作的機制進行資訊的竊取,也運用一些目前熱門的網路應用服務,例如:社群網路(SNS, Social Network Services)等,或是隱暱在其它的檔案中,例如:PDF、Flash等,再配合該軟體的應用程式弱點進行下一階段的惡意程式感染,最後建立起殭屍網路。
筆者從事殭屍網路與惡意程式研究多年,每年觀察其發展的趨勢,從早期單純的攻擊模式,已逐漸轉變成混合型或多樣態的攻擊模式,搭配許多新型的資訊安全威脅,運用惡意程式快速的建立起網路軍隊,以進行其針對式的目標攻擊,或特定性的資料收集,或是結合APT攻擊的模式,長期且持續的進行隱暱式的攻擊,對於殭屍網路的研究與防治上,掌握新的發展趨勢是相當重要的。
雲端服務的安全議題
針對雲端服務中大量使用的虛擬主機,Nelson Elhage在今年的會議上展示了如何入侵KVM(Kernal Virtual Machine),並取得虛擬主機的管理權限,對於目前許多採用KVM架構的雲端服務安全性,造成了直接的影響,因此對於國內目前還相當熱門的雲端服務或是雲端平台的趨勢中,對於這些平台或是其提供服務的模式,如何確保資通訊安全的保證、對於資料的保全或是對於系統整體的安全架構,都值得多花費一些時間與精神進行研究,單純的從建置的成本,或是無法全方位的針對雲端服務進行檢視,其所造成的影響將會比將應用服務雲端化或虛擬化之後更為深遠,雲端服務必須由內容、服務的對象以及服務的方式進行審視,並非傳統的系統環境或是應用服務,只是為了趕上雲端熱潮而忽視了其本質。
新型態的威脅
SCADA(Supervisory Control And Data Acquisition)的安全問題,雖然並不是今年才出現,但在許多的國際資訊安全會議上,都有許多資訊安全研究人員,每隔一段時間仍然有新的發現,主要的原因在於許多的SCADA系統早已成為支應我們日常活動的一環,而早期這類型的系統都佈署於封閉的網路環境中,遭受外來攻擊的機會很低,但裝置設計的技術以及資通訊環境的發展,讓這些原本因為屬於封閉環境中的裝置,而能夠透過網路或其它的通訊方式建立溝通的管道,但這些系統在安全架構的設計上是較為簡易的,甚至沒有防禦資訊安全攻擊的機制,也衍生出目前許多新型態攻擊的威脅,都會以此為目標。
Jerome Radcliffe在今年的會議上,展示了如何入侵與干擾醫療器材的運作,例如:糖尿病人的胰島素注射設備,遭到入侵的裝置提供了不正常的數據資料,可能對於病人的生命造成了威脅,因為錯誤的數據資料,會讓病人誤以為血糖的濃度異常,而透過藥物的注射來調整,後果是可能致命的,此類器材裝置的設計,在系統安全或是通訊的安全上,原本就比較薄弱的,但是一旦發生裝置安全的問題,其影響是相當嚴重的,而除了Jerome在Black Hat會議上所揭露的這個實例外,其它與人類生命相關的SCADA系統,其安全機制的設計上也可能存在相同問題。
前些日子才看到國內有一些醫療院所導入某品牌的行動裝置,當成醫師看診時檢視病歷或是生命跡象紀錄的平台,這部份也是屬於與病人生命息息相關的基礎建設,如何確保其所提供的數據紀錄或檢查報告的正確性,通訊時的安全性,且兼顧其資訊安全保護上的要求,在享受便利之餘亦需要花費時間仔細思考資訊安全在整體架構中所扮演的重要角色。
APT
攻擊的議題
這個算是今年相當火熱的議題,許多知名的企業或是重要的政府單位,都與APT(Advanced Persistent Threat)攻擊無法絕緣,進階性持續性的滲透攻擊雖然在2004年都已出現此類攻擊的雛形,但是在2010年以前的APT攻擊嚴格來說並不夠精緻,在今年所發生的幾次指標性的APT攻擊,例如:Stuxnet針對基礎建設的控制或是RSA遭受到惡意的入侵,目前是SecurID認證設備所使用演算法,諸如此類的攻擊行為,都是有特定目標且持續的針對其目的進行攻擊的行動,整個部署的過程,可能歷經數個月或達一年以上的時間,其最終目的就是達成其攻擊的目標。
嵌入式的系統
隨著數位化生活的發展,目前有越來越多的生活家電或是辦公室中的資訊設備,都能夠透過網路進行通訊,並且傳送相關的資料,例如:智慧型冰箱的食物庫存量,自動的下訂單給超商,或是辦公室中的影印機,目前大多已具備掃瞄器或傳真機的功能,能夠讓我們透過座位上的電腦,直接控制這些數位化的資料傳送,這個理想中的智慧生活型態,已離我們越來越近,但安全的問題卻值得重視,在這次的Black Hat會議中,Michael Sutton分析了目前常見的多種嵌入作業系統的設備安全上的問題,透過弱點的運作,進行嵌入系統的入侵與破解,直接存取經過這些裝置的資料,直接影響了對於資料處理上的保護機制。
目前嵌入式系統的設備在日常生活中幾乎隨處可見,但大多數的安全機制皆較為薄弱,因此若遭到攻擊與入侵,將因為這個的設備所處理的資料機敏性,而造成各種程度的影響,在享受便利之餘,仍然需要留意其資訊安全的問題。
Arsenal Station
在會場旁有六個可以做為技術交流與展示的站台,這是今年與去年不同的設計,有時候會有一些資訊安全的實驗室,會在此發展特定主題的研究成果,不過一定會有實際的展示內容,因此如果想要快速的瞭解這些研究成果的應用情況,直接到這些展示站就可以看到實際的系統運作情況,對於與會的人員提供了一個滿不錯的管道,能夠與這些研究人員直接進行面對面的討論,有時候整個走廊都擠滿了人在看這些實際的成果展示。
參展廠商
今年的參展廠商比2010年來得多,包括IBM、HP、Cisco、EMC、Aruba、Symantec、McAfee、Novell、ArcSight、Splunk、RSA、VMWare等國內常見的廠商之外,還有一些國外較少見的廠商,例如:HBGary、Damballa、validEdge、Netwitness、eEye、Cyber Tap等,也有許多針對新的資訊安全威脅,所提供的解決方案,相當值得我們參考的,許多新的觀念與架構已逐漸成形,例如:SIEM 2.0、Cloud Security、Network Forensics等,透過掌握資訊安全產業的脈動,可以瞭解整體發展的趨勢,也可以做為規劃資訊安全防禦機制與架構的參考。
雲端安全是目前相當熱門的議題,許多廠商也有相關的解決方案,不論從雲端架構上的調整或是配合資訊安全設備,導入其防禦的機制,都需要配合雲端服務的環境才能夠發揮其效用,因此透過服務與功能需求的確認與針對現況進行的差異性分析,對於未來所提供的服務架構,勢必能夠找尋到合適的解決方案。
如果想要挑戰自己本身的程式分析功力,也可以到Amazon所辦的挑戰賽,每隔一段時間就會有新的題目,分析程式中的邏輯問題找到其中的錯誤,就能夠贏得大獎。
結語
今年的Black Hat會議從多種不同的角度切入與我們切身相關的資訊安全問題,也有許多新的弱點被揭露,除了瞭解這些弱點的發生原因以及所造成的影響之外,最重要的是能夠找到解決的方案,或是降低這些弱點所造成的影響範圍;所謂內行的看門道,外行的看熱鬧,資訊安全研究人員透過會議場合,除了分享其研究成果之外,也提醒這些弱點的嚴重性,另外針對一些創新思維的攻擊手法,透過這樣的場合,也能提供了未來可以深入研究的方向;資訊安全專業人才的缺乏,是目前國內遭遇的問題之一,建立長遠的資訊安全藍圖,以策略式的發展重點項目,實為當務之急,國內針對資訊安全的議題,近幾年不論在產官學研界都投入了許多的資源,涵蓋了殭屍網路、資訊安全研發、資安產業等方面的支持,期待未來能提昇國內的資訊安全環境。