https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

直擊Black Hat USA 2012與DEFCon 20 行動安全是共同焦點

2012 / 09 / 03
蔡一郎
直擊Black Hat USA 2012與DEFCon 20  行動安全是共同焦點

近年來,資訊安全因為駭客行動主義(Hackivism)的盛行而面臨重大挑戰,這也讓許多大型網站服務業者、雲端服務供應商吃足了苦頭,從2011年起至今,諸如AnonymousLulzsec等駭客組織,大規模進行全球性的駭客行動,受害對象不乏知名企業。對於廣大使用者而言,駭客行動也許會影響網路服務的使用,不過換個角度來看,倘若能讓許多人在使用網路的時候,開始思索資訊安全問題,並重視個人隱私資訊保護,又何嘗不是一件好事?!

 

對於資訊安全相關的業者與研究人員,新世代的資訊安全威脅,帶來許多不平凡的挑戰,因為網際網路的普及、新興服務型態的出現以及雲端服務平台的發展,讓原本擁有安全防護機制的環境充滿了變數與疑慮,也因此,每年在美國拉斯維加斯舉行的Blackhat以及DEFCon國際資訊安全會議,就成為眾人注目的焦點,透過研究人員在會議上所揭露與分享的各類安全問題,如:系統、網路、應用程式、硬體裝置等,可以提醒我們許多尚未發佈或是潛在的資安威脅,也讓資訊安全研究領域向前邁進。

 

Blackhat聚焦四大議題:NFC資料外洩、HTML5弱點、行動通訊、惡意程式

 

今年Blackhat同樣有專題演講及16個不同的會議主題(表1),在會議走廊上亦安排了Arsenal Station,讓廠商或資安研究人員,自行進行成果分享與技術交流。就專題演講來說,第一天邀請到前FBI高階主管Shawn Henry,以Changing the security paradigm taking back your network and bringing pain to the adversary為題,介紹如何因應目前網際網路的發展以及新型態攻擊威脅,第二天則以訪談方式進行,由科幻小說作家Neal Stephenson分享對資安及資訊科技發展的看法。

 

12012 Blackhat會議主題

 

第一天

第二天

專題演講

n          主講者:前FBI高階主管Shawn Henry

n          講題:Changing the security paradigm taking back your network and bringing pain to the adversary,介紹如何因應目前網際網路的發展以及新型態攻擊威脅。

n          重點:網路的發展讓傳統資訊環境變得更複雜,在管理上需要同時面對多種不同的挑戰,目前大多數的資訊系統,為了提供使用者順利取得所需要的資訊或服務,除了考量便利性之外,對於資訊安全的要求,將比以往更為重要。

n          主講者:科幻小說作家Neal Stephenson

n          講題:以訪談方式讓Neal Stephenson分享對資安及資訊科技發展的看法。

n          重點:目前許多資訊科技的發展趨勢,正與Neal Stephenson在小說中所描述的情節似曾相似,創新的思維往往牽引著我們追尋新科技的發展。

會議主題

n          Defining the Scope

n          Upper Layer

n          Lower Layer

n          Mobile

n          Defense

n          Breaking Things

n          Gnarly Problems

n          Big Picture

n          Web Apps

n          Malware

n          Enterprise Intrigue

n          92.2% Market Share

n          Over the Air and In the Device

n          Mass Effect

資料來源:本文作者整理,2012/8

 

 

另外,Blackhat兩天都安排了2Applied Workshop,吸引相當多的人參加,主要可以透過實作方式,瞭解講者所分享的研究成果,也包括一些資安工具的發佈,與會人員透過與開發人員面對面的機會,瞭解工具操作與運用技巧,對於技術人員而言,實為不可多得的實戰機會,重要場次如表2所列。

 

2Applied Workshop重要場次

講者

演講題目

Chrstien Rioux

Lessons of Binary Analysis

Eric Fulton

Mobile Network Forensics

Jonathan Zdziarski

The Dark Art of iOS Application Hacking

Cory Scott, Michael TracyTimur Duehr

Ruby for Pentesters: The Workshop

Abraham Kang

Code Reviewing Web Application Framework Based Applications

Kyle OsbornKizysztof Kotowicz

Advanced Chrome Extension Exploitation: Leveraging API Powers for The Better Evil

Javier Galbally

From the Iriscode to the Iris: A New Vulnerability of Iris Recognition System

資料來源:本文作者整理,2012/8

 

 

NFC的資料外洩風險

 

今年的重要焦點之一,就是針對NFC安全問題的討論,在現場引起廣大迴響。Charlie Miller發表Don''t stand so close to me: An analysis of the NFC attack surface,介紹NFC技術目前已被發現的安全問題,透過NFC通訊可以在不需要接線的情況下,取得遠端裝置上的資料,因為NFC可以直接使用Android Beam以及NDEF進行資料共享,瀏覽器在不需要交換檔案的前提下,就可以瀏覽照片、通訊錄以及Office文件等資料,這些將造成未經當事人同意下的資料外洩,這對於目前台灣大力推動NFC技術應用的產業而言,值得多加深思對於裝置安全的防護問題。

 

HTML5 10大弱點

 

Shreeraj Shah則以HTML5 Top 10 Threats Stealth Attacks and Silent Exploits為題,針對以下的前十大威脅(表3)做深入介紹,這個議題講者亦曾經在Blackhat Europe 2012會議初步揭露過,在這次會議中則是以實例驗證的方式,讓與會人員瞭解這些威脅實際所造成的影響。

 

這些威脅主要是由,分析已經被揭露的弱點可能的影響程度,並參考曾經被運用做為攻擊手法的事件而來,對於程式開發人員而言,在使用HTML5增強原本瀏覽器的功能之餘,也必須同時思考到可能衍生的資訊安全問題。另外像是Sergey ShekyanVaagn Toukharian主講的Hacking With WebsocketsPhil PurvianceJoshua Brashars主講的Blended Threats and JavaScript: A Plan for Permanent Network Compromise,這兩場也都有與HTML5弱點相關的介紹。

 

3HTML5 10大威脅

A1 - CORS Attacks & CSRF

A2 - ClickJacking, CORJacking and UI exploits

A3 - XSS with HTML5 tags, attributes and events

A4 - Web Storage and DOM information extraction

A5 - SQLi & Blind Enumeration

A6 - Web Messaging and Web Workers injections

A7 - DOM based XSS with HTML5 & Messaging

A8 - Third party/Offline HTML Widgets and Gadgets

A9 - Web Sockets and Attacks

A10 - Protocol/Schema/APIs attacks with HTML5

資料來源:本文作者整理,2012/8

 

行動通訊iOS安全風險

 

行動通訊設備以及運行於這些裝置上的作業系統、應用程式或是開發平台的資安問題,也是今年會議的重點,許多場次都在討論相關主題:

  • Justin Engler、Seth Law、Joshua Dubik與David Vo等人以Introducing: SiRA Semi-automated iOS Rapid Assessment為題,介紹目前已在iOS平台上發現的弱點與攻擊方式;SiRA提供幾項主要功能,可以讓使用者進行遠端的SSH連線、比較系統快照(Snapshot)的差異、設定網路通訊的代理伺服器以及針對iOS進行底層分析,這些對於掌握iOS平台對於資料的處理,可以提供更細部的資訊供研究人員進行分析。
  • Dallas De Atley則以iOS Security為題,說明目前iOS在系統設計上的安全問題,提供資安研究人員針對這些行動裝置使用的作業系統,有更完整的分析流程可以依循,改變以往大多採用實機或模擬器的測試方式,能夠更容易掌握應用程式(App)在安裝與使用上可能發生的異常行為,做為後續分析上的重要參考資料。
  • Jonathan Zdziarski以The dark art of iOS application hacking為題,分享如何在iOS上針對已被揭露的弱點進行攻擊,並且介紹一些實務技巧,以提昇系統本身的安全性,及降低遭到攻擊影響的機會。

今年有相當多關於行動裝置安全的議題,這也意味著我們必須正視這些大量成長的行動通訊設備,及其對於企業傳統資訊安全防護架構所造成的影響。

 

惡意程式來勢洶洶

 

惡意程式相關的議題,在今年的會議中也相當重要,甚至規劃了以Malware為主的Track,目前每天出現的惡意程式數量相當多,以全球的角度來看,幾乎是每一秒鐘就有一種惡意程式出現,除了舊有惡意程式的變種,亦不乏許多新出現的惡意程式,這些惡意程式背後大多有其隱藏的目的與功能,有些是單純竊取受害者的資料或是影響受害系統的運作,有些則具備相當複雜的功能,包括針對特定目標進行進階持續性的滲透攻擊(APT, Advanced Persistent Threat),其中許多參與攻擊的主角,都是因為受到惡意程式感染所致。

 

Rodrigo BrancoA Scientific Study of Malware Employs Anti-Debugging, Anti-disassembly, and Anti-virtualization Technologies為題,介紹目前惡意程式的發展,針對如何避免遭到反組譯與靜態分析的作法,目前採用的技術可以讓惡意程式在短時間內變種,而擁有不同的特徵,加入智慧型態的演算法,以避免過於規則性的活動,遭到網路與系統偵測機制的發掘,真所謂道高一尺而魔高一丈,不折不扣的是一場偵測與反偵測的競賽。

 

 

另外,Chengyu SongPaul RoyalFlowers for Automated Malware Analysis為題,介紹惡意程式的自動化分析平台,改良目前大多採用人工分析所需要耗費的時間與精神,預估自動化分析平台的發展將是未來趨勢之一。

 

今年Blackhat會議參展廠商的數量較往年大幅成長,許多資訊安全相關的廠商,都利用這場大型的年度資安會議,向與會人員介紹目前最新的軟硬體技術以及相關產品,今年廠家所展出的解決方案,大多環繞在雲端安全以及行動通訊這兩個當前最熱的議題。


 

 

 

DEFCon三大熱門議題:GPS、行動通訊、硬體裝置

 

相較於BlackhatDEFCon的會議型態較為自由,每年參加人數幾乎都超過1萬人,規模大小與內容精彩程度不亞於Blackhat,今年是DEFCon二十週年的會議,在會議期間安排了相當多的活動,除了研討會議程外,另外還有擴大舉辦的CTF(Capture The Flag)比賽,想要到會場參加比賽,必須在會外賽打進前20名才行(往年是前10名),今年入選的團隊還是以歐美國家居多,亞洲地區較少。

 

會場中的無線網路分成開放及需要註冊申請兩種,前者無安全認證機制,因此在無線網路環境中充滿許多網路通訊以及駭客間的訊息交換,如果使用無安全性無線網路,如果應用程式採用不安全的通訊協定,很快的通訊內容就會被公開在「綿羊牆(Shape Wall)」上,在會議期間的Workshop區域也有許多的實際展示,透過簡報、闖關的方式,讓參加者挑戰破解資訊平台或是弱點運用,不再是紙上談兵,而是可以實際掌握這些技術的使用。

 

在會場上可以看到因為使用不安全的通訊方式,或是遭到破解的受駭者資料,就會出現在綿羊牆上,不過,登入帳號與密碼部份會做遮罩處理,目的在於提醒大家留意通訊上的安全,現場亦有實務介紹,如:使用Wireshark之類的工具軟體,進行網路封包的截取與分析技術,每個人分析的手法與方式各有巧妙,而學習與熟練這些基本的技術,才是資安會議想要傳達的重點。

 

此次議程主要有4Track以及1個大型的演講廳,幾乎場場客滿,有許多在Blackhat發表過的場次,也會在DEFCon會議上看到。今年的重要議程包括以下幾點。

 

GPS設備潛藏弱點

 

Fergus NobleColin Beighley介紹的Making sense of static - New Tools for hacking GPS,介紹目前在日常生活中大量使用的GPS設備的弱點,以往GPS訊號都是直接由多顆衛星計算所在位置,如果因為設備本身的弱點導致計算上的誤差,將會造成設備運作不正常的情況。

 

行動裝置使用者不重視安全

 

Christopher SoghoianBen WiznerCatherine CrumpAshkan Soltani等人以Can You Track Me Now? Government and Corporate surveillance of Mobile Geo-Location Data為題,針對行動裝置記錄使用者地理位置的作法,探討可能的弱點,目前大多數的行動裝置,都能透過GPS或是電信網路的基地台進行定位,以提供使用者更貼近當地的資訊,許多應用軟體也採用這個功能,提供打卡、當地資訊或是導航等相關的應用,這雖然是相當方便的功能,但這些位置資訊的記錄,若未經當事人或設備使用者的同意,私自記錄所在位置恐有侵犯個人隱私權之虞,目前雖然已透過系統更新的方式,提供使用者自行選擇是否採用這項功能,不過大多數的裝置因為硬體或是供應商的限制,有很多並未進行更新,導致這個問題仍然存在。

 

行動裝置的安全問題,除了系統本身之外,在傳統WindowsMAX OS環境中經常困擾使用者的間諜軟體(Spyware)問題,目前已經出現在智慧手機或平板電腦的環境中,因為這些裝置本身系統的防護較為脆弱,再加上許多使用者在使用過程中,對安全的要求較低,大多以使用便利性為主要考量,也因此讓許多的惡意程式(包括間諜軟體、木馬程式、病毒等),能夠有機會入侵與竊取資料。

 

Michael RobinsonSpy vs Spy: Spying on Mobile Devic e Spyware為題,提醒與會人員目前這樣的威脅已經發生,且影響不斷擴大,許多免費的應用程式(App)中,開發商為了利益上的考量,大多會強制出現廣告或要求升級的機制,而這些強迫使用者接收的條件,已發生遭到駭客的惡意利用,運用社群網路進行訊息的快速傳播,吸引使用者下載這些軟體,而達成植入惡意程式至行動裝置的目的。

 

 

硬體安全保護機置受到挑戰

 

DEFCon會議針對硬體裝置安全的討論也有相當多場次,包括了TPM(Trusted PlatformModule)晶片的破解方式,原本發展硬體保護機制的目的,就是希望改善目前因為系統或是應用軟體安全問題,影響整個資訊系統安全的狀況,這樣的硬體保護機制看起來正逐漸受到駭客挑戰。

 

Jonathan BrossardHardware Backdooring is Practical為題,介紹Coreboot以及BIOSCMOS等相關硬體的安全問題,目前許多系統採用嵌入式架構,而前述這些都是嵌入式系統上常用的元件,若存在某些可以被運用的弱點,將可能影響整個系統的運作。舉例來說,網路設備常用的路由器,扮演決定封包路徑的功能,如果路由器遭到植入Rootkit的攻擊,將可能讓駭客可以遠端操作我們的路由器,進而影響到網路通訊,等於擁有主宰網路的權利。

 

另外今年發佈的幾個針對路由器的零時差攻擊,也是需要留意的重點,像ZacharySQL Injection to MIPS Overflows: Rooting SOHO Router為題,介紹如何利用3個簡單步驟來完成遠端路由設備的攻擊行動,也說明如何利用未公開的緩衝區溢位弱點進行攻擊行動,對於一些家用的網路分享器或路由器設備,都可能會造成影響。

 

  

結論

 

BlackhatDEFCon這兩個大型的國際資訊安全會議,有人戲稱為黑白兩道齊聚一堂,依據官方統計,今年Blackhat吸引超過6,500人參加,而DEFCon參加人數更是超過了1萬人,兩個會議的型態雖然不同,卻傳達了相同精神,那就是資訊技術發展越廣,需要注意的資訊安全問題就越多,今年兩個會議的主要議題都圍繞在行動通訊安全、雲端安全等領域,亦有許多特定的硬體與軟體進行的弱點揭露,而今年也是Apple公司第一次正式參與Blackhat會議,不過仍然是相當低調,隨著資訊科技發展速度越來越快,資訊安全事件的影響越來越廣,需要了解與解決的問題也越來越複雜,透過參與這兩場大型的國際資安盛會,實在是掌握當下發展趨勢與潮流的重要管道。

 

本文作者現為The Honeynet Project台灣分會負責人及雲端安全聯盟台灣分會創辦人與研究小組召集人,如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com