聚焦美國Black Hat 2007

Black Hat 在美登場
今年美國Black Hat 2007於7/28~8/2在Las Vegas舉行，活動內容包括4天教育訓練與2天的議題簡報。上百場龐大陣容的議題簡報，主要主題涵蓋：語音服務安全、網路、作業系統核心、應用程式安全、鑑識與反鑑識、零時差攻擊、隱私與匿名、酷玩意等方向。尤其以應用程式安全與資料庫安全，成為這次受到最多討論的熱門議題。



應用程式與資料庫安全成為熱門議題
根據《Computer World》的報導，隨著威脅型態的演進，駭客所關注的重點也有所轉變，已由過去幾年單純專注在尋找微軟Windows系統的漏洞轉向其他作業系統，就如同今年Black Hat的簡報議程大幅偏重在應用程式安全一般。除4場談及Windows弱點、利用殭屍網路的攻擊，與其他影響大眾市場的Web威脅之外，許多研究人員都專注發表在應用系統上的攻擊模式。

首先，來自SPI Dynamics的Billy Hoffman與Bryan Sullivan共同發表他們的最新發現：「利用AJAX開發的應用程式上所易見的安全漏洞」。比起去年Hoffman談同樣主題但攻擊模式較為模糊，今年則以實際例子來證明，利用坊間教導AJAX網頁設計書籍或論壇上的建議開發而成的應用系統將如何被瓦解。他們以一個虛擬旅遊網站為例，示範了竊取資料、發動阻斷式服務攻擊、利用弱點攻擊後台系統等手法。他們指出，多數的AJAX漏洞來自於不夠標準的程式設計，包括使用用戶端XSL轉換、使用不穩定的主機端APIs、資料不小心存放在用戶端程式當中等，而許多AJAX開發者卻仍不知道此安全問題的嚴重性。

甫於6月被IBM收購的Watchfire，其研究人員亦發表新的攻擊模式，名為dangling pointers。此一概念理論上意指某安全漏洞，只要你能使他們指向特定惡意程式就能為所欲為，目前雖還沒有人能成功，但此攻擊模式值得留意。

自動化滲透測試工具廠商Core Security所發表的攻擊模式，利用時序攻擊法（Timing techniques attack）來竊取資料庫中的資料。研究人員指出，這並不是資料庫有錯誤設定的問題，而是在設計資料庫時允許快速存取所致，攻擊者只要輸入幾行指令來測量輸入與讀取資料中間的時間差，就能大致推測這是什麼資料庫，接著重複幾次這個程序，就能一個字元、一個字元地確認資料庫內容。研究人員提出建議：如果資料庫中有機密性的資料，例如信用卡號，千萬不要將此欄位設為主索引；同時應該對資料庫做監控，如果在很短時間內有人對資料表不斷有插入記錄的動作時，就該特別注意了。此外，英國NGS公司總經理David Litchfield，這次在Black Hat 2007發表一個新的資料庫鑑識工具（Forensic Examiners Database Scalpel），此工具主要針對Oracle資料庫，能自動過濾龐大系統當中的元資料（metadata），以找出資料外洩的原因以及資料外洩程度，有助於資料外洩事件的調查。Litchfield指出，有些鑑識工具的確有助於判斷資安事件，但執行後卻會破壞證據本身，資料庫管理者應特別注意。

網頁安全檢測公司Cenzic則發表統計數據：在2007年第二季所普遍發佈的1,484個軟體漏洞當中，72％不只與應用程式弱點有關，也與網頁應用程式、網頁伺服器、瀏覽器程式有關。在與瀏覽器有關的攻擊事件當中，33％弱點是微軟IE，接著是FireFox有26％，Opera則有21％。



其他值得注意的攻擊與威脅
在這次的Black Hat 2007也有些研究人員提出他們對於新型攻擊／威脅的觀察心得與防禦方式。

首先關於瀏覽器的部分，滲透測試廠商IO Active執行長Dan Kaminsky提出警告：「瀏覽器攻擊死灰復燃」。瀏覽器處理DNS請求時可能暴露弱點，讓駭客有機會存取在企業防火牆之後的任何資源。當一個惡意網站不斷與瀏覽器進行前後來回的資料請求動作時，最終即有可能進入到受害者網路內。

Errata Security的研究人員也再次提醒使用Wi-Fi上網尤其要登入任何系統，包括收信、寫部落格或使用任何SaaS服務，最好透過VPN或SSL加密。因為現今多數系統只在帳號密碼登入時有做加密，其餘資料交換的內容則未做加密，這樣如果駭客使用封包側錄工具即能收集到Cookie資料，接著把這些Cookie資料匯入到另一個瀏覽器上，駭客即可偽裝受害者身分。

另外，關於虛擬惡意程式的偵測也成為此次Black Hat的討論焦點。主要是Joanna Rutkowska在去年的Black Hat發表了一個名為Blue Pill的Rootkit，宣稱能仿效虛擬機器而躲避偵測。接著則陸續有研究團隊Edgar Barbosa、Thomas Ptacek等人發表偵測虛擬惡意程式的技術，此議題在會中引發各方好手熱烈討論。

Websense研究團隊則是以HoneyPot的概念為基礎，提出Web 2.0攻擊防禦措施，名為HoneyJax。HoneyJax主要是用來引誘針對網站而發動的Web攻擊，以追蹤Web 2.0世界裡的各種弱點，將有助於辨識各種技術的誤用。

至於近來頗受矚目的防止資料外洩解決方案，卻被來自Matasano Security的研究人員Thomas Ptacek及Eric Monti踢爆含有安全漏洞。他們在檢測市面上幾家產品後，發現這類需要在PC端安裝代理程式來監控資料的產品存在一些問題：當這類產品在做檔案格式的解譯時容易產生漏洞，使用者能利用一些Layer 3或Layer 4的技術來繞過產品的過濾；此類產品另一項問題是，當用戶端代理程式要回報到中央控管系統時，許多產品在這中間是沒有加密或認證的，也就是說當機密內容被攔截然後通報到後端的過程中，如果有人也送出假的封包到後端控管系統，那機密內容有可能會被他人取得。Ptacek希望企業IT人員在評估此類產品時，能注意上述問題，否則這些有漏洞的代理程式佈署在全公司PC端的話，有可能為企業帶來更大災難。此外，在這次的活動中一位來自德國的講師Thomas Dullien原訂在訓練課程中教授軟體安全弱點分析的課程，卻在美國海關處被拒絕入境。身為Sabre Lab的執行長兼首席研究者的Dullien，由於這次是以個人身分而非企業代表來參與Black Hat，加上持有這些訓練教材，因此被美國移民局拒絕入境。這可算是這屆年會當中有趣的場外花絮新聞。



防禦無法領先攻擊，唯有持續監控才能妥善分配資源
在教授訓練課程並參與連續6天的Black Hat 2007年會之後，TaoSecurity的執行長Richard Bejtlich在他的部落格寫下他對今年Black Hat 2007的觀察與心得：

? 現有的防禦措施無法有效抵擋目前的攻擊

在各場簡報中，研究人員所展示的攻擊手法都不是利用任何軟體當中的弱點，也就是儘管我們系統都已適當地更新修補程式、正確地設定、不要執行Javascript，或採取一些防禦措施，但看看這些攻擊卻都是利用軟體當中原有的功能，但是去做錯誤使用，就能達到其惡意目的。

? 在第一時間立即偵測攻擊越來越困難

即使假定攻擊不因為加密而隱匿，要去認識所有在Black Hat所談到的各式Web攻擊都註定會失敗。因為對站在防禦這方的人來說，不可能應付的了各種暴露在RIA(Rich Internet Application)架構下的可能攻擊層面。

? 一般的網頁開發者與專業安全人員將無法對付攻擊

談論到工具與技術，攻擊者永遠都將領先防禦者，這是此次在Black Hat所看到的情形。在演講中也有人提及，許多程式人員仍舊在使用一些已知有弱點的元件。而某些資產管理解決方案卻因為本身有安全漏洞，反而讓入侵者更容易利用此弱點展開全面攻擊。

Bejtlich最後提到上述觀點儘管充滿悲觀，但面對難以防禦的攻擊，他的建議是做好全面監控，不管在事件發生時、發生中、發生後都要監控。唯有監控，才知道資源該如何用在最急迫的問題上。