阿碼科技的資安團隊於本月 12 號發現一套叫作 World Recipe 〈世界食譜〉的開放源碼〈註一〉套件存在有多個跨站腳本攻擊〈Cross-site Scripting, XSS〉問題. 此套件是以 ASP.NET 2.0 C# 所撰寫的, 其具備快速建置, 完整的網站功能頁面與 SQL 資料庫等特色, 獲得不少的口耳相傳與採用.
我們在發現之初即通知原始作者, 並在本月 15 號通知全球弱點公開揭露平台 SecurityFocus, 刊載為 BugTraq 499217: Multiple XSS Vulnerabilities in World Recipe 2.11, 唯目前官方仍沒有針對 2.11 版本的修補程式.
此次揭露的弱點類型都是可利用於跨站腳本攻擊〈XSS〉, 分別是位在建置後網站第一層根目錄
1. emailrecipe.aspx 的參數 n
(譬如http://xxx-website/emailrecipe.aspx?n=XSS)
2. recipedetail.aspx 的參數 id
(譬如http://xxx-website/recipedetail.aspx?id=XSS)
3. validatefieldlength.aspx 的參數 catid
(譬如http://xxx-website/validatefieldlength.aspx?catid=XSS)
等三支的 ASP.NET 網頁. 我們的工具所計算出來的受駭風險指數高達滿分 5 分 (在實務上 3 分以下的攻擊成功機會就非常之低).
validatefieldlength.aspx 這支程式使用到參數 catid, 但沒有正確地驗證與過濾, 因此攻擊方可利用於誤導受駭方執行任意的腳本程式, 請見下圖的概念證明〈Proof of Concept〉:
當然, ASP.NET Framework 不是省油的燈, 在 emailrecipe.aspx 與 recipedetail.aspx 可看到其基本保護, 當嘗試輸入可疑的字串時, 會被 ValidateRequest 攔下. 請見下圖的概念證明:
不過因為 ValidateRequest 是採用黑名單的方式, 多少會有規避的空間. 一旦當攻擊方發現繞過的方式, 剩下的最後一道防線就是瀏覽器本身了. 目前各家的瀏覽器對不同的跨站腳本攻擊〈XSS〉語法有不同的表現, 我們採用了一個對微軟 IE 有效的攻擊語法, 並成功地繞過 ValidateRequest 的攔阻, 目前僅有最新的 IE8 Beta 2 能夠偵測到此跨站腳本攻擊〈XSS〉.
請見下圖的概念證明:
註一: 開放源碼套件以可自由下載, 散佈, 使用, 且多半是免費提供等特色受廣大使用者所喜愛.但開放源碼這種草根性的社群開發模式, 通常沒有強制要求嚴謹的軟體測試或壓力測試, 其軟體品質, 尤其是資安品質, 是否符合使用者的期待, 是有待商榷的. 有一些使用者會認為開放源碼的原始碼是攤在陽光之下, 有比較多的機會被程式高手或資安專家看到錯誤或安全漏洞, 因此其軟體品質或資安風險應該有一定程度的"保證". 很明顯地, 光有這樣的期待是無法有效地量化資安風險, 除非有效地利用源碼檢測等白箱工具來驗證其資安品質, 否則即使諸多使用者或企業樂見開放源碼的多樣化選擇, 也不敢貿然採用.
作者 Dr. Benson Wu 為 阿碼科技 產品經理
繼續閱讀全文...
2008年12月15日
2008年12月10日
IE 7 零時差攻擊(Zero Day Attack) 重大威脅警訊
重大威脅警訊: 針對IE瀏覽器的零時差攻擊大量出現
12月9日下午,針對微軟IE 7.0的零時差(Zero Day Attack)攻擊程式碼由"知道安全(Knownsec Team)" 團隊成員貼上網,據 Knownsec 團隊表示在最近的網站掛馬案件中開始有此攻擊碼的出現,針對 Internet Explorer 7.0最新版(7.0.5730.13)進行零時差攻擊。目前已經發現針對Windows XP與Windows 2003 環境的攻擊碼,即使用戶已經更新到最新版(微軟本週更新12月9日IE7,版本7.0.5730.13)還是不能倖免,這就是零時差攻擊之所以危險的原因。阿碼科技ASF團隊立即對此一現象進行分析後,執行長黃耀文在接受 IDG 專訪 時表示,此攻擊方式已經出現大量生產的工具,可能會快速地散播再掛馬網站,而造成嚴重的災情。
1. 此 Exploit 的技術摘要
利用JavaScript產生包含攻擊碼的資料陣列,足以讓IE處理XML內嵌img src的資料時產生跳脫原執行路徑,而執行駭客的Downloader Shellcode,進而安裝木馬後門。
2. 修補程式
微軟定期於每月之第二個星期二,發布修補程式,用戶可透過 Windows Update 更新。雖然昨天(12月9日)之更新,各界已知將更新許多嚴重漏洞(包含 IE 7 漏洞),然此更新並不會修復本新聞稿提及之 IE 7 零時差漏洞。此次更新之 IE 7 漏洞請見 MS08-073。
3. HackAlert 檢測畫面
4. 被成功攻擊的 demo畫面
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjt_lOncfRAIpv-LkwATzm1VourQ4M-QFIeuDOFYGG4B6ipoVePzM23VqBozClRUrfbiK-DiIiY01tHOOPCEvaKgF2m7-rrLk_APXWtJB63TwvZwtHj_b_PjLs2_2dMdIfLK9YieP8IfBzT/s1600/TESTBED-2008-12-09-21-26-43.png
5. 相關新聞:
IDG: New Web attack exploits unpatched IE flaw
<防範建議>
1. 暫停使用IE 7.0,改用其他瀏覽器上網,如FireFox或 Opera等。
2. 檢查用戶端之惡意程式掃描記錄是否有異常現象。
3. 可採用阿碼科技所提供之Archon Scanner以行為模式檢查電腦中是否入侵且安裝惡意程式。申請信箱: info__at__armorize.com
4. 使用 HackAlert™ 針對企業網站進行安全監控,避免被掛馬植入零時差攻擊碼,損害客戶電腦與資料安全。申請網址: hackalert.armorize.com
繼續閱讀全文...
2008年11月18日
阿碼科技受邀至道瓊年度科技創業論壇發表源碼檢測與網站應用系統防火牆整合技術
阿碼科技受邀在11月18、19日兩天所舉辦的道瓊年度科技創業論壇(Dow Jones VentureWire Technology Showcase)中發表演講,該論壇於美國加州Redwood市舉辦,是美國年度科技新創企業最盛大的發表交流論壇,參與對象由VentureWire讀者與編輯群嚴格篩選最有創新與名聲的企業,總計今年全球有75家科技新創公司受邀,到場對潛在投資人、併購企業與合作夥伴發表其營運模式與科技創新。
阿碼科技將由創辦人暨營運長(COO)黃耀明出席並發表阿碼科技獨步全球之源碼檢測(CodeSecure™)與網站應用系統防火牆(SmartWAF™)之整合技術。此項整合技術可以利用最低的成本,確保網站應用程式不被駭客所攻陷,提供可信賴的線上安全營運平台。阿碼科技專精於網站應用系統之安全管理,透過靜態源碼檢測科技提供企業級的旗艦解決方案- CodeSecure™。CodeSecure™是一個網頁式隨插即用的系統,透過靜態原始碼分析與驗證(Static Source Code Analysis and Verification)辨識出網站原始碼中存在的弱點,提供不同風險等級的矯正建議,以取代繁重且高成本的人工程式碼審查(Code Review),在系統開發生命週期中提供一個有效率、高成本效益,可轉移系統風險的解決方案。
網站應用系統安全是一個相當新的領域,尤其透過靜態源碼分析與驗證更是走在科技尖端的領導方案,再加上阿碼科技獨家研發成功之靜態源碼檢測與網站應用系統防火牆整合技術,此次發表將提供企業經營者一個主動防禦與持續經營商業網站安全的最佳選擇。阿碼科技將在11月18日14:35至15:20於商業營運科技議題中發表,亦歡迎參加者於19日07:00的亞洲區早餐會中蒞臨阿碼科技攤位交流指教。
阿碼科技全方位網站安全解決方案
除了CodeSecure™源碼檢測與分析之外,阿碼科技提供與CodeSecure™密切整合之動態網站應用系統防火牆(SmartWAF™)與持續的網站安全監控與惡意程式偵測服務(HackAlert™),先掃描後立即阻擋尚未修補之網站安全弱點,提供客戶”立即”的網站安全防護。
關於Dow Jones VentureWire Technology Showcase 2008
Dow Jones VentureWire科技論壇針對最新、最深入的商業科技發展,邀集產業領導企業發表尖端的商業應用科技與營運模式,將全球最知名的投顧與新創企業匯集一堂,讓潛在投資人、併購企業與合作夥伴獲得最有效的投資合作機會。
道瓊年度科技創業論壇地點
Sofitel San Francisco Bay
223 Twin Dolphin Drive
Redwood City
CA 94065
Phone: 650-598-9000
Fax: 650-598-9383
阿碼科技演說發表時段
-11月18日14:35至15:20於Business Technologies Track(Salon 3)
-11月19日07:00 至08:30亞洲區早餐會(Asia Breakfast )
更多資訊請參考 Dow Jones VentureWire Technology Showcase 網站
關於阿碼科技
阿碼科技(Armorize Technologies)是全球領先的全方位軟體安全與網站安全服務供應商,致力於從根源解決Web資訊安全問題。公司總部設於北美矽谷Santa Clara市,全球研發中心於南港軟體園區。阿碼科技產品線包涵蓋完整Web資訊安全解決方案,包含CodeSecure™源碼檢測、HackAlert™網頁監控、SmartWAF™應用程式防火牆等。ASF™(Armorize Special Forces)資安團隊除提供專業服務外,並參與全球重要Web資安年會,發表領導性技術研究。阿碼科技成立以來獲榮獲多科技大獎,包含Red Herring 亞洲科技百強(Red Herring Asia 100)、Red Herring全球創意百強企業(Red Herring Global Innovator’s Pit)、經濟部傑出產品獎、新創事業獎、金根獎科技產業傑出貢獻獎及卓越SBIR研發成果獎項等多方肯定,並於2007年併購艾克索夫(X-Solve)為獨立資安研究實驗室,提供更完整的網站安全與惡意程式檢測服務。阿碼科技的客戶遍布全球金融、電信、政府與科技行業領域。 更多資訊請至阿碼科技網站: www.armorize.com。
新聞聯絡人
John Linehan
02-6616-0100 Ext 401
pr_at_armorize.com
繼續閱讀全文...
阿碼科技將由創辦人暨營運長(COO)黃耀明出席並發表阿碼科技獨步全球之源碼檢測(CodeSecure™)與網站應用系統防火牆(SmartWAF™)之整合技術。此項整合技術可以利用最低的成本,確保網站應用程式不被駭客所攻陷,提供可信賴的線上安全營運平台。阿碼科技專精於網站應用系統之安全管理,透過靜態源碼檢測科技提供企業級的旗艦解決方案- CodeSecure™。CodeSecure™是一個網頁式隨插即用的系統,透過靜態原始碼分析與驗證(Static Source Code Analysis and Verification)辨識出網站原始碼中存在的弱點,提供不同風險等級的矯正建議,以取代繁重且高成本的人工程式碼審查(Code Review),在系統開發生命週期中提供一個有效率、高成本效益,可轉移系統風險的解決方案。
網站應用系統安全是一個相當新的領域,尤其透過靜態源碼分析與驗證更是走在科技尖端的領導方案,再加上阿碼科技獨家研發成功之靜態源碼檢測與網站應用系統防火牆整合技術,此次發表將提供企業經營者一個主動防禦與持續經營商業網站安全的最佳選擇。阿碼科技將在11月18日14:35至15:20於商業營運科技議題中發表,亦歡迎參加者於19日07:00的亞洲區早餐會中蒞臨阿碼科技攤位交流指教。
阿碼科技全方位網站安全解決方案
除了CodeSecure™源碼檢測與分析之外,阿碼科技提供與CodeSecure™密切整合之動態網站應用系統防火牆(SmartWAF™)與持續的網站安全監控與惡意程式偵測服務(HackAlert™),先掃描後立即阻擋尚未修補之網站安全弱點,提供客戶”立即”的網站安全防護。
關於Dow Jones VentureWire Technology Showcase 2008
Dow Jones VentureWire科技論壇針對最新、最深入的商業科技發展,邀集產業領導企業發表尖端的商業應用科技與營運模式,將全球最知名的投顧與新創企業匯集一堂,讓潛在投資人、併購企業與合作夥伴獲得最有效的投資合作機會。
道瓊年度科技創業論壇地點
Sofitel San Francisco Bay
223 Twin Dolphin Drive
Redwood City
CA 94065
Phone: 650-598-9000
Fax: 650-598-9383
阿碼科技演說發表時段
-11月18日14:35至15:20於Business Technologies Track(Salon 3)
-11月19日07:00 至08:30亞洲區早餐會(Asia Breakfast )
更多資訊請參考 Dow Jones VentureWire Technology Showcase 網站
關於阿碼科技
阿碼科技(Armorize Technologies)是全球領先的全方位軟體安全與網站安全服務供應商,致力於從根源解決Web資訊安全問題。公司總部設於北美矽谷Santa Clara市,全球研發中心於南港軟體園區。阿碼科技產品線包涵蓋完整Web資訊安全解決方案,包含CodeSecure™源碼檢測、HackAlert™網頁監控、SmartWAF™應用程式防火牆等。ASF™(Armorize Special Forces)資安團隊除提供專業服務外,並參與全球重要Web資安年會,發表領導性技術研究。阿碼科技成立以來獲榮獲多科技大獎,包含Red Herring 亞洲科技百強(Red Herring Asia 100)、Red Herring全球創意百強企業(Red Herring Global Innovator’s Pit)、經濟部傑出產品獎、新創事業獎、金根獎科技產業傑出貢獻獎及卓越SBIR研發成果獎項等多方肯定,並於2007年併購艾克索夫(X-Solve)為獨立資安研究實驗室,提供更完整的網站安全與惡意程式檢測服務。阿碼科技的客戶遍布全球金融、電信、政府與科技行業領域。 更多資訊請至阿碼科技網站: www.armorize.com。
新聞聯絡人
John Linehan
02-6616-0100 Ext 401
pr_at_armorize.com
繼續閱讀全文...
2008年11月11日
網站多久沒健檢,是不是該關心一下了
你有多久沒有好好看看你的網站了,沒出事就不關心了嗎?那...不出事才怪的勒!資安...心態最重要。
平常應該要多關心網站運作狀況,是否有任何入侵的蛛絲馬跡,而這些徵兆都不能輕忽之;否則,網站問題將會層出不窮,小則網頁竄改、資料庫被操弄,或植入惡意連結;大則資料庫個資外洩,被詐騙集團利用,甚至機敏資料外洩。這些問題,平常多少一定會有些徵兆的,注意這些徵兆將會是避免事態持續擴大的重要關鍵。
有很多入侵行為,是沒有任何網站內容的竄改的,也就是說,入侵這台主機只是當跳板,但是,可能其他相同網段的網站卻經常出問題,你卻始終找不到真正病因。就像很多疾病,帶原者本身並不發病的,但是接觸的人可就慘了,很多攻擊模式有異曲同工之妙。
如果有下列徵兆中的一個,幾乎代表網站被入侵了,多個那就肯定被入侵:
* 網站目錄下是否有多的莫名檔案
* 網站主機上是否有多的莫名帳號
* 資料庫中是否有奇怪字串或帳號
* Mass SQL Injection 攻擊遺跡
* 網站主機之防毒軟體是否有異常警訊
* 網頁目錄是否有網頁木馬後門程式
* 系統的後門或木馬程式(惡意程式)
1.網站目錄下是否有多的莫名檔案
這跟網站的版本控制 (Release Management) 有很大的關係,因為,這部份做的好,可以很輕易從網站目錄中,找出被竄改或植入的檔案,也就知道網站被入侵了。不管是比對檔案差異、大小或日期...等,都可以查覺網頁檔案被動過手腳的,這點是最容易發現網站被入侵的,也是最精確的方式之一。無奈,大多數網站的網頁檔案,多是雜亂無章、且龐大,有的還有資料庫檔案在其中...XD,根本沒人知道哪些網頁檔案是屬於正常的。所以,你需要一個乾淨無虞的原始網頁檔案,而不是備份的,因為,備份都是線上的,往往都已經被動過手腳了,備份回來正中入侵者下懷,導致再次的誤事哩。你有乾淨無虞的網頁原始程式嗎?100% 確定沒被動過手腳的喔。
這點我還要在強調一次,你有乾淨無虞的網頁原始程式嗎?並配合正確版本控制管理 (Release Management),當網站出現問題時,它將會是非常重要的。
2.網站主機上是否有多的莫名帳號
如果主機被新增異常帳號,這也是被入侵很明顯的一個徵兆,也可以檢視可疑帳號的登入記錄,判定是否為入侵的帳號;如果網站主機有開遠端管理服務,不管是 3389 或 VNC...等,一旦被入侵,新增帳號就會是很常見的一個行為,對入侵者來說是多一條路可以進入系統。資料庫的部分是否有異常帳號,也是重要徵兆之一,這也表示資料庫中有重要資訊是有心人士想要的,慎之。
3.資料庫是否有奇怪字串
「奇怪字串」...我知道它很模糊、籠統,因為,要植入的字串千奇百怪;如果可以操弄資料庫,那要做啥入侵動作,這可沒有一定的標準程序哩,甚至有的只是改「商品售價」,這是奇怪字串的嗎?不過已經好幾年沒人這樣玩了;這攸關對網站的敏感度,所以,平常需要對被入侵網站的結果呈現,多加觀察,畢竟實際案例是非常好的案例教材。目前最常見的,是在資料庫中植入惡意連結或入侵字眼,入侵字眼比較容易發覺,網站上多會有明顯字眼可察覺;惡意連結部分較難查覺,可以參考這篇新聞。
4.Mass SQL Injection 攻擊
我知道看 log files 很辛苦,我也深受其害...XP,所以報個好康的:
SQLInjectionFinder.exe : Tool to help determine .asp pages targeted by recent SQL Injection attacks.
它會幫你找 Mass SQL Injection 攻擊字串的事件,可以幫你省很多事的,希望對大家有幫助。針對被攻擊的網頁程式碼需要注意是否有漏洞,否則,資料庫可能被操弄了。有很多網站被攻擊還不自知的,植入的惡意網域可能都已經不生效了。
5.網站主機之防毒軟體是否有異常警訊
防毒軟體的歷史病毒記錄,是否有發現惡意程式的記錄,這也是被入侵的重要徵兆之一。不是看防毒軟體把惡意程式清除了,然後就裝沒事,要思考惡意程式打哪來,入侵管道才是要關心的重點。很多系統管理者都輕忽這點,問題在防毒軟體沒有 100% 的,更何況入侵者可能知道你安裝了哪家的防毒軟體,所以有一隻鐵定會有第二隻的,也許哪天防毒軟體更新病毒碼了,就「剛好」發現一隻...XD,結果你也「剛好」錯過...挖哩勒。
6.定期使用線上掃描工具檢查網頁目錄是否有網馬後門
Free Online Virus Scan
Free Online Spyware Scan
使用線上掃毒檢查網頁目錄下,是否有惡意程式存在,如果你無法確認網頁目錄是否有可疑程式,這不失為亂槍打鳥的一種方式,但使用上務必小心,不要輕易把惡意程式給刪除了,它可是重要線索的。啥...沒看過網馬後門嗎?哇咧!這好像遊客搞不清楚啥是搶匪一樣,連搶匪手上的刀也完全不識,被搶了還以為是借錢的...XD。
有沒發現這傢伙比系統的檔案總管好用太多啦...
7.系統是否被植入未知的惡意程式
這點對大多數的系統管理者來說是困難的。前面提到的線上掃毒也是一種方式之一,但也可能破壞犯罪現場,務必慎用。最好,還是需要有專人協助的。
以上只是一些常見的徵兆,需要特別加以注意的;上面也說這麼多了,對很多單位還是沒用,有時不知道比知道好,知道了又能如何,因為,沒人在做事件應變處理 (IR) 的,更不可能組成「資安事件緊急應變小組」來協助處理後續事宜。如果有心想做,可以參考「企業事件應變管理」一文,管理階層務必加以重視。資安很多問題是要改變管理的思考角度與方式,如果老是重複相同的事情,無力感將衝擊著你,有些事情是必須讓管理者知情,找出問題並尋求解決之道,「深思網站淪陷背後的意義」這篇你或管理者更需要閱讀、深思的。正視它,有些事會讓你成長的,如果只是閃躲,有些事將會變得很無情。
本文同步張貼於「資安之我見」
作者 Crane 為 阿碼科技 資安顧問
繼續閱讀全文...
平常應該要多關心網站運作狀況,是否有任何入侵的蛛絲馬跡,而這些徵兆都不能輕忽之;否則,網站問題將會層出不窮,小則網頁竄改、資料庫被操弄,或植入惡意連結;大則資料庫個資外洩,被詐騙集團利用,甚至機敏資料外洩。這些問題,平常多少一定會有些徵兆的,注意這些徵兆將會是避免事態持續擴大的重要關鍵。
有很多入侵行為,是沒有任何網站內容的竄改的,也就是說,入侵這台主機只是當跳板,但是,可能其他相同網段的網站卻經常出問題,你卻始終找不到真正病因。就像很多疾病,帶原者本身並不發病的,但是接觸的人可就慘了,很多攻擊模式有異曲同工之妙。
如果有下列徵兆中的一個,幾乎代表網站被入侵了,多個那就肯定被入侵:
* 網站目錄下是否有多的莫名檔案
* 網站主機上是否有多的莫名帳號
* 資料庫中是否有奇怪字串或帳號
* Mass SQL Injection 攻擊遺跡
* 網站主機之防毒軟體是否有異常警訊
* 網頁目錄是否有網頁木馬後門程式
* 系統的後門或木馬程式(惡意程式)
1.網站目錄下是否有多的莫名檔案
這跟網站的版本控制 (Release Management) 有很大的關係,因為,這部份做的好,可以很輕易從網站目錄中,找出被竄改或植入的檔案,也就知道網站被入侵了。不管是比對檔案差異、大小或日期...等,都可以查覺網頁檔案被動過手腳的,這點是最容易發現網站被入侵的,也是最精確的方式之一。無奈,大多數網站的網頁檔案,多是雜亂無章、且龐大,有的還有資料庫檔案在其中...XD,根本沒人知道哪些網頁檔案是屬於正常的。所以,你需要一個乾淨無虞的原始網頁檔案,而不是備份的,因為,備份都是線上的,往往都已經被動過手腳了,備份回來正中入侵者下懷,導致再次的誤事哩。你有乾淨無虞的網頁原始程式嗎?100% 確定沒被動過手腳的喔。
這點我還要在強調一次,你有乾淨無虞的網頁原始程式嗎?並配合正確版本控制管理 (Release Management),當網站出現問題時,它將會是非常重要的。
2.網站主機上是否有多的莫名帳號
如果主機被新增異常帳號,這也是被入侵很明顯的一個徵兆,也可以檢視可疑帳號的登入記錄,判定是否為入侵的帳號;如果網站主機有開遠端管理服務,不管是 3389 或 VNC...等,一旦被入侵,新增帳號就會是很常見的一個行為,對入侵者來說是多一條路可以進入系統。資料庫的部分是否有異常帳號,也是重要徵兆之一,這也表示資料庫中有重要資訊是有心人士想要的,慎之。
3.資料庫是否有奇怪字串
「奇怪字串」...我知道它很模糊、籠統,因為,要植入的字串千奇百怪;如果可以操弄資料庫,那要做啥入侵動作,這可沒有一定的標準程序哩,甚至有的只是改「商品售價」,這是奇怪字串的嗎?不過已經好幾年沒人這樣玩了;這攸關對網站的敏感度,所以,平常需要對被入侵網站的結果呈現,多加觀察,畢竟實際案例是非常好的案例教材。目前最常見的,是在資料庫中植入惡意連結或入侵字眼,入侵字眼比較容易發覺,網站上多會有明顯字眼可察覺;惡意連結部分較難查覺,可以參考這篇新聞。
4.Mass SQL Injection 攻擊
我知道看 log files 很辛苦,我也深受其害...XP,所以報個好康的:
SQLInjectionFinder.exe : Tool to help determine .asp pages targeted by recent SQL Injection attacks.
它會幫你找 Mass SQL Injection 攻擊字串的事件,可以幫你省很多事的,希望對大家有幫助。針對被攻擊的網頁程式碼需要注意是否有漏洞,否則,資料庫可能被操弄了。有很多網站被攻擊還不自知的,植入的惡意網域可能都已經不生效了。
5.網站主機之防毒軟體是否有異常警訊
防毒軟體的歷史病毒記錄,是否有發現惡意程式的記錄,這也是被入侵的重要徵兆之一。不是看防毒軟體把惡意程式清除了,然後就裝沒事,要思考惡意程式打哪來,入侵管道才是要關心的重點。很多系統管理者都輕忽這點,問題在防毒軟體沒有 100% 的,更何況入侵者可能知道你安裝了哪家的防毒軟體,所以有一隻鐵定會有第二隻的,也許哪天防毒軟體更新病毒碼了,就「剛好」發現一隻...XD,結果你也「剛好」錯過...挖哩勒。
6.定期使用線上掃描工具檢查網頁目錄是否有網馬後門
Free Online Virus Scan
Free Online Spyware Scan
使用線上掃毒檢查網頁目錄下,是否有惡意程式存在,如果你無法確認網頁目錄是否有可疑程式,這不失為亂槍打鳥的一種方式,但使用上務必小心,不要輕易把惡意程式給刪除了,它可是重要線索的。啥...沒看過網馬後門嗎?哇咧!這好像遊客搞不清楚啥是搶匪一樣,連搶匪手上的刀也完全不識,被搶了還以為是借錢的...XD。
有沒發現這傢伙比系統的檔案總管好用太多啦...
7.系統是否被植入未知的惡意程式
這點對大多數的系統管理者來說是困難的。前面提到的線上掃毒也是一種方式之一,但也可能破壞犯罪現場,務必慎用。最好,還是需要有專人協助的。
以上只是一些常見的徵兆,需要特別加以注意的;上面也說這麼多了,對很多單位還是沒用,有時不知道比知道好,知道了又能如何,因為,沒人在做事件應變處理 (IR) 的,更不可能組成「資安事件緊急應變小組」來協助處理後續事宜。如果有心想做,可以參考「企業事件應變管理」一文,管理階層務必加以重視。資安很多問題是要改變管理的思考角度與方式,如果老是重複相同的事情,無力感將衝擊著你,有些事情是必須讓管理者知情,找出問題並尋求解決之道,「深思網站淪陷背後的意義」這篇你或管理者更需要閱讀、深思的。正視它,有些事會讓你成長的,如果只是閃躲,有些事將會變得很無情。
本文同步張貼於「資安之我見」
作者 Crane 為 阿碼科技 資安顧問
繼續閱讀全文...
分類:
資安文章、心得、想法
深思網站淪陷背後的意義
有許多地方都有網站淪陷的相關記錄:
Zone-H.org:http://www.zone-h.org/
中国被黑站点统计系统:http://www.zone-h.com.cn/
Zone-H 本週被黑 .tw 網站整理:http://outian.net/zone-h/
TW 網站淪陷資料庫 | 資安之眼:http://www.itis.tw/compromised
Turk Hack World Analyse and Attack Mirror Service:http://turk-h.org/
WWW Check by Chroot:http://www.chroot.org/wwwcheck/
Serapis.net:http://www.serapis.net/
XSSed: XSS (cross-site scripting) information and vulnerable websites archive:http://www.xssed.com/archive
PhishTank:http://www.phishtank.com/
另外有「天罣--輪迴的阿修羅」(這應該是最完整的,以台灣地區而言),最知名的應該是「大砲開講」:http://rogerspeaking.com/
幾乎每天都有許多網站淪陷或者被利用,很多網站管理者對這些記錄是恨得牙癢癢的,甚至,連被爆料的組織、單位主官也是牙癢癢,因為,記錄就是記錄,記錄永遠在哪裡。
王建民在記錄上,曾經不滿兩局狂失八分,2007年季後賽防禦率19.06(平均每局掉兩分以上)…這些都是超難堪的紀錄,王牌永遠的痛,但王建民永遠說:我會一球一球丟,一個一個的去解決打者,勇敢的面對。做資安不能只想靠橡皮擦跟立可白。
我很喜歡看《CSI犯罪現場:邁阿密》,維基百科有詳細介紹,但它另外的紐約及拉斯維加斯系列的影集我就沒哪麼喜歡了。在邁阿密系列中的主角「何瑞修·肯恩(Horatio Caine)」除了有招牌動作外,還有一句常說的話:「那些記錄,只是你最小的問題」,我也想借用這句話。為何?如下:
1.公佈的記錄是發現時間,漏洞存在多久了呢?
這問題不知網站管理者及權責主管是否有想過呢?我是光想這問題就快瘋了,很多單位都迅速地給我第一回應:「沒關係,我這台機器上沒有重要的資料」,嘿,老兄,我都還沒問哩。況且,這台機器可以當跳板,滲透更多內部主機的。其實,這問題你知道的,面對現實與真相吧!別讓你的網站一直在裸奔...
2.其間是否另有人滲透進來,擷取他想要的資訊了呢?
這問題可大了,查起來可要人命哩,是否有人力處理這部分呢?需要花多少時間及多少人力,甚至外聘需要花多少預算,查出結果可能還要再花一筆預算,這是管理階層第一個要考慮的。真查出了結果,可能真得有人....。所以,九成九不會想知道這結果的。但深入去查,往往會有許多收穫,了解災損範圍是極重要的一環;我想內部非公開的調查是必須的,因為,還可以查覺整體防禦架構上的漏洞,進而加以改善。詳細了解災損,才能進一步做應變處理,如果個資或客戶資料外洩,該如何修補及因應呢?使用者或客戶出現客訴該如何回應?萬一上媒體又該如何?這再再都與企業形象緊密結合。處理得宜還能化危機為轉機的,但你得先了解整個問題的源由。
3.被公布的記錄,會引起其他有心人士的念頭
這是公開的記錄,大家都會知道,但若沒有這些記錄,你會哪時才知道網站出狀況了;這會不會讓你想到另外一個問題呢?對,會不會你的網站已經出事了,看看這則消息:台灣網站遭受有史以來最大規模SQL Injection 攻擊,這是五月份的事,google 搜尋"9i5t.cn"字串,還有一堆網站沒有清除遭植入的惡意字串,還是很多人是不知道自己網站已經出事,所以被公佈出來是好是壞就見仁見智囉。接下來,網站漏洞問題修復的時間就是關鍵,但往往漏洞問題都找不到,還要如何修復呢?我只能說不修復,「有心人士」還會來複檢的;另外,公開的記錄鐵定也會引來更多「有心人士」的,因為,它代表有漏洞存在,沒理由別人找得到而我卻找不到漏洞,如果找不到哪不就遜掉了,結果就是有更多人來挑戰你的網站。千萬別有僥倖的心態。
4.免費的滲透測試(PT),只是沒給你報告
往好處想,這大概是唯一的。另外,是否還有其它網站有相同漏洞存在?如何避免再次發生?都是該思考的問題。既然已經有人幫你點出問題,就要一次把相關問題根除,借力使力、化危機為轉機。這是很重要的,記錄也可以是警惕自我的一種方式。
5.真的有確實做好漏洞修補作業嗎?
這一點我得特別拿出來再說一次,「移除入侵痕跡」不等於漏洞修補,況且,就連「移除入侵痕跡」也不夠徹底,只移除了表相,如置換的首頁、安插的頁面或字眼,但 WebShell (網頁木馬、網頁後門)可不是這麼容易找的。最重要的,網站淪陷背後的成因往往也沒有加以探究,找到漏洞問題,修補是不是確實呢?這中間有一連串的三道關卡:異常復原、徹底清除及漏洞修復,你完成了嗎?注意,這還不是標準的事件應變處理 (IR) 作業的哩,可參考「企業事件應變管理」一文。
6.最後,到底誰在為網站安全負責,這才是最大問題。
是網站管理者、系統管理者、程式開發者、網管人員、資安人員、稽核人員、資料處理人員...還是使用者。先不用急著找答案,我們先把範圍擴大,觀念同樣擴及到企業或組織的資訊安全誰該負責,我想這大家都知道就是CIO(資訊長)、CSO(安全長)。所以要由管理角度來看的,因為每個企業或組織架構不同,也會有不同權責與權限,但無論如何管理者要要負最大責任,至於誰該負責:
a.擁有控管權力、有能力主導網站的人:大多企業或組織都沒有這號人物,有誰在為網站安全把關。
b.賦予控管權限的人:這個人當然是管理階層,如果沒有a.的人物,企業或組織的管理者當然要負全責。
相關資訊安全人員的角色及應有功能與職責可以參考這裡。
還有很多記錄,它可能是沒有被公開的,你又該如何面對呢?慶幸嗎?還是警惕呢?資安工作沒有捷徑也沒有速成,攻方每年都在成長與進步,如果你還在原地作資安,無異緣木求魚。另外一篇文「網站多久沒健檢,是不是該關心一下了!」希望能幫得上忙。
作者 Crane 為 阿碼科技 資安顧問
繼續閱讀全文...
Zone-H.org:http://www.zone-h.org/
中国被黑站点统计系统:http://www.zone-h.com.cn/
Zone-H 本週被黑 .tw 網站整理:http://outian.net/zone-h/
TW 網站淪陷資料庫 | 資安之眼:http://www.itis.tw/compromised
Turk Hack World Analyse and Attack Mirror Service:http://turk-h.org/
WWW Check by Chroot:http://www.chroot.org/wwwcheck/
Serapis.net:http://www.serapis.net/
XSSed: XSS (cross-site scripting) information and vulnerable websites archive:http://www.xssed.com/archive
PhishTank:http://www.phishtank.com/
另外有「天罣--輪迴的阿修羅」(這應該是最完整的,以台灣地區而言),最知名的應該是「大砲開講」:http://rogerspeaking.com/
幾乎每天都有許多網站淪陷或者被利用,很多網站管理者對這些記錄是恨得牙癢癢的,甚至,連被爆料的組織、單位主官也是牙癢癢,因為,記錄就是記錄,記錄永遠在哪裡。
王建民在記錄上,曾經不滿兩局狂失八分,2007年季後賽防禦率19.06(平均每局掉兩分以上)…這些都是超難堪的紀錄,王牌永遠的痛,但王建民永遠說:我會一球一球丟,一個一個的去解決打者,勇敢的面對。做資安不能只想靠橡皮擦跟立可白。
我很喜歡看《CSI犯罪現場:邁阿密》,維基百科有詳細介紹,但它另外的紐約及拉斯維加斯系列的影集我就沒哪麼喜歡了。在邁阿密系列中的主角「何瑞修·肯恩(Horatio Caine)」除了有招牌動作外,還有一句常說的話:「那些記錄,只是你最小的問題」,我也想借用這句話。為何?如下:
1.公佈的記錄是發現時間,漏洞存在多久了呢?
這問題不知網站管理者及權責主管是否有想過呢?我是光想這問題就快瘋了,很多單位都迅速地給我第一回應:「沒關係,我這台機器上沒有重要的資料」,嘿,老兄,我都還沒問哩。況且,這台機器可以當跳板,滲透更多內部主機的。其實,這問題你知道的,面對現實與真相吧!別讓你的網站一直在裸奔...
2.其間是否另有人滲透進來,擷取他想要的資訊了呢?
這問題可大了,查起來可要人命哩,是否有人力處理這部分呢?需要花多少時間及多少人力,甚至外聘需要花多少預算,查出結果可能還要再花一筆預算,這是管理階層第一個要考慮的。真查出了結果,可能真得有人....。所以,九成九不會想知道這結果的。但深入去查,往往會有許多收穫,了解災損範圍是極重要的一環;我想內部非公開的調查是必須的,因為,還可以查覺整體防禦架構上的漏洞,進而加以改善。詳細了解災損,才能進一步做應變處理,如果個資或客戶資料外洩,該如何修補及因應呢?使用者或客戶出現客訴該如何回應?萬一上媒體又該如何?這再再都與企業形象緊密結合。處理得宜還能化危機為轉機的,但你得先了解整個問題的源由。
3.被公布的記錄,會引起其他有心人士的念頭
這是公開的記錄,大家都會知道,但若沒有這些記錄,你會哪時才知道網站出狀況了;這會不會讓你想到另外一個問題呢?對,會不會你的網站已經出事了,看看這則消息:台灣網站遭受有史以來最大規模SQL Injection 攻擊,這是五月份的事,google 搜尋"9i5t.cn"字串,還有一堆網站沒有清除遭植入的惡意字串,還是很多人是不知道自己網站已經出事,所以被公佈出來是好是壞就見仁見智囉。接下來,網站漏洞問題修復的時間就是關鍵,但往往漏洞問題都找不到,還要如何修復呢?我只能說不修復,「有心人士」還會來複檢的;另外,公開的記錄鐵定也會引來更多「有心人士」的,因為,它代表有漏洞存在,沒理由別人找得到而我卻找不到漏洞,如果找不到哪不就遜掉了,結果就是有更多人來挑戰你的網站。千萬別有僥倖的心態。
4.免費的滲透測試(PT),只是沒給你報告
往好處想,這大概是唯一的。另外,是否還有其它網站有相同漏洞存在?如何避免再次發生?都是該思考的問題。既然已經有人幫你點出問題,就要一次把相關問題根除,借力使力、化危機為轉機。這是很重要的,記錄也可以是警惕自我的一種方式。
5.真的有確實做好漏洞修補作業嗎?
這一點我得特別拿出來再說一次,「移除入侵痕跡」不等於漏洞修補,況且,就連「移除入侵痕跡」也不夠徹底,只移除了表相,如置換的首頁、安插的頁面或字眼,但 WebShell (網頁木馬、網頁後門)可不是這麼容易找的。最重要的,網站淪陷背後的成因往往也沒有加以探究,找到漏洞問題,修補是不是確實呢?這中間有一連串的三道關卡:異常復原、徹底清除及漏洞修復,你完成了嗎?注意,這還不是標準的事件應變處理 (IR) 作業的哩,可參考「企業事件應變管理」一文。
6.最後,到底誰在為網站安全負責,這才是最大問題。
是網站管理者、系統管理者、程式開發者、網管人員、資安人員、稽核人員、資料處理人員...還是使用者。先不用急著找答案,我們先把範圍擴大,觀念同樣擴及到企業或組織的資訊安全誰該負責,我想這大家都知道就是CIO(資訊長)、CSO(安全長)。所以要由管理角度來看的,因為每個企業或組織架構不同,也會有不同權責與權限,但無論如何管理者要要負最大責任,至於誰該負責:
a.擁有控管權力、有能力主導網站的人:大多企業或組織都沒有這號人物,有誰在為網站安全把關。
b.賦予控管權限的人:這個人當然是管理階層,如果沒有a.的人物,企業或組織的管理者當然要負全責。
相關資訊安全人員的角色及應有功能與職責可以參考這裡。
還有很多記錄,它可能是沒有被公開的,你又該如何面對呢?慶幸嗎?還是警惕呢?資安工作沒有捷徑也沒有速成,攻方每年都在成長與進步,如果你還在原地作資安,無異緣木求魚。另外一篇文「網站多久沒健檢,是不是該關心一下了!」希望能幫得上忙。
作者 Crane 為 阿碼科技 資安顧問
繼續閱讀全文...
分類:
資安文章、心得、想法
2008年10月27日
OWASP 第二屆亞洲官方年會活動紀實
OWASP ( Open Web Application Security Project) 第二屆亞洲官方年會於10月27至28日在台北盛大舉辦,第一天總共出席人數超過1168位,讓國外來的演講者也感受到全球第一盛大的OWASP會議。OWASP是一個國際公開推廣網站應用軟體安全的非營利組織,宗旨在於研究最新資安攻擊,提供研究報告與相對應之免費開放源碼解決方案,讓決策人員能正確了解相關的風險,也讓資安工作人員與程式開發人員能有開放源碼的工具可以對抗威脅。
OWASP是一個國際公開推廣網站應用軟體安全的非營利組織,宗旨在於研究最新資安攻擊,提供研究報告與相對應之免費開放源碼解決方案,讓決策人員能正確了解相關的風險,也讓資安工作人員與程式開發人員能有開放源碼的工具可以對抗威脅。OWASP所訂的 Web 前十大威脅「OWASP Top 10」,為各國政府採用,也被業界之標準如 PCI (五大信用卡公司聯合標準)與 OCC(Office of the Comptroller of the Currency,美國財務部)等。中華民國行政院研考會「Web應用程式安全參考指引」,也倡導應於網站的徵求建議書 (RFP)與驗收階段涵蓋最迫切的OWASP資安弱點。
這次會議一共有 18 位外籍講師以及各國 OWASP 分會領袖參與。現今網路犯罪氾濫其中部分原因是網站不夠安全所致,因此,在本次會議中將邀請專家講師聚焦探討「Web 2.0時代各種資安技術比較與市場分析」、「網路犯罪研究與五千萬筆個資外洩事件調查建議」、「網站被駭的真實故事集」、「網站掛馬研究」、「Web 上之僵屍網路與 DDoS 研究」等議題,以及防護面的「Web 威脅與防禦實例」、「Web 應用程式主動與被動式防護比較」、「如何做好商業滲透測試」等最新的演講內容。
OWASP 全球已經有超過 130 個分會,台灣分會的會長為黃耀文先生(Wayne Huang)。會中另外兩個重頭戲則是10月27日「OWASP 亞洲領袖會議」由來自亞洲各國的OWASP分會代表,首次在台灣進行高峰會議,包含中國、香港 、印度德里、 印度孟買、泰國、越南、 新加坡與韓國分會代表出席參與。在經濟部工業局、技術處的指導以及資策會、中華資訊軟體協會的大力推動下,以及各家資安廠商的贊助下,可以說是寫下推動主辦國際化與非官方組織交流的重要里程碑,是亞洲有史以來最大的 OWASP 活動!其次,10月28日「Web Security 論壇: 黑箱、白箱、還是 WAF 防火牆?工具好還是顧問好?」將由與會專家探討現在資安環境及用戶心中最常見的卻頗具爭議的問題,預期將有一番各方看法的唇槍舌戰,精彩可期。
今年 OWASP 亞洲年會報名人數超過一千三百人,為亞洲有史以來最大型之 Web 資安會議。OWASP亞洲年會能夠在台北舉行,一方面證明了台灣資安之能量,展現了台灣各指導機關多年致力於資安意識之提升,各學術單位致力於資安基礎與應用之研究,產業界致力資安產品之研發與整合,以及媒體致力於各領域資安訊息之分析等之成果;一方面也證明了,台灣在資安領域有其獨特之政治與軍事防禦意義,由於對資安有高於他國之需求,也造就了我們資安實力與經驗之累積,能夠在多年努力後,開始與他國分享我們的成果。
中文活動議程 http://owasp.org.tw/blog/
英文活動網站 http://www.owasp.org/index.php/OWASP_AppSec_Asia_2008
地點: 台北國際會議中心 TICC 三樓大會堂 (台北市信義路五段一號)
繼續閱讀全文...
OWASP是一個國際公開推廣網站應用軟體安全的非營利組織,宗旨在於研究最新資安攻擊,提供研究報告與相對應之免費開放源碼解決方案,讓決策人員能正確了解相關的風險,也讓資安工作人員與程式開發人員能有開放源碼的工具可以對抗威脅。OWASP所訂的 Web 前十大威脅「OWASP Top 10」,為各國政府採用,也被業界之標準如 PCI (五大信用卡公司聯合標準)與 OCC(Office of the Comptroller of the Currency,美國財務部)等。中華民國行政院研考會「Web應用程式安全參考指引」,也倡導應於網站的徵求建議書 (RFP)與驗收階段涵蓋最迫切的OWASP資安弱點。
這次會議一共有 18 位外籍講師以及各國 OWASP 分會領袖參與。現今網路犯罪氾濫其中部分原因是網站不夠安全所致,因此,在本次會議中將邀請專家講師聚焦探討「Web 2.0時代各種資安技術比較與市場分析」、「網路犯罪研究與五千萬筆個資外洩事件調查建議」、「網站被駭的真實故事集」、「網站掛馬研究」、「Web 上之僵屍網路與 DDoS 研究」等議題,以及防護面的「Web 威脅與防禦實例」、「Web 應用程式主動與被動式防護比較」、「如何做好商業滲透測試」等最新的演講內容。
OWASP 全球已經有超過 130 個分會,台灣分會的會長為黃耀文先生(Wayne Huang)。會中另外兩個重頭戲則是10月27日「OWASP 亞洲領袖會議」由來自亞洲各國的OWASP分會代表,首次在台灣進行高峰會議,包含中國、香港 、印度德里、 印度孟買、泰國、越南、 新加坡與韓國分會代表出席參與。在經濟部工業局、技術處的指導以及資策會、中華資訊軟體協會的大力推動下,以及各家資安廠商的贊助下,可以說是寫下推動主辦國際化與非官方組織交流的重要里程碑,是亞洲有史以來最大的 OWASP 活動!其次,10月28日「Web Security 論壇: 黑箱、白箱、還是 WAF 防火牆?工具好還是顧問好?」將由與會專家探討現在資安環境及用戶心中最常見的卻頗具爭議的問題,預期將有一番各方看法的唇槍舌戰,精彩可期。
今年 OWASP 亞洲年會報名人數超過一千三百人,為亞洲有史以來最大型之 Web 資安會議。OWASP亞洲年會能夠在台北舉行,一方面證明了台灣資安之能量,展現了台灣各指導機關多年致力於資安意識之提升,各學術單位致力於資安基礎與應用之研究,產業界致力資安產品之研發與整合,以及媒體致力於各領域資安訊息之分析等之成果;一方面也證明了,台灣在資安領域有其獨特之政治與軍事防禦意義,由於對資安有高於他國之需求,也造就了我們資安實力與經驗之累積,能夠在多年努力後,開始與他國分享我們的成果。
中文活動議程 http://owasp.org.tw/blog/
英文活動網站 http://www.owasp.org/index.php/OWASP_AppSec_Asia_2008
地點: 台北國際會議中心 TICC 三樓大會堂 (台北市信義路五段一號)
繼續閱讀全文...
2008年10月17日
HackAlert Enterprise - 企業級掛馬監控方案
Hi 大家好,兩個月前我在「網頁掛馬檢查服務--全網監控功能啟動!」這篇 blog 中介紹了當時我們正在開發的產品 - HackAlert Enterprise,隨後我們的 CEO Wayne 也抽空幫忙補上了一篇「HackAlert 的架構與技術 」,對當年發表在 WWW2003 的 WAVES 研究計畫做個概觀介紹。
上一篇發文時,UI 因為時程的關係許多功能還沒完成,但隨後我們從國內外的 beta user 收到了不少回應,激發了HackAlert 開發團隊不少新的想法,做了很多討論,也當然寫了相當多的程式碼、加上測試、系統整合,最後完成了新版的 HackAlert Enterprise,就是此篇的主角:
上圖是簡潔的登入頁面,在1年前掛馬還沒自動化到今天這樣的局面時,若你有 HackAlert SaaS 服務的帳號,你可以鎖定幾個網址,讓服務自動替你監控,出了事就會收到 email 通報,另一方面,可使用 On-Demand(立即掃描)來做即時檢驗,這邊說的 "即時" 是指當你填選完網址之後,HackAlert SaaS 的引擎就會立即替你瀏覽該網址,並將結果回報在下方的檢測結果,就拿10月15在大砲兄的開講網站上被公告的台灣咖啡網做為測試範例,首先看10月17號的On-demand掃描結果,我們可以看到這個網站的首頁仍掛著惡意程式:
西方有一句話說得很好 "A Picture Worth More Than Words Can Say"(一圖勝過千言萬語),隨著技術與文明的演進,古老的諺語也會跟著改變,我想 "A Picture" 可以直接換成 "A Video", 因為現在在 Youtube 上就可以看到今天(10月17號)台灣咖啡網的紀錄片:
影片外部連結
這是一般惡意程式常見癱瘓系統的方式,瘋狂似的開啟大量的視窗、破壞系統的重要檔案,但也可能會自動地關閉防毒軟體,靜悄悄的安裝可遠端遙控的後門以及鍵盤側錄器,而這些都在瀏覽網站中不小心植入惡意程式,目前Google會將含有惡意程式的網址加一個 "這個網站可能會損害您的電腦" 標籤,並阻止進一步的瀏覽,但上榜就一定不是好事, 因為那表示這個網站的有程式設計漏洞、 管理缺失等問題,也影響了大家再回來光臨這個網站的意願,而因為駭客通常都是先拿完資料才種惡意連結,所以對於有販售商品的網站,這類事件等於個資與信用卡交易都已經被盜光,主機也可能已經被裝了 Rootkit。
在影片中,眼尖的人會發現不只一頁被掛馬,那是因為從今年開始出現大規模SQL攻擊之後,從入侵網站到掛馬就都是全自動了,有興趣的人可以 Google 一下相關工具。由於這幾年高互動的網頁把廣大網民的胃口養壞了,現在的商業網站都要做得夠動態、美工夠光鮮亮麗才有人要看,一個小站隨便就數百隻程式碼,但常看到一個狀況就是趕程式加上沒經驗,看過許多直接延用書上範例程式的例子,所以當然直接被自動攻擊打穿,而較深處頁面被掛馬就不容易被發現,所以後續清除時,惡意IFRAME可能也就沒有移除。
若網站太過於動態,用HackAlert SaaS 的話在管理上就不夠充足,若需要節省逐一更新鎖定URL的時間,HackAlert Enterprise 的全站監控就派得上用場,只需指定初始頁 URL,其他的就交給自動化頁面爬取功能(crawler)解決。登入後可以看到下列畫面:
企業版照我們一貫的設計風格,提供 Ajax 設定精靈,全站監控採用一個 project (掃描專案)來管理一個 Website 起始網址,我們點選 "Add Website Monitor" 後會出現下列3步驟,第一步驟為替專案命名與設定起始網址,在 UI 上稱做 Main URL:
第二步驟為選擇掃描類型,企業版提供 Malware 掛馬監控之外、還具有偵測網頁竄改(Defacement Monitoring)的功能,目前還在開發中,下次再介紹,我們選擇 Malware Detection:
第三步為設定要自動爬取(crawl)的範圍,才能避免從首頁開始自動找相關頁面的過程一直發散、使得程式無法停止,在這邊我們預設深度為 5 表示從首頁開始最多爬取 5 層,最大URL限制設為 400 指定爬取到 400 頁之後就停止,接下來是指定要納入的外部網址,假設起始網址為 http://www.example.com.tw,若要支援 http://shop.example.com.tw 就必須將http://shop.example.com.tw的這個 subdomain 加到到個欄位,最後一個是選擇間隔時間。
點選 Finish 之後,可以看到專案已經建立並被排入掃描引擎當中,但仍未開始掃描:
設定精靈幫專案建立了主要的項目,如果要變更選項, 在右手邊還有一些選項可以進行微調設定,這邊可以點進 "Edit Configuration" 這個圖示會出現下列畫面:
我們把監控時間改成每40分鐘一次,接著前往另一個設定頁面 "Notification Rules" (通知規則),這邊可以細分為 Email 以及 SMS 簡訊兩部分,首先在 Email 通知設定內,我指定只要出現任何異常狀況都通知我:
接著設定企業版才有的 SMS 簡訊通知,我指定只要惡意程式確定存在我監控的網頁,就送簡訊到我設定的門號 (有預設數量限制,使用完畢會收到 Email 通知):
不等排程啟動,我們直接點選開始鍵,接著會出現下列掃描狀態對話框,我們可以看到在掃描專案啟動的14秒內,掃描引擎發現了6個網址且全部都有惡意程式 ( URLs with malware 的值為 6 ),下方視窗可看到引擎的執行狀態:
7 分鐘過後,達到了 URL 上限的設定值 400 頁,掃描結果呈現出從首頁開始有 394 頁面被掛了惡意程式,另外一個頁面具有可疑連結,但不會觸發惡意程式,點選 "Malware" 分頁可以看到惡意程式的詳細資訊,清楚的說明從哪邊下載、以及自動載入到哪個目錄:
許多動態頁面發現被打穿了且掛了惡意程式,有時間的話我們的研究員可以利用 HackAlert Enterprise 研究一下自動掛馬器可以掛多深︰
透過上面內容的介紹,大家可以發現與前一版的差異已經相當大,可見大家相當辛苦!
這次利用台灣咖啡網作為說明並不是針對這個案例,而是直接就最近被報導的網站做說明,提醒大家網站攻擊的變化越來越快。在網頁掛馬的影響上,我在意的是個資,因為不論是主機被打穿導致資料被撈光、或是透過掛馬植入個人電腦上蒐集的惡意程式,都會衍伸出經濟、社會安全等等問題。最近看到一些消息,發現個資在國外黑市的販售價格有下降的趨勢,那其實表示資料越來越多、且容易取得,我個人的看法為這件事情跟自動化攻擊絕對有關,站在網路使用者的立場,除了一方面提升大家對於掛馬的認知,也希望從風險的角度,讓企業能有工具做網站災難管理,這在目前甚麼都 2.0、3.0、3.5 的時代,絕對會比過去來得重要。
作者 Walter Tsai 為阿碼科技 CTO
繼續閱讀全文...
上一篇發文時,UI 因為時程的關係許多功能還沒完成,但隨後我們從國內外的 beta user 收到了不少回應,激發了HackAlert 開發團隊不少新的想法,做了很多討論,也當然寫了相當多的程式碼、加上測試、系統整合,最後完成了新版的 HackAlert Enterprise,就是此篇的主角:
上圖是簡潔的登入頁面,在1年前掛馬還沒自動化到今天這樣的局面時,若你有 HackAlert SaaS 服務的帳號,你可以鎖定幾個網址,讓服務自動替你監控,出了事就會收到 email 通報,另一方面,可使用 On-Demand(立即掃描)來做即時檢驗,這邊說的 "即時" 是指當你填選完網址之後,HackAlert SaaS 的引擎就會立即替你瀏覽該網址,並將結果回報在下方的檢測結果,就拿10月15在大砲兄的開講網站上被公告的台灣咖啡網做為測試範例,首先看10月17號的On-demand掃描結果,我們可以看到這個網站的首頁仍掛著惡意程式:
西方有一句話說得很好 "A Picture Worth More Than Words Can Say"(一圖勝過千言萬語),隨著技術與文明的演進,古老的諺語也會跟著改變,我想 "A Picture" 可以直接換成 "A Video", 因為現在在 Youtube 上就可以看到今天(10月17號)台灣咖啡網的紀錄片:
影片外部連結
這是一般惡意程式常見癱瘓系統的方式,瘋狂似的開啟大量的視窗、破壞系統的重要檔案,但也可能會自動地關閉防毒軟體,靜悄悄的安裝可遠端遙控的後門以及鍵盤側錄器,而這些都在瀏覽網站中不小心植入惡意程式,目前Google會將含有惡意程式的網址加一個 "這個網站可能會損害您的電腦" 標籤,並阻止進一步的瀏覽,但上榜就一定不是好事, 因為那表示這個網站的有程式設計漏洞、 管理缺失等問題,也影響了大家再回來光臨這個網站的意願,而因為駭客通常都是先拿完資料才種惡意連結,所以對於有販售商品的網站,這類事件等於個資與信用卡交易都已經被盜光,主機也可能已經被裝了 Rootkit。
在影片中,眼尖的人會發現不只一頁被掛馬,那是因為從今年開始出現大規模SQL攻擊之後,從入侵網站到掛馬就都是全自動了,有興趣的人可以 Google 一下相關工具。由於這幾年高互動的網頁把廣大網民的胃口養壞了,現在的商業網站都要做得夠動態、美工夠光鮮亮麗才有人要看,一個小站隨便就數百隻程式碼,但常看到一個狀況就是趕程式加上沒經驗,看過許多直接延用書上範例程式的例子,所以當然直接被自動攻擊打穿,而較深處頁面被掛馬就不容易被發現,所以後續清除時,惡意IFRAME可能也就沒有移除。
若網站太過於動態,用HackAlert SaaS 的話在管理上就不夠充足,若需要節省逐一更新鎖定URL的時間,HackAlert Enterprise 的全站監控就派得上用場,只需指定初始頁 URL,其他的就交給自動化頁面爬取功能(crawler)解決。登入後可以看到下列畫面:
企業版照我們一貫的設計風格,提供 Ajax 設定精靈,全站監控採用一個 project (掃描專案)來管理一個 Website 起始網址,我們點選 "Add Website Monitor" 後會出現下列3步驟,第一步驟為替專案命名與設定起始網址,在 UI 上稱做 Main URL:
第二步驟為選擇掃描類型,企業版提供 Malware 掛馬監控之外、還具有偵測網頁竄改(Defacement Monitoring)的功能,目前還在開發中,下次再介紹,我們選擇 Malware Detection:
第三步為設定要自動爬取(crawl)的範圍,才能避免從首頁開始自動找相關頁面的過程一直發散、使得程式無法停止,在這邊我們預設深度為 5 表示從首頁開始最多爬取 5 層,最大URL限制設為 400 指定爬取到 400 頁之後就停止,接下來是指定要納入的外部網址,假設起始網址為 http://www.example.com.tw,若要支援 http://shop.example.com.tw 就必須將http://shop.example.com.tw的這個 subdomain 加到到個欄位,最後一個是選擇間隔時間。
點選 Finish 之後,可以看到專案已經建立並被排入掃描引擎當中,但仍未開始掃描:
設定精靈幫專案建立了主要的項目,如果要變更選項, 在右手邊還有一些選項可以進行微調設定,這邊可以點進 "Edit Configuration" 這個圖示會出現下列畫面:
我們把監控時間改成每40分鐘一次,接著前往另一個設定頁面 "Notification Rules" (通知規則),這邊可以細分為 Email 以及 SMS 簡訊兩部分,首先在 Email 通知設定內,我指定只要出現任何異常狀況都通知我:
接著設定企業版才有的 SMS 簡訊通知,我指定只要惡意程式確定存在我監控的網頁,就送簡訊到我設定的門號 (有預設數量限制,使用完畢會收到 Email 通知):
不等排程啟動,我們直接點選開始鍵,接著會出現下列掃描狀態對話框,我們可以看到在掃描專案啟動的14秒內,掃描引擎發現了6個網址且全部都有惡意程式 ( URLs with malware 的值為 6 ),下方視窗可看到引擎的執行狀態:
7 分鐘過後,達到了 URL 上限的設定值 400 頁,掃描結果呈現出從首頁開始有 394 頁面被掛了惡意程式,另外一個頁面具有可疑連結,但不會觸發惡意程式,點選 "Malware" 分頁可以看到惡意程式的詳細資訊,清楚的說明從哪邊下載、以及自動載入到哪個目錄:
許多動態頁面發現被打穿了且掛了惡意程式,有時間的話我們的研究員可以利用 HackAlert Enterprise 研究一下自動掛馬器可以掛多深︰
透過上面內容的介紹,大家可以發現與前一版的差異已經相當大,可見大家相當辛苦!
這次利用台灣咖啡網作為說明並不是針對這個案例,而是直接就最近被報導的網站做說明,提醒大家網站攻擊的變化越來越快。在網頁掛馬的影響上,我在意的是個資,因為不論是主機被打穿導致資料被撈光、或是透過掛馬植入個人電腦上蒐集的惡意程式,都會衍伸出經濟、社會安全等等問題。最近看到一些消息,發現個資在國外黑市的販售價格有下降的趨勢,那其實表示資料越來越多、且容易取得,我個人的看法為這件事情跟自動化攻擊絕對有關,站在網路使用者的立場,除了一方面提升大家對於掛馬的認知,也希望從風險的角度,讓企業能有工具做網站災難管理,這在目前甚麼都 2.0、3.0、3.5 的時代,絕對會比過去來得重要。
作者 Walter Tsai 為阿碼科技 CTO
繼續閱讀全文...
2008年10月4日
2008 OWASP 亞洲年會 議程公布,共兩天!
(轉貼自http://owasp.org.tw/blog,請大家幫忙告訴大家,請盡量幫忙轉貼,感謝!)
首先感謝大家對於去年的「第一屆 OWASP 亞洲官方年會」的支持,讓我們全場 650 個位子座無虛席!
2008 OWASP 亞洲年會今年議程終於出爐了,由一天改成兩天(10/27~28),先簡單公布如下:
★ 主辦單位保留變更活動內容及相關事項之權利。
今在籌辦第二屆 OWASP 官方亞洲年會時,心中感觸特別多。OWASP 亞洲年會,都是由我們向贊助單位籌資金,然後想辦法邀到好的講師來演講。亞洲距離歐美很遠,飛來一趟要花很多時間,使得整個活動的籌辦,不但籌資金困難,邀頂尖的講師更是難上加難。同時,我們希望今年能夠達到:
1. 對於最新的 Web 攻擊手法,有深入的技術性探討,讓使用者也讓廠商能了解新的攻擊趨勢。
2. 對於防守的策略,能找到在技術上有深度,並且不帶廠商色彩的講師,對於各方面的技術,如滲透測試、黑箱或 WAF 等,都能涵蓋。
3. 站在廠商的角度,對於整個資安產業的趨勢,站在使用者的角度,對於各種技術的比較,能有具公信力的資深產業分析師來探討。
4. 對於透過 Web 的網路犯罪,能有資深的檢調單位代表來分享經驗。
5. 講師方面,希望仍有一半是外籍講師,並希望盡量是在 OWASP 其他年會演講過之講師,因為 OWASP 亞洲年會在建立的初期,需要他們來帶入 OWASP 應有的文化。
要達到以上五點,真的非常不容易,也感謝全體工作人員的努力。今年,第二屆OWASP官方亞洲年會「OWASP AppSec Asia 2008」日期與講師已經確定,會有專業同步翻譯(口譯),會有 T-shirt,也會對政府單位發正式的公文,但是由於時間緊迫,先跟各位告知。我們很感謝資策會與中華民國資訊軟體協會能贊助我們,也感謝資安人雜誌能當我們的協辦媒體,讓活動能成行。大會目前還缺贊助單位,如有興趣可與我聯絡,另外只有 650 個位子,報名從速,我們這麼辛苦的準備,希望在會場能見到您!這只是一個初步的快速通知,之後會有正式的網頁,請各位隨時留意 OWASP 台灣分會官網 以及訂閱 OWASP 台灣分會部落格。今年的外籍講師共有九位(美國四位,歐洲一位,印度兩位,泰國一位,俄國一位),其中為剛結束的 2008 OWASP 美國年會 的講師有四位,2008 OWASP 歐洲年會講師有兩位,2008 OWASP 印度年會講師有一位,有幾位同時為美國駭客年會 Black Hat / DEFCON 講師,其中也包括了 OWASP印度分會主席,OWASP孟買分會代表,OWASP德國分會代表,OWASP泰國分會主席。
今年的重頭戲,當然是 Robert 在今年 2008 OWASP 美國年會的演講被禁講(ITHome 報導、阿碼報導)的演講,會在台北做全球首度的公開演說。英國最大 IT 媒體The Register 以「Adobe 禁止 Clickjacking 弱點的公開」大幅報導此事,RSnake 則說,原本他們覺得是一場很好的演講,但是因為漏洞像滾雪球一樣,一個漏洞導致另一個漏洞,牽涉到一個接一個廠商,導致整個弱點的嚴重性不只是嚴重,而是超級嚴重所以兩個講師決定必須等所有牽涉其中的廠商都有一定的時間反映後,才適合做揭露。我覺得這一場的重點並不光在於他要探討的 0-day 漏洞,而更在於大家對於目前 Web 的基本運作原理,以攻擊手法的了解。這些知識如果基礎打穩,在檢視自己或客戶的網站安全時,便能很容易的運用有限的時間,找到重點問題,並予以修復。駭客找漏洞,其實有很規則的思路可尋,了解這種思路後,我們一樣能一眼看出漏洞所在。
在其他種威脅方面,來自亞洲區的研究,OWASP 泰國分會主席 Tim Bass 將會講一場「Web proxy 造成的資安威脅:以近日Google Docs 0-day 為例」,台灣方面林佳明將講一場:「修改密碼無效!駭客還是在收取您的電子郵件!」
資安挑戰的整體敘述,將由 Forrester 的首席分析師 Chenxi Wang 博士來擔綱。Chenxi 曾在卡內基美隆大學(Carnegie Mellon University)擔任助理教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。目前 Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。Chenxi 並會探討黑箱、白箱、WAF在技術上以及在資安投資報酬率上的差別。Chenxi 寫的幾篇對於黑箱、白箱與 WAF 的產業報告,是目前全球業界引用的重點。至少在 WAF 的市場規模方面,我只記得他的報告有確切的數字,Gartner 與 IDC 似乎都沒有,所以至少我自己參考以及我碰到的諸多廠商與投資人參考的,都是她的那篇。如果您是資安市場分析師或投資人,那您一定要撥空來!如果您是資安廠商而希望能對她公布的資料、數據與論點有意見,也歡迎前來與她當面交換!
滲透測試手法方面,有 RSnake、KK、Dhruv、YM 以及 Fyodor 五位講師,其中 KK 與 Dhruv 來自印度,KK是印度最有名的滲透測試公司 NII Consulting 的創辦人兼總經理,曾經擔任 Black Hat、Interop、IT Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。滲透測試的發展已經由技術導向轉變為商業導向,在預算緊縮的今天,如何有效運用時間,以最低的成本,找到最重要的漏洞?這就需要以客戶在商業營運上的風險面向為基礎,來建立相對應的滲透測試項目,例如現今企業面對的商業間諜(corporate espionage)、金融詐騙(financial fraud)等威脅嚴重,因此就需要有對應的滲透測試情境,如社交工程攻擊(social engineering)、實體安全演練等,才能提供更有價值的商業導向滲透測試服務。
為何我選了兩位來自印度的講師來講滲透測試?我在印度聽過 KK 的課,也看過印度大大小小的滲透測試團隊實際上執行專案的情形。我的看法是,印度以軟體產業立國,但是並不是一開始就能從專業的軟體開發案獲利。就如同我們以電子製造業起飛,但是我們是慢慢由做勞力密集的聖誕燈泡,到做收音機,到做 PC 、筆電、手機,慢慢從勞力密集轉而能獨立研發。印度也一樣,軟體產業發展的初期,很依賴勞力密集的軟體測試。所以對於軟體測試的方法論,流程,執行,測試環境的設計,測試資料的建立,到與客戶的溝通,專案的執行等,非常的有經驗,因為這是他們的本行!滲透測試的技術研究,不計成本,目的在找到漏洞,這個歐美的研究員做得很好。可是商業滲透測試,講的是如何有效運用預算,了解客戶需求,達到最大效果,在這方面,印度的軟體測試產業行之有年,商業模式很成熟,我相信他們的經驗會對各位有幫助。
滲透測試與其他顧問服務,在美國又是如何進行的呢?McAfee Foundstone 是美國前幾大專門的資安顧問公司,陳彥銘自 CMU 畢業之後,就加入了 Foundstone 至今,以經是資深的 Director,帶領 Foundstone 團對於美國各地進行滲透測試、顧問服務與教育訓練。他將以「我在 Foundstone 的日子:Web 威脅與防禦實例」,與各位分享他的經驗。
在台灣的滲透測試方面,來自俄羅斯的 Fyodor 長期於台灣進行滲透測試,他將以一場「網站被駭的真實故事集」,探討這許多年來,他在台灣看到的種種真實故事,讓各位直接接觸這些造成嚴重損失的 Web 漏洞--很多漏洞看了會心一笑,原來這樣設計也會有漏洞。攻擊方法並不難,但是簡單的錯誤卻會造成嚴重的損失。
Web 防火牆 WAF 方面,我選擇跟跟今年美國年會、歐洲年會一樣,由德國 OWASP 分會的 Alex Meisel 來負責。Alex Meisel 上個月在美國年會,以及之前在今年歐洲年會,以德國分會的名義,發表了一篇 whitepaper:「Web 防火牆(WAF)最佳實務指引」(Best Practices Guide: Web Application Firewalls),很受大家肯定,如果您目前正困擾 WAF 該如何選擇,歡迎來與 Alex 探討!
網站掛馬方面,全球最有權威性的組織之一,就是 ShadowServer Foundation 了。ShadowServer Foundation 長期監控全球僵屍網路(botnet)與網站掛馬,擁有豐富資料,堪稱美國此方面研究最深入之組織之一。今年的美國年會,找了 ShadowServer Foundation 的重要成員 Steven Adair 來擔任這方面的講師,我也非常努力的邀到他來台灣與各位互動。如果有需要與 ShadowServer Foundation 交換情報與研究資料的單位,請與我聯絡!
對於亞洲區網站掛馬的研究,邱銘彰一向是大家很肯定的研究員之一,他也是各會議爭相邀請的講師。我跟他從不認識到認識到變成朋友到變成同事,也從他身上學到不少寶貴的知識。我們將一起公開一份我們最新的掛馬研究,是我們先用英文寫完,然後也翻成中文的,努力了半年,留在 OWASP 亞洲年會發表。我們將探討目前掛馬的工具與手法,仔細研究各種惡意 javascript 的寫法以及變形、加殼與資料隱藏的技術,並與各位討論為何惡意 javascript 這麼難偵測。由於我長期研究動態與靜態分析技術,我也會探討這兩種技術應用於網站掛馬偵測時的優劣。
對於亞洲利用 Web 攻擊的犯罪手法與事件分析,則由 PK 與 Jack 來負責講「網路犯罪研究與五千萬筆個資外洩事件調查建議」。很多圈內朋友稱 PK 為「台灣鑑識一哥」,Jack 則也多年研究網路攻擊於軍事上之應用,希望他們一起的演講,能讓各位對於層出不窮的 Web 網路犯罪,有更深入的了解。
最後,基本上,各地的 OWASP年會希望達到以下目的:
1. 由年會選出來的頂尖講師,對於最新的攻擊方法,防禦技術,以及客戶的成功案例,提供最新資訊與經驗分享。
2. 對於各界資安人士,包含各國OWASP成員,業界資安主管及IT從業人員,各國政府、軍方及情治單位,以及投入資安市場之廠商、代理商、系統整合商以及顧問公司,提供一個交流的機會,讓大家相互認識,分享經驗以及交流技術。
OWASP 每年有兩次官方會議,一次在歐洲,一次在美國。由於 OWASP 為 Web 資安之最大國際組織,其所定義之標準被五大信用卡公司之 PCI 標準、美國聯邦貿易委員會、FBI、美國國土安全部,以及各國政府所採用,故OWASP每年之官方年會,除了為年度世界資安頂尖人物必到之大會,更為各國政府,企業以及資安產業必定派人參加之國際盛會。我國行政院研考會之「Web應用程式安全參考指引」,亦將 OWASP Top 10 列為重要參考標準。
我想會議能夠在台北舉行,一方面證明了台灣資安之能量,展現了台灣各指導機關多年致力於資安意識之提升,各學術單位致力於資安基礎與應用之研究,產業界致力資安產品之研發與整合,以及媒體致力於各領域資安訊息之分析等之成果;一方面也證明了,台灣在資安有其獨特之政治與軍事意義,由於對資安有高於他國之需求,也造就了我們資安實力與經驗之累積,能夠在多年努力後,開始與他國分享我們的成果。最後最主要的,是大家踴躍的報名。您對於 OWASP活動的支持,是這次會議能夠在台北舉行之關鍵。因為這表示台灣有足夠的人士,在關心資安的議題,在投入資安的研究,您上次的出席,也讓我們有動力,再次募款並邀請最頂尖的講師前來。看到了這次講的的陣容,不難想像我們要在工作的空餘時間,募集資金,負責所有講師的機票與住宿,行程安排,簽證取得,大家真是把命賣了在做,希望您能把握這次機會,準時來參加活動,一方面從最頂尖的講師接觸最新的資安訊息,一方面也與大家認識。
去年超過1000人報名,卻因場地席次限制,許多欲與會者無法順利出席去年年會,座位有限,今年請早報名。
報名請直接回給我或 email 給:info@owasp.org.tw
1. 姓名:
2. 單位(或學校):
3. 職稱:
4. 電話:
5. Email:
6. 是否需要同步翻譯耳機? 如果是,是否用 200 元加購?還是放棄 T-shirt?
7. 中餐是否需素食?
8. 統一編號?公司 title?
9. 是否是學生票?學生票是否加購中餐(一天?兩天?)?加購 tshirt?
報名後三個工作天會收到匯款方式,匯款後三個工作天會收到序號,請用序號入場,如果沒有收到可以來電詢問:(02) 6616-0100 ext 111 林先生。
時間:97年10月27至28日(星期一至二) 09:00-17:00<
地點:台大醫院國際會議中心 201 室 (台北市中正區徐州路二號)
費用:
1. 全票 NTD 1000 元整(幫忙負擔午餐、點心、場地、T-shirt與機票費用等、不含耳機)
2. 學生票 NTD 300 元整(不含便當、如需便當一天 100 NTD, T-shirt 要另購,一件 300 NTD)
同步翻譯:會有專人同步翻譯(不是我們自己的工作人員,是外聘的同步口譯人員),同步翻譯耳機 200 元外加,或是放棄 T-shirt
T-Shirt:會有
公家單位公文: 會由最大贊助單位資策會發公文,以利請假作業
講師簡歷 (中文版)
Robert Hansen (aka“RSnake”)--SecTheory
CISSP、SecTheory 的 CEO,曾四次演講於 Black Hat,今年並為 Black Hat 與 DEFCON 雙講師(這裡有報導)。與 Jeremiah Grossman 著有知名之「XSS」一書(Syngress出版),今年 2008 OWASP 美國年會 的演講被禁講(ITHome 報導、阿碼報導),為今年大會最轟動之事。他將在台灣首次公開此次禁講之內容。RSnake之部落格 ha.ckers.org 與論壇 sla.ckers.org 為駭客界被訂閱最多之部落格/論壇之一。負責 O'Reilly 與 Dark Reading 線上專欄(Snake Bytes @ Dark Reading),除了 Black Hat / DEFCON 之外,也在各大研討會中擔任講師,包含OWASP年會、微軟 Bluehat、WASC 各會議、Networld+Interop、SourceBoston、 Secure360、GFIRST/US-CERT、Toorcon、APWG、ISSA以及TRISC等會議。
RSnake曾任 eBay 資深全球產品資安經理、通訊網路公司資安架構師,工作內容是 anti-phishing、anti-DHTML malware,也曾擔任 Realtor.com 的產品管理總監。參與 NIST.gov 的 Software Assurance Metrics and Tool Evaluation 及 Web Application Security Scanners Evaluation Criteria (WASC-WASSEC)專家群組,也是
Infragard 、WASC、IACSP、 APWG、ISECOM 成員。
Steven Adair—ShadowServer Foundation
Steven Adair 是 ShadowServer Foundation 的重要成員之一,也是這次 2008 OWASP 美國年會的講師。ShadowServer Foundation 長期監控全球僵屍網路(botnet)與網站掛馬,擁有豐富資料,堪稱美國此方面研究最深入之組織之一。
Alexander Meisel—OWASP 德國分會、art of defence
Alexander Meisel 是德國 art of defence 公司技術長,負責該公司之 Web應用程式防火牆(Web application firewall、WAF)之研發。之前在歐洲最大的ISP-LINX擔任網路安全首席,曾負責大規模的網站安全稽核與流量管理,專長為Web Security。他的安全專業可以追朔到在學階段所提出的預防與追蹤DDoS攻擊研究。Alex 是今年 2008 OWASP 美國年會與 2008 OWASP 歐洲年會的講師。
K. K. Mookhey—OWASP孟買分會、NII Consulting
印度最有名的滲透測試公司 NII Consulting 創辦人兼總經理,專長為滲透測試、資安鑑識、風險評估、資安相關規範(PCI、ISO 27001、BS 25999、ISO 20000)、IT基礎架構管理等。擁有CISSP、CISA、CISM、CEH等證照。是印度最知名的資安專家之一,著作有Linux Security And Control(ISACA 出版)與 Metasploit Toolkit(Syngress出版)兩本專業書籍。KK 為今年 2008 OWASP 印度年會講師,並曾經擔任 Black Hat、Interop、IT Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。
Chenxi Wang, Ph.D.—Forrester Research
Dr. Chenxi Wang 是全球前三大市場調查研究機構 Forrester Research 的首席分析師,Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。在加入 Forrester 之前,Dr. Wang 在卡內基美隆大學(Carnegie Mellon University)擔任助理教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。在 CMU 期間,Chenxi 負責執行了上百萬美元預算的研究專案,包過與美國國防部以及美國國家科學基金會(National Science Foundation、NSF)的共同研究專案。Chenxi 也曾擔任美國聯邦貿易委員會(Federal Trade Comission、FTC)、HP、Emerson、Lucent 等單位的資安顧問。
Chenxi 為今年 2008 OWASP 美國年會的講師,並定期在各大資安會議演講,其言論與發表常被美國主流媒體引述,包含 New York Times / InfoWorld 等媒體。
Wayne Huang(黃耀文)—OWASP台灣分會主席、Armorize 阿碼科技(大會主席)
Wayne 為 OWASP 台灣分會會長,也是阿碼科技的創辦人兼執行長,對於推動台灣的資安社群,不遺餘力,在台灣舉辦 SySCAN、OWASP 亞洲年會等資安會議。
Wayne 是一位豐富經驗的資訊安全專家,專長領域包括,網路、系統及應用程式安全。Wayne 最為人所熟知的專長領域在網頁應用程式安全,並在全世界發表了許多相關主題的期刊論文。除此之外,Wayne 也時常受邀擔任全球安全會議的演講者,包含 RSA、OWASP、SySCAN、WWW、PHP 與 DSN 等。Wayne 同時也是阿碼科技在推動技術創新的重要推手。
Wayne 是第一位連續二年在國際全球資訊網路會議(WWW Conference)獲獎的作者,並且是 《 Web Application Security-Past,Present,and Future 》一書的共同作者。
Yen-ming Chen (YM Chen) —McAfee Foundstone
Yen-Ming 於 2000 年加入 Foundstone 顧問團隊,現職為 McAfee Foundstone 的 Director,帶領 Foundstone 團隊於美國各地執行各種資安專案。Yen-Ming並為 Foundstone「Ultimate Hacking」、「Ultimate Hacking Expert」、「Ultimate Web Hacking」、以及「Ultimate Hacking: Incident Response」等四門課的首席講師。在加入Foundstone之前,他在CMU網路安全中心,曾參與Snort開發,製造出第一個在磁片上的Snort sensor(PicoBSD)。是Hacking Exposed、Hacking Exposed for Web Application、Windows XP Professional Security及HackNotes: Web Application Security的四本書的共同作者。Yen-Ming 曾被 BBC 採訪,並經常於國際大型研討會擔任主要講師,其中包含 PacSec、HITB、HACK.LU、台灣駭客年會、CSI、MISTI、APAC 等會議。
Fyodor Yarochki—GuardInfo
Fyodor經常擔任各國際駭客年會之講師,包含Black Hat 2001 HK、Black Hat 2001 Singapore、Black Hat 2002、Ruxcon 2003、XCon 2003 / 2006、HITB 2004 / 2005、SyScan 2005 / 2008、Bellua 2005、VNSecurity 2007、DeepSec 2008等。他於頂尖資安學術會議與地下雜誌皆有重要文章發表,包含Usenix Conference與Phrack
Magazine(最具影響力之地下駭客雜誌)。Fyodor並為Snort最早的開發者之一,目前仍為Snort FAQ的維護者。Fyodor並為XProbe的創辦人。
PK
台灣鑑識一哥,論鑑識現場之經驗,屬台灣最具經驗之前輩之一。對於逆向工程、作業系統核心、活體鑑識技術等,皆有深入之研究;長期使用Soft Ice等鑑識工具,頗具心得。在中央警察大學資管所就讀期間,主攻電腦鑑識方面之研究,爾後於台灣電腦網路危機處理暨協調中心(TWCERT/CC)擔任電腦鑑識實務班講師,授課內容包含惡意軟體的靜態與動態分析、數位資料於法律上之證據力、事件處理時數位證據之取得與保存等。目前研究興趣包含數位鑑識工具與惡意程式偵測工具之開發。今年為SySCAN前瞻資安年會、HITCon講師。
邱銘彰 (aka "Birdman") —Armorize
阿碼科技X-Solve實驗室首席研究員。Birdman利用其所研發之Archon與HackAlert技術,長期監控亞洲所有網站被掛馬之情況,專長各種惡意程式分析,日中一食,堪稱是節能環保省碳型多才多藝的後現代資安人才。經常於OWASP Asia、SyScan 2008 TW、HITCon與其他研討會擔任講師。
余俊賢 (Jack)—Armorize
現任阿碼科技資安顧問與ASF專家團隊講師,曾擔任資安人雜誌主編。Jack對於亞洲之特殊攻擊型態,長期投入研究,專長為資安事件處理與電腦鑑識,擁有CISSP、BS 7799 LA、CEH 等資安證照。曾於OWASP Asia、SyScan 2008 TW、HIT Con 與其他研討會擔任講師。
林佳明 (Charmi Lin) —ICST
現任行政院國家資通安全會報技術服務中心(簡稱技服中心)工程師。Charmi主要的工作為協助政府機關處理各種資安事件,charmi經常參與政府機關受駭後的資安事件調查與進行電腦鑑識工作,對於目前台灣正面臨的組織型駭客攻擊有深刻的體會。擁有GCFA與 BS 7799 LA 證照。經常於資安人雜誌投稿相關資安技術文章。
Tim Bass—OWASP 泰國分會主席
前首席網路資安顧問,美國空軍總部。前首席網路顧問,美國國防部。前首席網路資安顧問,美國能源部。前 SWIFT 資安顧問。Tim 常擔任各資安會議 keynote。Tim 是 Unix Forums 的 Director。Blog:www.thecepblog.com。
Dhruv Soi—OWASP 印度年會主席、OWASP 印度分會主席
Dhruv 在多家公司任職弱點研究員與資安首席,包括 FCS Software Solutions、Momentum Technologies、iPolicy Networks、Fidelity Investments、Sopra Group等。
-- Wayne 敬上(email: wayne@owasp.org.tw)
OWASP 台灣分會會長
繼續閱讀全文...
首先感謝大家對於去年的「第一屆 OWASP 亞洲官方年會」的支持,讓我們全場 650 個位子座無虛席!
2008 OWASP 亞洲年會今年議程終於出爐了,由一天改成兩天(10/27~28),先簡單公布如下:
( 2008/10/27 ) - Day 1 第一天 | |||
Time | Topic | Speaker | |
09:15~09:30 | 主席致詞:今年大會內容簡介 | Wayne 黃耀文 OWASP 台灣分會主席 | |
09:30~09:45 | 資策會長官致詞 | TBD | |
09:45~10:00 | 中華軟體協會資安促進會長官致詞 | 陳振楠 會長 | |
10:00~11:00 | 我在 Foundstone 的日子:Web 威脅與防禦實例 | YM Chen 陳彥銘 McAfee Foundstone | |
11:10~12:00 | 網站掛馬研究:Web 惡意程式寫法與偵測技術大公開 | Wayne 黃耀文 Jeremy 邱銘彰 阿碼科技 | |
12:00~13:00 | 午餐休息,請多彼此認識並與講師互動! | ||
13:00~13:50 | 修改密碼無效!駭客還是在收取您的電子郵件! | 林佳明 | |
14:00~14:50 | 網路犯罪研究與五千萬筆個資外洩事件調查建議 | 叢培侃 PK 余俊賢 Jack | |
14:50~15:10 | Coffee Break 中場點心休息,請多彼此認識並與講師互動! | ||
15:10~16:00 | 網站被駭的真實故事集(英文) Real Stories of Website 0wnage | Fyodor Guard-Info | |
16:10~16:40 | Web proxy 造成的資安威脅:以近日 Google Docs 0-day 為例(英文) Proxy Caches and Web Application Security--using the recent Google Docs 0-day as an example | Tim Bass OWASP 泰國分會主席 | |
16:40~17:10 | Web 滲透測試與風險評估(英文) | Dhruv Soi OWASP 印度年會主席 OWASP 印度分會主席 |
( 2008/10/28 ) - Day 2 第二天 (全天英文) | ||
Time | Topic | Speaker |
09:30~09:45 | 長官致詞 | TBD |
09:45~10:00 | 長官致詞 | TBD |
10:00~11:00 | Web 0day 大威脅:Clickjacking(九月OWASP美國年會禁講)(全球首播) New 0-Day Browser Exploits: Clickjacking - yea, this is bad... | Robert "RSnake" Hansen SecTheory |
11:10~12:00 | Web 2.0時代各種資安技術比較與市場分析(今年 OWASP 美國年會演講) Web 2.0, Consumerization, and Application Security | Chenxi Wang, Ph.D. Forrester Research |
12:00~13:00 | Lunch Break 午餐休息,請多彼此認識並與講師互動! | |
13:00~13:50 | 如何做好商業滲透測試(今年 OWASP 印度年會演講) Good Business Penetration Testing | KK Mookhey OWASP 孟買分會 NII |
14:00~14:50 | Web 防火牆(WAF)最佳實務指引(今年 OWASP 美國年會與歐洲年會演講) Best Practices Guide: Web Application Firewalls | Alexander Meisel OWASP 德國分會 art of defence |
14:50~15:10 | Coffee Break 中場點心休息,請多彼此認識並與講師互動! | |
15:10~16:00 | Web 上之僵屍網路與 DDoS 研究(今年 OWASP 美國年會演講) The HTTP Botnet Research: Focusing on HTTP based DDoS Botnets | Steven Adair ShadowServer Foundation |
16:10~17:00 | 論壇:黑箱、白箱、還是 WAF 防火牆?工具好還是顧問好? Chenxi、Robert、YM、Fyodor、KK、Dhruv、Alex、Tim Bass | 主席:Wayne |
大會場地與交通資訊 |
跟去年一樣,本次大會於舒適寬敞之劇院型階梯演講聽--「台大醫院國際會議中心201室」舉辦,地址為:100台北市中正區徐州路2號。交通資訊請見:http://www.thcc.net.tw/othstraffic.html |
今在籌辦第二屆 OWASP 官方亞洲年會時,心中感觸特別多。OWASP 亞洲年會,都是由我們向贊助單位籌資金,然後想辦法邀到好的講師來演講。亞洲距離歐美很遠,飛來一趟要花很多時間,使得整個活動的籌辦,不但籌資金困難,邀頂尖的講師更是難上加難。同時,我們希望今年能夠達到:
1. 對於最新的 Web 攻擊手法,有深入的技術性探討,讓使用者也讓廠商能了解新的攻擊趨勢。
2. 對於防守的策略,能找到在技術上有深度,並且不帶廠商色彩的講師,對於各方面的技術,如滲透測試、黑箱或 WAF 等,都能涵蓋。
3. 站在廠商的角度,對於整個資安產業的趨勢,站在使用者的角度,對於各種技術的比較,能有具公信力的資深產業分析師來探討。
4. 對於透過 Web 的網路犯罪,能有資深的檢調單位代表來分享經驗。
5. 講師方面,希望仍有一半是外籍講師,並希望盡量是在 OWASP 其他年會演講過之講師,因為 OWASP 亞洲年會在建立的初期,需要他們來帶入 OWASP 應有的文化。
要達到以上五點,真的非常不容易,也感謝全體工作人員的努力。今年,第二屆OWASP官方亞洲年會「OWASP AppSec Asia 2008」日期與講師已經確定,會有專業同步翻譯(口譯),會有 T-shirt,也會對政府單位發正式的公文,但是由於時間緊迫,先跟各位告知。我們很感謝資策會與中華民國資訊軟體協會能贊助我們,也感謝資安人雜誌能當我們的協辦媒體,讓活動能成行。大會目前還缺贊助單位,如有興趣可與我聯絡,另外只有 650 個位子,報名從速,我們這麼辛苦的準備,希望在會場能見到您!這只是一個初步的快速通知,之後會有正式的網頁,請各位隨時留意 OWASP 台灣分會官網 以及訂閱 OWASP 台灣分會部落格。今年的外籍講師共有九位(美國四位,歐洲一位,印度兩位,泰國一位,俄國一位),其中為剛結束的 2008 OWASP 美國年會 的講師有四位,2008 OWASP 歐洲年會講師有兩位,2008 OWASP 印度年會講師有一位,有幾位同時為美國駭客年會 Black Hat / DEFCON 講師,其中也包括了 OWASP印度分會主席,OWASP孟買分會代表,OWASP德國分會代表,OWASP泰國分會主席。
今年的重頭戲,當然是 Robert 在今年 2008 OWASP 美國年會的演講被禁講(ITHome 報導、阿碼報導)的演講,會在台北做全球首度的公開演說。英國最大 IT 媒體The Register 以「Adobe 禁止 Clickjacking 弱點的公開」大幅報導此事,RSnake 則說,原本他們覺得是一場很好的演講,但是因為漏洞像滾雪球一樣,一個漏洞導致另一個漏洞,牽涉到一個接一個廠商,導致整個弱點的嚴重性不只是嚴重,而是超級嚴重所以兩個講師決定必須等所有牽涉其中的廠商都有一定的時間反映後,才適合做揭露。我覺得這一場的重點並不光在於他要探討的 0-day 漏洞,而更在於大家對於目前 Web 的基本運作原理,以攻擊手法的了解。這些知識如果基礎打穩,在檢視自己或客戶的網站安全時,便能很容易的運用有限的時間,找到重點問題,並予以修復。駭客找漏洞,其實有很規則的思路可尋,了解這種思路後,我們一樣能一眼看出漏洞所在。
在其他種威脅方面,來自亞洲區的研究,OWASP 泰國分會主席 Tim Bass 將會講一場「Web proxy 造成的資安威脅:以近日Google Docs 0-day 為例」,台灣方面林佳明將講一場:「修改密碼無效!駭客還是在收取您的電子郵件!」
資安挑戰的整體敘述,將由 Forrester 的首席分析師 Chenxi Wang 博士來擔綱。Chenxi 曾在卡內基美隆大學(Carnegie Mellon University)擔任助理教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。目前 Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。Chenxi 並會探討黑箱、白箱、WAF在技術上以及在資安投資報酬率上的差別。Chenxi 寫的幾篇對於黑箱、白箱與 WAF 的產業報告,是目前全球業界引用的重點。至少在 WAF 的市場規模方面,我只記得他的報告有確切的數字,Gartner 與 IDC 似乎都沒有,所以至少我自己參考以及我碰到的諸多廠商與投資人參考的,都是她的那篇。如果您是資安市場分析師或投資人,那您一定要撥空來!如果您是資安廠商而希望能對她公布的資料、數據與論點有意見,也歡迎前來與她當面交換!
滲透測試手法方面,有 RSnake、KK、Dhruv、YM 以及 Fyodor 五位講師,其中 KK 與 Dhruv 來自印度,KK是印度最有名的滲透測試公司 NII Consulting 的創辦人兼總經理,曾經擔任 Black Hat、Interop、IT Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。滲透測試的發展已經由技術導向轉變為商業導向,在預算緊縮的今天,如何有效運用時間,以最低的成本,找到最重要的漏洞?這就需要以客戶在商業營運上的風險面向為基礎,來建立相對應的滲透測試項目,例如現今企業面對的商業間諜(corporate espionage)、金融詐騙(financial fraud)等威脅嚴重,因此就需要有對應的滲透測試情境,如社交工程攻擊(social engineering)、實體安全演練等,才能提供更有價值的商業導向滲透測試服務。
為何我選了兩位來自印度的講師來講滲透測試?我在印度聽過 KK 的課,也看過印度大大小小的滲透測試團隊實際上執行專案的情形。我的看法是,印度以軟體產業立國,但是並不是一開始就能從專業的軟體開發案獲利。就如同我們以電子製造業起飛,但是我們是慢慢由做勞力密集的聖誕燈泡,到做收音機,到做 PC 、筆電、手機,慢慢從勞力密集轉而能獨立研發。印度也一樣,軟體產業發展的初期,很依賴勞力密集的軟體測試。所以對於軟體測試的方法論,流程,執行,測試環境的設計,測試資料的建立,到與客戶的溝通,專案的執行等,非常的有經驗,因為這是他們的本行!滲透測試的技術研究,不計成本,目的在找到漏洞,這個歐美的研究員做得很好。可是商業滲透測試,講的是如何有效運用預算,了解客戶需求,達到最大效果,在這方面,印度的軟體測試產業行之有年,商業模式很成熟,我相信他們的經驗會對各位有幫助。
滲透測試與其他顧問服務,在美國又是如何進行的呢?McAfee Foundstone 是美國前幾大專門的資安顧問公司,陳彥銘自 CMU 畢業之後,就加入了 Foundstone 至今,以經是資深的 Director,帶領 Foundstone 團對於美國各地進行滲透測試、顧問服務與教育訓練。他將以「我在 Foundstone 的日子:Web 威脅與防禦實例」,與各位分享他的經驗。
在台灣的滲透測試方面,來自俄羅斯的 Fyodor 長期於台灣進行滲透測試,他將以一場「網站被駭的真實故事集」,探討這許多年來,他在台灣看到的種種真實故事,讓各位直接接觸這些造成嚴重損失的 Web 漏洞--很多漏洞看了會心一笑,原來這樣設計也會有漏洞。攻擊方法並不難,但是簡單的錯誤卻會造成嚴重的損失。
Web 防火牆 WAF 方面,我選擇跟跟今年美國年會、歐洲年會一樣,由德國 OWASP 分會的 Alex Meisel 來負責。Alex Meisel 上個月在美國年會,以及之前在今年歐洲年會,以德國分會的名義,發表了一篇 whitepaper:「Web 防火牆(WAF)最佳實務指引」(Best Practices Guide: Web Application Firewalls),很受大家肯定,如果您目前正困擾 WAF 該如何選擇,歡迎來與 Alex 探討!
網站掛馬方面,全球最有權威性的組織之一,就是 ShadowServer Foundation 了。ShadowServer Foundation 長期監控全球僵屍網路(botnet)與網站掛馬,擁有豐富資料,堪稱美國此方面研究最深入之組織之一。今年的美國年會,找了 ShadowServer Foundation 的重要成員 Steven Adair 來擔任這方面的講師,我也非常努力的邀到他來台灣與各位互動。如果有需要與 ShadowServer Foundation 交換情報與研究資料的單位,請與我聯絡!
對於亞洲區網站掛馬的研究,邱銘彰一向是大家很肯定的研究員之一,他也是各會議爭相邀請的講師。我跟他從不認識到認識到變成朋友到變成同事,也從他身上學到不少寶貴的知識。我們將一起公開一份我們最新的掛馬研究,是我們先用英文寫完,然後也翻成中文的,努力了半年,留在 OWASP 亞洲年會發表。我們將探討目前掛馬的工具與手法,仔細研究各種惡意 javascript 的寫法以及變形、加殼與資料隱藏的技術,並與各位討論為何惡意 javascript 這麼難偵測。由於我長期研究動態與靜態分析技術,我也會探討這兩種技術應用於網站掛馬偵測時的優劣。
對於亞洲利用 Web 攻擊的犯罪手法與事件分析,則由 PK 與 Jack 來負責講「網路犯罪研究與五千萬筆個資外洩事件調查建議」。很多圈內朋友稱 PK 為「台灣鑑識一哥」,Jack 則也多年研究網路攻擊於軍事上之應用,希望他們一起的演講,能讓各位對於層出不窮的 Web 網路犯罪,有更深入的了解。
最後,基本上,各地的 OWASP年會希望達到以下目的:
1. 由年會選出來的頂尖講師,對於最新的攻擊方法,防禦技術,以及客戶的成功案例,提供最新資訊與經驗分享。
2. 對於各界資安人士,包含各國OWASP成員,業界資安主管及IT從業人員,各國政府、軍方及情治單位,以及投入資安市場之廠商、代理商、系統整合商以及顧問公司,提供一個交流的機會,讓大家相互認識,分享經驗以及交流技術。
OWASP 每年有兩次官方會議,一次在歐洲,一次在美國。由於 OWASP 為 Web 資安之最大國際組織,其所定義之標準被五大信用卡公司之 PCI 標準、美國聯邦貿易委員會、FBI、美國國土安全部,以及各國政府所採用,故OWASP每年之官方年會,除了為年度世界資安頂尖人物必到之大會,更為各國政府,企業以及資安產業必定派人參加之國際盛會。我國行政院研考會之「Web應用程式安全參考指引」,亦將 OWASP Top 10 列為重要參考標準。
我想會議能夠在台北舉行,一方面證明了台灣資安之能量,展現了台灣各指導機關多年致力於資安意識之提升,各學術單位致力於資安基礎與應用之研究,產業界致力資安產品之研發與整合,以及媒體致力於各領域資安訊息之分析等之成果;一方面也證明了,台灣在資安有其獨特之政治與軍事意義,由於對資安有高於他國之需求,也造就了我們資安實力與經驗之累積,能夠在多年努力後,開始與他國分享我們的成果。最後最主要的,是大家踴躍的報名。您對於 OWASP活動的支持,是這次會議能夠在台北舉行之關鍵。因為這表示台灣有足夠的人士,在關心資安的議題,在投入資安的研究,您上次的出席,也讓我們有動力,再次募款並邀請最頂尖的講師前來。看到了這次講的的陣容,不難想像我們要在工作的空餘時間,募集資金,負責所有講師的機票與住宿,行程安排,簽證取得,大家真是把命賣了在做,希望您能把握這次機會,準時來參加活動,一方面從最頂尖的講師接觸最新的資安訊息,一方面也與大家認識。
去年超過1000人報名,卻因場地席次限制,許多欲與會者無法順利出席去年年會,座位有限,今年請早報名。
報名請直接回給我或 email 給:info@owasp.org.tw
1. 姓名:
2. 單位(或學校):
3. 職稱:
4. 電話:
5. Email:
6. 是否需要同步翻譯耳機? 如果是,是否用 200 元加購?還是放棄 T-shirt?
7. 中餐是否需素食?
8. 統一編號?公司 title?
9. 是否是學生票?學生票是否加購中餐(一天?兩天?)?加購 tshirt?
報名後三個工作天會收到匯款方式,匯款後三個工作天會收到序號,請用序號入場,如果沒有收到可以來電詢問:(02) 6616-0100 ext 111 林先生。
時間:97年10月27至28日(星期一至二) 09:00-17:00<
地點:台大醫院國際會議中心 201 室 (台北市中正區徐州路二號)
費用:
1. 全票 NTD 1000 元整(幫忙負擔午餐、點心、場地、T-shirt與機票費用等、不含耳機)
2. 學生票 NTD 300 元整(不含便當、如需便當一天 100 NTD, T-shirt 要另購,一件 300 NTD)
同步翻譯:會有專人同步翻譯(不是我們自己的工作人員,是外聘的同步口譯人員),同步翻譯耳機 200 元外加,或是放棄 T-shirt
T-Shirt:會有
公家單位公文: 會由最大贊助單位資策會發公文,以利請假作業
講師簡歷 (中文版)
Robert Hansen (aka“RSnake”)--SecTheory
CISSP、SecTheory 的 CEO,曾四次演講於 Black Hat,今年並為 Black Hat 與 DEFCON 雙講師(這裡有報導)。與 Jeremiah Grossman 著有知名之「XSS」一書(Syngress出版),今年 2008 OWASP 美國年會 的演講被禁講(ITHome 報導、阿碼報導),為今年大會最轟動之事。他將在台灣首次公開此次禁講之內容。RSnake之部落格 ha.ckers.org 與論壇 sla.ckers.org 為駭客界被訂閱最多之部落格/論壇之一。負責 O'Reilly 與 Dark Reading 線上專欄(Snake Bytes @ Dark Reading),除了 Black Hat / DEFCON 之外,也在各大研討會中擔任講師,包含OWASP年會、微軟 Bluehat、WASC 各會議、Networld+Interop、SourceBoston、 Secure360、GFIRST/US-CERT、Toorcon、APWG、ISSA以及TRISC等會議。
RSnake曾任 eBay 資深全球產品資安經理、通訊網路公司資安架構師,工作內容是 anti-phishing、anti-DHTML malware,也曾擔任 Realtor.com 的產品管理總監。參與 NIST.gov 的 Software Assurance Metrics and Tool Evaluation 及 Web Application Security Scanners Evaluation Criteria (WASC-WASSEC)專家群組,也是
Infragard 、WASC、IACSP、 APWG、ISECOM 成員。
Steven Adair—ShadowServer Foundation
Steven Adair 是 ShadowServer Foundation 的重要成員之一,也是這次 2008 OWASP 美國年會的講師。ShadowServer Foundation 長期監控全球僵屍網路(botnet)與網站掛馬,擁有豐富資料,堪稱美國此方面研究最深入之組織之一。
Alexander Meisel—OWASP 德國分會、art of defence
Alexander Meisel 是德國 art of defence 公司技術長,負責該公司之 Web應用程式防火牆(Web application firewall、WAF)之研發。之前在歐洲最大的ISP-LINX擔任網路安全首席,曾負責大規模的網站安全稽核與流量管理,專長為Web Security。他的安全專業可以追朔到在學階段所提出的預防與追蹤DDoS攻擊研究。Alex 是今年 2008 OWASP 美國年會與 2008 OWASP 歐洲年會的講師。
K. K. Mookhey—OWASP孟買分會、NII Consulting
印度最有名的滲透測試公司 NII Consulting 創辦人兼總經理,專長為滲透測試、資安鑑識、風險評估、資安相關規範(PCI、ISO 27001、BS 25999、ISO 20000)、IT基礎架構管理等。擁有CISSP、CISA、CISM、CEH等證照。是印度最知名的資安專家之一,著作有Linux Security And Control(ISACA 出版)與 Metasploit Toolkit(Syngress出版)兩本專業書籍。KK 為今年 2008 OWASP 印度年會講師,並曾經擔任 Black Hat、Interop、IT Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。
Chenxi Wang, Ph.D.—Forrester Research
Dr. Chenxi Wang 是全球前三大市場調查研究機構 Forrester Research 的首席分析師,Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。在加入 Forrester 之前,Dr. Wang 在卡內基美隆大學(Carnegie Mellon University)擔任助理教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。在 CMU 期間,Chenxi 負責執行了上百萬美元預算的研究專案,包過與美國國防部以及美國國家科學基金會(National Science Foundation、NSF)的共同研究專案。Chenxi 也曾擔任美國聯邦貿易委員會(Federal Trade Comission、FTC)、HP、Emerson、Lucent 等單位的資安顧問。
Chenxi 為今年 2008 OWASP 美國年會的講師,並定期在各大資安會議演講,其言論與發表常被美國主流媒體引述,包含 New York Times / InfoWorld 等媒體。
Wayne Huang(黃耀文)—OWASP台灣分會主席、Armorize 阿碼科技(大會主席)
Wayne 為 OWASP 台灣分會會長,也是阿碼科技的創辦人兼執行長,對於推動台灣的資安社群,不遺餘力,在台灣舉辦 SySCAN、OWASP 亞洲年會等資安會議。
Wayne 是一位豐富經驗的資訊安全專家,專長領域包括,網路、系統及應用程式安全。Wayne 最為人所熟知的專長領域在網頁應用程式安全,並在全世界發表了許多相關主題的期刊論文。除此之外,Wayne 也時常受邀擔任全球安全會議的演講者,包含 RSA、OWASP、SySCAN、WWW、PHP 與 DSN 等。Wayne 同時也是阿碼科技在推動技術創新的重要推手。
Wayne 是第一位連續二年在國際全球資訊網路會議(WWW Conference)獲獎的作者,並且是 《 Web Application Security-Past,Present,and Future 》一書的共同作者。
Yen-ming Chen (YM Chen) —McAfee Foundstone
Yen-Ming 於 2000 年加入 Foundstone 顧問團隊,現職為 McAfee Foundstone 的 Director,帶領 Foundstone 團隊於美國各地執行各種資安專案。Yen-Ming並為 Foundstone「Ultimate Hacking」、「Ultimate Hacking Expert」、「Ultimate Web Hacking」、以及「Ultimate Hacking: Incident Response」等四門課的首席講師。在加入Foundstone之前,他在CMU網路安全中心,曾參與Snort開發,製造出第一個在磁片上的Snort sensor(PicoBSD)。是Hacking Exposed、Hacking Exposed for Web Application、Windows XP Professional Security及HackNotes: Web Application Security的四本書的共同作者。Yen-Ming 曾被 BBC 採訪,並經常於國際大型研討會擔任主要講師,其中包含 PacSec、HITB、HACK.LU、台灣駭客年會、CSI、MISTI、APAC 等會議。
Fyodor Yarochki—GuardInfo
Fyodor經常擔任各國際駭客年會之講師,包含Black Hat 2001 HK、Black Hat 2001 Singapore、Black Hat 2002、Ruxcon 2003、XCon 2003 / 2006、HITB 2004 / 2005、SyScan 2005 / 2008、Bellua 2005、VNSecurity 2007、DeepSec 2008等。他於頂尖資安學術會議與地下雜誌皆有重要文章發表,包含Usenix Conference與Phrack
Magazine(最具影響力之地下駭客雜誌)。Fyodor並為Snort最早的開發者之一,目前仍為Snort FAQ的維護者。Fyodor並為XProbe的創辦人。
PK
台灣鑑識一哥,論鑑識現場之經驗,屬台灣最具經驗之前輩之一。對於逆向工程、作業系統核心、活體鑑識技術等,皆有深入之研究;長期使用Soft Ice等鑑識工具,頗具心得。在中央警察大學資管所就讀期間,主攻電腦鑑識方面之研究,爾後於台灣電腦網路危機處理暨協調中心(TWCERT/CC)擔任電腦鑑識實務班講師,授課內容包含惡意軟體的靜態與動態分析、數位資料於法律上之證據力、事件處理時數位證據之取得與保存等。目前研究興趣包含數位鑑識工具與惡意程式偵測工具之開發。今年為SySCAN前瞻資安年會、HITCon講師。
邱銘彰 (aka "Birdman") —Armorize
阿碼科技X-Solve實驗室首席研究員。Birdman利用其所研發之Archon與HackAlert技術,長期監控亞洲所有網站被掛馬之情況,專長各種惡意程式分析,日中一食,堪稱是節能環保省碳型多才多藝的後現代資安人才。經常於OWASP Asia、SyScan 2008 TW、HITCon與其他研討會擔任講師。
余俊賢 (Jack)—Armorize
現任阿碼科技資安顧問與ASF專家團隊講師,曾擔任資安人雜誌主編。Jack對於亞洲之特殊攻擊型態,長期投入研究,專長為資安事件處理與電腦鑑識,擁有CISSP、BS 7799 LA、CEH 等資安證照。曾於OWASP Asia、SyScan 2008 TW、HIT Con 與其他研討會擔任講師。
林佳明 (Charmi Lin) —ICST
現任行政院國家資通安全會報技術服務中心(簡稱技服中心)工程師。Charmi主要的工作為協助政府機關處理各種資安事件,charmi經常參與政府機關受駭後的資安事件調查與進行電腦鑑識工作,對於目前台灣正面臨的組織型駭客攻擊有深刻的體會。擁有GCFA與 BS 7799 LA 證照。經常於資安人雜誌投稿相關資安技術文章。
Tim Bass—OWASP 泰國分會主席
前首席網路資安顧問,美國空軍總部。前首席網路顧問,美國國防部。前首席網路資安顧問,美國能源部。前 SWIFT 資安顧問。Tim 常擔任各資安會議 keynote。Tim 是 Unix Forums 的 Director。Blog:www.thecepblog.com。
Dhruv Soi—OWASP 印度年會主席、OWASP 印度分會主席
Dhruv 在多家公司任職弱點研究員與資安首席,包括 FCS Software Solutions、Momentum Technologies、iPolicy Networks、Fidelity Investments、Sopra Group等。
-- Wayne 敬上(email: wayne@owasp.org.tw)
OWASP 台灣分會會長
繼續閱讀全文...
2008年9月30日
網路上交朋友要小心 (Be careful with making friends on IM)
之前在探討 IM (Instant Messaging) 使用上對於帳密保護的重要觀念,不要輕易將帳密外洩出去,也不要輕易將自己的朋友給出賣了,可以參考「你!出賣朋友嗎?」一文。
本文主要探討交朋友時也要多加注意,因為你可能被對方出賣,其中又以 Skype 最需要小心,因為其他如 MSN、Yahoo、AOL...等,需要確切的帳戶資料(通常是 E-Mail),才能加入「朋友清單」,雖然這帳戶資料在網路上也不難找...XD,不過,還是需要一些網路搜尋術的;只有 Skype 利用關鍵字,就能搜尋 Skype 的使用者資料庫,所以相對而言是非常寬鬆的,你可以找你想找的一些人或族群。可以看下圖:
所以,使用即時通(IM)軟體,你要小心被別人出賣,也不要出賣你的朋友哩。
接下來我們就看一下,哪些人會想跟你交朋友勒...這些圖片可是蒐集很久哩!
上面這張圖一看就像是色情業者來著。這張圖沒有抓到他的個人資料,不過,他是剛滿24歲來著。
上面兩張圖,看不出來頭哩!不知道上面寫的是不是土耳其文,文意也不知是啥?如有知道詳情者還請賜教,感恩。
上面兩張圖,很明顯了吧。又是剛滿24歲。
我們反過來,在 Skype 上搜尋"sexy"字串,可以找到很多都是"剛滿24歲"的帳戶哩。
不知道"剛滿24歲"是否有啥特殊意義呀?希望知道的網友可以告知一下,可以用匿名的方式...ccc
至於交到壞朋友...嗯,應該也不能說教到壞朋友,應該說不慎被出賣了,哪會有啥結果呢。
網路上也有些討論,可以看看、參考一下:
loose wire blog:Meet Veronica, Sexy Skype Spammer
ZDNet:Blogger hit by Skype porn spam, plays along for a bit
Angela-femme sexy-sexe-sex-friend
簡單的說就是皮條客的行為,而皮條客的推銷總是令人反感。不過色情跟賭博通常都是一掛的,畢竟多角化經營唄。
至於 MSN 被出賣了會有何結果呢?這我想大家應該看多了,很多地方也有討論,主要也還有惡意程式利用 IM 進行散播,所以目前而言,嚴重性較高,可以參考這裡的文章;我這耶貼張圖給給大家參考,通常是傳給你一個網站 (URL) 或是一個惡意的檔案;最近莫名其妙的行銷手法越來越多啦。
上圖看來是某種行銷術,八成有個"好友"又把我給出賣了...XD。利用 MSN 最大挑戰是心理難關,因為,送這些訊息給你的都是你的好友,你能有警覺性嗎?我都把 MSN 訊息中的超連結拿掉,怕哪天一時昏迷...中招!
只能說情色行業的滲透力十足,雖然不是高深的攻擊技術,但是充分的利用人性弱點呀。之前貼的一篇文「另類廣告行銷手法」,是不是頗為巧妙的,這裡我的一句話:「對付創意的人,就需要創意的反制策略」。
本文亦張貼於:資安之我見
作者 Crane 為 阿碼科技 資安顧問
繼續閱讀全文...
本文主要探討交朋友時也要多加注意,因為你可能被對方出賣,其中又以 Skype 最需要小心,因為其他如 MSN、Yahoo、AOL...等,需要確切的帳戶資料(通常是 E-Mail),才能加入「朋友清單」,雖然這帳戶資料在網路上也不難找...XD,不過,還是需要一些網路搜尋術的;只有 Skype 利用關鍵字,就能搜尋 Skype 的使用者資料庫,所以相對而言是非常寬鬆的,你可以找你想找的一些人或族群。可以看下圖:
所以,使用即時通(IM)軟體,你要小心被別人出賣,也不要出賣你的朋友哩。
接下來我們就看一下,哪些人會想跟你交朋友勒...這些圖片可是蒐集很久哩!
上面這張圖一看就像是色情業者來著。這張圖沒有抓到他的個人資料,不過,他是剛滿24歲來著。
上面兩張圖,看不出來頭哩!不知道上面寫的是不是土耳其文,文意也不知是啥?如有知道詳情者還請賜教,感恩。
上面兩張圖,很明顯了吧。又是剛滿24歲。
我們反過來,在 Skype 上搜尋"sexy"字串,可以找到很多都是"剛滿24歲"的帳戶哩。
不知道"剛滿24歲"是否有啥特殊意義呀?希望知道的網友可以告知一下,可以用匿名的方式...ccc
至於交到壞朋友...嗯,應該也不能說教到壞朋友,應該說不慎被出賣了,哪會有啥結果呢。
網路上也有些討論,可以看看、參考一下:
loose wire blog:Meet Veronica, Sexy Skype Spammer
ZDNet:Blogger hit by Skype porn spam, plays along for a bit
Angela-femme sexy-sexe-sex-friend
簡單的說就是皮條客的行為,而皮條客的推銷總是令人反感。不過色情跟賭博通常都是一掛的,畢竟多角化經營唄。
至於 MSN 被出賣了會有何結果呢?這我想大家應該看多了,很多地方也有討論,主要也還有惡意程式利用 IM 進行散播,所以目前而言,嚴重性較高,可以參考這裡的文章;我這耶貼張圖給給大家參考,通常是傳給你一個網站 (URL) 或是一個惡意的檔案;最近莫名其妙的行銷手法越來越多啦。
上圖看來是某種行銷術,八成有個"好友"又把我給出賣了...XD。利用 MSN 最大挑戰是心理難關,因為,送這些訊息給你的都是你的好友,你能有警覺性嗎?我都把 MSN 訊息中的超連結拿掉,怕哪天一時昏迷...中招!
只能說情色行業的滲透力十足,雖然不是高深的攻擊技術,但是充分的利用人性弱點呀。之前貼的一篇文「另類廣告行銷手法」,是不是頗為巧妙的,這裡我的一句話:「對付創意的人,就需要創意的反制策略」。
本文亦張貼於:資安之我見
作者 Crane 為 阿碼科技 資安顧問
繼續閱讀全文...
2008年9月24日
阿碼科技舉辦SySCAN 前瞻資安技術年會觀察報告
今年的 OWASP 美國年會,阿碼科技跟去年一樣,又派了九個同事參加。大家因為工作分散各地,這次從三個國家飛到紐約會合。行前我跟 YM 聊,我說其實我非常不喜歡旅行,除了自己家,我哪都不太想去。YM 說,哈,那我可真是入錯行了。唉!資安這行,到處跑是必須的,去幫客戶解決問題,去訓練代理商,去展覽,去演講,去聽演講…一年到頭,資安顧問總是得跑來跑去。我跟 YM 說,也許是吧,但是我希望阿碼科技的各位同事能快快成長,能挑大樑,就能幫我分擔了。
工作非常忙,每天都睡不夠,每天都在想,我怎麼還能擠出一兩個小時來,每天總有好多事做不完。在飛機上如果不能工作,我會覺得時間真是太浪費了,所以我都帶很多電池。我是從台北飛紐約,要十六個小時,所以我帶了兩台筆電加上五顆電池,絕對夠我好好工作。飛機一升空,一可以用電腦,馬上開工。
做了一陣子,抬頭一看,哇,飛機上阿碼的同事只有兩種,一種呼呼大睡,一種埋頭打字。現在台北下午六點,能這樣睡,真的表示平常大家都太累了。我問 Benson,哇,原來他也帶了三顆電池!「我跟 QA 借的!」他得意的說。我做他正後方,從此他一口氣做到電池用完,然後火速倒頭就睡。連續放兩場電影了,沒人看,不是工作就是睡覺。只有 Walter 盯著他的 iPod 看,我走過去看看是什麼好片,看得這麼專心,結果是從 Google Video 跟 Youtube 抓下來的最近一些重要的資安演講。WOW!看來阿碼的文化,非常統一,大家辛苦了!
想一想,我們跑了這麼多國外的資安會議,而且我回來還寫報導,這次 OWASP 年會也是一樣,我也會寫觀察記錄,可是對於在台灣舉辦的 SySCAN 前瞻資安技術年會以及 OWASP 亞洲年會,我卻都沒有紀錄,這些會議的品質,一點也不輸國外的年會,沒有紀錄實在說不過去,於是我決定利用現在,幫幾個月前我們與 COSEINC 合辦的 2008 SySCAN 前瞻資安技術年會,做一個記錄。
(我的開場演講:「亞洲在全球資訊安全之特殊地位」)
講到 SySCAN,當初真是沒想到會舉辦。我們在台灣有研發大本營,也認識了不少客戶,社群與朋友。我們常常分享我們在各地駭客年會或資安年會的心得,或給演講分享我們的研究。這一年來,很多人都跟我們說,不是大家都有經費,有時間出國聽演講,加上台灣也有很多好的研究,希望我們如果有能力有時間,能多在台灣幫忙舉辦高技術水準的資安年會。
恩,台灣純技術性,具前瞻性,具國際性的資安年會,真的不多。雖然大家一直提,但是我們的考量也很多。我們當然有東西可以講,也有能力辦,但是究竟有多少人對這種會議的內容有興趣呢?講一般水平的技術,我們沒有興趣,可是講很深很難的東西,會有「票房」嗎?大家會不會聽的懂呢?另外,台灣太多以推銷產品為目的會議了,多到什麼地步呢?多到很多人已經不習慣什麼是純技術的會議了。
譬如去年 OWASP 辦完,有一些代理商的 PM 跟我們反應,他們邀客戶去希望對業務有幫助,可是客戶反應聽完了卻搞不清楚「產品有哪些」?喂喂拜託一下,我們辦這些技術年會,是以探討深入技術,或技術趨勢,或管理層面的經驗,或產業的走向等議題為主,不是在賣產品,要講產品,辦「Armorize Solution Day」就可以了,甚至不用,我們家業務到各位府上做個簡報更快,為何需要大費周章辦這種會議?各位知道,辦一場這種會,開銷多大,我們多累,籌經費就夠難了,邀講師來更難,美國歐洲飛亞洲,來回花很多時間,好的講師自己都很忙,要他們沒有任何商業目的而來給一場演講,誰願意?這些都靠我們的努力,還有私下跟講師的關係,只希望回饋給資安圈一些東西。這些 PM 這樣的反應,代表台灣純技術的會之的太少了,少到很多人只熟悉「產品說明會」,認為技術的會議都是「產品說明會」了。
好了,話說多了,重點是會議的內容。SySCAN 這次為期兩天,共有12場演講,演講內容與講師介紹在這裡有,另外媒體也又報導(報導一、報導二、報導三、報導四)。
(這次講師排出來超棒)
(很多人問可愛會說中文的老外哪來的?他們都是阿碼的工程師啦!)
(Tshirt 背面是大規模 SQL injection 紀念衫,前面是台灣駭客)
第一天都是老外講師,第一場由 Black Hat / DEFCON 資深成員 Adam Laurie 開場,講 RFID 的諸多弱點,以及他的 RFIDIot,讀 RFID 的工具。Adam 的這個演講非常熱門,他願意來,我們非常感謝他。Adam 講了許多 RFID 的弱點,包含護照可以拷貝,信用卡可以被無線盜讀,捷運卡可以修改等等。(今年在 DEFCON 上最轟動的事之一,就是 MIT 的學生要講美國捷運系統的弱點,結果被法院禁講一事)。Adam 不愧是老 DEFCON 成員,我覺得他在內容,技術性,以及演講技巧方面,都做得很好,沒話說。
(Adam 示範門禁卡的盜考)
(Adam:護照的 key 原來就印在內頁啊!)
緊接著 Adam Laurie 的,是我多年的好友 Fyodor。Fyodor 一方面講如何用 Jabber(XMPP) 這種 P2P 架構來建構僵屍網路(botnet),一方面也提了他獨立做的 RFID 研究,利用台灣本土產的讀卡機,可以改大賣場的記點卡,或讀捷運的儲值卡等等。Adam 的 RFIDIot 基本上只有歐系的 RFID 讀卡機能用,台灣的讀卡機都不適用。但是 Fyodor 做的工具,則是支援我們本土產的讀卡機。XMPP 用來做 botnet 我覺得是很大的威脅,因為 protocol 本身非常適合,追蹤的難度又高。最近 Jabber 被 Cisco 買了,我跟 Fyodor 說的時候,他眼淚都快掉下來了。別這樣嘛!不是所有東西被併購以後都會爛掉的!另外很多人建議 Fyodor 中文講這麼好,應該乾脆用中文講,Fyodor 你可以考慮考慮!
(Fyodor 展示台灣 MIFARE 卡的破解)
Petr 介紹了手機上 rootkit 的設計,以 Windows CE 6 為平台。Petr 講得非常的詳細,另外我覺得課程設計得好的地方是,他有詳細說明在 CE 6 上設計 rootkit 跟 Win32 上有什麼不同,跟 CE 5 上又有什麼不同。我覺得這很實用,很多人很熟 Win32 上的方法,用這樣引導可以很快切入主題。不過 Petr 演講的技巧還可以加強,雖然技術講得很清楚,可是語調有些平淡,個人看法啦!
(Petr 把 Window Mobile 6 上的 rootkit 手法講得很清楚)
Matt Conover(shok)是讓這次我很感動的一位講師,外國講師裡頭我給他最高分。Matt 講之前我有跟他溝通,大家英文程度不一樣,雖然有部分與會者英文非常好,聽老外演講完全沒有問題,但是也有一大部分比較吃力,所以希望他能盡量放慢,講不完的話,寧可放棄一些太深的東西不要講,也要求有講到的大家當場能聽懂。結果 shok 在台上刻意把英文放慢,有特別咬字清楚,加上他本身的演講技巧就很好,整場演場下來非常成功,也讓我很感動。我一年跑太多演講了,不是每個講師都願意這樣的,很多講師只顧把自己想講的講完,或顯示自己的研究很強,而不會去管觀眾的吸收度,因為畢竟是 talk 不是 training。不過 Matt 在這邊是出名的好講師,各地的年會,對他的評價都很高。
Matt 講的題目很有意思,是 Matt 最近在 Symantec Research Labs 研發出的一個雛形系統,可以把 kernel-mode 的驅動程式在 user-mode 下執行。這種技術主要用來在 user-mode 下觀察 kernel-mode 之 rootkit 的行為,並能有效控制其行為。有別於傳統利用模擬器之作法,此技術是直接將 rootkit 利用真實硬體執行起來,但是是在 ring 3 而非 ring 0。當此 rootkit 開始利用特殊指令,或開始讀取 / 修改 / 執行 kernel-mode 之記憶體時,我們將 faults 攔截下來並送入 kernel 內。這樣一方面可以使此 rootkit 得以正常執行,一方面又得將其行為限制於 sandbox 內。
(外國講師裡面,這次我最感謝 shok)
Rich Smith 講的「新型攻擊 -- PDOS:利用 flash update 對於嵌入式系統造成永久破壞之攻法」也很勁爆,主要針對嵌入式系統之設備,利用韌體之 flash update 機制,達成 PDOS 之目的。Rich 將針對各嵌入式系統之 flash update 機制與韌體本身的結構做深入的分析,並介紹一個通用的模糊暴力式探測平台(generic fuzzing framework)-- PhlashDance。PhlashDance能自動在各式各樣不同的嵌入式系統中找出 PDOS 漏洞。
(「永久性 DOS --(Permanent Denial Of Service (PDOS)」)
我們家 Jack 講的題目是「反恐與國家基礎建設保護」,這方面的研究是 Jack 的專長,但是也比較敏感些,不適合公開在這探討 :)
(Food, food, not enough food!)
第二天的開場重擔,交給大砲兄 Roger,講的是如何活逮惡意程式。Roger 不論在他的 blog 「大砲開講」或是在他的演講上,都有他非常獨特的風格。
(大砲兄很有自己的風格)
接下來是 Sean,講的是「嵌入式 script 攻擊」。script 語言一直被認為只有在 Web 上被運用,但是實際上,在今天,許許多多的應用中都會使用嵌入式 scripts(embedded scripts),而我們也觀察到,惡意程式的製造者越來越懂得利用嵌入式 script 來達成攻擊。加上 script 的變形非常容易,要偵測惡意的 script 真是非常困難。
Sean 講了很多 shell code 的基本技巧,我覺得應該對入門者蠻適用的。有些與會者反應講得太「基本」,題目有具前瞻性,但是內容講太多基本的東西。我是覺得也不錯,一個會議各種聽眾都有,有些講師講難一些的,有些講基礎些的,這樣剛好。Sean 不算是有經驗的講師,但是我覺得很有潛力,多加訓練,以後會一場比一場好。要做好的講師,各地的駭客年會 / 資安年會可以多跑一些,比較能抓的住那種「感覺」:)
接下來換我們家 Birdman,這次講的是「犯罪軟體的鑑識與工具痕分析」,問卷調查回來分數非常高,很高興大家喜歡,謝謝各位,Birdman 也辛苦了!Birdman 這次公開的研究,是以惡意程式鑑識角度(Malware Forensics)分析駭客所使用的攻擊工具與後門,透過工具痕以了解作者的來源、意圖目的與威脅衝擊,藉此區分類出不同駭客的活動,並加以追蹤。
(Birdman 的演講)
Birdman 講完後,換超強的 PK,講的是「犯罪現場: Windows 記憶體內容擷取與鑑識」,做了很多精彩的現場 DEMO,不論是透過 1394 漏洞無密碼登入 Windows,或記憶體的解析,PK 都獲得大家熱烈的掌聲。PK 在 Windows 記憶體內容擷取與鑑識上,真不是蓋的,大家不需要飛到美國聽 Sandman 在 DEFCON 2008 的演講,聽 PK 絕對就夠啦!
(PK 是這次問卷調查出來最受歡迎的講師之一,謝謝 PK!)
接下來我們家 Kuon 講的是 針對 Python 的逆向工程。Python 已經在 TIOBE 程式語言調查結果中,位於前十名且不斷爬升;Google App Engine(應用程式代管服務)最先支援的程式語言就是 Python。Python 近年來大放異彩,多數應用面的安全基礎卻未見其發芽,Kuon 希望藉由探討 Python Internals 來為 Python 安全研究播下種子。
(Kuon 講針對 python 的逆向工程技術)
最後是 Nanika 講的「手機上的強大邪惡」,就如同他自己說的,Nanika 可說是大會「好酒陳甕底」,講得很好,他跟 Petr 兩個人可以說把 Windows CE 5/6 的 rootkit 手法涵蓋得很完整了。
(Nanika 講手機上的強大邪惡,幾乎把 CE 上的 rootkit 手法都 cover 了)
最後,謹代表 SyScan 全體工作同仁感謝每一位來參加 SyScan 的黑白帽朋友,感謝你們對於大會的支持!
之前有跟我聊過的朋友都知道,由於會議內容很專業,原先我們估計不會有超過一百人參加(Jack 當初名言:Wayne,你如果堅持要辦 SySCAN,保證台灣不超過 80 人來)。結果我們在 350 人時喊停,當天看到一些朋友希望現場報名,我們讓出工作人員的十個位子,使大會總共有 360 人參與,這是我們完全沒想到的。
我們拍了一些高解析度照片在:
http://picasaweb.google.com/wayne.armorize/SyScanTaiwan
也謝謝大家都幫我們填問卷為我們與講師打成績,這對我們實在太重要了。
再次感謝各位!
作者 Wayne Huang 為阿碼科技 CEO
繼續閱讀全文...
工作非常忙,每天都睡不夠,每天都在想,我怎麼還能擠出一兩個小時來,每天總有好多事做不完。在飛機上如果不能工作,我會覺得時間真是太浪費了,所以我都帶很多電池。我是從台北飛紐約,要十六個小時,所以我帶了兩台筆電加上五顆電池,絕對夠我好好工作。飛機一升空,一可以用電腦,馬上開工。
做了一陣子,抬頭一看,哇,飛機上阿碼的同事只有兩種,一種呼呼大睡,一種埋頭打字。現在台北下午六點,能這樣睡,真的表示平常大家都太累了。我問 Benson,哇,原來他也帶了三顆電池!「我跟 QA 借的!」他得意的說。我做他正後方,從此他一口氣做到電池用完,然後火速倒頭就睡。連續放兩場電影了,沒人看,不是工作就是睡覺。只有 Walter 盯著他的 iPod 看,我走過去看看是什麼好片,看得這麼專心,結果是從 Google Video 跟 Youtube 抓下來的最近一些重要的資安演講。WOW!看來阿碼的文化,非常統一,大家辛苦了!
想一想,我們跑了這麼多國外的資安會議,而且我回來還寫報導,這次 OWASP 年會也是一樣,我也會寫觀察記錄,可是對於在台灣舉辦的 SySCAN 前瞻資安技術年會以及 OWASP 亞洲年會,我卻都沒有紀錄,這些會議的品質,一點也不輸國外的年會,沒有紀錄實在說不過去,於是我決定利用現在,幫幾個月前我們與 COSEINC 合辦的 2008 SySCAN 前瞻資安技術年會,做一個記錄。
講到 SySCAN,當初真是沒想到會舉辦。我們在台灣有研發大本營,也認識了不少客戶,社群與朋友。我們常常分享我們在各地駭客年會或資安年會的心得,或給演講分享我們的研究。這一年來,很多人都跟我們說,不是大家都有經費,有時間出國聽演講,加上台灣也有很多好的研究,希望我們如果有能力有時間,能多在台灣幫忙舉辦高技術水準的資安年會。
恩,台灣純技術性,具前瞻性,具國際性的資安年會,真的不多。雖然大家一直提,但是我們的考量也很多。我們當然有東西可以講,也有能力辦,但是究竟有多少人對這種會議的內容有興趣呢?講一般水平的技術,我們沒有興趣,可是講很深很難的東西,會有「票房」嗎?大家會不會聽的懂呢?另外,台灣太多以推銷產品為目的會議了,多到什麼地步呢?多到很多人已經不習慣什麼是純技術的會議了。
譬如去年 OWASP 辦完,有一些代理商的 PM 跟我們反應,他們邀客戶去希望對業務有幫助,可是客戶反應聽完了卻搞不清楚「產品有哪些」?喂喂拜託一下,我們辦這些技術年會,是以探討深入技術,或技術趨勢,或管理層面的經驗,或產業的走向等議題為主,不是在賣產品,要講產品,辦「Armorize Solution Day」就可以了,甚至不用,我們家業務到各位府上做個簡報更快,為何需要大費周章辦這種會議?各位知道,辦一場這種會,開銷多大,我們多累,籌經費就夠難了,邀講師來更難,美國歐洲飛亞洲,來回花很多時間,好的講師自己都很忙,要他們沒有任何商業目的而來給一場演講,誰願意?這些都靠我們的努力,還有私下跟講師的關係,只希望回饋給資安圈一些東西。這些 PM 這樣的反應,代表台灣純技術的會之的太少了,少到很多人只熟悉「產品說明會」,認為技術的會議都是「產品說明會」了。
好了,話說多了,重點是會議的內容。SySCAN 這次為期兩天,共有12場演講,演講內容與講師介紹在這裡有,另外媒體也又報導(報導一、報導二、報導三、報導四)。
第一天都是老外講師,第一場由 Black Hat / DEFCON 資深成員 Adam Laurie 開場,講 RFID 的諸多弱點,以及他的 RFIDIot,讀 RFID 的工具。Adam 的這個演講非常熱門,他願意來,我們非常感謝他。Adam 講了許多 RFID 的弱點,包含護照可以拷貝,信用卡可以被無線盜讀,捷運卡可以修改等等。(今年在 DEFCON 上最轟動的事之一,就是 MIT 的學生要講美國捷運系統的弱點,結果被法院禁講一事)。Adam 不愧是老 DEFCON 成員,我覺得他在內容,技術性,以及演講技巧方面,都做得很好,沒話說。
緊接著 Adam Laurie 的,是我多年的好友 Fyodor。Fyodor 一方面講如何用 Jabber(XMPP) 這種 P2P 架構來建構僵屍網路(botnet),一方面也提了他獨立做的 RFID 研究,利用台灣本土產的讀卡機,可以改大賣場的記點卡,或讀捷運的儲值卡等等。Adam 的 RFIDIot 基本上只有歐系的 RFID 讀卡機能用,台灣的讀卡機都不適用。但是 Fyodor 做的工具,則是支援我們本土產的讀卡機。XMPP 用來做 botnet 我覺得是很大的威脅,因為 protocol 本身非常適合,追蹤的難度又高。最近 Jabber 被 Cisco 買了,我跟 Fyodor 說的時候,他眼淚都快掉下來了。別這樣嘛!不是所有東西被併購以後都會爛掉的!另外很多人建議 Fyodor 中文講這麼好,應該乾脆用中文講,Fyodor 你可以考慮考慮!
Petr 介紹了手機上 rootkit 的設計,以 Windows CE 6 為平台。Petr 講得非常的詳細,另外我覺得課程設計得好的地方是,他有詳細說明在 CE 6 上設計 rootkit 跟 Win32 上有什麼不同,跟 CE 5 上又有什麼不同。我覺得這很實用,很多人很熟 Win32 上的方法,用這樣引導可以很快切入主題。不過 Petr 演講的技巧還可以加強,雖然技術講得很清楚,可是語調有些平淡,個人看法啦!
Matt Conover(shok)是讓這次我很感動的一位講師,外國講師裡頭我給他最高分。Matt 講之前我有跟他溝通,大家英文程度不一樣,雖然有部分與會者英文非常好,聽老外演講完全沒有問題,但是也有一大部分比較吃力,所以希望他能盡量放慢,講不完的話,寧可放棄一些太深的東西不要講,也要求有講到的大家當場能聽懂。結果 shok 在台上刻意把英文放慢,有特別咬字清楚,加上他本身的演講技巧就很好,整場演場下來非常成功,也讓我很感動。我一年跑太多演講了,不是每個講師都願意這樣的,很多講師只顧把自己想講的講完,或顯示自己的研究很強,而不會去管觀眾的吸收度,因為畢竟是 talk 不是 training。不過 Matt 在這邊是出名的好講師,各地的年會,對他的評價都很高。
Matt 講的題目很有意思,是 Matt 最近在 Symantec Research Labs 研發出的一個雛形系統,可以把 kernel-mode 的驅動程式在 user-mode 下執行。這種技術主要用來在 user-mode 下觀察 kernel-mode 之 rootkit 的行為,並能有效控制其行為。有別於傳統利用模擬器之作法,此技術是直接將 rootkit 利用真實硬體執行起來,但是是在 ring 3 而非 ring 0。當此 rootkit 開始利用特殊指令,或開始讀取 / 修改 / 執行 kernel-mode 之記憶體時,我們將 faults 攔截下來並送入 kernel 內。這樣一方面可以使此 rootkit 得以正常執行,一方面又得將其行為限制於 sandbox 內。
Rich Smith 講的「新型攻擊 -- PDOS:利用 flash update 對於嵌入式系統造成永久破壞之攻法」也很勁爆,主要針對嵌入式系統之設備,利用韌體之 flash update 機制,達成 PDOS 之目的。Rich 將針對各嵌入式系統之 flash update 機制與韌體本身的結構做深入的分析,並介紹一個通用的模糊暴力式探測平台(generic fuzzing framework)-- PhlashDance。PhlashDance能自動在各式各樣不同的嵌入式系統中找出 PDOS 漏洞。
我們家 Jack 講的題目是「反恐與國家基礎建設保護」,這方面的研究是 Jack 的專長,但是也比較敏感些,不適合公開在這探討 :)
第二天的開場重擔,交給大砲兄 Roger,講的是如何活逮惡意程式。Roger 不論在他的 blog 「大砲開講」或是在他的演講上,都有他非常獨特的風格。
接下來是 Sean,講的是「嵌入式 script 攻擊」。script 語言一直被認為只有在 Web 上被運用,但是實際上,在今天,許許多多的應用中都會使用嵌入式 scripts(embedded scripts),而我們也觀察到,惡意程式的製造者越來越懂得利用嵌入式 script 來達成攻擊。加上 script 的變形非常容易,要偵測惡意的 script 真是非常困難。
Sean 講了很多 shell code 的基本技巧,我覺得應該對入門者蠻適用的。有些與會者反應講得太「基本」,題目有具前瞻性,但是內容講太多基本的東西。我是覺得也不錯,一個會議各種聽眾都有,有些講師講難一些的,有些講基礎些的,這樣剛好。Sean 不算是有經驗的講師,但是我覺得很有潛力,多加訓練,以後會一場比一場好。要做好的講師,各地的駭客年會 / 資安年會可以多跑一些,比較能抓的住那種「感覺」:)
接下來換我們家 Birdman,這次講的是「犯罪軟體的鑑識與工具痕分析」,問卷調查回來分數非常高,很高興大家喜歡,謝謝各位,Birdman 也辛苦了!Birdman 這次公開的研究,是以惡意程式鑑識角度(Malware Forensics)分析駭客所使用的攻擊工具與後門,透過工具痕以了解作者的來源、意圖目的與威脅衝擊,藉此區分類出不同駭客的活動,並加以追蹤。
Birdman 講完後,換超強的 PK,講的是「犯罪現場: Windows 記憶體內容擷取與鑑識」,做了很多精彩的現場 DEMO,不論是透過 1394 漏洞無密碼登入 Windows,或記憶體的解析,PK 都獲得大家熱烈的掌聲。PK 在 Windows 記憶體內容擷取與鑑識上,真不是蓋的,大家不需要飛到美國聽 Sandman 在 DEFCON 2008 的演講,聽 PK 絕對就夠啦!
接下來我們家 Kuon 講的是 針對 Python 的逆向工程。Python 已經在 TIOBE 程式語言調查結果中,位於前十名且不斷爬升;Google App Engine(應用程式代管服務)最先支援的程式語言就是 Python。Python 近年來大放異彩,多數應用面的安全基礎卻未見其發芽,Kuon 希望藉由探討 Python Internals 來為 Python 安全研究播下種子。
最後是 Nanika 講的「手機上的強大邪惡」,就如同他自己說的,Nanika 可說是大會「好酒陳甕底」,講得很好,他跟 Petr 兩個人可以說把 Windows CE 5/6 的 rootkit 手法涵蓋得很完整了。
最後,謹代表 SyScan 全體工作同仁感謝每一位來參加 SyScan 的黑白帽朋友,感謝你們對於大會的支持!
之前有跟我聊過的朋友都知道,由於會議內容很專業,原先我們估計不會有超過一百人參加(Jack 當初名言:Wayne,你如果堅持要辦 SySCAN,保證台灣不超過 80 人來)。結果我們在 350 人時喊停,當天看到一些朋友希望現場報名,我們讓出工作人員的十個位子,使大會總共有 360 人參與,這是我們完全沒想到的。
我們拍了一些高解析度照片在:
http://picasaweb.google.com/wayne.armorize/SyScanTaiwan
也謝謝大家都幫我們填問卷為我們與講師打成績,這對我們實在太重要了。
再次感謝各位!
作者 Wayne Huang 為阿碼科技 CEO
繼續閱讀全文...
訂閱:
文章
(
Atom
)
分類......
- 攻擊手法 ( 30 )
- 掛馬研究 ( 21 )
- 資安會議 ( 19 )
- 社交工程手法 ( 14 )
- 資安文章、心得、想法 ( 13 )
- 跨站腳本攻擊(XSS) ( 12 )
- 研究報告 ( 11 )
- 掛馬檢測 ( 9 )
- 深度技術 ( 8 )
- XSS蠕蟲 ( 7 )
- 源碼檢測 ( 7 )
- IP Spoofing ( 6 )
- 大規模轉址 ( 6 )
- 路徑安全 ( 6 )
- 零時差攻擊(0 Day) ( 6 )
- drive-by ( 4 )
- 新聞稿 ( 4 )
- SQL Injection ( 3 )
- malvertising ( 3 )
- Hacking ( 2 )
- NoTech ( 2 )
- Web Security ( 2 )
- 滲透測試 ( 2 )
- 網頁應用程式防火牆(WAF) ( 2 )
- 阿碼歷史 ( 2 )
- APT ( 1 )
- CFP ( 1 )
- CWE ( 1 )
- OWASP ( 1 )
- OWASP Top 10 ( 1 )
- SANS ( 1 )
- WAF ( 1 )
- XSS ( 1 )
- malware ( 1 )
- 徵人 ( 1 )
- 惡意廣告 ( 1 )
- 惡意程式 ( 1 )
- 犯罪經濟 ( 1 )
- 資安新聞 ( 1 )
- 資安管理面 ( 1 )
- 針對性攻擊 ( 1 )
- 阿碼文化 ( 1 )
- 阿碼近況 ( 1 )
歷史......
- 2014 ( 6 )
- 2013 ( 5 )
- 2011 ( 16 )
- 2010 ( 11 )
- 2009 ( 39 )
-
2008
(
40
)
- 12月 ( 2 )
- 11月 ( 3 )
-
9月
(
10
)
- 9月 22 ( 1 )
- 9月 19 ( 1 )
- 9月 14 ( 1 )
- 9月 10 ( 1 )
- 9月 08 ( 1 )
- 9月 05 ( 1 )
- 9月 04 ( 1 )
- 9月 03 ( 1 )
搜尋......