https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

2011 Black Hat資安黑帽大會巡禮

2011 / 10 / 05
蔡一郎
2011 Black Hat資安黑帽大會巡禮

今年,會場上最熱門的資安事件話題,應是SONY公司PSN於四月份遭駭客入侵竊取七千萬以上的會員資料,網路服務被迫中斷造成超過上億用戶的線上服務受到影響。議程規劃上,以多個領域的資訊安全技術發展為主軸,涵蓋了系統、網路、程式、網站服務、實體安全等多種領域,今年也有許多尚未發佈的攻擊技術或弱點被披露。

 

另外對於硬體、裝置的安全問題,幾乎每年都有一些令人震撼的展示,以今年而言主要以透過3G通訊網路遠端攻擊行車電腦,並且成功的解除汽車的警報系統與發動汽車,以及針對糖尿病人都會使用的血糖檢測儀器進行攻擊與破解,其影響的層級可能會對於病人的生命直接造成威脅,稍後將的再深入的對於這些議題進行分享。

主題演講邀請了Cofer BlackPeiter ZaktoCofer在美國政府單位服務達30年之久,此次在會議中以美國911恐佈攻擊事件歷經10年後的今年,對於當下的國家整體的安全進行剖析,10年後,網路通訊的發展已大不相同,網路戰爭或資訊戰爭的威脅已日益增加,必須採用更全面性的針對國家關鍵資通訊安全進行檢視,以避免大規模災害的發生。

Peiter Zakto@stake的發起人、L0phtCrack工具的作者,過去曾擔任國防高級研究計劃局(DARPA, Defense Advanced Research Projects Agency)的負責人,對於資訊安全的研究具有最多的貢獻,目前許多的資訊安全研究,都直接採用DARPA當成研究的測試基準,包括網路安全的行為研究,或是採用DARPA計畫發佈的流量資料,當成發展各種偵測技術時的參考基準,對於學術研究或是資訊安全產業的發展,有其深遠的影響。

根據筆者的經驗與觀察,此次的Black Hat 2011會議兩場主題演講,焦點仍集中在國家層級的整體資訊安全架構規劃與設計上,當通訊環境越發達,就越來越依賴這些關鍵資通訊建設,安全問題就成為不可忽視的議題,但自傳統通訊或通信環境所發展出來的架構,免不了有歷史的包袱,如何取其優勢而避開可能造成的影響,應該也是目前國內最需要關注的,跨單位或不同網路服務供應商(ISP)之間的協調,就成為重要的關鍵因素。

 

通訊網路的新衝擊

在這次的會議上,Don BaileyMathew Solnik展示了如何透過電話網路遠端對於行車電腦發送文字內容的簡訊(SMS),並且順利的解除防盜器與啟動汽車,令人擔憂的是同樣的手法,也可以運用在許多關鍵基礎建設上,因此面對越來越多連上通訊網路的裝置,安全的問題必須更全面的進行檢視,許多的車廠例如:BMW Assist服務、GM OnStar服務、Ford Sync服務以及Hyundai Blue Link服務,透過GSMCDMA建立通訊的環境,資安研究人員運用一些逆向工程的技巧(如圖1、圖2),假冒了提供遠端服務的伺服器,並成功的送出控制的命令,讓汽車上的行車電腦接受來自遠端的指令。

 

網路上的路由器,扮演的決定路徑的重要角色,但是如果路由表不正確呢?這對於骨幹網路的路由器而言,影響的範圍是相當嚴重的,這次的會議Alex KirshonDima Gon ikman以及Gabi Nakibly針對OSPF提出新的攻擊手法,能夠讓我們掌握路由器最重要的路由表。

 

 

圖1、 Remote False Adjacency攻擊   (圖片來源:作者提供)

 

 

 

圖2、 Disguised LSA攻擊   (圖片來源:作者提供)

 

 

以往對於通訊或是資料的收集,總得大費週章,Richard Perkins以及Mike Tassey在會議上展示了一台無人駕駛的偵測機,整台飛機由目前的遙控飛機改裝而來,只不過除了原本的動力與控制系統外,還安裝了許多的電子裝置,用來收集通訊與自動的破解某些編碼的資訊,另外配合飛機上的控制電腦,還能夠預先設定好飛行的路徑,以便偵測結束後,能夠自動返航,這個展示算是這次會議上相當獨特的,筆者認為未來技術更為成熟時,也許有量產的可能性。

 

 

行動裝置的安全

 

自從智慧型手機與平台電腦的普遍化,資訊安全的議題就沒停歇過,在今年的Black Hat會議上,有許多針對行動裝置或是所使用的系統進行安全探討的議題,例如:惡意程式、個人資訊的外洩等,開放式的架構能夠讓平台快速的建立,但衍生的資訊安全問題卻不容忽視,許多的Android平台使用者由Android Market下載並安裝這些應用程式時,超過九成的使用者並不會仔細的確認安裝這些程式後,對於系統資訊的存取權限,因此也讓這些別有目的的應用程式,能夠快速的存取與使用者隱私或與行動裝置相關的資料。


 

Botnet的相關議題

 

殭屍網路的威脅仍然是今年的主軸之一,有多場展示了Botnet最新的攻擊趨勢以及採用的技術,例如:VoIP的攻擊手法等。目前的惡意程式具備以往多種行為模式,包括了電腦病毒、蠕蟲、木馬程式等,綜合了這些行為模式,除了無法採用特徵比對的方式進行偵測之外,造成的影響也比傳統的惡意程式大不相同,目前殭屍網路已採用許多暱蹤的技術,能躲避資訊安全設備的偵測與追蹤,因此瞭解新一代惡意程式的生命週期,能夠掌握其行為模式,並且一步研發出相關的偵測機制。

 

攻擊者除了利用殭屍網路進行控制之外,也利用運作的機制進行資訊的竊取,也運用一些目前熱門的網路應用服務,例如:社群網路(SNS, Social Network Services)等,或是隱暱在其它的檔案中,例如:PDFFlash等,再配合該軟體的應用程式弱點進行下一階段的惡意程式感染,最後建立起殭屍網路。

 

筆者從事殭屍網路與惡意程式研究多年,每年觀察其發展的趨勢,從早期單純的攻擊模式,已逐漸轉變成混合型或多樣態的攻擊模式,搭配許多新型的資訊安全威脅,運用惡意程式快速的建立起網路軍隊,以進行其針對式的目標攻擊,或特定性的資料收集,或是結合APT攻擊的模式,長期且持續的進行隱暱式的攻擊,對於殭屍網路的研究與防治上,掌握新的發展趨勢是相當重要的。


 

雲端服務的安全議題

 

針對雲端服務中大量使用的虛擬主機,Nelson Elhage在今年的會議上展示了如何入侵KVM(Kernal Virtual Machine),並取得虛擬主機的管理權限,對於目前許多採用KVM架構的雲端服務安全性,造成了直接的影響,因此對於國內目前還相當熱門的雲端服務或是雲端平台的趨勢中,對於這些平台或是其提供服務的模式,如何確保資通訊安全的保證、對於資料的保全或是對於系統整體的安全架構,都值得多花費一些時間與精神進行研究,單純的從建置的成本,或是無法全方位的針對雲端服務進行檢視,其所造成的影響將會比將應用服務雲端化或虛擬化之後更為深遠,雲端服務必須由內容、服務的對象以及服務的方式進行審視,並非傳統的系統環境或是應用服務,只是為了趕上雲端熱潮而忽視了其本質。


 

新型態的威脅

 

SCADA(Supervisory Control And Data Acquisition)的安全問題,雖然並不是今年才出現,但在許多的國際資訊安全會議上,都有許多資訊安全研究人員,每隔一段時間仍然有新的發現,主要的原因在於許多的SCADA系統早已成為支應我們日常活動的一環,而早期這類型的系統都佈署於封閉的網路環境中,遭受外來攻擊的機會很低,但裝置設計的技術以及資通訊環境的發展,讓這些原本因為屬於封閉環境中的裝置,而能夠透過網路或其它的通訊方式建立溝通的管道,但這些系統在安全架構的設計上是較為簡易的,甚至沒有防禦資訊安全攻擊的機制,也衍生出目前許多新型態攻擊的威脅,都會以此為目標。

Jerome Radcliffe在今年的會議上,展示了如何入侵與干擾醫療器材的運作,例如:糖尿病人的胰島素注射設備,遭到入侵的裝置提供了不正常的數據資料,可能對於病人的生命造成了威脅,因為錯誤的數據資料,會讓病人誤以為血糖的濃度異常,而透過藥物的注射來調整,後果是可能致命的,此類器材裝置的設計,在系統安全或是通訊的安全上,原本就比較薄弱的,但是一旦發生裝置安全的問題,其影響是相當嚴重的,而除了JeromeBlack Hat會議上所揭露的這個實例外,其它與人類生命相關的SCADA系統,其安全機制的設計上也可能存在相同問題。

前些日子才看到國內有一些醫療院所導入某品牌的行動裝置,當成醫師看診時檢視病歷或是生命跡象紀錄的平台,這部份也是屬於與病人生命息息相關的基礎建設,如何確保其所提供的數據紀錄或檢查報告的正確性,通訊時的安全性,且兼顧其資訊安全保護上的要求,在享受便利之餘亦需要花費時間仔細思考資訊安全在整體架構中所扮演的重要角色。


 

APT攻擊的議題

 

這個算是今年相當火熱的議題,許多知名的企業或是重要的政府單位,都與APT(Advanced Persistent Threat)攻擊無法絕緣,進階性持續性的滲透攻擊雖然在2004年都已出現此類攻擊的雛形,但是在2010年以前的APT攻擊嚴格來說並不夠精緻,在今年所發生的幾次指標性的APT攻擊,例如:Stuxnet針對基礎建設的控制或是RSA遭受到惡意的入侵,目前是SecurID認證設備所使用演算法,諸如此類的攻擊行為,都是有特定目標且持續的針對其目的進行攻擊的行動,整個部署的過程,可能歷經數個月或達一年以上的時間,其最終目的就是達成其攻擊的目標。

 

 

嵌入式的系統

 

隨著數位化生活的發展,目前有越來越多的生活家電或是辦公室中的資訊設備,都能夠透過網路進行通訊,並且傳送相關的資料,例如:智慧型冰箱的食物庫存量,自動的下訂單給超商,或是辦公室中的影印機,目前大多已具備掃瞄器或傳真機的功能,能夠讓我們透過座位上的電腦,直接控制這些數位化的資料傳送,這個理想中的智慧生活型態,已離我們越來越近,但安全的問題卻值得重視,在這次的Black Hat會議中,Michael Sutton分析了目前常見的多種嵌入作業系統的設備安全上的問題,透過弱點的運作,進行嵌入系統的入侵與破解,直接存取經過這些裝置的資料,直接影響了對於資料處理上的保護機制。

目前嵌入式系統的設備在日常生活中幾乎隨處可見,但大多數的安全機制皆較為薄弱,因此若遭到攻擊與入侵,將因為這個的設備所處理的資料機敏性,而造成各種程度的影響,在享受便利之餘,仍然需要留意其資訊安全的問題。

 

 

Arsenal Station

 

在會場旁有六個可以做為技術交流與展示的站台,這是今年與去年不同的設計,有時候會有一些資訊安全的實驗室,會在此發展特定主題的研究成果,不過一定會有實際的展示內容,因此如果想要快速的瞭解這些研究成果的應用情況,直接到這些展示站就可以看到實際的系統運作情況,對於與會的人員提供了一個滿不錯的管道,能夠與這些研究人員直接進行面對面的討論,有時候整個走廊都擠滿了人在看這些實際的成果展示。

 

參展廠商

 

今年的參展廠商比2010年來得多,包括IBMHPCiscoEMCArubaSymantecMcAfeeNovellArcSightSplunkRSAVMWare等國內常見的廠商之外,還有一些國外較少見的廠商,例如:HBGaryDamballavalidEdgeNetwitnesseEyeCyber Tap等,也有許多針對新的資訊安全威脅,所提供的解決方案,相當值得我們參考的,許多新的觀念與架構已逐漸成形,例如:SIEM 2.0Cloud SecurityNetwork Forensics等,透過掌握資訊安全產業的脈動,可以瞭解整體發展的趨勢,也可以做為規劃資訊安全防禦機制與架構的參考。

雲端安全是目前相當熱門的議題,許多廠商也有相關的解決方案,不論從雲端架構上的調整或是配合資訊安全設備,導入其防禦的機制,都需要配合雲端服務的環境才能夠發揮其效用,因此透過服務與功能需求的確認與針對現況進行的差異性分析,對於未來所提供的服務架構,勢必能夠找尋到合適的解決方案。

 

如果想要挑戰自己本身的程式分析功力,也可以到Amazon所辦的挑戰賽,每隔一段時間就會有新的題目,分析程式中的邏輯問題找到其中的錯誤,就能夠贏得大獎。

 

結語

 

今年的Black Hat會議從多種不同的角度切入與我們切身相關的資訊安全問題,也有許多新的弱點被揭露,除了瞭解這些弱點的發生原因以及所造成的影響之外,最重要的是能夠找到解決的方案,或是降低這些弱點所造成的影響範圍;所謂內行的看門道,外行的看熱鬧,資訊安全研究人員透過會議場合,除了分享其研究成果之外,也提醒這些弱點的嚴重性,另外針對一些創新思維的攻擊手法,透過這樣的場合,也能提供了未來可以深入研究的方向;資訊安全專業人才的缺乏,是目前國內遭遇的問題之一,建立長遠的資訊安全藍圖,以策略式的發展重點項目,實為當務之急,國內針對資訊安全的議題,近幾年不論在產官學研界都投入了許多的資源,涵蓋了殭屍網路、資訊安全研發、資安產業等方面的支持,期待未來能提昇國內的資訊安全環境。