OWASP ( Open Web Application Security Project) 第二屆亞洲官方年會於10月27至28日在台北盛大舉辦,第一天總共出席人數超過1168位,讓國外來的演講者也感受到全球第一盛大的OWASP會議。OWASP是一個國際公開推廣網站應用軟體安全的非營利組織,宗旨在於研究最新資安攻擊,提供研究報告與相對應之免費開放源碼解決方案,讓決策人員能正確了解相關的風險,也讓資安工作人員與程式開發人員能有開放源碼的工具可以對抗威脅。
OWASP是一個國際公開推廣網站應用軟體安全的非營利組織,宗旨在於研究最新資安攻擊,提供研究報告與相對應之免費開放源碼解決方案,讓決策人員能正確了解相關的風險,也讓資安工作人員與程式開發人員能有開放源碼的工具可以對抗威脅。OWASP所訂的 Web 前十大威脅「OWASP Top 10」,為各國政府採用,也被業界之標準如 PCI (五大信用卡公司聯合標準)與 OCC(Office of the Comptroller of the Currency,美國財務部)等。中華民國行政院研考會「Web應用程式安全參考指引」,也倡導應於網站的徵求建議書 (RFP)與驗收階段涵蓋最迫切的OWASP資安弱點。
這次會議一共有 18 位外籍講師以及各國 OWASP 分會領袖參與。現今網路犯罪氾濫其中部分原因是網站不夠安全所致,因此,在本次會議中將邀請專家講師聚焦探討「Web 2.0時代各種資安技術比較與市場分析」、「網路犯罪研究與五千萬筆個資外洩事件調查建議」、「網站被駭的真實故事集」、「網站掛馬研究」、「Web 上之僵屍網路與 DDoS 研究」等議題,以及防護面的「Web 威脅與防禦實例」、「Web 應用程式主動與被動式防護比較」、「如何做好商業滲透測試」等最新的演講內容。
OWASP 全球已經有超過 130 個分會,台灣分會的會長為黃耀文先生(Wayne Huang)。會中另外兩個重頭戲則是10月27日「OWASP 亞洲領袖會議」由來自亞洲各國的OWASP分會代表,首次在台灣進行高峰會議,包含中國、香港 、印度德里、 印度孟買、泰國、越南、 新加坡與韓國分會代表出席參與。在經濟部工業局、技術處的指導以及資策會、中華資訊軟體協會的大力推動下,以及各家資安廠商的贊助下,可以說是寫下推動主辦國際化與非官方組織交流的重要里程碑,是亞洲有史以來最大的 OWASP 活動!其次,10月28日「Web Security 論壇: 黑箱、白箱、還是 WAF 防火牆?工具好還是顧問好?」將由與會專家探討現在資安環境及用戶心中最常見的卻頗具爭議的問題,預期將有一番各方看法的唇槍舌戰,精彩可期。
今年 OWASP 亞洲年會報名人數超過一千三百人,為亞洲有史以來最大型之 Web 資安會議。OWASP亞洲年會能夠在台北舉行,一方面證明了台灣資安之能量,展現了台灣各指導機關多年致力於資安意識之提升,各學術單位致力於資安基礎與應用之研究,產業界致力資安產品之研發與整合,以及媒體致力於各領域資安訊息之分析等之成果;一方面也證明了,台灣在資安領域有其獨特之政治與軍事防禦意義,由於對資安有高於他國之需求,也造就了我們資安實力與經驗之累積,能夠在多年努力後,開始與他國分享我們的成果。
中文活動議程 http://owasp.org.tw/blog/
英文活動網站 http://www.owasp.org/index.php/OWASP_AppSec_Asia_2008
地點: 台北國際會議中心 TICC 三樓大會堂 (台北市信義路五段一號)
繼續閱讀全文...
2008年10月27日
2008年10月17日
HackAlert Enterprise - 企業級掛馬監控方案
Hi 大家好,兩個月前我在「網頁掛馬檢查服務--全網監控功能啟動!」這篇 blog 中介紹了當時我們正在開發的產品 - HackAlert Enterprise,隨後我們的 CEO Wayne 也抽空幫忙補上了一篇「HackAlert 的架構與技術 」,對當年發表在 WWW2003 的 WAVES 研究計畫做個概觀介紹。
上一篇發文時,UI 因為時程的關係許多功能還沒完成,但隨後我們從國內外的 beta user 收到了不少回應,激發了HackAlert 開發團隊不少新的想法,做了很多討論,也當然寫了相當多的程式碼、加上測試、系統整合,最後完成了新版的 HackAlert Enterprise,就是此篇的主角:
上圖是簡潔的登入頁面,在1年前掛馬還沒自動化到今天這樣的局面時,若你有 HackAlert SaaS 服務的帳號,你可以鎖定幾個網址,讓服務自動替你監控,出了事就會收到 email 通報,另一方面,可使用 On-Demand(立即掃描)來做即時檢驗,這邊說的 "即時" 是指當你填選完網址之後,HackAlert SaaS 的引擎就會立即替你瀏覽該網址,並將結果回報在下方的檢測結果,就拿10月15在大砲兄的開講網站上被公告的台灣咖啡網做為測試範例,首先看10月17號的On-demand掃描結果,我們可以看到這個網站的首頁仍掛著惡意程式:
西方有一句話說得很好 "A Picture Worth More Than Words Can Say"(一圖勝過千言萬語),隨著技術與文明的演進,古老的諺語也會跟著改變,我想 "A Picture" 可以直接換成 "A Video", 因為現在在 Youtube 上就可以看到今天(10月17號)台灣咖啡網的紀錄片:
影片外部連結
這是一般惡意程式常見癱瘓系統的方式,瘋狂似的開啟大量的視窗、破壞系統的重要檔案,但也可能會自動地關閉防毒軟體,靜悄悄的安裝可遠端遙控的後門以及鍵盤側錄器,而這些都在瀏覽網站中不小心植入惡意程式,目前Google會將含有惡意程式的網址加一個 "這個網站可能會損害您的電腦" 標籤,並阻止進一步的瀏覽,但上榜就一定不是好事, 因為那表示這個網站的有程式設計漏洞、 管理缺失等問題,也影響了大家再回來光臨這個網站的意願,而因為駭客通常都是先拿完資料才種惡意連結,所以對於有販售商品的網站,這類事件等於個資與信用卡交易都已經被盜光,主機也可能已經被裝了 Rootkit。
在影片中,眼尖的人會發現不只一頁被掛馬,那是因為從今年開始出現大規模SQL攻擊之後,從入侵網站到掛馬就都是全自動了,有興趣的人可以 Google 一下相關工具。由於這幾年高互動的網頁把廣大網民的胃口養壞了,現在的商業網站都要做得夠動態、美工夠光鮮亮麗才有人要看,一個小站隨便就數百隻程式碼,但常看到一個狀況就是趕程式加上沒經驗,看過許多直接延用書上範例程式的例子,所以當然直接被自動攻擊打穿,而較深處頁面被掛馬就不容易被發現,所以後續清除時,惡意IFRAME可能也就沒有移除。
若網站太過於動態,用HackAlert SaaS 的話在管理上就不夠充足,若需要節省逐一更新鎖定URL的時間,HackAlert Enterprise 的全站監控就派得上用場,只需指定初始頁 URL,其他的就交給自動化頁面爬取功能(crawler)解決。登入後可以看到下列畫面:
企業版照我們一貫的設計風格,提供 Ajax 設定精靈,全站監控採用一個 project (掃描專案)來管理一個 Website 起始網址,我們點選 "Add Website Monitor" 後會出現下列3步驟,第一步驟為替專案命名與設定起始網址,在 UI 上稱做 Main URL:
第二步驟為選擇掃描類型,企業版提供 Malware 掛馬監控之外、還具有偵測網頁竄改(Defacement Monitoring)的功能,目前還在開發中,下次再介紹,我們選擇 Malware Detection:
第三步為設定要自動爬取(crawl)的範圍,才能避免從首頁開始自動找相關頁面的過程一直發散、使得程式無法停止,在這邊我們預設深度為 5 表示從首頁開始最多爬取 5 層,最大URL限制設為 400 指定爬取到 400 頁之後就停止,接下來是指定要納入的外部網址,假設起始網址為 http://www.example.com.tw,若要支援 http://shop.example.com.tw 就必須將http://shop.example.com.tw的這個 subdomain 加到到個欄位,最後一個是選擇間隔時間。
點選 Finish 之後,可以看到專案已經建立並被排入掃描引擎當中,但仍未開始掃描:
設定精靈幫專案建立了主要的項目,如果要變更選項, 在右手邊還有一些選項可以進行微調設定,這邊可以點進 "Edit Configuration" 這個圖示會出現下列畫面:
我們把監控時間改成每40分鐘一次,接著前往另一個設定頁面 "Notification Rules" (通知規則),這邊可以細分為 Email 以及 SMS 簡訊兩部分,首先在 Email 通知設定內,我指定只要出現任何異常狀況都通知我:
接著設定企業版才有的 SMS 簡訊通知,我指定只要惡意程式確定存在我監控的網頁,就送簡訊到我設定的門號 (有預設數量限制,使用完畢會收到 Email 通知):
不等排程啟動,我們直接點選開始鍵,接著會出現下列掃描狀態對話框,我們可以看到在掃描專案啟動的14秒內,掃描引擎發現了6個網址且全部都有惡意程式 ( URLs with malware 的值為 6 ),下方視窗可看到引擎的執行狀態:
7 分鐘過後,達到了 URL 上限的設定值 400 頁,掃描結果呈現出從首頁開始有 394 頁面被掛了惡意程式,另外一個頁面具有可疑連結,但不會觸發惡意程式,點選 "Malware" 分頁可以看到惡意程式的詳細資訊,清楚的說明從哪邊下載、以及自動載入到哪個目錄:
許多動態頁面發現被打穿了且掛了惡意程式,有時間的話我們的研究員可以利用 HackAlert Enterprise 研究一下自動掛馬器可以掛多深︰
透過上面內容的介紹,大家可以發現與前一版的差異已經相當大,可見大家相當辛苦!
這次利用台灣咖啡網作為說明並不是針對這個案例,而是直接就最近被報導的網站做說明,提醒大家網站攻擊的變化越來越快。在網頁掛馬的影響上,我在意的是個資,因為不論是主機被打穿導致資料被撈光、或是透過掛馬植入個人電腦上蒐集的惡意程式,都會衍伸出經濟、社會安全等等問題。最近看到一些消息,發現個資在國外黑市的販售價格有下降的趨勢,那其實表示資料越來越多、且容易取得,我個人的看法為這件事情跟自動化攻擊絕對有關,站在網路使用者的立場,除了一方面提升大家對於掛馬的認知,也希望從風險的角度,讓企業能有工具做網站災難管理,這在目前甚麼都 2.0、3.0、3.5 的時代,絕對會比過去來得重要。
作者 Walter Tsai 為阿碼科技 CTO
繼續閱讀全文...
上一篇發文時,UI 因為時程的關係許多功能還沒完成,但隨後我們從國內外的 beta user 收到了不少回應,激發了HackAlert 開發團隊不少新的想法,做了很多討論,也當然寫了相當多的程式碼、加上測試、系統整合,最後完成了新版的 HackAlert Enterprise,就是此篇的主角:
上圖是簡潔的登入頁面,在1年前掛馬還沒自動化到今天這樣的局面時,若你有 HackAlert SaaS 服務的帳號,你可以鎖定幾個網址,讓服務自動替你監控,出了事就會收到 email 通報,另一方面,可使用 On-Demand(立即掃描)來做即時檢驗,這邊說的 "即時" 是指當你填選完網址之後,HackAlert SaaS 的引擎就會立即替你瀏覽該網址,並將結果回報在下方的檢測結果,就拿10月15在大砲兄的開講網站上被公告的台灣咖啡網做為測試範例,首先看10月17號的On-demand掃描結果,我們可以看到這個網站的首頁仍掛著惡意程式:
西方有一句話說得很好 "A Picture Worth More Than Words Can Say"(一圖勝過千言萬語),隨著技術與文明的演進,古老的諺語也會跟著改變,我想 "A Picture" 可以直接換成 "A Video", 因為現在在 Youtube 上就可以看到今天(10月17號)台灣咖啡網的紀錄片:
影片外部連結
這是一般惡意程式常見癱瘓系統的方式,瘋狂似的開啟大量的視窗、破壞系統的重要檔案,但也可能會自動地關閉防毒軟體,靜悄悄的安裝可遠端遙控的後門以及鍵盤側錄器,而這些都在瀏覽網站中不小心植入惡意程式,目前Google會將含有惡意程式的網址加一個 "這個網站可能會損害您的電腦" 標籤,並阻止進一步的瀏覽,但上榜就一定不是好事, 因為那表示這個網站的有程式設計漏洞、 管理缺失等問題,也影響了大家再回來光臨這個網站的意願,而因為駭客通常都是先拿完資料才種惡意連結,所以對於有販售商品的網站,這類事件等於個資與信用卡交易都已經被盜光,主機也可能已經被裝了 Rootkit。
在影片中,眼尖的人會發現不只一頁被掛馬,那是因為從今年開始出現大規模SQL攻擊之後,從入侵網站到掛馬就都是全自動了,有興趣的人可以 Google 一下相關工具。由於這幾年高互動的網頁把廣大網民的胃口養壞了,現在的商業網站都要做得夠動態、美工夠光鮮亮麗才有人要看,一個小站隨便就數百隻程式碼,但常看到一個狀況就是趕程式加上沒經驗,看過許多直接延用書上範例程式的例子,所以當然直接被自動攻擊打穿,而較深處頁面被掛馬就不容易被發現,所以後續清除時,惡意IFRAME可能也就沒有移除。
若網站太過於動態,用HackAlert SaaS 的話在管理上就不夠充足,若需要節省逐一更新鎖定URL的時間,HackAlert Enterprise 的全站監控就派得上用場,只需指定初始頁 URL,其他的就交給自動化頁面爬取功能(crawler)解決。登入後可以看到下列畫面:
企業版照我們一貫的設計風格,提供 Ajax 設定精靈,全站監控採用一個 project (掃描專案)來管理一個 Website 起始網址,我們點選 "Add Website Monitor" 後會出現下列3步驟,第一步驟為替專案命名與設定起始網址,在 UI 上稱做 Main URL:
第二步驟為選擇掃描類型,企業版提供 Malware 掛馬監控之外、還具有偵測網頁竄改(Defacement Monitoring)的功能,目前還在開發中,下次再介紹,我們選擇 Malware Detection:
第三步為設定要自動爬取(crawl)的範圍,才能避免從首頁開始自動找相關頁面的過程一直發散、使得程式無法停止,在這邊我們預設深度為 5 表示從首頁開始最多爬取 5 層,最大URL限制設為 400 指定爬取到 400 頁之後就停止,接下來是指定要納入的外部網址,假設起始網址為 http://www.example.com.tw,若要支援 http://shop.example.com.tw 就必須將http://shop.example.com.tw的這個 subdomain 加到到個欄位,最後一個是選擇間隔時間。
點選 Finish 之後,可以看到專案已經建立並被排入掃描引擎當中,但仍未開始掃描:
設定精靈幫專案建立了主要的項目,如果要變更選項, 在右手邊還有一些選項可以進行微調設定,這邊可以點進 "Edit Configuration" 這個圖示會出現下列畫面:
我們把監控時間改成每40分鐘一次,接著前往另一個設定頁面 "Notification Rules" (通知規則),這邊可以細分為 Email 以及 SMS 簡訊兩部分,首先在 Email 通知設定內,我指定只要出現任何異常狀況都通知我:
接著設定企業版才有的 SMS 簡訊通知,我指定只要惡意程式確定存在我監控的網頁,就送簡訊到我設定的門號 (有預設數量限制,使用完畢會收到 Email 通知):
不等排程啟動,我們直接點選開始鍵,接著會出現下列掃描狀態對話框,我們可以看到在掃描專案啟動的14秒內,掃描引擎發現了6個網址且全部都有惡意程式 ( URLs with malware 的值為 6 ),下方視窗可看到引擎的執行狀態:
7 分鐘過後,達到了 URL 上限的設定值 400 頁,掃描結果呈現出從首頁開始有 394 頁面被掛了惡意程式,另外一個頁面具有可疑連結,但不會觸發惡意程式,點選 "Malware" 分頁可以看到惡意程式的詳細資訊,清楚的說明從哪邊下載、以及自動載入到哪個目錄:
許多動態頁面發現被打穿了且掛了惡意程式,有時間的話我們的研究員可以利用 HackAlert Enterprise 研究一下自動掛馬器可以掛多深︰
透過上面內容的介紹,大家可以發現與前一版的差異已經相當大,可見大家相當辛苦!
這次利用台灣咖啡網作為說明並不是針對這個案例,而是直接就最近被報導的網站做說明,提醒大家網站攻擊的變化越來越快。在網頁掛馬的影響上,我在意的是個資,因為不論是主機被打穿導致資料被撈光、或是透過掛馬植入個人電腦上蒐集的惡意程式,都會衍伸出經濟、社會安全等等問題。最近看到一些消息,發現個資在國外黑市的販售價格有下降的趨勢,那其實表示資料越來越多、且容易取得,我個人的看法為這件事情跟自動化攻擊絕對有關,站在網路使用者的立場,除了一方面提升大家對於掛馬的認知,也希望從風險的角度,讓企業能有工具做網站災難管理,這在目前甚麼都 2.0、3.0、3.5 的時代,絕對會比過去來得重要。
作者 Walter Tsai 為阿碼科技 CTO
繼續閱讀全文...
2008年10月4日
2008 OWASP 亞洲年會 議程公布,共兩天!
(轉貼自http://owasp.org.tw/blog,請大家幫忙告訴大家,請盡量幫忙轉貼,感謝!)
首先感謝大家對於去年的「第一屆 OWASP 亞洲官方年會」的支持,讓我們全場 650 個位子座無虛席!
2008 OWASP 亞洲年會今年議程終於出爐了,由一天改成兩天(10/27~28),先簡單公布如下:
★ 主辦單位保留變更活動內容及相關事項之權利。
今在籌辦第二屆 OWASP 官方亞洲年會時,心中感觸特別多。OWASP 亞洲年會,都是由我們向贊助單位籌資金,然後想辦法邀到好的講師來演講。亞洲距離歐美很遠,飛來一趟要花很多時間,使得整個活動的籌辦,不但籌資金困難,邀頂尖的講師更是難上加難。同時,我們希望今年能夠達到:
1. 對於最新的 Web 攻擊手法,有深入的技術性探討,讓使用者也讓廠商能了解新的攻擊趨勢。
2. 對於防守的策略,能找到在技術上有深度,並且不帶廠商色彩的講師,對於各方面的技術,如滲透測試、黑箱或 WAF 等,都能涵蓋。
3. 站在廠商的角度,對於整個資安產業的趨勢,站在使用者的角度,對於各種技術的比較,能有具公信力的資深產業分析師來探討。
4. 對於透過 Web 的網路犯罪,能有資深的檢調單位代表來分享經驗。
5. 講師方面,希望仍有一半是外籍講師,並希望盡量是在 OWASP 其他年會演講過之講師,因為 OWASP 亞洲年會在建立的初期,需要他們來帶入 OWASP 應有的文化。
要達到以上五點,真的非常不容易,也感謝全體工作人員的努力。今年,第二屆OWASP官方亞洲年會「OWASP AppSec Asia 2008」日期與講師已經確定,會有專業同步翻譯(口譯),會有 T-shirt,也會對政府單位發正式的公文,但是由於時間緊迫,先跟各位告知。我們很感謝資策會與中華民國資訊軟體協會能贊助我們,也感謝資安人雜誌能當我們的協辦媒體,讓活動能成行。大會目前還缺贊助單位,如有興趣可與我聯絡,另外只有 650 個位子,報名從速,我們這麼辛苦的準備,希望在會場能見到您!這只是一個初步的快速通知,之後會有正式的網頁,請各位隨時留意 OWASP 台灣分會官網 以及訂閱 OWASP 台灣分會部落格。今年的外籍講師共有九位(美國四位,歐洲一位,印度兩位,泰國一位,俄國一位),其中為剛結束的 2008 OWASP 美國年會 的講師有四位,2008 OWASP 歐洲年會講師有兩位,2008 OWASP 印度年會講師有一位,有幾位同時為美國駭客年會 Black Hat / DEFCON 講師,其中也包括了 OWASP印度分會主席,OWASP孟買分會代表,OWASP德國分會代表,OWASP泰國分會主席。
今年的重頭戲,當然是 Robert 在今年 2008 OWASP 美國年會的演講被禁講(ITHome 報導、阿碼報導)的演講,會在台北做全球首度的公開演說。英國最大 IT 媒體The Register 以「Adobe 禁止 Clickjacking 弱點的公開」大幅報導此事,RSnake 則說,原本他們覺得是一場很好的演講,但是因為漏洞像滾雪球一樣,一個漏洞導致另一個漏洞,牽涉到一個接一個廠商,導致整個弱點的嚴重性不只是嚴重,而是超級嚴重所以兩個講師決定必須等所有牽涉其中的廠商都有一定的時間反映後,才適合做揭露。我覺得這一場的重點並不光在於他要探討的 0-day 漏洞,而更在於大家對於目前 Web 的基本運作原理,以攻擊手法的了解。這些知識如果基礎打穩,在檢視自己或客戶的網站安全時,便能很容易的運用有限的時間,找到重點問題,並予以修復。駭客找漏洞,其實有很規則的思路可尋,了解這種思路後,我們一樣能一眼看出漏洞所在。
在其他種威脅方面,來自亞洲區的研究,OWASP 泰國分會主席 Tim Bass 將會講一場「Web proxy 造成的資安威脅:以近日Google Docs 0-day 為例」,台灣方面林佳明將講一場:「修改密碼無效!駭客還是在收取您的電子郵件!」
資安挑戰的整體敘述,將由 Forrester 的首席分析師 Chenxi Wang 博士來擔綱。Chenxi 曾在卡內基美隆大學(Carnegie Mellon University)擔任助理教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。目前 Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。Chenxi 並會探討黑箱、白箱、WAF在技術上以及在資安投資報酬率上的差別。Chenxi 寫的幾篇對於黑箱、白箱與 WAF 的產業報告,是目前全球業界引用的重點。至少在 WAF 的市場規模方面,我只記得他的報告有確切的數字,Gartner 與 IDC 似乎都沒有,所以至少我自己參考以及我碰到的諸多廠商與投資人參考的,都是她的那篇。如果您是資安市場分析師或投資人,那您一定要撥空來!如果您是資安廠商而希望能對她公布的資料、數據與論點有意見,也歡迎前來與她當面交換!
滲透測試手法方面,有 RSnake、KK、Dhruv、YM 以及 Fyodor 五位講師,其中 KK 與 Dhruv 來自印度,KK是印度最有名的滲透測試公司 NII Consulting 的創辦人兼總經理,曾經擔任 Black Hat、Interop、IT Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。滲透測試的發展已經由技術導向轉變為商業導向,在預算緊縮的今天,如何有效運用時間,以最低的成本,找到最重要的漏洞?這就需要以客戶在商業營運上的風險面向為基礎,來建立相對應的滲透測試項目,例如現今企業面對的商業間諜(corporate espionage)、金融詐騙(financial fraud)等威脅嚴重,因此就需要有對應的滲透測試情境,如社交工程攻擊(social engineering)、實體安全演練等,才能提供更有價值的商業導向滲透測試服務。
為何我選了兩位來自印度的講師來講滲透測試?我在印度聽過 KK 的課,也看過印度大大小小的滲透測試團隊實際上執行專案的情形。我的看法是,印度以軟體產業立國,但是並不是一開始就能從專業的軟體開發案獲利。就如同我們以電子製造業起飛,但是我們是慢慢由做勞力密集的聖誕燈泡,到做收音機,到做 PC 、筆電、手機,慢慢從勞力密集轉而能獨立研發。印度也一樣,軟體產業發展的初期,很依賴勞力密集的軟體測試。所以對於軟體測試的方法論,流程,執行,測試環境的設計,測試資料的建立,到與客戶的溝通,專案的執行等,非常的有經驗,因為這是他們的本行!滲透測試的技術研究,不計成本,目的在找到漏洞,這個歐美的研究員做得很好。可是商業滲透測試,講的是如何有效運用預算,了解客戶需求,達到最大效果,在這方面,印度的軟體測試產業行之有年,商業模式很成熟,我相信他們的經驗會對各位有幫助。
滲透測試與其他顧問服務,在美國又是如何進行的呢?McAfee Foundstone 是美國前幾大專門的資安顧問公司,陳彥銘自 CMU 畢業之後,就加入了 Foundstone 至今,以經是資深的 Director,帶領 Foundstone 團對於美國各地進行滲透測試、顧問服務與教育訓練。他將以「我在 Foundstone 的日子:Web 威脅與防禦實例」,與各位分享他的經驗。
在台灣的滲透測試方面,來自俄羅斯的 Fyodor 長期於台灣進行滲透測試,他將以一場「網站被駭的真實故事集」,探討這許多年來,他在台灣看到的種種真實故事,讓各位直接接觸這些造成嚴重損失的 Web 漏洞--很多漏洞看了會心一笑,原來這樣設計也會有漏洞。攻擊方法並不難,但是簡單的錯誤卻會造成嚴重的損失。
Web 防火牆 WAF 方面,我選擇跟跟今年美國年會、歐洲年會一樣,由德國 OWASP 分會的 Alex Meisel 來負責。Alex Meisel 上個月在美國年會,以及之前在今年歐洲年會,以德國分會的名義,發表了一篇 whitepaper:「Web 防火牆(WAF)最佳實務指引」(Best Practices Guide: Web Application Firewalls),很受大家肯定,如果您目前正困擾 WAF 該如何選擇,歡迎來與 Alex 探討!
網站掛馬方面,全球最有權威性的組織之一,就是 ShadowServer Foundation 了。ShadowServer Foundation 長期監控全球僵屍網路(botnet)與網站掛馬,擁有豐富資料,堪稱美國此方面研究最深入之組織之一。今年的美國年會,找了 ShadowServer Foundation 的重要成員 Steven Adair 來擔任這方面的講師,我也非常努力的邀到他來台灣與各位互動。如果有需要與 ShadowServer Foundation 交換情報與研究資料的單位,請與我聯絡!
對於亞洲區網站掛馬的研究,邱銘彰一向是大家很肯定的研究員之一,他也是各會議爭相邀請的講師。我跟他從不認識到認識到變成朋友到變成同事,也從他身上學到不少寶貴的知識。我們將一起公開一份我們最新的掛馬研究,是我們先用英文寫完,然後也翻成中文的,努力了半年,留在 OWASP 亞洲年會發表。我們將探討目前掛馬的工具與手法,仔細研究各種惡意 javascript 的寫法以及變形、加殼與資料隱藏的技術,並與各位討論為何惡意 javascript 這麼難偵測。由於我長期研究動態與靜態分析技術,我也會探討這兩種技術應用於網站掛馬偵測時的優劣。
對於亞洲利用 Web 攻擊的犯罪手法與事件分析,則由 PK 與 Jack 來負責講「網路犯罪研究與五千萬筆個資外洩事件調查建議」。很多圈內朋友稱 PK 為「台灣鑑識一哥」,Jack 則也多年研究網路攻擊於軍事上之應用,希望他們一起的演講,能讓各位對於層出不窮的 Web 網路犯罪,有更深入的了解。
最後,基本上,各地的 OWASP年會希望達到以下目的:
1. 由年會選出來的頂尖講師,對於最新的攻擊方法,防禦技術,以及客戶的成功案例,提供最新資訊與經驗分享。
2. 對於各界資安人士,包含各國OWASP成員,業界資安主管及IT從業人員,各國政府、軍方及情治單位,以及投入資安市場之廠商、代理商、系統整合商以及顧問公司,提供一個交流的機會,讓大家相互認識,分享經驗以及交流技術。
OWASP 每年有兩次官方會議,一次在歐洲,一次在美國。由於 OWASP 為 Web 資安之最大國際組織,其所定義之標準被五大信用卡公司之 PCI 標準、美國聯邦貿易委員會、FBI、美國國土安全部,以及各國政府所採用,故OWASP每年之官方年會,除了為年度世界資安頂尖人物必到之大會,更為各國政府,企業以及資安產業必定派人參加之國際盛會。我國行政院研考會之「Web應用程式安全參考指引」,亦將 OWASP Top 10 列為重要參考標準。
我想會議能夠在台北舉行,一方面證明了台灣資安之能量,展現了台灣各指導機關多年致力於資安意識之提升,各學術單位致力於資安基礎與應用之研究,產業界致力資安產品之研發與整合,以及媒體致力於各領域資安訊息之分析等之成果;一方面也證明了,台灣在資安有其獨特之政治與軍事意義,由於對資安有高於他國之需求,也造就了我們資安實力與經驗之累積,能夠在多年努力後,開始與他國分享我們的成果。最後最主要的,是大家踴躍的報名。您對於 OWASP活動的支持,是這次會議能夠在台北舉行之關鍵。因為這表示台灣有足夠的人士,在關心資安的議題,在投入資安的研究,您上次的出席,也讓我們有動力,再次募款並邀請最頂尖的講師前來。看到了這次講的的陣容,不難想像我們要在工作的空餘時間,募集資金,負責所有講師的機票與住宿,行程安排,簽證取得,大家真是把命賣了在做,希望您能把握這次機會,準時來參加活動,一方面從最頂尖的講師接觸最新的資安訊息,一方面也與大家認識。
去年超過1000人報名,卻因場地席次限制,許多欲與會者無法順利出席去年年會,座位有限,今年請早報名。
報名請直接回給我或 email 給:info@owasp.org.tw
1. 姓名:
2. 單位(或學校):
3. 職稱:
4. 電話:
5. Email:
6. 是否需要同步翻譯耳機? 如果是,是否用 200 元加購?還是放棄 T-shirt?
7. 中餐是否需素食?
8. 統一編號?公司 title?
9. 是否是學生票?學生票是否加購中餐(一天?兩天?)?加購 tshirt?
報名後三個工作天會收到匯款方式,匯款後三個工作天會收到序號,請用序號入場,如果沒有收到可以來電詢問:(02) 6616-0100 ext 111 林先生。
時間:97年10月27至28日(星期一至二) 09:00-17:00<
地點:台大醫院國際會議中心 201 室 (台北市中正區徐州路二號)
費用:
1. 全票 NTD 1000 元整(幫忙負擔午餐、點心、場地、T-shirt與機票費用等、不含耳機)
2. 學生票 NTD 300 元整(不含便當、如需便當一天 100 NTD, T-shirt 要另購,一件 300 NTD)
同步翻譯:會有專人同步翻譯(不是我們自己的工作人員,是外聘的同步口譯人員),同步翻譯耳機 200 元外加,或是放棄 T-shirt
T-Shirt:會有
公家單位公文: 會由最大贊助單位資策會發公文,以利請假作業
講師簡歷 (中文版)
Robert Hansen (aka“RSnake”)--SecTheory
CISSP、SecTheory 的 CEO,曾四次演講於 Black Hat,今年並為 Black Hat 與 DEFCON 雙講師(這裡有報導)。與 Jeremiah Grossman 著有知名之「XSS」一書(Syngress出版),今年 2008 OWASP 美國年會 的演講被禁講(ITHome 報導、阿碼報導),為今年大會最轟動之事。他將在台灣首次公開此次禁講之內容。RSnake之部落格 ha.ckers.org 與論壇 sla.ckers.org 為駭客界被訂閱最多之部落格/論壇之一。負責 O'Reilly 與 Dark Reading 線上專欄(Snake Bytes @ Dark Reading),除了 Black Hat / DEFCON 之外,也在各大研討會中擔任講師,包含OWASP年會、微軟 Bluehat、WASC 各會議、Networld+Interop、SourceBoston、 Secure360、GFIRST/US-CERT、Toorcon、APWG、ISSA以及TRISC等會議。
RSnake曾任 eBay 資深全球產品資安經理、通訊網路公司資安架構師,工作內容是 anti-phishing、anti-DHTML malware,也曾擔任 Realtor.com 的產品管理總監。參與 NIST.gov 的 Software Assurance Metrics and Tool Evaluation 及 Web Application Security Scanners Evaluation Criteria (WASC-WASSEC)專家群組,也是
Infragard 、WASC、IACSP、 APWG、ISECOM 成員。
Steven Adair—ShadowServer Foundation
Steven Adair 是 ShadowServer Foundation 的重要成員之一,也是這次 2008 OWASP 美國年會的講師。ShadowServer Foundation 長期監控全球僵屍網路(botnet)與網站掛馬,擁有豐富資料,堪稱美國此方面研究最深入之組織之一。
Alexander Meisel—OWASP 德國分會、art of defence
Alexander Meisel 是德國 art of defence 公司技術長,負責該公司之 Web應用程式防火牆(Web application firewall、WAF)之研發。之前在歐洲最大的ISP-LINX擔任網路安全首席,曾負責大規模的網站安全稽核與流量管理,專長為Web Security。他的安全專業可以追朔到在學階段所提出的預防與追蹤DDoS攻擊研究。Alex 是今年 2008 OWASP 美國年會與 2008 OWASP 歐洲年會的講師。
K. K. Mookhey—OWASP孟買分會、NII Consulting
印度最有名的滲透測試公司 NII Consulting 創辦人兼總經理,專長為滲透測試、資安鑑識、風險評估、資安相關規範(PCI、ISO 27001、BS 25999、ISO 20000)、IT基礎架構管理等。擁有CISSP、CISA、CISM、CEH等證照。是印度最知名的資安專家之一,著作有Linux Security And Control(ISACA 出版)與 Metasploit Toolkit(Syngress出版)兩本專業書籍。KK 為今年 2008 OWASP 印度年會講師,並曾經擔任 Black Hat、Interop、IT Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。
Chenxi Wang, Ph.D.—Forrester Research
Dr. Chenxi Wang 是全球前三大市場調查研究機構 Forrester Research 的首席分析師,Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。在加入 Forrester 之前,Dr. Wang 在卡內基美隆大學(Carnegie Mellon University)擔任助理教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。在 CMU 期間,Chenxi 負責執行了上百萬美元預算的研究專案,包過與美國國防部以及美國國家科學基金會(National Science Foundation、NSF)的共同研究專案。Chenxi 也曾擔任美國聯邦貿易委員會(Federal Trade Comission、FTC)、HP、Emerson、Lucent 等單位的資安顧問。
Chenxi 為今年 2008 OWASP 美國年會的講師,並定期在各大資安會議演講,其言論與發表常被美國主流媒體引述,包含 New York Times / InfoWorld 等媒體。
Wayne Huang(黃耀文)—OWASP台灣分會主席、Armorize 阿碼科技(大會主席)
Wayne 為 OWASP 台灣分會會長,也是阿碼科技的創辦人兼執行長,對於推動台灣的資安社群,不遺餘力,在台灣舉辦 SySCAN、OWASP 亞洲年會等資安會議。
Wayne 是一位豐富經驗的資訊安全專家,專長領域包括,網路、系統及應用程式安全。Wayne 最為人所熟知的專長領域在網頁應用程式安全,並在全世界發表了許多相關主題的期刊論文。除此之外,Wayne 也時常受邀擔任全球安全會議的演講者,包含 RSA、OWASP、SySCAN、WWW、PHP 與 DSN 等。Wayne 同時也是阿碼科技在推動技術創新的重要推手。
Wayne 是第一位連續二年在國際全球資訊網路會議(WWW Conference)獲獎的作者,並且是 《 Web Application Security-Past,Present,and Future 》一書的共同作者。
Yen-ming Chen (YM Chen) —McAfee Foundstone
Yen-Ming 於 2000 年加入 Foundstone 顧問團隊,現職為 McAfee Foundstone 的 Director,帶領 Foundstone 團隊於美國各地執行各種資安專案。Yen-Ming並為 Foundstone「Ultimate Hacking」、「Ultimate Hacking Expert」、「Ultimate Web Hacking」、以及「Ultimate Hacking: Incident Response」等四門課的首席講師。在加入Foundstone之前,他在CMU網路安全中心,曾參與Snort開發,製造出第一個在磁片上的Snort sensor(PicoBSD)。是Hacking Exposed、Hacking Exposed for Web Application、Windows XP Professional Security及HackNotes: Web Application Security的四本書的共同作者。Yen-Ming 曾被 BBC 採訪,並經常於國際大型研討會擔任主要講師,其中包含 PacSec、HITB、HACK.LU、台灣駭客年會、CSI、MISTI、APAC 等會議。
Fyodor Yarochki—GuardInfo
Fyodor經常擔任各國際駭客年會之講師,包含Black Hat 2001 HK、Black Hat 2001 Singapore、Black Hat 2002、Ruxcon 2003、XCon 2003 / 2006、HITB 2004 / 2005、SyScan 2005 / 2008、Bellua 2005、VNSecurity 2007、DeepSec 2008等。他於頂尖資安學術會議與地下雜誌皆有重要文章發表,包含Usenix Conference與Phrack
Magazine(最具影響力之地下駭客雜誌)。Fyodor並為Snort最早的開發者之一,目前仍為Snort FAQ的維護者。Fyodor並為XProbe的創辦人。
PK
台灣鑑識一哥,論鑑識現場之經驗,屬台灣最具經驗之前輩之一。對於逆向工程、作業系統核心、活體鑑識技術等,皆有深入之研究;長期使用Soft Ice等鑑識工具,頗具心得。在中央警察大學資管所就讀期間,主攻電腦鑑識方面之研究,爾後於台灣電腦網路危機處理暨協調中心(TWCERT/CC)擔任電腦鑑識實務班講師,授課內容包含惡意軟體的靜態與動態分析、數位資料於法律上之證據力、事件處理時數位證據之取得與保存等。目前研究興趣包含數位鑑識工具與惡意程式偵測工具之開發。今年為SySCAN前瞻資安年會、HITCon講師。
邱銘彰 (aka "Birdman") —Armorize
阿碼科技X-Solve實驗室首席研究員。Birdman利用其所研發之Archon與HackAlert技術,長期監控亞洲所有網站被掛馬之情況,專長各種惡意程式分析,日中一食,堪稱是節能環保省碳型多才多藝的後現代資安人才。經常於OWASP Asia、SyScan 2008 TW、HITCon與其他研討會擔任講師。
余俊賢 (Jack)—Armorize
現任阿碼科技資安顧問與ASF專家團隊講師,曾擔任資安人雜誌主編。Jack對於亞洲之特殊攻擊型態,長期投入研究,專長為資安事件處理與電腦鑑識,擁有CISSP、BS 7799 LA、CEH 等資安證照。曾於OWASP Asia、SyScan 2008 TW、HIT Con 與其他研討會擔任講師。
林佳明 (Charmi Lin) —ICST
現任行政院國家資通安全會報技術服務中心(簡稱技服中心)工程師。Charmi主要的工作為協助政府機關處理各種資安事件,charmi經常參與政府機關受駭後的資安事件調查與進行電腦鑑識工作,對於目前台灣正面臨的組織型駭客攻擊有深刻的體會。擁有GCFA與 BS 7799 LA 證照。經常於資安人雜誌投稿相關資安技術文章。
Tim Bass—OWASP 泰國分會主席
前首席網路資安顧問,美國空軍總部。前首席網路顧問,美國國防部。前首席網路資安顧問,美國能源部。前 SWIFT 資安顧問。Tim 常擔任各資安會議 keynote。Tim 是 Unix Forums 的 Director。Blog:www.thecepblog.com。
Dhruv Soi—OWASP 印度年會主席、OWASP 印度分會主席
Dhruv 在多家公司任職弱點研究員與資安首席,包括 FCS Software Solutions、Momentum Technologies、iPolicy Networks、Fidelity Investments、Sopra Group等。
-- Wayne 敬上(email: wayne@owasp.org.tw)
OWASP 台灣分會會長
繼續閱讀全文...
首先感謝大家對於去年的「第一屆 OWASP 亞洲官方年會」的支持,讓我們全場 650 個位子座無虛席!
2008 OWASP 亞洲年會今年議程終於出爐了,由一天改成兩天(10/27~28),先簡單公布如下:
( 2008/10/27 ) - Day 1 第一天 | |||
Time | Topic | Speaker | |
09:15~09:30 | 主席致詞:今年大會內容簡介 | Wayne 黃耀文 OWASP 台灣分會主席 | |
09:30~09:45 | 資策會長官致詞 | TBD | |
09:45~10:00 | 中華軟體協會資安促進會長官致詞 | 陳振楠 會長 | |
10:00~11:00 | 我在 Foundstone 的日子:Web 威脅與防禦實例 | YM Chen 陳彥銘 McAfee Foundstone | |
11:10~12:00 | 網站掛馬研究:Web 惡意程式寫法與偵測技術大公開 | Wayne 黃耀文 Jeremy 邱銘彰 阿碼科技 | |
12:00~13:00 | 午餐休息,請多彼此認識並與講師互動! | ||
13:00~13:50 | 修改密碼無效!駭客還是在收取您的電子郵件! | 林佳明 | |
14:00~14:50 | 網路犯罪研究與五千萬筆個資外洩事件調查建議 | 叢培侃 PK 余俊賢 Jack | |
14:50~15:10 | Coffee Break 中場點心休息,請多彼此認識並與講師互動! | ||
15:10~16:00 | 網站被駭的真實故事集(英文) Real Stories of Website 0wnage | Fyodor Guard-Info | |
16:10~16:40 | Web proxy 造成的資安威脅:以近日 Google Docs 0-day 為例(英文) Proxy Caches and Web Application Security--using the recent Google Docs 0-day as an example | Tim Bass OWASP 泰國分會主席 | |
16:40~17:10 | Web 滲透測試與風險評估(英文) | Dhruv Soi OWASP 印度年會主席 OWASP 印度分會主席 |
( 2008/10/28 ) - Day 2 第二天 (全天英文) | ||
Time | Topic | Speaker |
09:30~09:45 | 長官致詞 | TBD |
09:45~10:00 | 長官致詞 | TBD |
10:00~11:00 | Web 0day 大威脅:Clickjacking(九月OWASP美國年會禁講)(全球首播) New 0-Day Browser Exploits: Clickjacking - yea, this is bad... | Robert "RSnake" Hansen SecTheory |
11:10~12:00 | Web 2.0時代各種資安技術比較與市場分析(今年 OWASP 美國年會演講) Web 2.0, Consumerization, and Application Security | Chenxi Wang, Ph.D. Forrester Research |
12:00~13:00 | Lunch Break 午餐休息,請多彼此認識並與講師互動! | |
13:00~13:50 | 如何做好商業滲透測試(今年 OWASP 印度年會演講) Good Business Penetration Testing | KK Mookhey OWASP 孟買分會 NII |
14:00~14:50 | Web 防火牆(WAF)最佳實務指引(今年 OWASP 美國年會與歐洲年會演講) Best Practices Guide: Web Application Firewalls | Alexander Meisel OWASP 德國分會 art of defence |
14:50~15:10 | Coffee Break 中場點心休息,請多彼此認識並與講師互動! | |
15:10~16:00 | Web 上之僵屍網路與 DDoS 研究(今年 OWASP 美國年會演講) The HTTP Botnet Research: Focusing on HTTP based DDoS Botnets | Steven Adair ShadowServer Foundation |
16:10~17:00 | 論壇:黑箱、白箱、還是 WAF 防火牆?工具好還是顧問好? Chenxi、Robert、YM、Fyodor、KK、Dhruv、Alex、Tim Bass | 主席:Wayne |
大會場地與交通資訊 |
跟去年一樣,本次大會於舒適寬敞之劇院型階梯演講聽--「台大醫院國際會議中心201室」舉辦,地址為:100台北市中正區徐州路2號。交通資訊請見:http://www.thcc.net.tw/othstraffic.html |
今在籌辦第二屆 OWASP 官方亞洲年會時,心中感觸特別多。OWASP 亞洲年會,都是由我們向贊助單位籌資金,然後想辦法邀到好的講師來演講。亞洲距離歐美很遠,飛來一趟要花很多時間,使得整個活動的籌辦,不但籌資金困難,邀頂尖的講師更是難上加難。同時,我們希望今年能夠達到:
1. 對於最新的 Web 攻擊手法,有深入的技術性探討,讓使用者也讓廠商能了解新的攻擊趨勢。
2. 對於防守的策略,能找到在技術上有深度,並且不帶廠商色彩的講師,對於各方面的技術,如滲透測試、黑箱或 WAF 等,都能涵蓋。
3. 站在廠商的角度,對於整個資安產業的趨勢,站在使用者的角度,對於各種技術的比較,能有具公信力的資深產業分析師來探討。
4. 對於透過 Web 的網路犯罪,能有資深的檢調單位代表來分享經驗。
5. 講師方面,希望仍有一半是外籍講師,並希望盡量是在 OWASP 其他年會演講過之講師,因為 OWASP 亞洲年會在建立的初期,需要他們來帶入 OWASP 應有的文化。
要達到以上五點,真的非常不容易,也感謝全體工作人員的努力。今年,第二屆OWASP官方亞洲年會「OWASP AppSec Asia 2008」日期與講師已經確定,會有專業同步翻譯(口譯),會有 T-shirt,也會對政府單位發正式的公文,但是由於時間緊迫,先跟各位告知。我們很感謝資策會與中華民國資訊軟體協會能贊助我們,也感謝資安人雜誌能當我們的協辦媒體,讓活動能成行。大會目前還缺贊助單位,如有興趣可與我聯絡,另外只有 650 個位子,報名從速,我們這麼辛苦的準備,希望在會場能見到您!這只是一個初步的快速通知,之後會有正式的網頁,請各位隨時留意 OWASP 台灣分會官網 以及訂閱 OWASP 台灣分會部落格。今年的外籍講師共有九位(美國四位,歐洲一位,印度兩位,泰國一位,俄國一位),其中為剛結束的 2008 OWASP 美國年會 的講師有四位,2008 OWASP 歐洲年會講師有兩位,2008 OWASP 印度年會講師有一位,有幾位同時為美國駭客年會 Black Hat / DEFCON 講師,其中也包括了 OWASP印度分會主席,OWASP孟買分會代表,OWASP德國分會代表,OWASP泰國分會主席。
今年的重頭戲,當然是 Robert 在今年 2008 OWASP 美國年會的演講被禁講(ITHome 報導、阿碼報導)的演講,會在台北做全球首度的公開演說。英國最大 IT 媒體The Register 以「Adobe 禁止 Clickjacking 弱點的公開」大幅報導此事,RSnake 則說,原本他們覺得是一場很好的演講,但是因為漏洞像滾雪球一樣,一個漏洞導致另一個漏洞,牽涉到一個接一個廠商,導致整個弱點的嚴重性不只是嚴重,而是超級嚴重所以兩個講師決定必須等所有牽涉其中的廠商都有一定的時間反映後,才適合做揭露。我覺得這一場的重點並不光在於他要探討的 0-day 漏洞,而更在於大家對於目前 Web 的基本運作原理,以攻擊手法的了解。這些知識如果基礎打穩,在檢視自己或客戶的網站安全時,便能很容易的運用有限的時間,找到重點問題,並予以修復。駭客找漏洞,其實有很規則的思路可尋,了解這種思路後,我們一樣能一眼看出漏洞所在。
在其他種威脅方面,來自亞洲區的研究,OWASP 泰國分會主席 Tim Bass 將會講一場「Web proxy 造成的資安威脅:以近日Google Docs 0-day 為例」,台灣方面林佳明將講一場:「修改密碼無效!駭客還是在收取您的電子郵件!」
資安挑戰的整體敘述,將由 Forrester 的首席分析師 Chenxi Wang 博士來擔綱。Chenxi 曾在卡內基美隆大學(Carnegie Mellon University)擔任助理教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。目前 Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。Chenxi 並會探討黑箱、白箱、WAF在技術上以及在資安投資報酬率上的差別。Chenxi 寫的幾篇對於黑箱、白箱與 WAF 的產業報告,是目前全球業界引用的重點。至少在 WAF 的市場規模方面,我只記得他的報告有確切的數字,Gartner 與 IDC 似乎都沒有,所以至少我自己參考以及我碰到的諸多廠商與投資人參考的,都是她的那篇。如果您是資安市場分析師或投資人,那您一定要撥空來!如果您是資安廠商而希望能對她公布的資料、數據與論點有意見,也歡迎前來與她當面交換!
滲透測試手法方面,有 RSnake、KK、Dhruv、YM 以及 Fyodor 五位講師,其中 KK 與 Dhruv 來自印度,KK是印度最有名的滲透測試公司 NII Consulting 的創辦人兼總經理,曾經擔任 Black Hat、Interop、IT Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。滲透測試的發展已經由技術導向轉變為商業導向,在預算緊縮的今天,如何有效運用時間,以最低的成本,找到最重要的漏洞?這就需要以客戶在商業營運上的風險面向為基礎,來建立相對應的滲透測試項目,例如現今企業面對的商業間諜(corporate espionage)、金融詐騙(financial fraud)等威脅嚴重,因此就需要有對應的滲透測試情境,如社交工程攻擊(social engineering)、實體安全演練等,才能提供更有價值的商業導向滲透測試服務。
為何我選了兩位來自印度的講師來講滲透測試?我在印度聽過 KK 的課,也看過印度大大小小的滲透測試團隊實際上執行專案的情形。我的看法是,印度以軟體產業立國,但是並不是一開始就能從專業的軟體開發案獲利。就如同我們以電子製造業起飛,但是我們是慢慢由做勞力密集的聖誕燈泡,到做收音機,到做 PC 、筆電、手機,慢慢從勞力密集轉而能獨立研發。印度也一樣,軟體產業發展的初期,很依賴勞力密集的軟體測試。所以對於軟體測試的方法論,流程,執行,測試環境的設計,測試資料的建立,到與客戶的溝通,專案的執行等,非常的有經驗,因為這是他們的本行!滲透測試的技術研究,不計成本,目的在找到漏洞,這個歐美的研究員做得很好。可是商業滲透測試,講的是如何有效運用預算,了解客戶需求,達到最大效果,在這方面,印度的軟體測試產業行之有年,商業模式很成熟,我相信他們的經驗會對各位有幫助。
滲透測試與其他顧問服務,在美國又是如何進行的呢?McAfee Foundstone 是美國前幾大專門的資安顧問公司,陳彥銘自 CMU 畢業之後,就加入了 Foundstone 至今,以經是資深的 Director,帶領 Foundstone 團對於美國各地進行滲透測試、顧問服務與教育訓練。他將以「我在 Foundstone 的日子:Web 威脅與防禦實例」,與各位分享他的經驗。
在台灣的滲透測試方面,來自俄羅斯的 Fyodor 長期於台灣進行滲透測試,他將以一場「網站被駭的真實故事集」,探討這許多年來,他在台灣看到的種種真實故事,讓各位直接接觸這些造成嚴重損失的 Web 漏洞--很多漏洞看了會心一笑,原來這樣設計也會有漏洞。攻擊方法並不難,但是簡單的錯誤卻會造成嚴重的損失。
Web 防火牆 WAF 方面,我選擇跟跟今年美國年會、歐洲年會一樣,由德國 OWASP 分會的 Alex Meisel 來負責。Alex Meisel 上個月在美國年會,以及之前在今年歐洲年會,以德國分會的名義,發表了一篇 whitepaper:「Web 防火牆(WAF)最佳實務指引」(Best Practices Guide: Web Application Firewalls),很受大家肯定,如果您目前正困擾 WAF 該如何選擇,歡迎來與 Alex 探討!
網站掛馬方面,全球最有權威性的組織之一,就是 ShadowServer Foundation 了。ShadowServer Foundation 長期監控全球僵屍網路(botnet)與網站掛馬,擁有豐富資料,堪稱美國此方面研究最深入之組織之一。今年的美國年會,找了 ShadowServer Foundation 的重要成員 Steven Adair 來擔任這方面的講師,我也非常努力的邀到他來台灣與各位互動。如果有需要與 ShadowServer Foundation 交換情報與研究資料的單位,請與我聯絡!
對於亞洲區網站掛馬的研究,邱銘彰一向是大家很肯定的研究員之一,他也是各會議爭相邀請的講師。我跟他從不認識到認識到變成朋友到變成同事,也從他身上學到不少寶貴的知識。我們將一起公開一份我們最新的掛馬研究,是我們先用英文寫完,然後也翻成中文的,努力了半年,留在 OWASP 亞洲年會發表。我們將探討目前掛馬的工具與手法,仔細研究各種惡意 javascript 的寫法以及變形、加殼與資料隱藏的技術,並與各位討論為何惡意 javascript 這麼難偵測。由於我長期研究動態與靜態分析技術,我也會探討這兩種技術應用於網站掛馬偵測時的優劣。
對於亞洲利用 Web 攻擊的犯罪手法與事件分析,則由 PK 與 Jack 來負責講「網路犯罪研究與五千萬筆個資外洩事件調查建議」。很多圈內朋友稱 PK 為「台灣鑑識一哥」,Jack 則也多年研究網路攻擊於軍事上之應用,希望他們一起的演講,能讓各位對於層出不窮的 Web 網路犯罪,有更深入的了解。
最後,基本上,各地的 OWASP年會希望達到以下目的:
1. 由年會選出來的頂尖講師,對於最新的攻擊方法,防禦技術,以及客戶的成功案例,提供最新資訊與經驗分享。
2. 對於各界資安人士,包含各國OWASP成員,業界資安主管及IT從業人員,各國政府、軍方及情治單位,以及投入資安市場之廠商、代理商、系統整合商以及顧問公司,提供一個交流的機會,讓大家相互認識,分享經驗以及交流技術。
OWASP 每年有兩次官方會議,一次在歐洲,一次在美國。由於 OWASP 為 Web 資安之最大國際組織,其所定義之標準被五大信用卡公司之 PCI 標準、美國聯邦貿易委員會、FBI、美國國土安全部,以及各國政府所採用,故OWASP每年之官方年會,除了為年度世界資安頂尖人物必到之大會,更為各國政府,企業以及資安產業必定派人參加之國際盛會。我國行政院研考會之「Web應用程式安全參考指引」,亦將 OWASP Top 10 列為重要參考標準。
我想會議能夠在台北舉行,一方面證明了台灣資安之能量,展現了台灣各指導機關多年致力於資安意識之提升,各學術單位致力於資安基礎與應用之研究,產業界致力資安產品之研發與整合,以及媒體致力於各領域資安訊息之分析等之成果;一方面也證明了,台灣在資安有其獨特之政治與軍事意義,由於對資安有高於他國之需求,也造就了我們資安實力與經驗之累積,能夠在多年努力後,開始與他國分享我們的成果。最後最主要的,是大家踴躍的報名。您對於 OWASP活動的支持,是這次會議能夠在台北舉行之關鍵。因為這表示台灣有足夠的人士,在關心資安的議題,在投入資安的研究,您上次的出席,也讓我們有動力,再次募款並邀請最頂尖的講師前來。看到了這次講的的陣容,不難想像我們要在工作的空餘時間,募集資金,負責所有講師的機票與住宿,行程安排,簽證取得,大家真是把命賣了在做,希望您能把握這次機會,準時來參加活動,一方面從最頂尖的講師接觸最新的資安訊息,一方面也與大家認識。
去年超過1000人報名,卻因場地席次限制,許多欲與會者無法順利出席去年年會,座位有限,今年請早報名。
報名請直接回給我或 email 給:info@owasp.org.tw
1. 姓名:
2. 單位(或學校):
3. 職稱:
4. 電話:
5. Email:
6. 是否需要同步翻譯耳機? 如果是,是否用 200 元加購?還是放棄 T-shirt?
7. 中餐是否需素食?
8. 統一編號?公司 title?
9. 是否是學生票?學生票是否加購中餐(一天?兩天?)?加購 tshirt?
報名後三個工作天會收到匯款方式,匯款後三個工作天會收到序號,請用序號入場,如果沒有收到可以來電詢問:(02) 6616-0100 ext 111 林先生。
時間:97年10月27至28日(星期一至二) 09:00-17:00<
地點:台大醫院國際會議中心 201 室 (台北市中正區徐州路二號)
費用:
1. 全票 NTD 1000 元整(幫忙負擔午餐、點心、場地、T-shirt與機票費用等、不含耳機)
2. 學生票 NTD 300 元整(不含便當、如需便當一天 100 NTD, T-shirt 要另購,一件 300 NTD)
同步翻譯:會有專人同步翻譯(不是我們自己的工作人員,是外聘的同步口譯人員),同步翻譯耳機 200 元外加,或是放棄 T-shirt
T-Shirt:會有
公家單位公文: 會由最大贊助單位資策會發公文,以利請假作業
講師簡歷 (中文版)
Robert Hansen (aka“RSnake”)--SecTheory
CISSP、SecTheory 的 CEO,曾四次演講於 Black Hat,今年並為 Black Hat 與 DEFCON 雙講師(這裡有報導)。與 Jeremiah Grossman 著有知名之「XSS」一書(Syngress出版),今年 2008 OWASP 美國年會 的演講被禁講(ITHome 報導、阿碼報導),為今年大會最轟動之事。他將在台灣首次公開此次禁講之內容。RSnake之部落格 ha.ckers.org 與論壇 sla.ckers.org 為駭客界被訂閱最多之部落格/論壇之一。負責 O'Reilly 與 Dark Reading 線上專欄(Snake Bytes @ Dark Reading),除了 Black Hat / DEFCON 之外,也在各大研討會中擔任講師,包含OWASP年會、微軟 Bluehat、WASC 各會議、Networld+Interop、SourceBoston、 Secure360、GFIRST/US-CERT、Toorcon、APWG、ISSA以及TRISC等會議。
RSnake曾任 eBay 資深全球產品資安經理、通訊網路公司資安架構師,工作內容是 anti-phishing、anti-DHTML malware,也曾擔任 Realtor.com 的產品管理總監。參與 NIST.gov 的 Software Assurance Metrics and Tool Evaluation 及 Web Application Security Scanners Evaluation Criteria (WASC-WASSEC)專家群組,也是
Infragard 、WASC、IACSP、 APWG、ISECOM 成員。
Steven Adair—ShadowServer Foundation
Steven Adair 是 ShadowServer Foundation 的重要成員之一,也是這次 2008 OWASP 美國年會的講師。ShadowServer Foundation 長期監控全球僵屍網路(botnet)與網站掛馬,擁有豐富資料,堪稱美國此方面研究最深入之組織之一。
Alexander Meisel—OWASP 德國分會、art of defence
Alexander Meisel 是德國 art of defence 公司技術長,負責該公司之 Web應用程式防火牆(Web application firewall、WAF)之研發。之前在歐洲最大的ISP-LINX擔任網路安全首席,曾負責大規模的網站安全稽核與流量管理,專長為Web Security。他的安全專業可以追朔到在學階段所提出的預防與追蹤DDoS攻擊研究。Alex 是今年 2008 OWASP 美國年會與 2008 OWASP 歐洲年會的講師。
K. K. Mookhey—OWASP孟買分會、NII Consulting
印度最有名的滲透測試公司 NII Consulting 創辦人兼總經理,專長為滲透測試、資安鑑識、風險評估、資安相關規範(PCI、ISO 27001、BS 25999、ISO 20000)、IT基礎架構管理等。擁有CISSP、CISA、CISM、CEH等證照。是印度最知名的資安專家之一,著作有Linux Security And Control(ISACA 出版)與 Metasploit Toolkit(Syngress出版)兩本專業書籍。KK 為今年 2008 OWASP 印度年會講師,並曾經擔任 Black Hat、Interop、IT Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。
Chenxi Wang, Ph.D.—Forrester Research
Dr. Chenxi Wang 是全球前三大市場調查研究機構 Forrester Research 的首席分析師,Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。在加入 Forrester 之前,Dr. Wang 在卡內基美隆大學(Carnegie Mellon University)擔任助理教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。在 CMU 期間,Chenxi 負責執行了上百萬美元預算的研究專案,包過與美國國防部以及美國國家科學基金會(National Science Foundation、NSF)的共同研究專案。Chenxi 也曾擔任美國聯邦貿易委員會(Federal Trade Comission、FTC)、HP、Emerson、Lucent 等單位的資安顧問。
Chenxi 為今年 2008 OWASP 美國年會的講師,並定期在各大資安會議演講,其言論與發表常被美國主流媒體引述,包含 New York Times / InfoWorld 等媒體。
Wayne Huang(黃耀文)—OWASP台灣分會主席、Armorize 阿碼科技(大會主席)
Wayne 為 OWASP 台灣分會會長,也是阿碼科技的創辦人兼執行長,對於推動台灣的資安社群,不遺餘力,在台灣舉辦 SySCAN、OWASP 亞洲年會等資安會議。
Wayne 是一位豐富經驗的資訊安全專家,專長領域包括,網路、系統及應用程式安全。Wayne 最為人所熟知的專長領域在網頁應用程式安全,並在全世界發表了許多相關主題的期刊論文。除此之外,Wayne 也時常受邀擔任全球安全會議的演講者,包含 RSA、OWASP、SySCAN、WWW、PHP 與 DSN 等。Wayne 同時也是阿碼科技在推動技術創新的重要推手。
Wayne 是第一位連續二年在國際全球資訊網路會議(WWW Conference)獲獎的作者,並且是 《 Web Application Security-Past,Present,and Future 》一書的共同作者。
Yen-ming Chen (YM Chen) —McAfee Foundstone
Yen-Ming 於 2000 年加入 Foundstone 顧問團隊,現職為 McAfee Foundstone 的 Director,帶領 Foundstone 團隊於美國各地執行各種資安專案。Yen-Ming並為 Foundstone「Ultimate Hacking」、「Ultimate Hacking Expert」、「Ultimate Web Hacking」、以及「Ultimate Hacking: Incident Response」等四門課的首席講師。在加入Foundstone之前,他在CMU網路安全中心,曾參與Snort開發,製造出第一個在磁片上的Snort sensor(PicoBSD)。是Hacking Exposed、Hacking Exposed for Web Application、Windows XP Professional Security及HackNotes: Web Application Security的四本書的共同作者。Yen-Ming 曾被 BBC 採訪,並經常於國際大型研討會擔任主要講師,其中包含 PacSec、HITB、HACK.LU、台灣駭客年會、CSI、MISTI、APAC 等會議。
Fyodor Yarochki—GuardInfo
Fyodor經常擔任各國際駭客年會之講師,包含Black Hat 2001 HK、Black Hat 2001 Singapore、Black Hat 2002、Ruxcon 2003、XCon 2003 / 2006、HITB 2004 / 2005、SyScan 2005 / 2008、Bellua 2005、VNSecurity 2007、DeepSec 2008等。他於頂尖資安學術會議與地下雜誌皆有重要文章發表,包含Usenix Conference與Phrack
Magazine(最具影響力之地下駭客雜誌)。Fyodor並為Snort最早的開發者之一,目前仍為Snort FAQ的維護者。Fyodor並為XProbe的創辦人。
PK
台灣鑑識一哥,論鑑識現場之經驗,屬台灣最具經驗之前輩之一。對於逆向工程、作業系統核心、活體鑑識技術等,皆有深入之研究;長期使用Soft Ice等鑑識工具,頗具心得。在中央警察大學資管所就讀期間,主攻電腦鑑識方面之研究,爾後於台灣電腦網路危機處理暨協調中心(TWCERT/CC)擔任電腦鑑識實務班講師,授課內容包含惡意軟體的靜態與動態分析、數位資料於法律上之證據力、事件處理時數位證據之取得與保存等。目前研究興趣包含數位鑑識工具與惡意程式偵測工具之開發。今年為SySCAN前瞻資安年會、HITCon講師。
邱銘彰 (aka "Birdman") —Armorize
阿碼科技X-Solve實驗室首席研究員。Birdman利用其所研發之Archon與HackAlert技術,長期監控亞洲所有網站被掛馬之情況,專長各種惡意程式分析,日中一食,堪稱是節能環保省碳型多才多藝的後現代資安人才。經常於OWASP Asia、SyScan 2008 TW、HITCon與其他研討會擔任講師。
余俊賢 (Jack)—Armorize
現任阿碼科技資安顧問與ASF專家團隊講師,曾擔任資安人雜誌主編。Jack對於亞洲之特殊攻擊型態,長期投入研究,專長為資安事件處理與電腦鑑識,擁有CISSP、BS 7799 LA、CEH 等資安證照。曾於OWASP Asia、SyScan 2008 TW、HIT Con 與其他研討會擔任講師。
林佳明 (Charmi Lin) —ICST
現任行政院國家資通安全會報技術服務中心(簡稱技服中心)工程師。Charmi主要的工作為協助政府機關處理各種資安事件,charmi經常參與政府機關受駭後的資安事件調查與進行電腦鑑識工作,對於目前台灣正面臨的組織型駭客攻擊有深刻的體會。擁有GCFA與 BS 7799 LA 證照。經常於資安人雜誌投稿相關資安技術文章。
Tim Bass—OWASP 泰國分會主席
前首席網路資安顧問,美國空軍總部。前首席網路顧問,美國國防部。前首席網路資安顧問,美國能源部。前 SWIFT 資安顧問。Tim 常擔任各資安會議 keynote。Tim 是 Unix Forums 的 Director。Blog:www.thecepblog.com。
Dhruv Soi—OWASP 印度年會主席、OWASP 印度分會主席
Dhruv 在多家公司任職弱點研究員與資安首席,包括 FCS Software Solutions、Momentum Technologies、iPolicy Networks、Fidelity Investments、Sopra Group等。
-- Wayne 敬上(email: wayne@owasp.org.tw)
OWASP 台灣分會會長
繼續閱讀全文...
訂閱:
文章
(
Atom
)
分類......
- 攻擊手法 ( 30 )
- 掛馬研究 ( 21 )
- 資安會議 ( 19 )
- 社交工程手法 ( 14 )
- 資安文章、心得、想法 ( 13 )
- 跨站腳本攻擊(XSS) ( 12 )
- 研究報告 ( 11 )
- 掛馬檢測 ( 9 )
- 深度技術 ( 8 )
- XSS蠕蟲 ( 7 )
- 源碼檢測 ( 7 )
- IP Spoofing ( 6 )
- 大規模轉址 ( 6 )
- 路徑安全 ( 6 )
- 零時差攻擊(0 Day) ( 6 )
- drive-by ( 4 )
- 新聞稿 ( 4 )
- SQL Injection ( 3 )
- malvertising ( 3 )
- Hacking ( 2 )
- NoTech ( 2 )
- Web Security ( 2 )
- 滲透測試 ( 2 )
- 網頁應用程式防火牆(WAF) ( 2 )
- 阿碼歷史 ( 2 )
- APT ( 1 )
- CFP ( 1 )
- CWE ( 1 )
- OWASP ( 1 )
- OWASP Top 10 ( 1 )
- SANS ( 1 )
- WAF ( 1 )
- XSS ( 1 )
- malware ( 1 )
- 徵人 ( 1 )
- 惡意廣告 ( 1 )
- 惡意程式 ( 1 )
- 犯罪經濟 ( 1 )
- 資安新聞 ( 1 )
- 資安管理面 ( 1 )
- 針對性攻擊 ( 1 )
- 阿碼文化 ( 1 )
- 阿碼近況 ( 1 )
歷史......
- 2014 ( 6 )
- 2013 ( 5 )
- 2011 ( 16 )
- 2010 ( 11 )
- 2009 ( 39 )
-
2008
(
40
)
-
9月
(
10
)
- 9月 30 ( 1 )
- 9月 24 ( 1 )
- 9月 22 ( 1 )
- 9月 19 ( 1 )
- 9月 14 ( 1 )
- 9月 10 ( 1 )
- 9月 08 ( 1 )
- 9月 05 ( 1 )
- 9月 04 ( 1 )
- 9月 03 ( 1 )
-
9月
(
10
)
搜尋......