阿碼外傳-阿碼科技非官方中文 Blog: 05/01/2009 - 06/01/2009

2009年5月27日

Hack Day 徵槁,一票600NTD,SySCAN Taiwan 2009 部分講師陣容出爐(不含Hack Day講師)

(轉貼自:http://syscantaiwan.blogspot.com/2009/05/hack-day-600ntdsyscan-taiwan-2009-hack.html
非常感謝感謝大家對 SySCAN Hack Day 的投稿,繼續徵求稿件中,CFP見:
http://syscantaiwan.blogspot.com/2009/05/syscan-hack-day.html

票價部分,七月5日Hack Day單日一票600NTD,全程三天(七月5日Hack Day,七月7-8日SySCAN Taiwan本會)共3100NTD,見:http://www.syscan.org/Tpe/registration.html

SySCAN Taiwan 2009本會,部分講師陣容已經確定,今年精彩萬分,內容包含由Dave Aitel與Matt Conover負責之雲端運算與虛擬化安全性(打爆VM!),由Charles Miller負責之iphone安全性,由Marc Schoenfeld負責之Google Android安全性,由Stefan Esser負責之PHP核心安全性,由Ben Nagy負責之ruby fuzzing技術,由Justine Osborne負責之Web與RIA(Rapid Internet Applications)技術之安全性,由RFID祖師Lukas Grunwald負責之RFID安全性,由Fyodor Yarochkin負責之路徑安全探討,由Jeremy(Birdman)負責之新型惡意程式分析,以及由Wayne負責之Web安全性等,保證場場打爆之演出,絕對精彩!
部分已經確定之講師如下,詳細內容與報名方式請見SySCAN官網:http://syscan.org/Tpe/taipeiconference.html



1. Dave Aitel(Immunity創辦人兼技術長、多屆BlackHat/DEFCON講師
Dave Aitel是Immunity的創辦人兼CTO。Dave 18歲時就被美國國家安全局(NSA, National Security Agency)延攬擔任資安科學家,六年後離開加入@stake。Dave之前的領域以Linux與Unix上之入侵技術為主,但是之後隨著他創辦Immunity而轉為Windows上之入侵技術,近幾年則又包含了Web應用程式之入侵。Dave是fuzzing技術之全球先驅,他的SPIKE fuzzer於Black Hat 2002年發表後一直被資安圈所廣為使用。除了SPIKE Fuzzer,Immuntiy也一直提供各種的免費工具,如著名的SPIKE Proxy、Sharefuzz、Aircrack-ng SILICAQ Mod、DR RootKit、Unmask、DMOSDEF等。清單可見:http://www.immunitysec.com/resources-freesoftware.shtml。Dave著有「The Hacker's Handbook: The Strategy Behind Breaking into and Defending Networks」、「The Shellcoder's Handbook」、「Beginning Python」等三本書。

2. Charlie Miller(CanSecWest的Pwn2Own '08/'09兩屆冠軍)

Fuzzing大師Charlie Miller是近年資安界的新紅人:CanSecWest的Pwn2Own 2008/2009兩屆冠軍)(2009年繁體中文報導:Pwn2Own駭客大會Safari及IE 8首日就被攻陷、2008年繁體中文報導:PWN2OWN大賽,僅 Linux 全身而退2009年簡體中文報導:Pwn2Own黑客大赛冠军:Mac比Windows安全2008年簡體中文報導:PWN2OWN大赛,仅Linux全身而退)。Charlie似乎什麼都駭,包含Mac、iphone、android都逃不過他的fuzzing技術。近兩年內,Charlie在各大駭客年會上都有給演講,包含:Charlie並著有以下書籍:「The Mac Hacker’s Handbook」、「Fuzzing for Software Security Testing and Quality Assurance」、「Open Source Fuzzing Tools」等。

Justine Osborne(BlackHat、DEFCON)
Justine Osborne是iSEC Partners的資安研究員,專精應用程式安全,著重於Web應用程式之滲透測試,code review,以及安全的程式開發原則。她也致力於自己的獨立資安研究,並常在各大國際資安年會上演講,近期之演講有:
BlackHat 2008, Living in the RIA World: Blurring the Line Between Web and Desktop Security
DEFCON 2008, Living in the RIA World (Paper / 投影片 / Video)

Lukas Grunwald(RFID Hacking祖師)Lukas目前是德國DN-Systems Enterprise Internet Solutions GmbH公司的CTO,也擔任該公司駭客實驗室的首席。Lukas在資安有15年以上之經驗,專精無線與有線網路安全,資安鑑識,資安稽核以及active networking等技術。Lukas號稱是去年RFID講師Adam Laurie的老師,為研究RFID安全之祖師,他研發並公開之RFDump工具為最早之RFID攻擊工具,他並在BlackHat 2006會上做全球首度示範--如何拷貝RFID護照(繁中報導:[ZDNET]研究員:電子護照安全堪慮),簡中報導:智能卡联盟称电子护照复制没有安全风险BlackHat 2006講義PDF)。其實Lukas早在BlckHat 2004,就已經給了精彩RFID演說並公佈工具,故稱為RFID攻擊之祖師,當之無愧。其他國際級資安會議不說,光是BlackHat,Lukas就於以下年次擔任過講師:
BlackHat 2004, RF-ID and Smart-Labes: Myth, Technology and Attacks(PDF / 工具)
BlackHat 2006, New Attack RFID-systems and Their Middleware and Backends (PDF)
BlackHat 2008, Hacking and Injecting Federal Trojans (PDF / Video 1 / Video 2 / MP3_A / MP3_B)

Matt Conover "Shok"(RSA、SANS、CanSecWest)
外號"shok",是Symantec Research Labs之首席工程師,也是w00w00團體的領導者。Matt於1999年,發表了全球第一篇關於Windows heap overflow之paper,在該領域堪稱全球第一交椅,Matt也曾擔任 RSA、CanSecWest、SANS與XCon研討會講師。Matt目前為SySCAN之評審委員之一,去年有來台灣給演講,深受好評。

Stefan Esser(PHP安全第一人)
在資安圈,Stefan被稱為「PHP安全第一人」。他於2002年加入PHP核心開發團隊,除了致力開發PHP引擎核心之外,也負責研究PHP安全問題。在更早時,Stefan發佈了許多資安弱點研究,包含在CVS,Samba,OpenBSD與IE內的弱點。2003年,Stefan是第一位利用緩衝區溢位漏洞,將linux灌進全新並完好之XBOX內,並開機成功。2006年他創立hardened-PHP計畫,後來於2006年發展成Suhosin PHP Security System。

Marc Schönefel(BlackHat)
Marc Schönefeld於80年代即利用一台Commodore 64,一台卡帶機與一本6502的書,開始了他的hacking生涯。他於2002年開始於各大國際會議演講,主要講JDK與JEE的安全性,例如:Black Hat 2002的「Security Aspects in Java Bytecode Engineering」,Black Hat 2003:「Hunting Flaws in JDK」等。在銀行做IT十年後,Marc加入了一家OS廠商,負責資安的研究與事件的應變。有空的時候,他追他的狗,虐待他的WII,找全世界最好吃的炒麵,探索無止盡的開放源碼世界,以及聽Ennio Morricone的音樂。

Ben Nagy(Infosecurity, Ruxcon)

Ben Nagy是COSEINC的研究員,最近致力於Word之binary格式研究,以及如何將成果運用於他開發的Metafuzz--一套用ruby寫的fuzzing framework。Ben常於各資安會議演講,包含Infosecurity以及Ruxcon等。Ben最近發表的論文包括:「SEH security changes in XPSP2」與「Generic Anti-Exploitation Technology for Windows」等。Ben之前為eeye之研究員。

Fyodor Yarochkin(其實會講中文的老俄)

Fyodor經常擔任各國際駭客年會之講師,包含BlackHat 2001 HK、BlackHat 2001 Singapore、BlackHat 2002、Ruxcon 2003、XCon 2003 / 2006、HITB 2004 / 2005、SyScan 2005 / 2008、Bellua 2005、VNSecurity 2007、SySCAN TW 2008、OWASP Asia 2008、Deepsec 2008、以及Coscup 2008。他於頂尖資安學術會議與地下雜誌皆有重要文章發表,包含Usenix Conference與Phrack Magazine(最具影響力之地下駭客雜誌)。Fyodor並為Snort最早的開發者之一,目前仍為Snort FAQ的維護者。Fyodor為XProbe的創辦人,有10年以上Web滲透測試經驗,並與Wayne在同一實驗室,為台大電機博士班候選人。

Jeremy Chiu "Birdman"鳥人

阿碼科技X-Solve實驗室首席研究員。Birdman利用其所研發之ArchonHackAlert技術,長期監控亞洲所有網站被掛馬之情況,專長各種惡意程式分析與抗毒技術。由於同時具有人鳥雙免疫系統,Birdman本體也是百毒不侵,在H1N1病毒威脅之年代,birdman為進化最完美之人鳥合一、人機合一之毒類終結者。唯鳥類有飛行之考量,其基因含控制體重因子,長期造成birdman體重無法上升之困擾。

Thomas Lim(SySCAN大會主席)
Thomas Lim是COSEINCSySCAN的創辦人兼CEO,之前則於新加坡最大IT服務公司擔任資安首席。其間,他對於由資安廠商舉辦之大小資安會議及研討會,淪為廠商之業務推銷活動,深感遺憾,於是於2004年創辦SySCAN為中立之資安技術年會,並強調前瞻性之資安技術。今天,在SySCAN邁入第六屆時,SySCAN已成為資安圈最具有影響力的會議之一。COSEINC則為一家位於新加坡之資安研究公司,在2006年首度公開「藍色藥丸」(Blue Pill)--全球第一支以VM為基礎之rootkit後,COSEINC便聲名廣播,為資安圈大家熟悉之尖端研究公司。

Wayne(SySCAN台灣主席,阿碼科技創辦人)

Wayne為阿碼科技創辦人兼執行長,國際開放Web軟體安全計畫 (Open Web Application Security Project, OWASP)全球會議委員以及台灣分會會長。Wayne專攻資安領域,發表多篇得獎學術論文,多篇有超過100篇引述,並曾為RSA、WWW、PHP、SySCAN、OWASP等大型國際會議講師。阿碼科技(Armorize)為亞洲最專業之Web資安公司,研發整合性解決方案Armorize Appsec Suite,包含源碼檢測平台CodeSecure,Web掛馬監測平台HackAlert,Web應用程式防火牆SmartWAF,以及惡意程式檢測系統Archon等產品,行銷全球。


聯絡方式:thomas在syscan點org或hackday在armorize點com

詳細內容與報名方式請見SySCAN官網:http://syscan.org/Tpe/taipeiconference.html

繼續閱讀全文...

2009年5月17日

No Tech -- 2

剛好最近有一些事情發生,不然我其實都是掛著"外出取材"的狀態。

事情發生了,總是多多少少造成別人的困擾,而這些不滿都能理解。
技術圈子所提出的看法,總該有佐證說明,不需要受到可被操作的資訊影響,尤其是本質上差很多的東西,大家可不要變成口水專家。

在上一篇No Tech -- 1中,有長輩酸說"高道德公司"云云,我認為這不但沒有長輩風範,也沒有客觀的看待這個想法。
資安的技術部份,有很大一塊的灰色地帶,誘惑也沒少過,有很多的遊戲規則其實是靠自己摸索,產業的態度則決定了這些人在面臨就業時,是否被排擠到地下的可能。
事實上,我剛好就這次事件來觀察公司的態度;外界負面的聲音,說沒有漣漪是虛偽的,但同時也是個機會,讓公司成長為容錯的環境,而這樣的環境,我個人以為在資安工作尤為重要。

公司從過去聆聽資安工作者的聲音,到調整適合的工作方法,最近,更願意實質地投入資源,與內部溝通,以滿足技術人才知識需求。
這樣的一個工作環境在IT業都是難得的,更何況是一家能提供軟體又提供服務的資安公司。

聯絡方式:
Kuon (kuon在armorize點com)

繼續閱讀全文...

2009年5月9日

Plurk蠕蟲、Twitter蠕蟲、MySpace蠕蟲與911於管理面之啟示:滲透測試的新觀念,讓軟體重生吧!

(By Scott Hudson under Creative Commons "BY:")

今天好幾件事讓我有感而發。最近由於一方面阿碼有幾位從事滲透測試多年的朋友加入,我們重新組織了ASF(Armorize Special Forces)團隊,一方面剛好看到了幾篇最近大家寫的滲透測試文章,讓我也想寫一下我們對於滲透測試的看法。

首先我們來看滲透測試的定義。滲透測試比較傳統的定義,簡而言之,就是由資安專家模擬駭客之攻擊,找出安全漏洞,評估風險等級與建議處理之優先順序。但是近幾年,滲透測試有了新的思維與新的思考模式。

以網站安全來說,在傳統的思考邏輯中,防守方式因為不熟悉駭客攻擊之手法,因而無法做好防守。然而這幾年經過OWASPWASC,以及各國指導單位如台灣研考會資策會技服中心軟協等大家之努力,大部分防守方已經很清楚威脅之來源。然而威脅依然沒有解除,網站還是天天被駭,這問題到底出在哪裡?難道守方比攻擊者笨嗎?

[911事件]

在911攻擊事件中,美國被住在沙漠山洞中之賓拉登團體直接攻擊心臟,擊毀了全國最重要的兩棟大廈,裡頭盡是美國之菁英。難道美國各情報單位不了解賓拉登所計畫之攻擊手法?難道住在沙漠山洞中之賓拉登團隊,比起美國各菁英特種部隊,擁有更好的技術?更先進的科技?更龐大的資源?更優秀的人才?如果沒有,美國又早知道攻擊手法,為何無法有效阻擋攻擊,避免911事件之發生?

這個情況與現今資安狀況剛好相同。如果沒記錯,Cross site scripting (XSS,跨腳本攻擊漏洞)約於1996年正式被定義,SQL injection(SQL注入漏洞)則約於1998年被定義(rf-puppy? meer?)。這些都是很老的漏洞了,然而一直到今天,我們還一樣在處理相關漏洞。這幾天公司幾位同事討論讀書會之成立與規劃,fyodor直接說,裡頭一定要有跟Web漏洞一點關係都沒有的hacking,因為任何跟XSS/SQL有關的研究,都「無聊至極,讓人想死。」fyodor說:「拜託來些跟internet與Web都無關的好嗎?」

沒錯,不論是buffer overflow(緩衝區溢位)或是XSS/SQL或是ARP Poisoning/spoofing,對於已經為了工作而處理了十年的我們來說,有時真的是............。上述這些都是超過十年的老攻擊,三年前的MySpace(Samy)蠕蟲與不久前的Twitter(Mikeyy)蠕蟲(這裡這裡這裡),不但本質上沒多大差異,也大都是年輕人在玩的,進入資安比較久的人,早就不玩了(可憐苦命的我),或像NMAP作者fyodor v.於去年美國Black Hat在台上公開的說XSS是「很娘的東西」,贏來台下一陣掌聲。

可是為何在2009的今天,仍然對於守方來說,仍是很大的威脅?

原因是這是一場不對等的戰爭,攻擊雖難,防守更難。911事件中,攻擊方贏是贏在攻擊之後。攻擊結束後,攻擊方可以去渡假三年,可是美國卻要在每一班國內班機,每一場公眾聚會,每一次中型以上活動中,都增加安檢措施,對於整個邊境做27*7*365的防守,這些措施所提升的社會成本非同小可。賓拉登的攻擊方式很容易了解,就像XSS/SQL/CSRF一樣,但是並不容易防守。美國邊境很長,敵在暗我在明,又需要考慮任何防守措施所帶來的社會成本,在不知敵人將於何時進攻何處之情況下,防守所需要思維的面象,不是懂得攻擊就夠的!

[Twitter蠕蟲]

又以這次Twitter蠕蟲為例,Twitter團隊經過四次修復,都宣稱已經將漏洞修改好,但是其實並沒有修改對。這次Twitter蠕蟲也在WASC的mailing list上掀起一些小戰爭。看來已經是全球最大牌的資安研究員之間,仍無法取得共識,對於XSS,怎樣算是最好的修改方式?
(上次guo-rung問得很好,我也一直沒空回答。事實上以PHP中的XSS弱點為例,大家常推薦的htmlentities()就不是對付XSS的最佳字串處理函式,因為htmlentities()只是做到html-safe而已,並沒有tag-safe或script-safe。譬如如果不安全的字串出現在tag中或<script>中,htmlentities的處理就無效了。)

在這個事件中,攻擊手法很簡單:XSS,漏洞發生在程式哪一行也已知,但是多次修補卻沒有修對。這是為何我深深覺得其實資安專家都需要同時具備技術與管理方面之經驗。在許多防守之措施中,投資報酬與資源利用皆為重要之考量,在滲透測試或任何資安投資中亦是如是。今天的滲透測試,早已非僅止於「偽駭客攻擊」之執行,主要原因有二:第一,攻擊或找出漏洞,並不代表資安的提升;第二,執行之資安團隊所花之時間,直接轉價變成客戶之成本,故資安專家之時間,不能只花在模擬駭客攻擊上。

[Plurk蠕蟲]

今天我身體不適蹲在家中,朋友請我幫忙改他的blog與Plurk的架接,看著朋友寫的程式突然覺得很奇怪,感覺Plurk架構上有漏洞。於是在約15分鐘內,我沒有利用任何滲透測試工具(Burp/Paros/OWASP Webscarab之類),連"view source"都省了,註冊了我的第一個Plurk帳號(armorize被誰拿走了?另外不用follow我,我的Twitter在弄完蠕蟲後也早荒廢了),然後直接對照朋友的程式就寫了一隻蠕蟲,沒有幾行,連javascript都不用,跑起來還真的work,趕快Google查一下有沒有Plurk的聯絡方式可以把蠕蟲給他們。結果發現Google排名第一的連結告訴我,原來早在四月出,Twitter蠕蟲爆發前幾天,Plurk就公開徵求大家幫忙找弱點,大家也幫忙找了不少。一共92篇的留言,大家真的很積極;另一方面,首席工程師amix的blog上,也有場小戰爭,與當時Twitter蠕蟲造成WASC成員看法不同一樣,大家對於如何修改,有著不同的意見。

我說這麼快寫一隻蠕蟲,並不是說我們很厲害;這些蠕蟲這幾年大同小異,沒多大變化,相信很多本blog讀者都能比我寫得更快,找得更多(當然,等對方修完後也會公開讓大家參考)。但是重點是,找到漏洞後呢?如何有效正確的修補?這次發現的Plurk漏洞為全面性的,amix表示將需要多一些時間做全面性的改版,跟我預期的一樣。這就是我想說的:攻擊難,但是防守更難。

[「駭」得更安全?]



去年OWASP美國年會於九月在紐約舉辦,在開場中,OWASP的主席,也是Aspect Security的創辦人與CEO Jeff Williams 說道(上面影片約7:25時):

『One thing we can do, is we can get our priorities straight.』
『我們該怎麼做?我們需要把我們的優先順序弄對』

『Many organizations spend most of their app security budget on "hacking," doing pentesting and scanning.』
『很多單位把他們大部分的資安預算花在 "駭" "hacking"上,也就是做滲透測試跟掃瞄』

『Now, there's nothing wrong with those things, they're important, but we're not going to hack ourselves secure』
『這個沒什麼錯,這些工作是重要的,但是我們沒辦法把自己「駭」得更安全

『We don't prioritize by what tools can find, but by what matters』
『我們不應該由工具能找什麼,來決定優先順序,我們應該依照什麼是重要的來排』

Jeff的公司Aspect Security沒有生產產品,是一家純顧問公司。既然是顧問公司,為何要質疑滲透測試?我認為他質疑的是舊的,僅限於『偽駭客攻擊』的滲透測試觀念。那怎麼算是一個好的滲透測試團隊?滲透測試跟黑箱與白箱的掃瞄工具,以及跟WAF(Web應用程式防火牆)比起來,又該如何選擇?

在討論這個問題時,我們可以把問題大致上分為:人工vs.工具、黑箱vs.白箱以及偽駭客攻擊vs.白帽協助防守等三方面來看。

2007年我們在台灣第一次舉辦2007 OWASP亞洲年會時,我費了好大一番勁,邀到了WhiteHat Security的創辦人兼CTO Jeremiah Grossman,他是XSS一書的作者,並希望他講一些新的滲透測試觀念。於是他於台北首次演講『商業邏輯錯誤』,他去年在美國Black Hat 2008年會上,其實講的東西很類似,台灣大家賺到了。因為那時我在推展我們的源碼檢測工具的過程中,就發現大家對於人工vs.工具之比較,比較模糊。簡單的來說,Jeremiah當年所示範的『商業邏輯錯誤』,就是工具所無法找到的漏洞型態。去年OWASP亞洲年會,我邀到了從印度來的KK,也是講一樣的東西。但是重點不是工具與人何者能找哪些漏洞,何者找的比較好。我們公司同時研發自動源碼檢測工具,同時有滲透測試團隊,很多人當時有問,不衝突嗎?當然一點也不衝突。

[人工vs.工具]

人工vs.工具的比較,重點在於,人每做一天,就要算一天的工資,而工具是可以無限制的重複一直使用。所以說,工具雖然不能找到所有形式的漏洞,但是工具找漏洞有四大好處:

A. 可以無限制重複使用,找到漏洞的成本相對低。
B. 工具可以與開發流程、軟體生命週期、以及公司內部程序結合,因此很多公司要通過各種認證,需要在程序中結合工具。我沒說通過認證就一定做好了資安,但是大國如美國,認證是一定得過的。
C. 因為可以重複使用,故可以每天或甚至每小時使用,提早找出漏洞,降低修補成本並縮短資安空窗期。
D. 工具對於其所擅長找的弱點種類,可以很穩定並且無失誤的掃瞄大規模的系統,人則可能有失誤,例外時間有限,因此在涵蓋率上,工具有優勢(我們常協助客戶掃上百萬行的程式,如過用人工,要如何用眼睛看?)

但是人工具有以下優點,是工具所永遠沒有辦法取代的:

A. 不只是邏輯性的錯誤,還有一堆無線、架構、設定、與新型的各種漏洞,只有靠人工能找。工具只能掃瞄很成熟(很無聊)的漏洞,例如OWASP Top 10中的XSS與SQL injection等。
B. 攻擊是一種藝術,人才有這種嗅覺,有時看一個人有幾年的經驗,看猜密碼的能力就知道了。這種敏銳度,很難解釋,人腦是很複雜的,其威力遠勝過任何工具。
C. 有能力的滲透測試團隊,可以協助修改程式。我說過,找漏洞雖難,正確的修改更難。

在滲透測試執行的過程中,專家們往往都會拿出自己經年累月累積的一套工具組,透過工具之上述優點,配合人工的判定與智慧,以期提供最優質之服務給客戶。但是如果您是買方,結果拿到的報告中,大部分都是自動工具可以掃瞄出的漏洞,那麼你可能沒有讓您聘僱的滲透測試團隊,做最有效率,投資報酬率最高的發揮。因為在工具就能找到的部分,其實可以由您自己掃瞄,提早找到漏洞並降低修補成本。要記得國內滲透測試通常是一年做一次,滲透測試中才找到的漏洞,很可能已經存在多時了--如果提早自己使用工具,則可以縮短資安空窗期。我們這些資安顧問的時間,希望是花在幫您找尋工具所無法找到的如邏輯性錯誤等漏洞,或花在協助您正確的修補漏洞上面。

[黑箱vs.白箱]

Wikipedia上的定義,將滲透測試(penetration testing)分成黑箱(blackbox)與白箱(whitebox)兩種。簡單的說,黑箱就是很像駭客一樣,在沒有比外在駭客更多資訊的條件下,由滲透測試團隊執行『駭客任務』。這種滲透測試是大家都很喜歡做的,因為做滲透測試就像是解一個謎題一樣,除了技術外,靈感,嗅覺,經驗也都是重點--駭客技術永遠是一套藝術。但是就像我之前介紹DEFCON 2008上Chema的Blind SQL injection手法一樣,我們假設執行的過程中有以下步驟:

A. 手動找出Blind SQL injection漏洞
B. 使用Chema的工具,利用blind SQL injection暴力找出table名稱或欄位名稱
C. 進一步從table中成功取得管理帳號與密碼之hash
D. 利用高階機器跑暴力程式,成功將hash反解出密碼
E. 示範利用正確之帳號與密碼登入,整個偽駭客攻擊至此結束

這些步驟,執行時甚為精彩,不但資安專家樂於其中,客戶也常常看得拍掌叫好。可是問題有兩個(尤其在不景氣的經濟下):

A. 找到漏洞代表提升資安品質了嗎?Blind SQL injection在哪個程式的哪一行?如何正確修復?
B. 如果有效利用專家時間,否於步驟(A)後,就應該直接協助修復?因為後續B-E所需的時間,可能遠超過修復所需的時間。

這就是Jeff說的:『但是我們沒辦法把自己「駭」得更安全』之精髓!

在白箱測試中,不論是工具或是人工,資安專家或工具由於擁有比一般真的駭客豐富許多的資訊,例如系統架構文件或程式碼等,給了資安專家或自動工具莫大的優勢,能更有效率地找出漏洞,並協助修補之。這就回應了我前面說的,在911事件中,防守遠難於攻擊,因為防守需思考成本等多種面象。

在這方面,白箱更能有效率、低成本地提升資安水平。擁有十年以上滲透測試經驗的fyodor曾說,黑箱滲透測試,其實是很沒有效率的,通常發生於雙方第一次合作,互信基礎不足,或買方有特殊原因或規範,無法提供白箱資料時。合作久,擁有充分互信的雙方,一定會開始做白箱的滲透測試,或叫『secuity review』也許比較恰當。在工具方面,根據最新的一份Gartner報告指出,2008年,白箱工具的市場已經後來居上,超過黑箱了。整個201M美金的黑白工具市場中,有126.9M是白箱,約佔63%。白箱工具去年市場成長了35%,相較去年只成長了6.5%的服務市場(包含滲透測試,code review等等)來說,相對高出很多。整個2008資安服務市場則為197M美金,略低於工具市場的201M。

[偽駭客攻擊vs.白帽協助防守]

我在這整篇中要說的重點,就是『但是我們沒辦法把自己「駭」得更安全』,一份很完整並具有風險排列的滲透測試報告,還沒有降低資安風險。Why?因為上面的漏洞只要沒有正確修補,這份報告就沒有實際提升您的資安水平。三年前19歲的Samy,上個月17歲的Mikeyy,都可以很快地寫出蠕蟲;可憐的資安專家由於每天工作就是這個,可能更快些,但是雖然不懂攻擊技術,一定不能做好防禦,但是從Plurk/Twitter/MySpace蠕蟲到911,我們看到的是,威脅已經清楚,攻擊已經老到無聊的地步,但是有效的防禦仍是那麼的困難!而我卻很驚訝的發現,一份最近刊登的『滲透測試』文章,隻字沒探討到防守面或修改面的觀念,程序,動作或經驗!成功找出弱點,只是提升資安水平的第一步,不是最後一步。好的資安團隊,必須研究修改漏洞時的各面象。譬如我們發現某json介面全部都有CSRF漏洞,但是該json介面已經發佈並廣被使用,修改CSRF需要更動介面規格,這會使所有依賴此介面之其他系統失效。這時該如何做?如果實在不能修改軟體,那麼其實WAF處理CSRF非常直覺,自動加上one-time token就好了,那麼我們是否改用免費(modsecurity)或商用WAF?我們以後在開發流程中,要建立哪些機制或程序,來避免類似漏洞之產生?在不影響現有系統之營運與效率下,正確並快速地協助漏洞的修改,並建立相關制度避免未來漏洞之產生,再再考驗著資安顧問團隊之能力與經驗。軟體是人類偉大的發明,改變了全人類的生活,帶來了科技的革命。但是為何軟體有這麼多的不安全性?為何找到漏洞了卻這麼難修?難道是這整個模式從一開始就不對嗎?目前的軟體模型出了錯?如果要建立secure-SDL來避免漏洞之產生,那麼在agile、scrum、extreme、adaptive...各種不同開發methodology之下做secure-SDL,有何不同?成熟度模型如何建立?

希望除了在『駭』方面的探討外,能多些在『修復』或進一步『避免軟體漏洞』之研究,讓軟體重生,不要永遠都當壞事的罪魁禍首。

作者 Wayne 為阿碼科技CEO

後記
最後我要抱怨一下。當然大家都不想弄這些XSS/CSRF/SQL-i,但是這是我們的工作沒辦法,這些漏洞是現在客戶最苦惱的。可是怎麼苦工都我在做勒?SS7交換機、iphone、android、rfid、LLVM/ASA,大家玩得不亦樂乎,讓我在旁邊流口水... 可是改天要你們來寫blog,換我週末來玩這些!

繼續閱讀全文...

2009年5月8日

關於2009 SySCAN前瞻資安技術年會之舉辦

SySCAN又要開辦了,回想去年SySCAN,辦得真的很過癮,原本預計只有80個人,結果來了這麼多人,事後也收到大家的email,真的非常謝謝各位的支持!SySCAN是很高品質的駭客年會,所以去年Thomas(COSEINC)表達希望把SySCAN引進台灣時,我一口答應支持他。去年辦得只有一個「爽」字可以形容,大會虧了四十多萬,阿碼跟COSEINC對半拆,雖然虧錢,但是本來雙方就有共識要做些回饋社群的事情,也有編列預算,這些對公司都是小錢,大家的支持才是最難得的,所以回想去年,內容好,聽眾好,真的是很過癮!(照片與內容可參考這裡:http://syscantaiwan.blogspot.com

今年Thomas說COSEINC可以自負盈虧,阿碼則仍然同為主辦單位,協助挑選講師,定義會議方向與執行活動,虧損獲盈餘的部分則全部由COSEINC負責。今年也改由COSEINC直接處理報名收費與開立發票部分。我們當然很感謝COSEINC這樣的決定,但是也擔心COSEINC的負擔會太大。今年公佈的門票為每人3000NTD,雖然不是我決定的,也比去年貴,但是我覺得還是很合理的。今年新加坡部分(比台北早一個星期,然後講師飛來台灣)今年一票13,478台幣,Black Hat則是46,062台幣,都很貴,出國又要加上時間,機票,住宿等。我們看SySCAN,是幾乎與Black Hat同等級的資安會議,台北還比新加坡多了一天的「害翻天Hack Day。」我們覺得COSEINC已經很用心壓低票價,希望各位今年能繼續支持!其實我們辦這些會議主要的目的,還是回饋社群。SySCAN去年虧40萬,OWASP去年虧了約50萬,台灣的資安會議要賺錢?那真的很厲害!台灣不比美國,資安社群很小,要願意投資這麼多時間與人力,辦出優質的駭客年會,這要對資安很有熱情的團隊才會願意投入。如果是要賺錢的話,以阿碼來說,產品已經在全球大賣,一場會議能賺多少錢?一個人3000NTD,300人也才90萬,即使不需要場地成本,食物成本,講師機票,住宿,用餐,招待等成本...90萬以阿碼來說,賣一套CodeSecure就不只了,不用大家花幾個月的時間與心血來辦一場會議 :) 但是同時,其實這些經費對阿碼與COSEINC來說都是小錢,能把會議辦好,以及大家的支持,才是最重要的。我們覺得大家真的幫助了我們太多,能回饋各位的地方,我們會盡力來做。

我個人的部分,由於我現在擔任OWASP總部的全球會議委員,負責協助舉辦OWASP一年三次的大會:美國、歐洲與亞洲,再加上阿碼的工作,本身已經真的太多事情了。SySCAN是非常高品質的駭客會議,能來台北舉辦並自負盈虧也處理許多如報名收費等事務,我當然很高興,讓我也有更多的時間與資源同時把今年OWASP辦好。加上今年講師群真的是有夠強,又決定加一天的Hack Day,讓社群多些時間交流,每天想到就熱血沸騰,也很謝謝COSEINC的努力!

大會議程與講師介紹的中文部分,這幾天是我把工作拖到了,希望今天就能公佈,請各位拭目以待。

另外SySCAN「害翻天Hack Day」徵求講師,CFP請見:
http://armorize-cht.blogspot.com/2009/04/syscan-hack-day.html
http://armorize-cht.blogspot.com/2009/05/no-tech-1.html

大會官方blog: http://www.syscan.org
大會官網:http://www.syscan.org

去年照片:

繼續閱讀全文...

2009年5月3日

No Tech -- 1

打從公司的非官方部落格設立開始,我就知道我不會發表有關技術性的文章,我想探討更多隱性的議題,所以很抱歉,本篇 “無料”。

適逢今年的 SySCAN Taiwan 籌備中,去年辦得很成功,今年則嘗試舉辦了一個 Hacker Day 的活動,事實上辦這樣的活動並不容易,需要很多因素才會出色。

在討論一個資安會議的出色因素前,我想先討論會議本質,很多投稿者沒有釐清會議本質就來投稿,就算是躺著都會被打槍 :) 試問:
1. 投稿者是否過去參加相關的會議, 了解會議所需素材的方向?
2. 投稿者是否閱讀或閱聽過去相關會議的簡報檔或多媒體檔, 了解內容的技術水準?

如果你把能投 ACM 的論文投去 USENIX, 把能投 DEFCON 的論文投去 IEEE,試想被 accept or reject 的機率孰者為高? 政治正確很重要。

以下是幾個我個人認為的會議因素:
[內容]
1. 當我們把研究分為威脅研究和技術研究的時候,有的會議都收,有的會議偏重純技術。
2. 投稿者是否已 study 相關領域的發表? 有創新的思路或利用方法很重要,或是別人僅僅在討論階段的方法,而你實作工具出來。如果是資料的蒐集整理,新意卻不足,就可惜了。

[技巧]
1. 對我個人來說,演講技巧是最不重要的,正因為身為工科背景,所以可以同理理解,並不是每個技術領域的人都擅長演說,技巧不足,其實掩蓋不了技術本身的璀璨。
2. 當然,好的技巧確實加分;不過,這也和演講者對於聽眾技術背景的定位有關,有時候一個高手的喝采,抵過滿場的掌聲; touch 不到點的發問,才有知音人難覓的感概。

[人才]
丁丁真的是個人才(誤)。

SySCAN 本身募集了相當多的歪果知名講師,其用意是舉辦高質量的技術活動。
SySCAN Taiwan Hacker Day 的用意卻是希望吸引 Taiwan 夠技術水準的職業人士,業餘人士來共襄此一盛事。

以一般資安會議來說,主要的內容提供者還是以業界和學術界為多。
而台灣業界真的有專職設立研究人員或是有研究氛圍的少,畢竟主要還是以產品開發或是技術服務為工作內容,自然產生paper的質與量就有限。
而學術界專注於這麼應用面的研究單位,好像也就這麼幾個,要滿足 Hacker Day 的需求,也是需要讀者們協助本活動的宣傳。


我故意把 '人' 這個因素擺在最後,也用了 SySCAN Hacker Day 做為一個引子,自己作為資安產業一員,我想內視自己心中的吱喳聲 :)

[道德標準]
安全管理作為安全產業的一環,似乎更要求道德標準,而安全技術人員的道德標準水位,似乎一直難以定義。
舉一個某社的口號,"我們公司不錄用會寫病毒的人",當我們更細分:
"我們公司不錄用研究病毒技巧的人"
"我們公司不錄用寫病毒惡作劇的人"
"我們公司不錄用寫病毒賺錢的人"
以上三者,事實上,放在不同組織,其選擇會有不同的集合,適才,適所。

[熱情]
在這個IT產業的一隅,熱情非常重要,資訊和技術變動的非常快,投入於其中是耗時的,時間總是不夠。
我看到了我的幾位同事,很是佩服,身為孩子的爸,有的還不只一個,還可以半夜一兩點討論資安產業的訊息,我想這是真的有熱情的人才做得到的。

熱情也決定你同一類型工作的支撐力道,當你工作中的心情總是愉悅著,偶有壓力卻也算不了苦。
當然,熱情也會 burn out,失去熱情的工作,對某些人來說,連一杯咖啡的時間都不願意等待。

[思考模式]
如果我們將思考模式分為正向思考,逆向思考,跳躍式思考,資安技術從業人員似乎需要更多的非正向思考方式,並要能與正向思考連結之。
很多時候,必須推理分析一個網站結構,網路拓樸,維護者習慣,軟體的設計,邏輯瑕疵…等等。

從業人員也需要一個符合其特質的工作環境,才能適當地與其溝通之。﹙別忘記,媒體總愛型塑這樣的人格特質 :D)

[敏感]
這裡的敏感,指的是在一個大家看起來是無害的事物,能夠察覺是一個 risk,甚至是 vulnerability。
或是從不完整的資訊,能夠歸納出接近事實的結果.

比較實際的感覺,也許玩過 Wargame 的人就能理解,有的時候就是一個 sense,或者該說聯想的程度 :p

[趣味]
趣味對某些人來說就是成就感,哪怕是博君一笑,甚至是 Do Evil.
當然你得先了熟悉你自己,有的人是寫程式寫得好會有成就感,有的人是處在安全產業的攻與防,自有無窮樂趣。

還記得高中的時候寫程式,也是寫遠端遙控程式,寫來自己玩很得意; 也誤擊過小綿羊.exe,變成 SubSeven 的被控端 :(
直到我進入了這個圈子,才確認自己的歸屬,寫程式﹙作/避免)邪惡的事情才有趣,對我而言,並非寫程式本身就有趣; 寫自己想寫的,摸索研究技術上的東西才有趣。

認識的一些朋友似乎也是這樣懵懵懂懂, 招搖撞騙才認識自己更深;年輕的讀者,你找到歸屬了嗎?

[產業]

還記得這個口號嗎? "不錄用會寫病毒的人",換個角度,這些技術人才的就業情況如何了?

"不符高道德標準" -> "往較低道德標準的工作機會發展"
"對資安工作熱情不夠" -> "往非資安工作發展"

還有甚麼可能呢? "不懂資安這個產業"!!

一開始的初衷就是好玩,沒有想到可以以這個混口飯吃,更沒有想過這樣的產業也是有前景的. ﹙無心插柳柳橙汁)
後來才領悟,當你學了一堆密碼學,網路安全課程的時候,人肉市場的供需資訊並不對稱,中間有個 gap 需要被填滿。

將近10年前,我認識 Birdman 的時候,也一起認識了 PK,那時候有好幾位都在研究系統軟體,電腦病毒,軟體破解保護,直到我當兵前當兵後,發現怎麼越來越少同好了,Birdman 跟我說,都去寫軟體了,資安會餓死。

P.S Birdman 現在還是瘦瘦的,還健在 XDD

還有甚麼可能呢? "資安產業規模及其限制"!!

你所會的技術基礎,台灣沒有符合的產業。
過去,你專精 compiler,你可能就會去寫 toolchain;現在,如各位所知道的,我們就有一項產品是用這樣的技術做出來的。
過去,你可能找來找去,不是 SI 就是代理商,因為台灣市場太小,自己做產品很容易餓死 :)
過去,你可能找來找去,不是 anti-spam,就是做 content filter,因為那樣的產品技術門檻相對的低,而且會被視為IT基礎建設,還可以有外銷的市場。

我相信還有很多業餘的資安技術份子存在著,或者是體內帶有資安因子﹙ex: 你明明是個金鋼狼,可是你還在和正常人一起生活著),更甚至你過去求職不順,收到太多"你已經加入人才資料庫,需要的時候會聯絡你"的 HR好人卡。
Armorize有高科技的潛力X光機,可以協助你一展長才

*記得* : 踴躍投稿 Hacker Day 很重要,一個了解資安人才需求的工作環境也很重要。

想了解 Armorize 有哪些人力需求 歡迎聯絡 Wayne(wayne在armorize點com)
想在投稿前,找人討論技術問題 歡迎聯絡 Kuon (kuon在armorize點com)


繼續閱讀全文...