圖為今年 (2016) 的奇葩獎經典資安新聞得獎名單。以下簡單速寫 HITCON CMT 2016 第二天!
- 7月 23 週六 201619:01
[Conf.] HITCON CMT 2016 Day 2
圖為今年 (2016) 的奇葩獎經典資安新聞得獎名單。以下簡單速寫 HITCON CMT 2016 第二天!
- 7月 22 週五 201617:02
[Conf.] HITCON CMT 2016 Day 1
圖為 GD 嘗試透過 GOGORO 電動機車設計不佳的驗證機制,來模擬攻擊者如何盜用這台機車的使用權限。以下簡單速寫一下今天的 HITCON CMT 2016 第一天囉。
- 7月 27 週二 201000:21
[Conf.] Visual Studio 2010 上市發表會
全球 .NET developer 約有 400 萬人,為了讓這一大票工程師能好好提升使用者操作經驗,於是有了強化在三螢一雲上頭開發的 Visual Studio 2010。
三螢一雲的「螢」指的是三種螢幕介面:Smart device, mobile phone & PC,「雲」指的自然是雲端運算了。Viusal Studio 2010 使工程師能夠方便地將程式和 Azure 結合,每個人都可以使用 MSN 帳號來申請一個 25 小時的 Azure 免費試用帳號,MSDN 訂戶可以用到每月 250 小時的用量。
在研討會中,微軟請來幾個作夥伴展示新技術的強大威力──
漢偉資訊展示了「故宮線上商城」(VS 2008 + Silverlight 3) ,強調按圖索驥式的購物體驗,不再讓使用者慢慢輸入關鍵字、點選上一頁或下一頁,直接從縮圖與縮放功能 (Deep Zoom) 來尋找自己想要的商品。另外還有「新光證券下單軟體」(VS 2008 + Silverlight 2)、連鎖門市營運管理系統 (VS 2010 + Silverlight 4)。
聯銓資訊的 3D 戰情室,強調使用者可以透過 multi-touch 來操控功能、背後又結合了雲端運算。
今年三月甫成立的嬉遊紀數位,一開場就以令人驚豔的 Silverlight 投影片來說明產品。其作品包括 Facebook Application - FBMall,可整合在 Facebook 粉絲團中,讓粉絲人數能轉為實質獲利,FB 會員可以透過 Facebook App. 直接在社群網站上下單、不需要再被引導到外部網站。
在軟體工程方面,Visual Studio 2010 也能夠展現軟體架構全貌、讓程式碼視覺化呈現,其內建功能可產生出程式的相依圖,圖上的線條粗細呈現出相依度的高低。
VS 2010 也正式支援 UML 最常用的五種圖形 (sequence diagram, class diagram, activity diagram, use case diagram & layer diagram),亦能夠反向由程式產生 UML diagram,當架構改變時,可使用「驗證架構」的功能來驗證有多少程式會受影響。
VS 2010 內建的測試功能也有助於提升軟體品質,所錄製的測試動作可重複執行,只要物件 ID 不變,錄製的動作就能正確對應到物件。當測試找到錯誤、回報 bug 時,可以自動產生出操作時的文字報告與影片報告,以助於開發人員用來觀察除錯。test case 也能夠被放進版本控制系統管理。
到了 Visual Studio 2010,微軟對 jQuery 的支援更多,到 codeplex 還有 jQuery 的程式碼片段 (code snippets) 可下載。
雲端開發部分,合理而有效率的開發模式應當是:離線開發、模擬過執行無誤再將之上傳。VS 2010 支援在程式碼中插入圖片的功能,開發人員可以把系統的流程圖等相關圖片插入到程式碼裡以備核對查照。
三螢一雲的開發平台 - Visual Studio 2010 上市發表會
2010/05/13 (09:00-17:00)
漢來飯店金鳳廳
相關資訊:
三螢一雲的「螢」指的是三種螢幕介面:Smart device, mobile phone & PC,「雲」指的自然是雲端運算了。Viusal Studio 2010 使工程師能夠方便地將程式和 Azure 結合,每個人都可以使用 MSN 帳號來申請一個 25 小時的 Azure 免費試用帳號,MSDN 訂戶可以用到每月 250 小時的用量。
在研討會中,微軟請來幾個作夥伴展示新技術的強大威力──
漢偉資訊展示了「故宮線上商城」(VS 2008 + Silverlight 3) ,強調按圖索驥式的購物體驗,不再讓使用者慢慢輸入關鍵字、點選上一頁或下一頁,直接從縮圖與縮放功能 (Deep Zoom) 來尋找自己想要的商品。另外還有「新光證券下單軟體」(VS 2008 + Silverlight 2)、連鎖門市營運管理系統 (VS 2010 + Silverlight 4)。
聯銓資訊的 3D 戰情室,強調使用者可以透過 multi-touch 來操控功能、背後又結合了雲端運算。
今年三月甫成立的嬉遊紀數位,一開場就以令人驚豔的 Silverlight 投影片來說明產品。其作品包括 Facebook Application - FBMall,可整合在 Facebook 粉絲團中,讓粉絲人數能轉為實質獲利,FB 會員可以透過 Facebook App. 直接在社群網站上下單、不需要再被引導到外部網站。
在軟體工程方面,Visual Studio 2010 也能夠展現軟體架構全貌、讓程式碼視覺化呈現,其內建功能可產生出程式的相依圖,圖上的線條粗細呈現出相依度的高低。
VS 2010 也正式支援 UML 最常用的五種圖形 (sequence diagram, class diagram, activity diagram, use case diagram & layer diagram),亦能夠反向由程式產生 UML diagram,當架構改變時,可使用「驗證架構」的功能來驗證有多少程式會受影響。
VS 2010 內建的測試功能也有助於提升軟體品質,所錄製的測試動作可重複執行,只要物件 ID 不變,錄製的動作就能正確對應到物件。當測試找到錯誤、回報 bug 時,可以自動產生出操作時的文字報告與影片報告,以助於開發人員用來觀察除錯。test case 也能夠被放進版本控制系統管理。
到了 Visual Studio 2010,微軟對 jQuery 的支援更多,到 codeplex 還有 jQuery 的程式碼片段 (code snippets) 可下載。
雲端開發部分,合理而有效率的開發模式應當是:離線開發、模擬過執行無誤再將之上傳。VS 2010 支援在程式碼中插入圖片的功能,開發人員可以把系統的流程圖等相關圖片插入到程式碼裡以備核對查照。
三螢一雲的開發平台 - Visual Studio 2010 上市發表會
2010/05/13 (09:00-17:00)
漢來飯店金鳳廳
相關資訊:
- 6月 27 週日 201017:13
[Conf.] 從這裡開始認識敏捷開發:ezScrum
ezScrum 是以 JAVA 開發的開放原始碼 Scrum 輔助工具。
由於現在的資通訊產業產品生命週期越來越短、需求變動頻仍,
為了能使產品更有競爭力,必須要能夠快速釋出產品,
並能夠控制架構 (architecture) 變異所帶來的衝擊。
在專案流程中採取 Scrum,就是希望能夠提高軟體開發時測試與控管的品質。
Scrum 就像它字義上的意義一樣,
我們在開發軟體時,要像橄欖球進攻時一樣,在有限的回合內進攻完畢。
在 Scrum 中,我們會把專案時程切割為多個衝刺期 (sprint),
通常一個 sprint 約兩週左右,可以讓專案有多次得到回饋的機會,
以利隨時確認是否符合需求、修正方向。
(傳統的 Waterfall 只能在完成點收集回饋,一失足即成千古恨)
傳統的開發過程耗費太多時間在文件製作上面,
SA/SD 的工作包括了定義變數名稱、DB 欄位等等,
以至於到最後常發生「不如讓 SA/SD 自己把 code 也寫了」的情況,
也因為文件要寫得太細,所以遇到需求頻頻變動時,
往往也沒有時間可以維護這些冗長繁複的文件,導致文件與程式不同步。
在 Scrum 中,工作產品是程式本身、而非文件(除非把文件視為一種工作),
打破了過去「有分工、沒合作」的局面,減少大家自掃門前雪的狀況。
過去估計工時的工作由 PM 來處理,
在 Scrum 裡,讓 Programmer 自己決定工時。
Programmers 可以圍坐在一起拿撲克牌來計算工作點數,
共同討論各任務需要的時間、優先順序等等,
經過這樣的討論之後,得到的工時估計會更貼近現實。
在第二場 session 中,講者以過去協助導入的經驗建議:
初期導入 Scrum 只要先進行 sprint、讓團隊成員習慣 Scrum 節奏,
不要一口氣導入 pair programming, unit test……等等太多東西。
至少要先讀過 "Scrum and XP from the Trenches",認識 Scrum 裡會出現的角色,
例如 Product owner 要負責時程控管、全掌專案成敗責任等。
Run Scrum 時,要先訂出 sprint,估計實際可用的人日
(把人員是否同時支援其他活動的專注度也列入考量),
接著選擇要進展的 story,估計 story point。
可是估計 story point 時,怎樣算是一點呢?
估計的方式可以依照團隊的習慣而訂,
第一種方式是將一個 point 視為一個理想工作天(5 小時可以完全專注的狀態);
第二種方式是依照相對難度來訂,
先選一個 story 來當基準點、再來訂其他 story 相對的點數。
理想上,Scrum 團隊的成員應該要坐在一起比較好,
以製造最佳的溝通環境,不過成員若分散各地,也可以照著 Scrum 精神跑就好,
例如使用 skype 來取代面對面的 daily meeting。
如果只有兩個人的 team 怎麼 run scrum?
在權責部分,即使 Scrum master 和 member 可能是同一人,
仍然要盡可能區隔每個人的角色與責任;
另一方面,工作項目一定要想辦法區分出重要性來,
如果每個 task 都是 critical item,那這樣的 Scrum 一定會垮掉。
由於 ezScrum 不支援版本控制,
因此在建構管理可以另外使用其他版本控制系統,
再回到 ezScrum 增加一個建構管理的 story,讓流程完整。
當日的演講目前僅有第一個 session《Scrum與資通訊產業軟體開發》已釋出。
個人是很喜歡第二場的《實施Scrum的業界經驗分享》啦,
不過這場因為講者要求,所以錄影檔是確定不會釋出了,
想瞭解講者想法的人倒是可以 follow 一下他的 blog:Teddy Chen 搞笑談軟工,
對我個人來說這個 blog 的癒療效果不輸《Peopleware》呀,
譬如說加班後回家拖著疲累的身軀連上 internet,
看到《對症下藥》這一篇總是多少能讓治積鬱化內傷的。
第三場則是 ezScrum 的介紹與 Live Demo,
其實有興趣的人可以直接下載 ezScrum 來試玩看看。
由於現在的資通訊產業產品生命週期越來越短、需求變動頻仍,
為了能使產品更有競爭力,必須要能夠快速釋出產品,
並能夠控制架構 (architecture) 變異所帶來的衝擊。
在專案流程中採取 Scrum,就是希望能夠提高軟體開發時測試與控管的品質。
Scrum 就像它字義上的意義一樣,
我們在開發軟體時,要像橄欖球進攻時一樣,在有限的回合內進攻完畢。
在 Scrum 中,我們會把專案時程切割為多個衝刺期 (sprint),
通常一個 sprint 約兩週左右,可以讓專案有多次得到回饋的機會,
以利隨時確認是否符合需求、修正方向。
(傳統的 Waterfall 只能在完成點收集回饋,一失足即成千古恨)
傳統的開發過程耗費太多時間在文件製作上面,
SA/SD 的工作包括了定義變數名稱、DB 欄位等等,
以至於到最後常發生「不如讓 SA/SD 自己把 code 也寫了」的情況,
也因為文件要寫得太細,所以遇到需求頻頻變動時,
往往也沒有時間可以維護這些冗長繁複的文件,導致文件與程式不同步。
在 Scrum 中,工作產品是程式本身、而非文件(除非把文件視為一種工作),
打破了過去「有分工、沒合作」的局面,減少大家自掃門前雪的狀況。
過去估計工時的工作由 PM 來處理,
在 Scrum 裡,讓 Programmer 自己決定工時。
Programmers 可以圍坐在一起拿撲克牌來計算工作點數,
共同討論各任務需要的時間、優先順序等等,
經過這樣的討論之後,得到的工時估計會更貼近現實。
在第二場 session 中,講者以過去協助導入的經驗建議:
初期導入 Scrum 只要先進行 sprint、讓團隊成員習慣 Scrum 節奏,
不要一口氣導入 pair programming, unit test……等等太多東西。
至少要先讀過 "Scrum and XP from the Trenches",認識 Scrum 裡會出現的角色,
例如 Product owner 要負責時程控管、全掌專案成敗責任等。
Run Scrum 時,要先訂出 sprint,估計實際可用的人日
(把人員是否同時支援其他活動的專注度也列入考量),
接著選擇要進展的 story,估計 story point。
可是估計 story point 時,怎樣算是一點呢?
估計的方式可以依照團隊的習慣而訂,
第一種方式是將一個 point 視為一個理想工作天(5 小時可以完全專注的狀態);
第二種方式是依照相對難度來訂,
先選一個 story 來當基準點、再來訂其他 story 相對的點數。
理想上,Scrum 團隊的成員應該要坐在一起比較好,
以製造最佳的溝通環境,不過成員若分散各地,也可以照著 Scrum 精神跑就好,
例如使用 skype 來取代面對面的 daily meeting。
如果只有兩個人的 team 怎麼 run scrum?
在權責部分,即使 Scrum master 和 member 可能是同一人,
仍然要盡可能區隔每個人的角色與責任;
另一方面,工作項目一定要想辦法區分出重要性來,
如果每個 task 都是 critical item,那這樣的 Scrum 一定會垮掉。
由於 ezScrum 不支援版本控制,
因此在建構管理可以另外使用其他版本控制系統,
再回到 ezScrum 增加一個建構管理的 story,讓流程完整。
當日的演講目前僅有第一個 session《Scrum與資通訊產業軟體開發》已釋出。
個人是很喜歡第二場的《實施Scrum的業界經驗分享》啦,
不過這場因為講者要求,所以錄影檔是確定不會釋出了,
想瞭解講者想法的人倒是可以 follow 一下他的 blog:Teddy Chen 搞笑談軟工,
對我個人來說這個 blog 的癒療效果不輸《Peopleware》呀,
譬如說加班後回家拖著疲累的身軀連上 internet,
看到《對症下藥》這一篇總是多少能讓治積鬱化內傷的。
第三場則是 ezScrum 的介紹與 Live Demo,
其實有興趣的人可以直接下載 ezScrum 來試玩看看。
- 6月 06 週日 201021:42
[Conf.] 2010 亞太資訊安全論壇
四月跑去 SecuTech Expo 2010 參加裡頭的一個子活動,亞太資訊安全論壇,由資安展參展廠商輪番上陣演講,我聽了其中七場,多數的廠商都提到未來的個資法,我聽到法令要管你家門有沒有被人橇開,就覺得安全性議題越來越多也越來越容易踩到雷,心想這世界真可怕。 XD
對各場演講有興趣的話,主辦單位資安人有收集部分投影片,可到資安人的活動網站下載研討會投影片(須先登錄資料)。
Keynote#1: 進化中的Web應用要求: 安全及高效能兼備,Citrix Systems 大中華區系統工程師周國輝
Web security issue 發生時,除了會造成金錢上的損失,對公司的聲譽也有影響。據統計,學校網站特別容易遭駭,可能是因為沒有可以即使處理的專職人員負責處理資安事件之故;但即使有了專職人員,這些人也都瞭解安全議題會造成的傷害,仍有可能因為倚侍自己擁有 IPS、防火牆等設備就認為可以就此高枕無憂。
由於網頁的安全性問題裡裡外外牽涉甚廣,除了網頁應用程式本身可能有程式碼上的弱點,瀏覽器、伺服器平台環境也都可能各自潛藏弱點,道高一尺、魔高一丈,實務上常遇到「剛上完新的 patch,馬上又遇到 0-day attack」的尷尬情況。單把焦點放在網頁程式碼上面,其實要修改當中的弱點也並不容易:可能因為原本的 developer 已離職,即使做了弱點源碼檢測 (code review) 也不知道該從何改起,怕是改了這裡又壞了那裡;又或者是把程式外包給別人寫,等到做 code review 時發現有問題、請外包單位協助修改,外包單位要求另行計價,會產生額外的成本負擔。
根據 PCI DSS 對網站安全的建議,網站內部必須要通過 code review 檢視、而在程式之外也應該要有 WAF 幫忙擋著,基本上若是網頁程式設計時已針對 OWASP Top 10 進行安全性考量,再加上 WAF 防範,已可避開大多數的攻擊行為。
由於多數的商業活動都依賴網站推行、但多數的攻擊也針對網站而來,自然不可因為加裝了 WAF 而使得網頁應用程式速度變慢,但也不能因為擔心網站會受 WAF 影響其效能而不裝設。Citrix 的產品會掃描 https/http/XML 之中的攻擊碼,也會針對使用者 access 資料做權限控管。它可以是硬體,也能夠虛擬化。對於每一個 Web request/response 都會進行檢查,看看 request 中有無夾帶惡意攻擊碼、也有能力檢視是否在 response 中不慎外洩機敏資料。
這家的產品內建了 URL transform 模組,可以做 URL rewrite,一來可以不讓網址上的參數曝露出來(譬如說可以把 cgi 改名成 asp,混淆攻擊者、讓他們誤以為檔案類型是後者)、二來也有利於網站整合(例如公司併購,要將使用者導至母公司的網站,可以讓網址 rewrite 顯示為母公司的 domain name)。
Keynote#2: Imperva網站應用程式暨資料庫監控、稽核、安全解決方案,IMPERVA 公司北亞區技術總監周達偉
現今的商業交易行為有越來越多的 online payment, e-Banking 等種種服務,使得安全性問題更加重要。過去的安隆案彰顯了安全管控程序失誤造成的問題,因此有了沙賓法案來約束。網站活動中的「安全」與「便捷」是雙頭馬車,越多越便利的服務就越容易冒出安全性問題來。
許多攻擊手法是以合法掩護非法,例如 XSS, CSRF 等等,若是攻擊成功,會影響到法務、資金、品牌形象受損等多重層面的問題。因此應該在事前評估資料使用會造成的風險,檢視是否有漏洞使攻擊有機可乘;接著在使用過程中監控內外部的使用記錄,即時保護資料;事後稽核誰用了資料,以確保網站機敏資料不外洩。
由於弱點掃描與源碼檢測給的是處方、而不是解藥,找出問題直至解決,這之間還有一段危險的空窗期,因此這家公司的產品有個功能,是可以匯入源碼檢測報告,來自動產生未來阻擋防範的 policy。它也有告警的雷達中心,未來在他人受攻擊時,就會跟著防範同一問題,以免攻擊擴散。
Keynote#3: SaaS軟體即服務的安全性,Fortify 亞太區技術總監
越多的服務會暴露越多弱點 (more software = more vulnerabilities),我們必須知道為了資訊安全,我們該做什麼或不該做什麼。在這場演講中比較了許多資安產品,提到各自的使用時機,例如就源碼檢測來說,無法取得 source code 時,可能得做 byte code analysis。實務上不可能依靠一種技術來解決所有的安全性問題,講者說,如果有哪個廠商告訴你只要出一招就可以打遍天下無敵手,那一定是騙你的。 XD
講者認為,應該多試幾種資安產品,來找出最適合自己的。他認為面對資安問題,應該由流程、人、技術三方考量。外部環境改變快速,但內部的員工文化難以改變,使得組織無法適應變化,想要改變,公司可以找一個可及的模範來當目標,並尋求顧問服務來找出問題點,並且應該要不斷地學習、教育、鼓勵員工之間彼此分享知識。
Keynote#4: 洞悉與展演 2010 Web 攻擊與應變趨勢,阿碼科技 CEO Caleb Sima 與 CTO 黃耀文
關於阿碼這場,大澤木小鐵寫了一篇很詳細的《2010
亞太資安論壇心得筆記》。
這場談的是網頁掛馬手法,通常是透過 SQL injection 等手法把程式碼塞進頁面裡,或是直接買下第三方廣告、廣告的內容本身就帶有惡意程式碼。除了對程式下手,也有透過 LAN man-in-the-middle 手法進行 ARP 掛馬的手法,這種情況可以透過觀察區網中異常的ARP request 察覺。還有一種情況是 WAN traffic injeciton,在 2009 年時發生在 tw.msn.com 與 taiwan.cnet.com 上頭,是透過台灣連到新加坡主機的過程中,由於中間的 Load balancer / switch 或其他產品非主流廠商產品,因此被找到機器本身的弱點,就被打進去了。
掛馬攻擊可能將 script 拆成多個部分、或透過 JavaScript 的執行結果來重組,以迴避掃描,單掃頁面內容本身、不去檢測其執行結果是無法掃出問題的。而惡意網站可能也會避開防毒軟體或資安廠商的 IP,看到特定來源就故意不拋回惡意程式,躲開資安產品的掃描檢測。
Keynote#5: 網頁安全解決方案議題,F5 Networks 技術經理林志斌
網頁應用程式入侵方式眾多,攻擊者可從 HTTP 500/404 的錯誤訊息嘗試找出蛛絲馬跡,因此應對錯誤訊息做適當遮蓋、以免自曝弱點;過去有 IIS 漏洞,會造成 buffer overlow,攻擊者可藉該弱點取得 Administrator 權限,再利用現成工具遠端操控網站主機。過去有很多工程師喜歡把舊版程式改掉副檔名(例如說把 .asp 改成 .bak),這樣有時可以讓攻擊者直接讀到內容或下載該程式,進而從中找出程式運作、站台密碼等資訊。
這家的 WAF 會從 HTTP header 就開始做適度的遮蓋,並可設定 policy 來杜絕不必要的 traffic(例如,若 Web Server 上只有 ASP 程式,那麼遇到 request 要查 PHP 程式就忽略掉它)。若使用者沒照正常程序操作網頁,也可能是攻擊行為,WAF 會自動 deny。這款 WAF 也有學習機制,若攻擊者試著想從取得的 response 中竄改資訊重新送回(例如,在取得的頁面中得到售價 $10,攻擊者送出 request 內容為 $1),WAF 能從中察覺異常並阻卻。
講者認為要有好的 log 機制,因為攻擊者嘗試送出的攻擊字串都會在 log 中留下痕跡,如果能夠有好的分析工具,就能作為未來防範與改善建議之用。
Keynote#6: 建立全方位安全閘道機制,防範機密資料外洩,M86 Security 資深技術經理梁達榮
這一場談的是防制 malware。市面上有「malware 自動化工具」,號稱可以提供一年保固、不會被防毒大廠抓到,其原理就是在這一年期間不斷地重新改寫 malware,讓 malware 的 pattern 不固定。
過去發現網站內容有異常之處時,通常是消極地封鎖網站;這家的產品會先分解網頁內容,找出當中有無成人內容、惡意連結、間諜軟體等等,在閘道上攔截惡意內容後,再將安全的內容回傳給使用者。另一方面,這個產品也能夠在 gateway 上攔截使用者傳出機敏資訊。
Keynote#7: 雲端、組改、個資無限好,資訊安全如何來確保?阿碼科技行銷副總與產品總監陳勇君與吳明蔚
若網頁程式服務供應者能夠善進「保管」與「告知」的責任,即使個資法上路,發生問題時能夠舉證,刑罰責都可降至最低。這一家提供了源碼檢測、WAF 與網頁掛馬即時監控服務,讓網站可以從開發一路到上線都獲得保護。
當掛馬監控掃到網站被掛馬時,WAF policy 也同時會異動:將使用者從原本頁面導至替代頁或首頁,以避免使用者誤入頁面。
SecuTech Expo 2010
2010/04/21 (a.m.10:00-18:00) ~ 2010/04/23 (a.m.10:00-17:00)
台北世貿南港展覽館
對各場演講有興趣的話,主辦單位資安人有收集部分投影片,可到資安人的活動網站下載研討會投影片(須先登錄資料)。
Keynote#1: 進化中的Web應用要求: 安全及高效能兼備,Citrix Systems 大中華區系統工程師周國輝
Web security issue 發生時,除了會造成金錢上的損失,對公司的聲譽也有影響。據統計,學校網站特別容易遭駭,可能是因為沒有可以即使處理的專職人員負責處理資安事件之故;但即使有了專職人員,這些人也都瞭解安全議題會造成的傷害,仍有可能因為倚侍自己擁有 IPS、防火牆等設備就認為可以就此高枕無憂。
由於網頁的安全性問題裡裡外外牽涉甚廣,除了網頁應用程式本身可能有程式碼上的弱點,瀏覽器、伺服器平台環境也都可能各自潛藏弱點,道高一尺、魔高一丈,實務上常遇到「剛上完新的 patch,馬上又遇到 0-day attack」的尷尬情況。單把焦點放在網頁程式碼上面,其實要修改當中的弱點也並不容易:可能因為原本的 developer 已離職,即使做了弱點源碼檢測 (code review) 也不知道該從何改起,怕是改了這裡又壞了那裡;又或者是把程式外包給別人寫,等到做 code review 時發現有問題、請外包單位協助修改,外包單位要求另行計價,會產生額外的成本負擔。
根據 PCI DSS 對網站安全的建議,網站內部必須要通過 code review 檢視、而在程式之外也應該要有 WAF 幫忙擋著,基本上若是網頁程式設計時已針對 OWASP Top 10 進行安全性考量,再加上 WAF 防範,已可避開大多數的攻擊行為。
由於多數的商業活動都依賴網站推行、但多數的攻擊也針對網站而來,自然不可因為加裝了 WAF 而使得網頁應用程式速度變慢,但也不能因為擔心網站會受 WAF 影響其效能而不裝設。Citrix 的產品會掃描 https/http/XML 之中的攻擊碼,也會針對使用者 access 資料做權限控管。它可以是硬體,也能夠虛擬化。對於每一個 Web request/response 都會進行檢查,看看 request 中有無夾帶惡意攻擊碼、也有能力檢視是否在 response 中不慎外洩機敏資料。
這家的產品內建了 URL transform 模組,可以做 URL rewrite,一來可以不讓網址上的參數曝露出來(譬如說可以把 cgi 改名成 asp,混淆攻擊者、讓他們誤以為檔案類型是後者)、二來也有利於網站整合(例如公司併購,要將使用者導至母公司的網站,可以讓網址 rewrite 顯示為母公司的 domain name)。
Keynote#2: Imperva網站應用程式暨資料庫監控、稽核、安全解決方案,IMPERVA 公司北亞區技術總監周達偉
現今的商業交易行為有越來越多的 online payment, e-Banking 等種種服務,使得安全性問題更加重要。過去的安隆案彰顯了安全管控程序失誤造成的問題,因此有了沙賓法案來約束。網站活動中的「安全」與「便捷」是雙頭馬車,越多越便利的服務就越容易冒出安全性問題來。
許多攻擊手法是以合法掩護非法,例如 XSS, CSRF 等等,若是攻擊成功,會影響到法務、資金、品牌形象受損等多重層面的問題。因此應該在事前評估資料使用會造成的風險,檢視是否有漏洞使攻擊有機可乘;接著在使用過程中監控內外部的使用記錄,即時保護資料;事後稽核誰用了資料,以確保網站機敏資料不外洩。
由於弱點掃描與源碼檢測給的是處方、而不是解藥,找出問題直至解決,這之間還有一段危險的空窗期,因此這家公司的產品有個功能,是可以匯入源碼檢測報告,來自動產生未來阻擋防範的 policy。它也有告警的雷達中心,未來在他人受攻擊時,就會跟著防範同一問題,以免攻擊擴散。
Keynote#3: SaaS軟體即服務的安全性,Fortify 亞太區技術總監
越多的服務會暴露越多弱點 (more software = more vulnerabilities),我們必須知道為了資訊安全,我們該做什麼或不該做什麼。在這場演講中比較了許多資安產品,提到各自的使用時機,例如就源碼檢測來說,無法取得 source code 時,可能得做 byte code analysis。實務上不可能依靠一種技術來解決所有的安全性問題,講者說,如果有哪個廠商告訴你只要出一招就可以打遍天下無敵手,那一定是騙你的。 XD
講者認為,應該多試幾種資安產品,來找出最適合自己的。他認為面對資安問題,應該由流程、人、技術三方考量。外部環境改變快速,但內部的員工文化難以改變,使得組織無法適應變化,想要改變,公司可以找一個可及的模範來當目標,並尋求顧問服務來找出問題點,並且應該要不斷地學習、教育、鼓勵員工之間彼此分享知識。
Keynote#4: 洞悉與展演 2010 Web 攻擊與應變趨勢,阿碼科技 CEO Caleb Sima 與 CTO 黃耀文
關於阿碼這場,大澤木小鐵寫了一篇很詳細的《2010
亞太資安論壇心得筆記》。
這場談的是網頁掛馬手法,通常是透過 SQL injection 等手法把程式碼塞進頁面裡,或是直接買下第三方廣告、廣告的內容本身就帶有惡意程式碼。除了對程式下手,也有透過 LAN man-in-the-middle 手法進行 ARP 掛馬的手法,這種情況可以透過觀察區網中異常的ARP request 察覺。還有一種情況是 WAN traffic injeciton,在 2009 年時發生在 tw.msn.com 與 taiwan.cnet.com 上頭,是透過台灣連到新加坡主機的過程中,由於中間的 Load balancer / switch 或其他產品非主流廠商產品,因此被找到機器本身的弱點,就被打進去了。
掛馬攻擊可能將 script 拆成多個部分、或透過 JavaScript 的執行結果來重組,以迴避掃描,單掃頁面內容本身、不去檢測其執行結果是無法掃出問題的。而惡意網站可能也會避開防毒軟體或資安廠商的 IP,看到特定來源就故意不拋回惡意程式,躲開資安產品的掃描檢測。
Keynote#5: 網頁安全解決方案議題,F5 Networks 技術經理林志斌
網頁應用程式入侵方式眾多,攻擊者可從 HTTP 500/404 的錯誤訊息嘗試找出蛛絲馬跡,因此應對錯誤訊息做適當遮蓋、以免自曝弱點;過去有 IIS 漏洞,會造成 buffer overlow,攻擊者可藉該弱點取得 Administrator 權限,再利用現成工具遠端操控網站主機。過去有很多工程師喜歡把舊版程式改掉副檔名(例如說把 .asp 改成 .bak),這樣有時可以讓攻擊者直接讀到內容或下載該程式,進而從中找出程式運作、站台密碼等資訊。
這家的 WAF 會從 HTTP header 就開始做適度的遮蓋,並可設定 policy 來杜絕不必要的 traffic(例如,若 Web Server 上只有 ASP 程式,那麼遇到 request 要查 PHP 程式就忽略掉它)。若使用者沒照正常程序操作網頁,也可能是攻擊行為,WAF 會自動 deny。這款 WAF 也有學習機制,若攻擊者試著想從取得的 response 中竄改資訊重新送回(例如,在取得的頁面中得到售價 $10,攻擊者送出 request 內容為 $1),WAF 能從中察覺異常並阻卻。
講者認為要有好的 log 機制,因為攻擊者嘗試送出的攻擊字串都會在 log 中留下痕跡,如果能夠有好的分析工具,就能作為未來防範與改善建議之用。
Keynote#6: 建立全方位安全閘道機制,防範機密資料外洩,M86 Security 資深技術經理梁達榮
這一場談的是防制 malware。市面上有「malware 自動化工具」,號稱可以提供一年保固、不會被防毒大廠抓到,其原理就是在這一年期間不斷地重新改寫 malware,讓 malware 的 pattern 不固定。
過去發現網站內容有異常之處時,通常是消極地封鎖網站;這家的產品會先分解網頁內容,找出當中有無成人內容、惡意連結、間諜軟體等等,在閘道上攔截惡意內容後,再將安全的內容回傳給使用者。另一方面,這個產品也能夠在 gateway 上攔截使用者傳出機敏資訊。
Keynote#7: 雲端、組改、個資無限好,資訊安全如何來確保?阿碼科技行銷副總與產品總監陳勇君與吳明蔚
若網頁程式服務供應者能夠善進「保管」與「告知」的責任,即使個資法上路,發生問題時能夠舉證,刑罰責都可降至最低。這一家提供了源碼檢測、WAF 與網頁掛馬即時監控服務,讓網站可以從開發一路到上線都獲得保護。
當掛馬監控掃到網站被掛馬時,WAF policy 也同時會異動:將使用者從原本頁面導至替代頁或首頁,以避免使用者誤入頁面。
SecuTech Expo 2010
2010/04/21 (a.m.10:00-18:00) ~ 2010/04/23 (a.m.10:00-17:00)
台北世貿南港展覽館
1
文書處理 (5)