網路上交朋友要小心 (Be careful with making friends on IM)

之前在探討 IM (Instant Messaging) 使用上對於帳密保護的重要觀念，不要輕易將帳密外洩出去，也不要輕易將自己的朋友給出賣了，可以參考「你！出賣朋友嗎？」一文。
本文主要探討交朋友時也要多加注意，因為你可能被對方出賣，其中又以 Skype 最需要小心，因為其他如 MSN、Yahoo、AOL...等，需要確切的帳戶資料(通常是 E-Mail)，才能加入「朋友清單」，雖然這帳戶資料在網路上也不難找...XD，不過，還是需要一些網路搜尋術的；只有 Skype 利用關鍵字，就能搜尋 Skype 的使用者資料庫，所以相對而言是非常寬鬆的，你可以找你想找的一些人或族群。可以看下圖：


所以，使用即時通(IM)軟體，你要小心被別人出賣，也不要出賣你的朋友哩。

接下來我們就看一下，哪些人會想跟你交朋友勒...這些圖片可是蒐集很久哩！

上面這張圖一看就像是色情業者來著。這張圖沒有抓到他的個人資料，不過，他是剛滿24歲來著。



上面兩張圖，看不出來頭哩！不知道上面寫的是不是土耳其文，文意也不知是啥？如有知道詳情者還請賜教，感恩。



上面兩張圖，很明顯了吧。又是剛滿24歲。

我們反過來，在 Skype 上搜尋"sexy"字串，可以找到很多都是"剛滿24歲"的帳戶哩。

不知道"剛滿24歲"是否有啥特殊意義呀？希望知道的網友可以告知一下，可以用匿名的方式...ccc

至於交到壞朋友...嗯，應該也不能說教到壞朋友，應該說不慎被出賣了，哪會有啥結果呢。
網路上也有些討論，可以看看、參考一下：
loose wire blog：Meet Veronica, Sexy Skype Spammer
ZDNet：Blogger hit by Skype porn spam, plays along for a bit
Angela-femme sexy-sexe-sex-friend
簡單的說就是皮條客的行為，而皮條客的推銷總是令人反感。不過色情跟賭博通常都是一掛的，畢竟多角化經營唄。

至於 MSN 被出賣了會有何結果呢？這我想大家應該看多了，很多地方也有討論，主要也還有惡意程式利用 IM 進行散播，所以目前而言，嚴重性較高，可以參考這裡的文章；我這耶貼張圖給給大家參考，通常是傳給你一個網站 (URL) 或是一個惡意的檔案；最近莫名其妙的行銷手法越來越多啦。

上圖看來是某種行銷術，八成有個"好友"又把我給出賣了...XD。利用 MSN 最大挑戰是心理難關，因為，送這些訊息給你的都是你的好友，你能有警覺性嗎？我都把 MSN 訊息中的超連結拿掉，怕哪天一時昏迷...中招！

只能說情色行業的滲透力十足，雖然不是高深的攻擊技術，但是充分的利用人性弱點呀。之前貼的一篇文「另類廣告行銷手法」，是不是頗為巧妙的，這裡我的一句話：「對付創意的人，就需要創意的反制策略」。

本文亦張貼於：資安之我見

作者 Crane 為 阿碼科技 資安顧問

繼續閱讀全文...

阿碼科技舉辦SySCAN 前瞻資安技術年會觀察報告

今年的 OWASP 美國年會，阿碼科技跟去年一樣，又派了九個同事參加。大家因為工作分散各地，這次從三個國家飛到紐約會合。行前我跟 YM 聊，我說其實我非常不喜歡旅行，除了自己家，我哪都不太想去。YM 說，哈，那我可真是入錯行了。唉！資安這行，到處跑是必須的，去幫客戶解決問題，去訓練代理商，去展覽，去演講，去聽演講…一年到頭，資安顧問總是得跑來跑去。我跟 YM 說，也許是吧，但是我希望阿碼科技的各位同事能快快成長，能挑大樑，就能幫我分擔了。

工作非常忙，每天都睡不夠，每天都在想，我怎麼還能擠出一兩個小時來，每天總有好多事做不完。在飛機上如果不能工作，我會覺得時間真是太浪費了，所以我都帶很多電池。我是從台北飛紐約，要十六個小時，所以我帶了兩台筆電加上五顆電池，絕對夠我好好工作。飛機一升空，一可以用電腦，馬上開工。

做了一陣子，抬頭一看，哇，飛機上阿碼的同事只有兩種，一種呼呼大睡，一種埋頭打字。現在台北下午六點，能這樣睡，真的表示平常大家都太累了。我問 Benson，哇，原來他也帶了三顆電池！「我跟 QA 借的！」他得意的說。我做他正後方，從此他一口氣做到電池用完，然後火速倒頭就睡。連續放兩場電影了，沒人看，不是工作就是睡覺。只有 Walter 盯著他的 iPod 看，我走過去看看是什麼好片，看得這麼專心，結果是從 Google Video 跟 Youtube 抓下來的最近一些重要的資安演講。WOW！看來阿碼的文化，非常統一，大家辛苦了！

想一想，我們跑了這麼多國外的資安會議，而且我回來還寫報導，這次 OWASP 年會也是一樣，我也會寫觀察記錄，可是對於在台灣舉辦的 SySCAN 前瞻資安技術年會以及 OWASP 亞洲年會，我卻都沒有紀錄，這些會議的品質，一點也不輸國外的年會，沒有紀錄實在說不過去，於是我決定利用現在，幫幾個月前我們與 COSEINC 合辦的 2008 SySCAN 前瞻資安技術年會，做一個記錄。


（我的開場演講：「亞洲在全球資訊安全之特殊地位」）

講到 SySCAN，當初真是沒想到會舉辦。我們在台灣有研發大本營，也認識了不少客戶，社群與朋友。我們常常分享我們在各地駭客年會或資安年會的心得，或給演講分享我們的研究。這一年來，很多人都跟我們說，不是大家都有經費，有時間出國聽演講，加上台灣也有很多好的研究，希望我們如果有能力有時間，能多在台灣幫忙舉辦高技術水準的資安年會。

恩，台灣純技術性，具前瞻性，具國際性的資安年會，真的不多。雖然大家一直提，但是我們的考量也很多。我們當然有東西可以講，也有能力辦，但是究竟有多少人對這種會議的內容有興趣呢？講一般水平的技術，我們沒有興趣，可是講很深很難的東西，會有「票房」嗎？大家會不會聽的懂呢？另外，台灣太多以推銷產品為目的會議了，多到什麼地步呢？多到很多人已經不習慣什麼是純技術的會議了。

譬如去年 OWASP 辦完，有一些代理商的 PM 跟我們反應，他們邀客戶去希望對業務有幫助，可是客戶反應聽完了卻搞不清楚「產品有哪些」？喂喂拜託一下，我們辦這些技術年會，是以探討深入技術，或技術趨勢，或管理層面的經驗，或產業的走向等議題為主，不是在賣產品，要講產品，辦「Armorize Solution Day」就可以了，甚至不用，我們家業務到各位府上做個簡報更快，為何需要大費周章辦這種會議？各位知道，辦一場這種會，開銷多大，我們多累，籌經費就夠難了，邀講師來更難，美國歐洲飛亞洲，來回花很多時間，好的講師自己都很忙，要他們沒有任何商業目的而來給一場演講，誰願意？這些都靠我們的努力，還有私下跟講師的關係，只希望回饋給資安圈一些東西。這些 PM 這樣的反應，代表台灣純技術的會之的太少了，少到很多人只熟悉「產品說明會」，認為技術的會議都是「產品說明會」了。

好了，話說多了，重點是會議的內容。SySCAN 這次為期兩天，共有12場演講，演講內容與講師介紹在這裡有，另外媒體也又報導（報導一、報導二、報導三、報導四）。


（這次講師排出來超棒）


（很多人問可愛會說中文的老外哪來的？他們都是阿碼的工程師啦！）


（Tshirt 背面是大規模 SQL injection 紀念衫，前面是台灣駭客）

第一天都是老外講師，第一場由 Black Hat / DEFCON 資深成員 Adam Laurie 開場，講 RFID 的諸多弱點，以及他的 RFIDIot，讀 RFID 的工具。Adam 的這個演講非常熱門，他願意來，我們非常感謝他。Adam 講了許多 RFID 的弱點，包含護照可以拷貝，信用卡可以被無線盜讀，捷運卡可以修改等等。（今年在 DEFCON 上最轟動的事之一，就是 MIT 的學生要講美國捷運系統的弱點，結果被法院禁講一事）。Adam 不愧是老 DEFCON 成員，我覺得他在內容，技術性，以及演講技巧方面，都做得很好，沒話說。


（Adam 示範門禁卡的盜考）


（Adam：護照的 key 原來就印在內頁啊！）





緊接著 Adam Laurie 的，是我多年的好友 Fyodor。Fyodor 一方面講如何用 Jabber（XMPP） 這種 P2P 架構來建構僵屍網路（botnet），一方面也提了他獨立做的 RFID 研究，利用台灣本土產的讀卡機，可以改大賣場的記點卡，或讀捷運的儲值卡等等。Adam 的 RFIDIot 基本上只有歐系的 RFID 讀卡機能用，台灣的讀卡機都不適用。但是 Fyodor 做的工具，則是支援我們本土產的讀卡機。XMPP 用來做 botnet 我覺得是很大的威脅，因為 protocol 本身非常適合，追蹤的難度又高。最近 Jabber 被 Cisco 買了，我跟 Fyodor 說的時候，他眼淚都快掉下來了。別這樣嘛！不是所有東西被併購以後都會爛掉的！另外很多人建議 Fyodor 中文講這麼好，應該乾脆用中文講，Fyodor 你可以考慮考慮！


（Fyodor 展示台灣 MIFARE 卡的破解）





Petr 介紹了手機上 rootkit 的設計，以 Windows CE 6 為平台。Petr 講得非常的詳細，另外我覺得課程設計得好的地方是，他有詳細說明在 CE 6 上設計 rootkit 跟 Win32 上有什麼不同，跟 CE 5 上又有什麼不同。我覺得這很實用，很多人很熟 Win32 上的方法，用這樣引導可以很快切入主題。不過 Petr 演講的技巧還可以加強，雖然技術講得很清楚，可是語調有些平淡，個人看法啦！


（Petr 把 Window Mobile 6 上的 rootkit 手法講得很清楚）





Matt Conover（shok）是讓這次我很感動的一位講師，外國講師裡頭我給他最高分。Matt 講之前我有跟他溝通，大家英文程度不一樣，雖然有部分與會者英文非常好，聽老外演講完全沒有問題，但是也有一大部分比較吃力，所以希望他能盡量放慢，講不完的話，寧可放棄一些太深的東西不要講，也要求有講到的大家當場能聽懂。結果 shok 在台上刻意把英文放慢，有特別咬字清楚，加上他本身的演講技巧就很好，整場演場下來非常成功，也讓我很感動。我一年跑太多演講了，不是每個講師都願意這樣的，很多講師只顧把自己想講的講完，或顯示自己的研究很強，而不會去管觀眾的吸收度，因為畢竟是 talk 不是 training。不過 Matt 在這邊是出名的好講師，各地的年會，對他的評價都很高。

Matt 講的題目很有意思，是 Matt 最近在 Symantec Research Labs 研發出的一個雛形系統，可以把 kernel-mode 的驅動程式在 user-mode 下執行。這種技術主要用來在 user-mode 下觀察 kernel-mode 之 rootkit 的行為，並能有效控制其行為。有別於傳統利用模擬器之作法，此技術是直接將 rootkit 利用真實硬體執行起來，但是是在 ring 3 而非 ring 0。當此 rootkit 開始利用特殊指令，或開始讀取 / 修改 / 執行 kernel-mode 之記憶體時，我們將 faults 攔截下來並送入 kernel 內。這樣一方面可以使此 rootkit 得以正常執行，一方面又得將其行為限制於 sandbox 內。




（外國講師裡面，這次我最感謝 shok）

Rich Smith 講的「新型攻擊 -- PDOS：利用 flash update 對於嵌入式系統造成永久破壞之攻法」也很勁爆，主要針對嵌入式系統之設備，利用韌體之 flash update 機制，達成 PDOS 之目的。Rich 將針對各嵌入式系統之 flash update 機制與韌體本身的結構做深入的分析，並介紹一個通用的模糊暴力式探測平台（generic fuzzing framework）-- PhlashDance。PhlashDance能自動在各式各樣不同的嵌入式系統中找出 PDOS 漏洞。


（「永久性 DOS --（Permanent Denial Of Service (PDOS)」）





我們家 Jack 講的題目是「反恐與國家基礎建設保護」，這方面的研究是 Jack 的專長，但是也比較敏感些，不適合公開在這探討 :)


（Food, food, not enough food!）

第二天的開場重擔，交給大砲兄 Roger，講的是如何活逮惡意程式。Roger 不論在他的 blog 「大砲開講」或是在他的演講上，都有他非常獨特的風格。


（大砲兄很有自己的風格）







接下來是 Sean，講的是「嵌入式 script 攻擊」。script 語言一直被認為只有在 Web 上被運用，但是實際上，在今天，許許多多的應用中都會使用嵌入式 scripts（embedded scripts），而我們也觀察到，惡意程式的製造者越來越懂得利用嵌入式 script 來達成攻擊。加上 script 的變形非常容易，要偵測惡意的 script 真是非常困難。







Sean 講了很多 shell code 的基本技巧，我覺得應該對入門者蠻適用的。有些與會者反應講得太「基本」，題目有具前瞻性，但是內容講太多基本的東西。我是覺得也不錯，一個會議各種聽眾都有，有些講師講難一些的，有些講基礎些的，這樣剛好。Sean 不算是有經驗的講師，但是我覺得很有潛力，多加訓練，以後會一場比一場好。要做好的講師，各地的駭客年會 / 資安年會可以多跑一些，比較能抓的住那種「感覺」:)

接下來換我們家 Birdman，這次講的是「犯罪軟體的鑑識與工具痕分析」，問卷調查回來分數非常高，很高興大家喜歡，謝謝各位，Birdman 也辛苦了！Birdman 這次公開的研究，是以惡意程式鑑識角度（Malware Forensics）分析駭客所使用的攻擊工具與後門，透過工具痕以了解作者的來源、意圖目的與威脅衝擊，藉此區分類出不同駭客的活動，並加以追蹤。


（Birdman 的演講）








Birdman 講完後，換超強的 PK，講的是「犯罪現場: Windows 記憶體內容擷取與鑑識」，做了很多精彩的現場 DEMO，不論是透過 1394 漏洞無密碼登入 Windows，或記憶體的解析，PK 都獲得大家熱烈的掌聲。PK 在 Windows 記憶體內容擷取與鑑識上，真不是蓋的，大家不需要飛到美國聽 Sandman 在 DEFCON 2008 的演講，聽 PK 絕對就夠啦！


（PK 是這次問卷調查出來最受歡迎的講師之一，謝謝 PK！）





接下來我們家 Kuon 講的是 針對 Python 的逆向工程。Python 已經在 TIOBE 程式語言調查結果中，位於前十名且不斷爬升；Google App Engine（應用程式代管服務）最先支援的程式語言就是 Python。Python 近年來大放異彩，多數應用面的安全基礎卻未見其發芽，Kuon 希望藉由探討 Python Internals 來為 Python 安全研究播下種子。


（Kuon 講針對 python 的逆向工程技術）

最後是 Nanika 講的「手機上的強大邪惡」，就如同他自己說的，Nanika 可說是大會「好酒陳甕底」，講得很好，他跟 Petr 兩個人可以說把 Windows CE 5/6 的 rootkit 手法涵蓋得很完整了。


（Nanika 講手機上的強大邪惡，幾乎把 CE 上的 rootkit 手法都 cover 了）





最後，謹代表 SyScan 全體工作同仁感謝每一位來參加 SyScan 的黑白帽朋友，感謝你們對於大會的支持！

之前有跟我聊過的朋友都知道，由於會議內容很專業，原先我們估計不會有超過一百人參加（Jack 當初名言：Wayne，你如果堅持要辦 SySCAN，保證台灣不超過 80 人來）。結果我們在 350 人時喊停，當天看到一些朋友希望現場報名，我們讓出工作人員的十個位子，使大會總共有 360 人參與，這是我們完全沒想到的。

我們拍了一些高解析度照片在：

http://picasaweb.google.com/wayne.armorize/SyScanTaiwan

也謝謝大家都幫我們填問卷為我們與講師打成績，這對我們實在太重要了。

再次感謝各位！

作者 Wayne Huang 為阿碼科技 CEO

繼續閱讀全文...

阿碼科技參加 OWASP AppSec 印度年會獲頒「最佳貢獻獎」

OWASP AppSec 印度年會，今年首度開辦，有一天的會議與一天的教育訓練，阿碼科技一直以來為 OWASP 會員，並參加各地 OWASP 會議，這次也不例外，參加了 2008 OWASP AppSec India。由於給予主辦單位相當具熱忱的支援，在主題明確的攤位上展示一系列的 Web 安全產品，加上對於技術與安全問題解答明快清楚，我們在兩天會議期間成為會場的焦點，也成為會場中唯一受頒「最佳貢獻獎」的參展廠商！

（上圖：OWASP India 2008開場）

首先，我對於 OWASP India 分會在舉辦第一屆OWASP印度年會的努力高度肯定，這次的會議為期兩天，事實上已經跟 OWASP 美國年會的長度差不多 (2~3天)， Microsoft 、 HP 以及 (ISC)² 等業者也都有出席，今年我們是臨時被主辦單位邀請去支援，我也是臨時被通知要去德里，所以來不及排上 Talk也沒準備，所以沒有排定任何演講，不過分會主席與會議主席看過我們的 demo 後都說明年一定要我們去講。



說到印度，不知道從幾年前開始 "BRIC" 這新名詞開始成為媒體與大眾的新寵，但去過德里的人就知道，從你下飛機過海關開始，就會感受到它是一個一邊開發先進軟體，但另一邊趕不上基礎建設的國家，牛、各種交通工具與行人都擠在路上的老城市，雖然我們有印度籍同事，但我很肯定所到之處是一個特殊的國家，果然沒錯，我在機場過海關被收了"服務費"，問過其他同事，也有類似經驗，甚麼是服務費 ? 白話中文叫做：索賄，但那的確是一個小插曲，出了機場，我在會場的時間都工作的相當愉快。

OWASP 總部為了支援第一次舉辦的印度年會，原先安排了頭銜為 Chief OWASP Evangelist 的 Diniz Cruz 助陣，我也是想跟 Diniz 聊聊，07年在矽谷的年會碰過一次之後就沒再見過，會議一開始，我在下面東張西望，沒看到人，我想大概是只排了 session，沒有讓他講 keynote，繼續等下去，直到OWASP的另一位成員 Jason Li 上台，拿出了NB開了video player，我就知道 Diniz 不會來了 ，他在影片中跟大家道歉說因為簽證原因，不能到印度，很遺憾，所以請 Jason 幫忙代打他的場次：

（上圖：Diniz在影片中跟大家道歉說因為簽證原因）

不過老實說，個人覺得至少應該用即時視訊才對。


Jason Li是 AntiSamy 專案的主持人之一，在這次的會議相當的活躍，也因為Diniz無法到場，他一個人罩4場 talk：

1. About OWASP Foundation– The story so far and beyond.
2. Tour of OWASP projects & The Moral Ecology of OWASP
3. OWASP AntiSamy Project
4. Web 2.0 Security

雖然內容我在去年的 OWASP 美國年會都聽過了，我還是有去捧場，其中比較值得注意的是 ESAPI (Enterprise 跟 AntiSamy專案的發展，基本上兩個專案都是 Input Filter 相關的專案。我還記得 07 年時 OWASP 主席 Jeff Williams 很得意的發表 ESAPI 時 我也在現場。

（上圖為 Jason主講 OWASP Projects）

ESAPI 本身其實就是一個 Java framework，讓 Java developer有一套方法可以做輸入過濾，它針對 OWASP Top10 2007 每一個問題都有對應的解決方法，理論上可以讓開發人員直接套用在專案內，防堵Top10攻擊。 而 AntiSamy 則是針對使用者的輸入做檢查，檢查的方式為比對輸入與 xml 規則，以避免掉類似05年的 SamyWorm 繞過Myspace Regular Expression Input Filter的情況，這兩個專案稍後我有時間的話都會再介紹。

而來自 (ISC)² 的 Mano Paul 講了目前安全的趨勢，內容當然不會比Syscan Taiwan 來得精采，但台風相當風趣，值回票價 ，他一開場就說他們全家為了OWASP India特地從美國飛回來，今天他老婆跟小孩都坐在最後面，而他的小孩才只有2歲，這麼小就參加 Security 年會，搞不好是全世界最年輕的資安人員，搞不好可以申請金氏世界紀錄 ，其實，那時候我的腦海突然閃了幾個面孔。

（上圖為 Mano主講 安全趨勢）

在會議期間，我們穿著背後繡著 "Is your CodeSeucre？" 的橘色工作服在演講與攤位中來回穿梭，且我又是唯二的老中之一，相當醒目，我想要低調都難：


我們的攤位在會場入口，很多人來問技術跟產品相關的問題，其中一位詢問者的website被我們用 HackAlert 當場掃到惡意連結，當場就抓給他看，在技術與產品的回答應該都讓來詢問的人覺得滿意，在會場中我們算是人氣最高的攤位：

（上圖：阿碼科技為會場上最熱門廠商！）

最後我們成為唯一一家獲頒貢獻獎的廠商，就不小心把這個給帶回來了：


（上圖：阿碼科技為獲頒「貢獻獎」）

OWASP AppSec 年會第一次來到印度，卻辦得有聲有色，連背包衣服都有做：


會議為期一天，收費一個人125元美金，各位可以看一下 OWASP 各地的年會，應該只有在台北辦的 OWASP 亞洲年會是不收費的。想一想，似乎我們與 COSEINC 共同主辦的 SySCAN 前瞻資安技術年會，也是全世界收費最低的高技術水平資安年會。

作者 Walter Tsai 為阿碼科技 CTO

繼續閱讀全文...