四月跑去 SecuTech Expo 2010 參加裡頭的一個子活動,亞太資訊安全論壇,由資安展參展廠商輪番上陣演講,我聽了其中七場,多數的廠商都提到未來的個資法,我聽到法令要管你家門有沒有被人橇開,就覺得安全性議題越來越多也越來越容易踩到雷,心想這世界真可怕。 XD

對各場演講有興趣的話,主辦單位資安人有收集部分投影片,可到資安人的活動網站下載研討會投影片(須先登錄資料)。



Keynote#1: 進化中的Web應用要求: 安全及高效能兼備,Citrix Systems 大中華區系統工程師周國輝

Web security issue 發生時,除了會造成金錢上的損失,對公司的聲譽也有影響。據統計,學校網站特別容易遭駭,可能是因為沒有可以即使處理的專職人員負責處理資安事件之故;但即使有了專職人員,這些人也都瞭解安全議題會造成的傷害,仍有可能因為倚侍自己擁有 IPS、防火牆等設備就認為可以就此高枕無憂。

由於網頁的安全性問題裡裡外外牽涉甚廣,除了網頁應用程式本身可能有程式碼上的弱點,瀏覽器、伺服器平台環境也都可能各自潛藏弱點,道高一尺、魔高一丈,實務上常遇到「剛上完新的 patch,馬上又遇到 0-day attack」的尷尬情況。單把焦點放在網頁程式碼上面,其實要修改當中的弱點也並不容易:可能因為原本的 developer 已離職,即使做了弱點源碼檢測 (code review) 也不知道該從何改起,怕是改了這裡又壞了那裡;又或者是把程式外包給別人寫,等到做 code review 時發現有問題、請外包單位協助修改,外包單位要求另行計價,會產生額外的成本負擔。

根據 PCI DSS 對網站安全的建議,網站內部必須要通過 code review 檢視、而在程式之外也應該要有 WAF 幫忙擋著,基本上若是網頁程式設計時已針對 OWASP Top 10 進行安全性考量,再加上 WAF 防範,已可避開大多數的攻擊行為。

由於多數的商業活動都依賴網站推行、但多數的攻擊也針對網站而來,自然不可因為加裝了 WAF 而使得網頁應用程式速度變慢,但也不能因為擔心網站會受 WAF 影響其效能而不裝設。Citrix 的產品會掃描 https/http/XML 之中的攻擊碼,也會針對使用者 access 資料做權限控管。它可以是硬體,也能夠虛擬化。對於每一個 Web request/response 都會進行檢查,看看 request 中有無夾帶惡意攻擊碼、也有能力檢視是否在 response 中不慎外洩機敏資料。

這家的產品內建了 URL transform 模組,可以做 URL rewrite,一來可以不讓網址上的參數曝露出來(譬如說可以把 cgi 改名成 asp,混淆攻擊者、讓他們誤以為檔案類型是後者)、二來也有利於網站整合(例如公司併購,要將使用者導至母公司的網站,可以讓網址 rewrite 顯示為母公司的 domain name)。



Keynote#2: Imperva網站應用程式暨資料庫監控、稽核、安全解決方案,IMPERVA 公司北亞區技術總監周達偉

現今的商業交易行為有越來越多的 online payment, e-Banking 等種種服務,使得安全性問題更加重要。過去的安隆案彰顯了安全管控程序失誤造成的問題,因此有了沙賓法案來約束。網站活動中的「安全」與「便捷」是雙頭馬車,越多越便利的服務就越容易冒出安全性問題來。

許多攻擊手法是以合法掩護非法,例如 XSS, CSRF 等等,若是攻擊成功,會影響到法務、資金、品牌形象受損等多重層面的問題。因此應該在事前評估資料使用會造成的風險,檢視是否有漏洞使攻擊有機可乘;接著在使用過程中監控內外部的使用記錄,即時保護資料;事後稽核誰用了資料,以確保網站機敏資料不外洩。

由於弱點掃描與源碼檢測給的是處方、而不是解藥,找出問題直至解決,這之間還有一段危險的空窗期,因此這家公司的產品有個功能,是可以匯入源碼檢測報告,來自動產生未來阻擋防範的 policy。它也有告警的雷達中心,未來在他人受攻擊時,就會跟著防範同一問題,以免攻擊擴散。



Keynote#3: SaaS軟體即服務的安全性,Fortify 亞太區技術總監

越多的服務會暴露越多弱點 (more software = more vulnerabilities),我們必須知道為了資訊安全,我們該做什麼或不該做什麼。在這場演講中比較了許多資安產品,提到各自的使用時機,例如就源碼檢測來說,無法取得 source code 時,可能得做 byte code analysis。實務上不可能依靠一種技術來解決所有的安全性問題,講者說,如果有哪個廠商告訴你只要出一招就可以打遍天下無敵手,那一定是騙你的。 XD

講者認為,應該多試幾種資安產品,來找出最適合自己的。他認為面對資安問題,應該由流程、人、技術三方考量。外部環境改變快速,但內部的員工文化難以改變,使得組織無法適應變化,想要改變,公司可以找一個可及的模範來當目標,並尋求顧問服務來找出問題點,並且應該要不斷地學習、教育、鼓勵員工之間彼此分享知識。



Keynote#4: 洞悉與展演 2010 Web 攻擊與應變趨勢,阿碼科技 CEO Caleb Sima 與 CTO 黃耀文

關於阿碼這場,大澤木小鐵寫了一篇很詳細的《2010 亞太資安論壇心得筆記》

這場談的是網頁掛馬手法,通常是透過 SQL injection 等手法把程式碼塞進頁面裡,或是直接買下第三方廣告、廣告的內容本身就帶有惡意程式碼。除了對程式下手,也有透過 LAN man-in-the-middle 手法進行 ARP 掛馬的手法,這種情況可以透過觀察區網中異常的ARP request 察覺。還有一種情況是 WAN traffic injeciton,在 2009 年時發生在 tw.msn.com 與 taiwan.cnet.com 上頭,是透過台灣連到新加坡主機的過程中,由於中間的 Load balancer / switch 或其他產品非主流廠商產品,因此被找到機器本身的弱點,就被打進去了。

掛馬攻擊可能將 script 拆成多個部分、或透過 JavaScript 的執行結果來重組,以迴避掃描,單掃頁面內容本身、不去檢測其執行結果是無法掃出問題的。而惡意網站可能也會避開防毒軟體或資安廠商的 IP,看到特定來源就故意不拋回惡意程式,躲開資安產品的掃描檢測。



Keynote#5: 網頁安全解決方案議題,F5 Networks 技術經理林志斌

網頁應用程式入侵方式眾多,攻擊者可從 HTTP 500/404 的錯誤訊息嘗試找出蛛絲馬跡,因此應對錯誤訊息做適當遮蓋、以免自曝弱點;過去有 IIS 漏洞,會造成 buffer overlow,攻擊者可藉該弱點取得 Administrator 權限,再利用現成工具遠端操控網站主機。過去有很多工程師喜歡把舊版程式改掉副檔名(例如說把 .asp 改成 .bak),這樣有時可以讓攻擊者直接讀到內容或下載該程式,進而從中找出程式運作、站台密碼等資訊。

這家的 WAF 會從 HTTP header 就開始做適度的遮蓋,並可設定 policy 來杜絕不必要的 traffic(例如,若 Web Server 上只有 ASP 程式,那麼遇到 request 要查 PHP 程式就忽略掉它)。若使用者沒照正常程序操作網頁,也可能是攻擊行為,WAF 會自動 deny。這款 WAF 也有學習機制,若攻擊者試著想從取得的 response 中竄改資訊重新送回(例如,在取得的頁面中得到售價 $10,攻擊者送出 request 內容為 $1),WAF 能從中察覺異常並阻卻。

講者認為要有好的 log 機制,因為攻擊者嘗試送出的攻擊字串都會在 log 中留下痕跡,如果能夠有好的分析工具,就能作為未來防範與改善建議之用。



Keynote#6: 建立全方位安全閘道機制,防範機密資料外洩,M86 Security 資深技術經理梁達榮

這一場談的是防制 malware。市面上有「malware 自動化工具」,號稱可以提供一年保固、不會被防毒大廠抓到,其原理就是在這一年期間不斷地重新改寫 malware,讓 malware 的 pattern 不固定。

過去發現網站內容有異常之處時,通常是消極地封鎖網站;這家的產品會先分解網頁內容,找出當中有無成人內容、惡意連結、間諜軟體等等,在閘道上攔截惡意內容後,再將安全的內容回傳給使用者。另一方面,這個產品也能夠在 gateway 上攔截使用者傳出機敏資訊。



Keynote#7: 雲端、組改、個資無限好,資訊安全如何來確保?阿碼科技行銷副總與產品總監陳勇君與吳明蔚

若網頁程式服務供應者能夠善進「保管」與「告知」的責任,即使個資法上路,發生問題時能夠舉證,刑罰責都可降至最低。這一家提供了源碼檢測、WAF 與網頁掛馬即時監控服務,讓網站可以從開發一路到上線都獲得保護。

當掛馬監控掃到網站被掛馬時,WAF policy 也同時會異動:將使用者從原本頁面導至替代頁或首頁,以避免使用者誤入頁面。






SecuTech Expo 2010
2010/04/21 (a.m.10:00-18:00) ~ 2010/04/23 (a.m.10:00-17:00)
台北世貿南港展覽館

arrow
arrow
    全站熱搜

    小攻城師 發表在 痞客邦 留言(0) 人氣()