近年來,資訊安全因為駭客行動主義(Hackivism)的盛行而面臨重大挑戰,這也讓許多大型網站服務業者、雲端服務供應商吃足了苦頭,從2011年起至今,諸如Anonymous與Lulzsec等駭客組織,大規模進行全球性的駭客行動,受害對象不乏知名企業。對於廣大使用者而言,駭客行動也許會影響網路服務的使用,不過換個角度來看,倘若能讓許多人在使用網路的時候,開始思索資訊安全問題,並重視個人隱私資訊保護,又何嘗不是一件好事?!
對於資訊安全相關的業者與研究人員,新世代的資訊安全威脅,帶來許多不平凡的挑戰,因為網際網路的普及、新興服務型態的出現以及雲端服務平台的發展,讓原本擁有安全防護機制的環境充滿了變數與疑慮,也因此,每年在美國拉斯維加斯舉行的Blackhat以及DEFCon國際資訊安全會議,就成為眾人注目的焦點,透過研究人員在會議上所揭露與分享的各類安全問題,如:系統、網路、應用程式、硬體裝置…等,可以提醒我們許多尚未發佈或是潛在的資安威脅,也讓資訊安全研究領域向前邁進。
Blackhat聚焦四大議題:NFC資料外洩、HTML5弱點、行動通訊、惡意程式
今年Blackhat同樣有專題演講及16個不同的會議主題(表1),在會議走廊上亦安排了Arsenal Station,讓廠商或資安研究人員,自行進行成果分享與技術交流。就專題演講來說,第一天邀請到前FBI高階主管Shawn Henry,以Changing the security paradigm taking back your network and bringing pain to the adversary為題,介紹如何因應目前網際網路的發展以及新型態攻擊威脅,第二天則以訪談方式進行,由科幻小說作家Neal Stephenson分享對資安及資訊科技發展的看法。
表1、2012 Blackhat會議主題
|
|
第一天
|
第二天
|
|
專題演講
|
n 主講者:前FBI高階主管Shawn Henry。
n 講題:Changing the security paradigm taking back your network and bringing pain to the adversary,介紹如何因應目前網際網路的發展以及新型態攻擊威脅。
n 重點:網路的發展讓傳統資訊環境變得更複雜,在管理上需要同時面對多種不同的挑戰,目前大多數的資訊系統,為了提供使用者順利取得所需要的資訊或服務,除了考量便利性之外,對於資訊安全的要求,將比以往更為重要。
|
n 主講者:科幻小說作家Neal Stephenson。
n 講題:以訪談方式讓Neal Stephenson分享對資安及資訊科技發展的看法。
n 重點:目前許多資訊科技的發展趨勢,正與Neal Stephenson在小說中所描述的情節似曾相似,創新的思維往往牽引著我們追尋新科技的發展。
|
|
會議主題
|
n Defining the Scope
n Upper Layer
n Lower Layer
n Mobile
n Defense
n Breaking Things
n Gnarly Problems
|
n Big Picture
n Web Apps
n Malware
n Enterprise Intrigue
n 92.2% Market Share
n Over the Air and In the Device
n Mass Effect
|
資料來源:本文作者整理,2012/8。
另外,Blackhat兩天都安排了2個Applied Workshop,吸引相當多的人參加,主要可以透過實作方式,瞭解講者所分享的研究成果,也包括一些資安工具的發佈,與會人員透過與開發人員面對面的機會,瞭解工具操作與運用技巧,對於技術人員而言,實為不可多得的實戰機會,重要場次如表2所列。
表2、Applied Workshop重要場次
|
講者
|
演講題目
|
|
Chrstien Rioux
|
Lessons of Binary Analysis
|
|
Eric Fulton
|
Mobile Network Forensics
|
|
Jonathan Zdziarski
|
The Dark Art of iOS Application Hacking
|
|
Cory Scott, Michael Tracy與Timur Duehr
|
Ruby for Pentesters: The Workshop
|
|
Abraham Kang
|
Code Reviewing Web Application Framework Based Applications
|
|
Kyle Osborn與Kizysztof Kotowicz
|
Advanced Chrome Extension Exploitation: Leveraging API Powers for The Better Evil
|
|
Javier Galbally
|
From the Iriscode to the Iris: A New Vulnerability of Iris Recognition System
|
資料來源:本文作者整理,2012/8。
NFC的資料外洩風險
今年的重要焦點之一,就是針對NFC安全問題的討論,在現場引起廣大迴響。Charlie Miller發表Don''t stand so close to me: An analysis of the NFC attack surface,介紹NFC技術目前已被發現的安全問題,透過NFC通訊可以在不需要接線的情況下,取得遠端裝置上的資料,因為NFC可以直接使用Android Beam以及NDEF進行資料共享,瀏覽器在不需要交換檔案的前提下,就可以瀏覽照片、通訊錄以及Office文件等資料,這些將造成未經當事人同意下的資料外洩,這對於目前台灣大力推動NFC技術應用的產業而言,值得多加深思對於裝置安全的防護問題。
HTML5 10大弱點
Shreeraj Shah則以HTML5 Top 10 Threats Stealth Attacks and Silent Exploits為題,針對以下的前十大威脅(表3)做深入介紹,這個議題講者亦曾經在Blackhat Europe 2012會議初步揭露過,在這次會議中則是以實例驗證的方式,讓與會人員瞭解這些威脅實際所造成的影響。
這些威脅主要是由,分析已經被揭露的弱點可能的影響程度,並參考曾經被運用做為攻擊手法的事件而來,對於程式開發人員而言,在使用HTML5增強原本瀏覽器的功能之餘,也必須同時思考到可能衍生的資訊安全問題。另外像是Sergey Shekyan與Vaagn Toukharian主講的Hacking With Websockets,Phil Purviance與Joshua Brashars主講的Blended Threats and JavaScript: A Plan for Permanent Network Compromise,這兩場也都有與HTML5弱點相關的介紹。
表3、HTML5 前10大威脅
|
A1 - CORS Attacks & CSRF;
A2 - ClickJacking, CORJacking and UI exploits;
A3 - XSS with HTML5 tags, attributes and events
A4 - Web Storage and DOM information extraction
A5 - SQLi & Blind Enumeration
A6 - Web Messaging and Web Workers injections
A7 - DOM based XSS with HTML5 & Messaging
A8 - Third party/Offline HTML Widgets and Gadgets
A9 - Web Sockets and Attacks
A10 - Protocol/Schema/APIs attacks with HTML5
|
資料來源:本文作者整理,2012/8。
行動通訊iOS安全風險
行動通訊設備以及運行於這些裝置上的作業系統、應用程式或是開發平台的資安問題,也是今年會議的重點,許多場次都在討論相關主題:
-
Justin Engler、Seth Law、Joshua Dubik與David Vo等人以Introducing: SiRA Semi-automated iOS Rapid Assessment為題,介紹目前已在iOS平台上發現的弱點與攻擊方式;SiRA提供幾項主要功能,可以讓使用者進行遠端的SSH連線、比較系統快照(Snapshot)的差異、設定網路通訊的代理伺服器以及針對iOS進行底層分析,這些對於掌握iOS平台對於資料的處理,可以提供更細部的資訊供研究人員進行分析。
-
Dallas De Atley則以iOS Security為題,說明目前iOS在系統設計上的安全問題,提供資安研究人員針對這些行動裝置使用的作業系統,有更完整的分析流程可以依循,改變以往大多採用實機或模擬器的測試方式,能夠更容易掌握應用程式(App)在安裝與使用上可能發生的異常行為,做為後續分析上的重要參考資料。
-
Jonathan Zdziarski以The dark art of iOS application hacking為題,分享如何在iOS上針對已被揭露的弱點進行攻擊,並且介紹一些實務技巧,以提昇系統本身的安全性,及降低遭到攻擊影響的機會。
今年有相當多關於行動裝置安全的議題,這也意味著我們必須正視這些大量成長的行動通訊設備,及其對於企業傳統資訊安全防護架構所造成的影響。
惡意程式來勢洶洶
惡意程式相關的議題,在今年的會議中也相當重要,甚至規劃了以Malware為主的Track,目前每天出現的惡意程式數量相當多,以全球的角度來看,幾乎是每一秒鐘就有一種惡意程式出現,除了舊有惡意程式的變種,亦不乏許多新出現的惡意程式,這些惡意程式背後大多有其隱藏的目的與功能,有些是單純竊取受害者的資料或是影響受害系統的運作,有些則具備相當複雜的功能,包括針對特定目標進行進階持續性的滲透攻擊(APT, Advanced Persistent Threat),其中許多參與攻擊的主角,都是因為受到惡意程式感染所致。
Rodrigo Branco以A Scientific Study of Malware Employs Anti-Debugging, Anti-disassembly, and Anti-virtualization Technologies為題,介紹目前惡意程式的發展,針對如何避免遭到反組譯與靜態分析的作法,目前採用的技術可以讓惡意程式在短時間內變種,而擁有不同的特徵,加入智慧型態的演算法,以避免過於規則性的活動,遭到網路與系統偵測機制的發掘,真所謂道高一尺而魔高一丈,不折不扣的是一場偵測與反偵測的競賽。
另外,
Chengyu Song與Paul Royal以Flowers for Automated Malware Analysis為題,介紹惡意程式的自動化分析平台,改良目前大多採用人工分析所需要耗費的時間與精神,預估自動化分析平台的發展將是未來趨勢之一。
今年Blackhat會議參展廠商的數量較往年大幅成長,許多資訊安全相關的廠商,都利用這場大型的年度資安會議,向與會人員介紹目前最新的軟硬體技術以及相關產品,今年廠家所展出的解決方案,大多環繞在雲端安全以及行動通訊這兩個當前最熱的議題。
DEFCon三大熱門議題:GPS、行動通訊、硬體裝置
相較於Blackhat,DEFCon的會議型態較為自由,每年參加人數幾乎都超過1萬人,規模大小與內容精彩程度不亞於Blackhat,今年是DEFCon二十週年的會議,在會議期間安排了相當多的活動,除了研討會議程外,另外還有擴大舉辦的CTF(Capture The Flag)比賽,想要到會場參加比賽,必須在會外賽打進前20名才行(往年是前10名),今年入選的團隊還是以歐美國家居多,亞洲地區較少。
會場中的無線網路分成開放及需要註冊申請兩種,前者無安全認證機制,因此在無線網路環境中充滿許多網路通訊以及駭客間的訊息交換,如果使用無安全性無線網路,如果應用程式採用不安全的通訊協定,很快的通訊內容就會被公開在「綿羊牆(Shape Wall)」上,在會議期間的Workshop區域也有許多的實際展示,透過簡報、闖關的方式,讓參加者挑戰破解資訊平台或是弱點運用,不再是紙上談兵,而是可以實際掌握這些技術的使用。
在會場上可以看到因為使用不安全的通訊方式,或是遭到破解的受駭者資料,就會出現在綿羊牆上,不過,登入帳號與密碼部份會做遮罩處理,目的在於提醒大家留意通訊上的安全,現場亦有實務介紹,如:使用Wireshark之類的工具軟體,進行網路封包的截取與分析技術,每個人分析的手法與方式各有巧妙,而學習與熟練這些基本的技術,才是資安會議想要傳達的重點。
此次議程主要有4個Track以及1個大型的演講廳,幾乎場場客滿,有許多在Blackhat發表過的場次,也會在DEFCon會議上看到。今年的重要議程包括以下幾點。
GPS設備潛藏弱點
Fergus Noble、Colin Beighley介紹的Making sense of static - New Tools for hacking GPS,介紹目前在日常生活中大量使用的GPS設備的弱點,以往GPS訊號都是直接由多顆衛星計算所在位置,如果因為設備本身的弱點導致計算上的誤差,將會造成設備運作不正常的情況。
行動裝置使用者不重視安全
Christopher Soghoian、Ben Wizner、Catherine Crump與Ashkan Soltani等人以Can You Track Me Now? Government and Corporate surveillance of Mobile Geo-Location Data為題,針對行動裝置記錄使用者地理位置的作法,探討可能的弱點,目前大多數的行動裝置,都能透過GPS或是電信網路的基地台進行定位,以提供使用者更貼近當地的資訊,許多應用軟體也採用這個功能,提供打卡、當地資訊或是導航等相關的應用,這雖然是相當方便的功能,但這些位置資訊的記錄,若未經當事人或設備使用者的同意,私自記錄所在位置恐有侵犯個人隱私權之虞,目前雖然已透過系統更新的方式,提供使用者自行選擇是否採用這項功能,不過大多數的裝置因為硬體或是供應商的限制,有很多並未進行更新,導致這個問題仍然存在。
行動裝置的安全問題,除了系統本身之外,在傳統Windows或MAX OS環境中經常困擾使用者的間諜軟體(Spyware)問題,目前已經出現在智慧手機或平板電腦的環境中,因為這些裝置本身系統的防護較為脆弱,再加上許多使用者在使用過程中,對安全的要求較低,大多以使用便利性為主要考量,也因此讓許多的惡意程式(包括間諜軟體、木馬程式、病毒等),能夠有機會入侵與竊取資料。
Michael Robinson以Spy vs Spy: Spying on Mobile Devic e Spyware為題,提醒與會人員目前這樣的威脅已經發生,且影響不斷擴大,許多免費的應用程式(App)中,開發商為了利益上的考量,大多會強制出現廣告或要求升級的機制,而這些強迫使用者接收的條件,已發生遭到駭客的惡意利用,運用社群網路進行訊息的快速傳播,吸引使用者下載這些軟體,而達成植入惡意程式至行動裝置的目的。
硬體安全保護機置受到挑戰
DEFCon會議針對硬體裝置安全的討論也有相當多場次,包括了TPM(Trusted PlatformModule)晶片的破解方式,原本發展硬體保護機制的目的,就是希望改善目前因為系統或是應用軟體安全問題,影響整個資訊系統安全的狀況,這樣的硬體保護機制看起來正逐漸受到駭客挑戰。
Jonathan Brossard以Hardware Backdooring is Practical為題,介紹Coreboot以及BIOS、CMOS等相關硬體的安全問題,目前許多系統採用嵌入式架構,而前述這些都是嵌入式系統上常用的元件,若存在某些可以被運用的弱點,將可能影響整個系統的運作。舉例來說,網路設備常用的路由器,扮演決定封包路徑的功能,如果路由器遭到植入Rootkit的攻擊,將可能讓駭客可以遠端操作我們的路由器,進而影響到網路通訊,等於擁有主宰網路的權利。
另外今年發佈的幾個針對路由器的零時差攻擊,也是需要留意的重點,像Zachary以SQL Injection to MIPS Overflows: Rooting SOHO Router為題,介紹如何利用3個簡單步驟來完成遠端路由設備的攻擊行動,也說明如何利用未公開的緩衝區溢位弱點進行攻擊行動,對於一些家用的網路分享器或路由器設備,都可能會造成影響。
結論
Blackhat與DEFCon這兩個大型的國際資訊安全會議,有人戲稱為黑白兩道齊聚一堂,依據官方統計,今年Blackhat吸引超過6,500人參加,而DEFCon參加人數更是超過了1萬人,兩個會議的型態雖然不同,卻傳達了相同精神,那就是資訊技術發展越廣,需要注意的資訊安全問題就越多,今年兩個會議的主要議題都圍繞在行動通訊安全、雲端安全等領域,亦有許多特定的硬體與軟體進行的弱點揭露,而今年也是Apple公司第一次正式參與Blackhat會議,不過仍然是相當低調,隨著資訊科技發展速度越來越快,資訊安全事件的影響越來越廣,需要了解與解決的問題也越來越複雜,透過參與這兩場大型的國際資安盛會,實在是掌握當下發展趨勢與潮流的重要管道。
本文作者現為The Honeynet Project台灣分會負責人及雲端安全聯盟台灣分會創辦人與研究小組召集人,如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com。