https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

聚焦美國Black Hat 2007

2007 / 12 / 19
編輯部
聚焦美國Black Hat 2007

Black Hat 在美登場
今年美國Black Hat 2007於7/28~8/2在Las Vegas舉行,活動內容包括4天教育訓練與2天的議題簡報。上百場龐大陣容的議題簡報,主要主題涵蓋:語音服務安全、網路、作業系統核心、應用程式安全、鑑識與反鑑識、零時差攻擊、隱私與匿名、酷玩意等方向。尤其以應用程式安全與資料庫安全,成為這次受到最多討論的熱門議題。



應用程式與資料庫安全成為熱門議題
根據《Computer World》的報導,隨著威脅型態的演進,駭客所關注的重點也有所轉變,已由過去幾年單純專注在尋找微軟Windows系統的漏洞轉向其他作業系統,就如同今年Black Hat的簡報議程大幅偏重在應用程式安全一般。除4場談及Windows弱點、利用殭屍網路的攻擊,與其他影響大眾市場的Web威脅之外,許多研究人員都專注發表在應用系統上的攻擊模式。

首先,來自SPI Dynamics的Billy Hoffman與Bryan Sullivan共同發表他們的最新發現:「利用AJAX開發的應用程式上所易見的安全漏洞」。比起去年Hoffman談同樣主題但攻擊模式較為模糊,今年則以實際例子來證明,利用坊間教導AJAX網頁設計書籍或論壇上的建議開發而成的應用系統將如何被瓦解。他們以一個虛擬旅遊網站為例,示範了竊取資料、發動阻斷式服務攻擊、利用弱點攻擊後台系統等手法。他們指出,多數的AJAX漏洞來自於不夠標準的程式設計,包括使用用戶端XSL轉換、使用不穩定的主機端APIs、資料不小心存放在用戶端程式當中等,而許多AJAX開發者卻仍不知道此安全問題的嚴重性。

甫於6月被IBM收購的Watchfire,其研究人員亦發表新的攻擊模式,名為dangling pointers。此一概念理論上意指某安全漏洞,只要你能使他們指向特定惡意程式就能為所欲為,目前雖還沒有人能成功,但此攻擊模式值得留意。

自動化滲透測試工具廠商Core Security所發表的攻擊模式,利用時序攻擊法(Timing techniques attack)來竊取資料庫中的資料。研究人員指出,這並不是資料庫有錯誤設定的問題,而是在設計資料庫時允許快速存取所致,攻擊者只要輸入幾行指令來測量輸入與讀取資料中間的時間差,就能大致推測這是什麼資料庫,接著重複幾次這個程序,就能一個字元、一個字元地確認資料庫內容。研究人員提出建議:如果資料庫中有機密性的資料,例如信用卡號,千萬不要將此欄位設為主索引;同時應該對資料庫做監控,如果在很短時間內有人對資料表不斷有插入記錄的動作時,就該特別注意了。此外,英國NGS公司總經理David Litchfield,這次在Black Hat 2007發表一個新的資料庫鑑識工具(Forensic Examiners Database Scalpel),此工具主要針對Oracle資料庫,能自動過濾龐大系統當中的元資料(metadata),以找出資料外洩的原因以及資料外洩程度,有助於資料外洩事件的調查。Litchfield指出,有些鑑識工具的確有助於判斷資安事件,但執行後卻會破壞證據本身,資料庫管理者應特別注意。

網頁安全檢測公司Cenzic則發表統計數據:在2007年第二季所普遍發佈的1,484個軟體漏洞當中,72%不只與應用程式弱點有關,也與網頁應用程式、網頁伺服器、瀏覽器程式有關。在與瀏覽器有關的攻擊事件當中,33%弱點是微軟IE,接著是FireFox有26%,Opera則有21%。



其他值得注意的攻擊與威脅
在這次的Black Hat 2007也有些研究人員提出他們對於新型攻擊/威脅的觀察心得與防禦方式。

首先關於瀏覽器的部分,滲透測試廠商IO Active執行長Dan Kaminsky提出警告:「瀏覽器攻擊死灰復燃」。瀏覽器處理DNS請求時可能暴露弱點,讓駭客有機會存取在企業防火牆之後的任何資源。當一個惡意網站不斷與瀏覽器進行前後來回的資料請求動作時,最終即有可能進入到受害者網路內。

Errata Security的研究人員也再次提醒使用Wi-Fi上網尤其要登入任何系統,包括收信、寫部落格或使用任何SaaS服務,最好透過VPN或SSL加密。因為現今多數系統只在帳號密碼登入時有做加密,其餘資料交換的內容則未做加密,這樣如果駭客使用封包側錄工具即能收集到Cookie資料,接著把這些Cookie資料匯入到另一個瀏覽器上,駭客即可偽裝受害者身分。

另外,關於虛擬惡意程式的偵測也成為此次Black Hat的討論焦點。主要是Joanna Rutkowska在去年的Black Hat發表了一個名為Blue Pill的Rootkit,宣稱能仿效虛擬機器而躲避偵測。接著則陸續有研究團隊Edgar Barbosa、Thomas Ptacek等人發表偵測虛擬惡意程式的技術,此議題在會中引發各方好手熱烈討論。

Websense研究團隊則是以HoneyPot的概念為基礎,提出Web 2.0攻擊防禦措施,名為HoneyJax。HoneyJax主要是用來引誘針對網站而發動的Web攻擊,以追蹤Web 2.0世界裡的各種弱點,將有助於辨識各種技術的誤用。

至於近來頗受矚目的防止資料外洩解決方案,卻被來自Matasano Security的研究人員Thomas Ptacek及Eric Monti踢爆含有安全漏洞。他們在檢測市面上幾家產品後,發現這類需要在PC端安裝代理程式來監控資料的產品存在一些問題:當這類產品在做檔案格式的解譯時容易產生漏洞,使用者能利用一些Layer 3或Layer 4的技術來繞過產品的過濾;此類產品另一項問題是,當用戶端代理程式要回報到中央控管系統時,許多產品在這中間是沒有加密或認證的,也就是說當機密內容被攔截然後通報到後端的過程中,如果有人也送出假的封包到後端控管系統,那機密內容有可能會被他人取得。Ptacek希望企業IT人員在評估此類產品時,能注意上述問題,否則這些有漏洞的代理程式佈署在全公司PC端的話,有可能為企業帶來更大災難。此外,在這次的活動中一位來自德國的講師Thomas Dullien原訂在訓練課程中教授軟體安全弱點分析的課程,卻在美國海關處被拒絕入境。身為Sabre Lab的執行長兼首席研究者的Dullien,由於這次是以個人身分而非企業代表來參與Black Hat,加上持有這些訓練教材,因此被美國移民局拒絕入境。這可算是這屆年會當中有趣的場外花絮新聞。



防禦無法領先攻擊,唯有持續監控才能妥善分配資源
在教授訓練課程並參與連續6天的Black Hat 2007年會之後,TaoSecurity的執行長Richard Bejtlich在他的部落格寫下他對今年Black Hat 2007的觀察與心得:

? 現有的防禦措施無法有效抵擋目前的攻擊

在各場簡報中,研究人員所展示的攻擊手法都不是利用任何軟體當中的弱點,也就是儘管我們系統都已適當地更新修補程式、正確地設定、不要執行Javascript,或採取一些防禦措施,但看看這些攻擊卻都是利用軟體當中原有的功能,但是去做錯誤使用,就能達到其惡意目的。

? 在第一時間立即偵測攻擊越來越困難

即使假定攻擊不因為加密而隱匿,要去認識所有在Black Hat所談到的各式Web攻擊都註定會失敗。因為對站在防禦這方的人來說,不可能應付的了各種暴露在RIA(Rich Internet Application)架構下的可能攻擊層面。

? 一般的網頁開發者與專業安全人員將無法對付攻擊

談論到工具與技術,攻擊者永遠都將領先防禦者,這是此次在Black Hat所看到的情形。在演講中也有人提及,許多程式人員仍舊在使用一些已知有弱點的元件。而某些資產管理解決方案卻因為本身有安全漏洞,反而讓入侵者更容易利用此弱點展開全面攻擊。

Bejtlich最後提到上述觀點儘管充滿悲觀,但面對難以防禦的攻擊,他的建議是做好全面監控,不管在事件發生時、發生中、發生後都要監控。唯有監控,才知道資源該如何用在最急迫的問題上。