阿碼外傳-阿碼科技非官方中文 Blog: 09/01/2008 - 10/01/2008

2008年9月30日

網路上交朋友要小心 (Be careful with making friends on IM)

之前在探討 IM (Instant Messaging) 使用上對於帳密保護的重要觀念,不要輕易將帳密外洩出去,也不要輕易將自己的朋友給出賣了,可以參考「你!出賣朋友嗎?」一文。
本文主要探討交朋友時也要多加注意,因為你可能被對方出賣,其中又以 Skype 最需要小心,因為其他如 MSN、Yahoo、AOL...等,需要確切的帳戶資料(通常是 E-Mail),才能加入「朋友清單」,雖然這帳戶資料在網路上也不難找...XD,不過,還是需要一些網路搜尋術的;只有 Skype 利用關鍵字,就能搜尋 Skype 的使用者資料庫,所以相對而言是非常寬鬆的,你可以找你想找的一些人或族群。可以看下圖:


所以,使用即時通(IM)軟體,你要小心被別人出賣,也不要出賣你的朋友哩。

接下來我們就看一下,哪些人會想跟你交朋友勒...這些圖片可是蒐集很久哩!

上面這張圖一看就像是色情業者來著。這張圖沒有抓到他的個人資料,不過,他是剛滿24歲來著。



上面兩張圖,看不出來頭哩!不知道上面寫的是不是土耳其文,文意也不知是啥?如有知道詳情者還請賜教,感恩。



上面兩張圖,很明顯了吧。又是剛滿24歲。

我們反過來,在 Skype 上搜尋"sexy"字串,可以找到很多都是"剛滿24歲"的帳戶哩。

不知道"剛滿24歲"是否有啥特殊意義呀?希望知道的網友可以告知一下,可以用匿名的方式...ccc

至於交到壞朋友...嗯,應該也不能說教到壞朋友,應該說不慎被出賣了,哪會有啥結果呢。
網路上也有些討論,可以看看、參考一下:
loose wire blog:Meet Veronica, Sexy Skype Spammer
ZDNet:Blogger hit by Skype porn spam, plays along for a bit
Angela-femme sexy-sexe-sex-friend
簡單的說就是皮條客的行為,而皮條客的推銷總是令人反感。不過色情跟賭博通常都是一掛的,畢竟多角化經營唄。

至於 MSN 被出賣了會有何結果呢?這我想大家應該看多了,很多地方也有討論,主要也還有惡意程式利用 IM 進行散播,所以目前而言,嚴重性較高,可以參考這裡的文章;我這耶貼張圖給給大家參考,通常是傳給你一個網站 (URL) 或是一個惡意的檔案;最近莫名其妙的行銷手法越來越多啦。

上圖看來是某種行銷術,八成有個"好友"又把我給出賣了...XD。利用 MSN 最大挑戰是心理難關,因為,送這些訊息給你的都是你的好友,你能有警覺性嗎?我都把 MSN 訊息中的超連結拿掉,怕哪天一時昏迷...中招!

只能說情色行業的滲透力十足,雖然不是高深的攻擊技術,但是充分的利用人性弱點呀。之前貼的一篇文「另類廣告行銷手法」,是不是頗為巧妙的,這裡我的一句話:「對付創意的人,就需要創意的反制策略」。

本文亦張貼於:資安之我見

作者 Crane 為 阿碼科技 資安顧問

繼續閱讀全文...

2008年9月24日

阿碼科技舉辦SySCAN 前瞻資安技術年會觀察報告

今年的 OWASP 美國年會,阿碼科技跟去年一樣,又派了九個同事參加。大家因為工作分散各地,這次從三個國家飛到紐約會合。行前我跟 YM 聊,我說其實我非常不喜歡旅行,除了自己家,我哪都不太想去。YM 說,哈,那我可真是入錯行了。唉!資安這行,到處跑是必須的,去幫客戶解決問題,去訓練代理商,去展覽,去演講,去聽演講…一年到頭,資安顧問總是得跑來跑去。我跟 YM 說,也許是吧,但是我希望阿碼科技的各位同事能快快成長,能挑大樑,就能幫我分擔了。

工作非常忙,每天都睡不夠,每天都在想,我怎麼還能擠出一兩個小時來,每天總有好多事做不完。在飛機上如果不能工作,我會覺得時間真是太浪費了,所以我都帶很多電池。我是從台北飛紐約,要十六個小時,所以我帶了兩台筆電加上五顆電池,絕對夠我好好工作。飛機一升空,一可以用電腦,馬上開工。

做了一陣子,抬頭一看,哇,飛機上阿碼的同事只有兩種,一種呼呼大睡,一種埋頭打字。現在台北下午六點,能這樣睡,真的表示平常大家都太累了。我問 Benson,哇,原來他也帶了三顆電池!「我跟 QA 借的!」他得意的說。我做他正後方,從此他一口氣做到電池用完,然後火速倒頭就睡。連續放兩場電影了,沒人看,不是工作就是睡覺。只有 Walter 盯著他的 iPod 看,我走過去看看是什麼好片,看得這麼專心,結果是從 Google Video 跟 Youtube 抓下來的最近一些重要的資安演講。WOW!看來阿碼的文化,非常統一,大家辛苦了!

想一想,我們跑了這麼多國外的資安會議,而且我回來還寫報導,這次 OWASP 年會也是一樣,我也會寫觀察記錄,可是對於在台灣舉辦的 SySCAN 前瞻資安技術年會以及 OWASP 亞洲年會,我卻都沒有紀錄,這些會議的品質,一點也不輸國外的年會,沒有紀錄實在說不過去,於是我決定利用現在,幫幾個月前我們與 COSEINC 合辦的 2008 SySCAN 前瞻資安技術年會,做一個記錄。


(我的開場演講:「亞洲在全球資訊安全之特殊地位」)


講到 SySCAN,當初真是沒想到會舉辦。我們在台灣有研發大本營,也認識了不少客戶,社群與朋友。我們常常分享我們在各地駭客年會或資安年會的心得,或給演講分享我們的研究。這一年來,很多人都跟我們說,不是大家都有經費,有時間出國聽演講,加上台灣也有很多好的研究,希望我們如果有能力有時間,能多在台灣幫忙舉辦高技術水準的資安年會。

恩,台灣純技術性,具前瞻性,具國際性的資安年會,真的不多。雖然大家一直提,但是我們的考量也很多。我們當然有東西可以講,也有能力辦,但是究竟有多少人對這種會議的內容有興趣呢?講一般水平的技術,我們沒有興趣,可是講很深很難的東西,會有「票房」嗎?大家會不會聽的懂呢?另外,台灣太多以推銷產品為目的會議了,多到什麼地步呢?多到很多人已經不習慣什麼是純技術的會議了。

譬如去年 OWASP 辦完,有一些代理商的 PM 跟我們反應,他們邀客戶去希望對業務有幫助,可是客戶反應聽完了卻搞不清楚「產品有哪些」?喂喂拜託一下,我們辦這些技術年會,是以探討深入技術,或技術趨勢,或管理層面的經驗,或產業的走向等議題為主,不是在賣產品,要講產品,辦「Armorize Solution Day」就可以了,甚至不用,我們家業務到各位府上做個簡報更快,為何需要大費周章辦這種會議?各位知道,辦一場這種會,開銷多大,我們多累,籌經費就夠難了,邀講師來更難,美國歐洲飛亞洲,來回花很多時間,好的講師自己都很忙,要他們沒有任何商業目的而來給一場演講,誰願意?這些都靠我們的努力,還有私下跟講師的關係,只希望回饋給資安圈一些東西。這些 PM 這樣的反應,代表台灣純技術的會之的太少了,少到很多人只熟悉「產品說明會」,認為技術的會議都是「產品說明會」了。

好了,話說多了,重點是會議的內容。SySCAN 這次為期兩天,共有12場演講,演講內容與講師介紹在這裡有,另外媒體也又報導(報導一報導二報導三報導四)。


(這次講師排出來超棒)



(很多人問可愛會說中文的老外哪來的?他們都是阿碼的工程師啦!)



(Tshirt 背面是大規模 SQL injection 紀念衫,前面是台灣駭客)


第一天都是老外講師,第一場由 Black Hat / DEFCON 資深成員 Adam Laurie 開場,講 RFID 的諸多弱點,以及他的 RFIDIot,讀 RFID 的工具。Adam 的這個演講非常熱門,他願意來,我們非常感謝他。Adam 講了許多 RFID 的弱點,包含護照可以拷貝,信用卡可以被無線盜讀,捷運卡可以修改等等。(今年在 DEFCON 上最轟動的事之一,就是 MIT 的學生要講美國捷運系統的弱點,結果被法院禁講一事)。Adam 不愧是老 DEFCON 成員,我覺得他在內容,技術性,以及演講技巧方面,都做得很好,沒話說。


(Adam 示範門禁卡的盜考)



(Adam:護照的 key 原來就印在內頁啊!)






緊接著 Adam Laurie 的,是我多年的好友 Fyodor。Fyodor 一方面講如何用 Jabber(XMPP) 這種 P2P 架構來建構僵屍網路(botnet),一方面也提了他獨立做的 RFID 研究,利用台灣本土產的讀卡機,可以改大賣場的記點卡,或讀捷運的儲值卡等等。Adam 的 RFIDIot 基本上只有歐系的 RFID 讀卡機能用,台灣的讀卡機都不適用。但是 Fyodor 做的工具,則是支援我們本土產的讀卡機。XMPP 用來做 botnet 我覺得是很大的威脅,因為 protocol 本身非常適合,追蹤的難度又高。最近 Jabber 被 Cisco 買了,我跟 Fyodor 說的時候,他眼淚都快掉下來了。別這樣嘛!不是所有東西被併購以後都會爛掉的!另外很多人建議 Fyodor 中文講這麼好,應該乾脆用中文講,Fyodor 你可以考慮考慮!


(Fyodor 展示台灣 MIFARE 卡的破解)






Petr 介紹了手機上 rootkit 的設計,以 Windows CE 6 為平台。Petr 講得非常的詳細,另外我覺得課程設計得好的地方是,他有詳細說明在 CE 6 上設計 rootkit 跟 Win32 上有什麼不同,跟 CE 5 上又有什麼不同。我覺得這很實用,很多人很熟 Win32 上的方法,用這樣引導可以很快切入主題。不過 Petr 演講的技巧還可以加強,雖然技術講得很清楚,可是語調有些平淡,個人看法啦!


(Petr 把 Window Mobile 6 上的 rootkit 手法講得很清楚)






Matt Conover(shok)是讓這次我很感動的一位講師,外國講師裡頭我給他最高分。Matt 講之前我有跟他溝通,大家英文程度不一樣,雖然有部分與會者英文非常好,聽老外演講完全沒有問題,但是也有一大部分比較吃力,所以希望他能盡量放慢,講不完的話,寧可放棄一些太深的東西不要講,也要求有講到的大家當場能聽懂。結果 shok 在台上刻意把英文放慢,有特別咬字清楚,加上他本身的演講技巧就很好,整場演場下來非常成功,也讓我很感動。我一年跑太多演講了,不是每個講師都願意這樣的,很多講師只顧把自己想講的講完,或顯示自己的研究很強,而不會去管觀眾的吸收度,因為畢竟是 talk 不是 training。不過 Matt 在這邊是出名的好講師,各地的年會,對他的評價都很高。

Matt 講的題目很有意思,是 Matt 最近在 Symantec Research Labs 研發出的一個雛形系統,可以把 kernel-mode 的驅動程式在 user-mode 下執行。這種技術主要用來在 user-mode 下觀察 kernel-mode 之 rootkit 的行為,並能有效控制其行為。有別於傳統利用模擬器之作法,此技術是直接將 rootkit 利用真實硬體執行起來,但是是在 ring 3 而非 ring 0。當此 rootkit 開始利用特殊指令,或開始讀取 / 修改 / 執行 kernel-mode 之記憶體時,我們將 faults 攔截下來並送入 kernel 內。這樣一方面可以使此 rootkit 得以正常執行,一方面又得將其行為限制於 sandbox 內。




(外國講師裡面,這次我最感謝 shok)


Rich Smith 講的「新型攻擊 -- PDOS:利用 flash update 對於嵌入式系統造成永久破壞之攻法」也很勁爆,主要針對嵌入式系統之設備,利用韌體之 flash update 機制,達成 PDOS 之目的。Rich 將針對各嵌入式系統之 flash update 機制與韌體本身的結構做深入的分析,並介紹一個通用的模糊暴力式探測平台(generic fuzzing framework)-- PhlashDance。PhlashDance能自動在各式各樣不同的嵌入式系統中找出 PDOS 漏洞。


(「永久性 DOS --(Permanent Denial Of Service (PDOS)」)






我們家 Jack 講的題目是「反恐與國家基礎建設保護」,這方面的研究是 Jack 的專長,但是也比較敏感些,不適合公開在這探討 :)


(Food, food, not enough food!)


第二天的開場重擔,交給大砲兄 Roger,講的是如何活逮惡意程式。Roger 不論在他的 blog 「大砲開講」或是在他的演講上,都有他非常獨特的風格。


(大砲兄很有自己的風格)








接下來是 Sean,講的是「嵌入式 script 攻擊」。script 語言一直被認為只有在 Web 上被運用,但是實際上,在今天,許許多多的應用中都會使用嵌入式 scripts(embedded scripts),而我們也觀察到,惡意程式的製造者越來越懂得利用嵌入式 script 來達成攻擊。加上 script 的變形非常容易,要偵測惡意的 script 真是非常困難。







Sean 講了很多 shell code 的基本技巧,我覺得應該對入門者蠻適用的。有些與會者反應講得太「基本」,題目有具前瞻性,但是內容講太多基本的東西。我是覺得也不錯,一個會議各種聽眾都有,有些講師講難一些的,有些講基礎些的,這樣剛好。Sean 不算是有經驗的講師,但是我覺得很有潛力,多加訓練,以後會一場比一場好。要做好的講師,各地的駭客年會 / 資安年會可以多跑一些,比較能抓的住那種「感覺」:)

接下來換我們家 Birdman,這次講的是「犯罪軟體的鑑識與工具痕分析」,問卷調查回來分數非常高,很高興大家喜歡,謝謝各位,Birdman 也辛苦了!Birdman 這次公開的研究,是以惡意程式鑑識角度(Malware Forensics)分析駭客所使用的攻擊工具與後門,透過工具痕以了解作者的來源、意圖目的與威脅衝擊,藉此區分類出不同駭客的活動,並加以追蹤。


(Birdman 的演講)









Birdman 講完後,換超強的 PK,講的是「犯罪現場: Windows 記憶體內容擷取與鑑識」,做了很多精彩的現場 DEMO,不論是透過 1394 漏洞無密碼登入 Windows,或記憶體的解析,PK 都獲得大家熱烈的掌聲。PK 在 Windows 記憶體內容擷取與鑑識上,真不是蓋的,大家不需要飛到美國聽 Sandman 在 DEFCON 2008 的演講,聽 PK 絕對就夠啦!


(PK 是這次問卷調查出來最受歡迎的講師之一,謝謝 PK!)






接下來我們家 Kuon 講的是 針對 Python 的逆向工程。Python 已經在 TIOBE 程式語言調查結果中,位於前十名且不斷爬升;Google App Engine(應用程式代管服務)最先支援的程式語言就是 Python。Python 近年來大放異彩,多數應用面的安全基礎卻未見其發芽,Kuon 希望藉由探討 Python Internals 來為 Python 安全研究播下種子。


(Kuon 講針對 python 的逆向工程技術)


最後是 Nanika 講的「手機上的強大邪惡」,就如同他自己說的,Nanika 可說是大會「好酒陳甕底」,講得很好,他跟 Petr 兩個人可以說把 Windows CE 5/6 的 rootkit 手法涵蓋得很完整了。


(Nanika 講手機上的強大邪惡,幾乎把 CE 上的 rootkit 手法都 cover 了)






最後,謹代表 SyScan 全體工作同仁感謝每一位來參加 SyScan 的黑白帽朋友,感謝你們對於大會的支持!

之前有跟我聊過的朋友都知道,由於會議內容很專業,原先我們估計不會有超過一百人參加(Jack 當初名言:Wayne,你如果堅持要辦 SySCAN,保證台灣不超過 80 人來)。結果我們在 350 人時喊停,當天看到一些朋友希望現場報名,我們讓出工作人員的十個位子,使大會總共有 360 人參與,這是我們完全沒想到的。

我們拍了一些高解析度照片在:

http://picasaweb.google.com/wayne.armorize/SyScanTaiwan

也謝謝大家都幫我們填問卷為我們與講師打成績,這對我們實在太重要了。

再次感謝各位!

作者 Wayne Huang 為阿碼科技 CEO

繼續閱讀全文...

2008年9月22日

阿碼科技參加 OWASP AppSec 印度年會獲頒「最佳貢獻獎」

OWASP AppSec 印度年會,今年首度開辦,有一天的會議與一天的教育訓練,阿碼科技一直以來為 OWASP 會員,並參加各地 OWASP 會議,這次也不例外,參加了 2008 OWASP AppSec India。由於給予主辦單位相當具熱忱的支援,在主題明確的攤位上展示一系列的 Web 安全產品,加上對於技術與安全問題解答明快清楚,我們在兩天會議期間成為會場的焦點,也成為會場中唯一受頒「最佳貢獻獎」的參展廠商!

(上圖:OWASP India 2008開場)


首先,我對於 OWASP India 分會在舉辦第一屆OWASP印度年會的努力高度肯定,這次的會議為期兩天,事實上已經跟 OWASP 美國年會的長度差不多 (2~3天), Microsoft 、 HP 以及 (ISC)2 等業者也都有出席,今年我們是臨時被主辦單位邀請去支援,我也是臨時被通知要去德里,所以來不及排上 Talk也沒準備,所以沒有排定任何演講,不過分會主席與會議主席看過我們的 demo 後都說明年一定要我們去講。



說到印度,不知道從幾年前開始 "BRIC" 這新名詞開始成為媒體與大眾的新寵,但去過德里的人就知道,從你下飛機過海關開始,就會感受到它是一個一邊開發先進軟體,但另一邊趕不上基礎建設的國家,牛、各種交通工具與行人都擠在路上的老城市,雖然我們有印度籍同事,但我很肯定所到之處是一個特殊的國家,果然沒錯,我在機場過海關被收了"服務費",問過其他同事,也有類似經驗,甚麼是服務費 ? 白話中文叫做:索賄,但那的確是一個小插曲,出了機場,我在會場的時間都工作的相當愉快。

OWASP 總部為了支援第一次舉辦的印度年會,原先安排了頭銜為 Chief OWASP Evangelist 的 Diniz Cruz 助陣,我也是想跟 Diniz 聊聊,07年在矽谷的年會碰過一次之後就沒再見過,會議一開始,我在下面東張西望,沒看到人,我想大概是只排了 session,沒有讓他講 keynote,繼續等下去,直到OWASP的另一位成員 Jason Li 上台,拿出了NB開了video player,我就知道 Diniz 不會來了 ,他在影片中跟大家道歉說因為簽證原因,不能到印度,很遺憾,所以請 Jason 幫忙代打他的場次:


(上圖:Diniz在影片中跟大家道歉說因為簽證原因)

不過老實說,個人覺得至少應該用即時視訊才對。


Jason Li是 AntiSamy 專案的主持人之一,在這次的會議相當的活躍,也因為Diniz無法到場,他一個人罩4場 talk:

1. About OWASP Foundation– The story so far and beyond.
2. Tour of OWASP projects & The Moral Ecology of OWASP
3. OWASP AntiSamy Project
4. Web 2.0 Security

雖然內容我在去年的 OWASP 美國年會都聽過了,我還是有去捧場,其中比較值得注意的是 ESAPI (Enterprise 跟 AntiSamy專案的發展,基本上兩個專案都是 Input Filter 相關的專案。我還記得 07 年時 OWASP 主席 Jeff Williams 很得意的發表 ESAPI 時 我也在現場。


(上圖為 Jason主講 OWASP Projects)


ESAPI 本身其實就是一個 Java framework,讓 Java developer有一套方法可以做輸入過濾,它針對 OWASP Top10 2007 每一個問題都有對應的解決方法,理論上可以讓開發人員直接套用在專案內,防堵Top10攻擊。 而 AntiSamy 則是針對使用者的輸入做檢查,檢查的方式為比對輸入與 xml 規則,以避免掉類似05年的 SamyWorm 繞過Myspace Regular Expression Input Filter的情況,這兩個專案稍後我有時間的話都會再介紹。

而來自 (ISC)2 的 Mano Paul 講了目前安全的趨勢,內容當然不會比Syscan Taiwan 來得精采,但台風相當風趣,值回票價 ,他一開場就說他們全家為了OWASP India特地從美國飛回來,今天他老婆跟小孩都坐在最後面,而他的小孩才只有2歲,這麼小就參加 Security 年會,搞不好是全世界最年輕的資安人員,搞不好可以申請金氏世界紀錄 ,其實,那時候我的腦海突然閃了幾個面孔。


(上圖為 Mano主講 安全趨勢)


在會議期間,我們穿著背後繡著 "Is your CodeSeucre?" 的橘色工作服在演講與攤位中來回穿梭,且我又是唯二的老中之一,相當醒目,我想要低調都難:


我們的攤位在會場入口,很多人來問技術跟產品相關的問題,其中一位詢問者的website被我們用 HackAlert 當場掃到惡意連結,當場就抓給他看,在技術與產品的回答應該都讓來詢問的人覺得滿意,在會場中我們算是人氣最高的攤位:



(上圖:阿碼科技為會場上最熱門廠商!)


最後我們成為唯一一家獲頒貢獻獎的廠商,就不小心把這個給帶回來了:


(上圖:阿碼科技為獲頒「貢獻獎」)


OWASP AppSec 年會第一次來到印度,卻辦得有聲有色,連背包衣服都有做:


會議為期一天,收費一個人125元美金,各位可以看一下 OWASP 各地的年會,應該只有在台北辦的 OWASP 亞洲年會是不收費的。想一想,似乎我們與 COSEINC 共同主辦的 SySCAN 前瞻資安技術年會,也是全世界收費最低的高技術水平資安年會。

作者 Walter Tsai 為阿碼科技 CTO

繼續閱讀全文...