阿碼外傳-阿碼科技非官方中文 Blog: 01/01/2009 - 02/01/2009

2009年1月28日

阿碼團隊跟各位拜年,祝各位牛年大吉、牛運亨通!(另含2008年阿碼大事記)


今年是牛年,對阿碼來說,會是很好的一年,因為牛代表了台灣人努力耕耘的那股勤勞,那股韌性,那股一步一腳印的踏實,那股辛勞耕耘後,牛背飄來一陣涼風都是無比的快樂,很符合阿碼的文化,所以今年,會是阿碼的好年。

去年對阿碼來說,是指標性的一年,也是我們蓄勢待發的一年。回首去年,我們心中除了感謝,還是感謝,感謝產業、學術、政府各界的長官與前輩,給我們在各方面的支持與鼓勵,讓我們這麼一個年輕的團隊,能夠順利地突破許多難關,乘風破浪,創出了連我們自己也驚訝的成績。

我們的 R&D 全部都在台灣,連所有的外籍同事,領的也是台灣的薪水,付的是台灣的稅,看的是台灣的健保。可是台灣的軟體業並不像硬體業那麼發達,台灣的軟體公司,能夠做出產品,在國際上有好成績的,屈指可數。三年前公司成立時,雖然投資人不常提,但是我們知道他們都暗自憂心著,這樣一個高科技的軟體公司,是否真的能在台灣生根?這樣一個年輕的團隊,是否真的能做出成績?是否能支援全系列的 Web 語言?做出的產品,使否真的能讓美國、歐洲、印度、日本的大客戶買單?

去年九月,碰上了百年難見的金融危機,那時我們剛好去紐約參加 OWASP 美國年會,直接感受到了紐約的人心惶惶,我們也不禁憂心,我們的募資是否會受到影響?市場是否會突然萎縮?但是就是這個金融風暴,讓我看到了阿碼的團結與韌性。我想當時大家不說,但是心裡一定緊張,但是沒有人退縮,沒有人埋怨,大家只是更團結,拼了命的往前衝。業務團隊說,可能金融與製造業會受影響,但是沒有關係,我們會拼命從其他地方做業績來補。R&D 說,我們再想辦法讓 SDL 變得更 agile,一定即時滿足客戶的需求,只要客戶還有需求,還有預算,我們就能滿足他們。

就這樣到了年底,一方面我們產品目標:PHP、ASP、J2EE(Java)、.NET(ASP.NET、VB.NET、C#)等支援全部達成,一方面我們業務也竟然超過 forcast,在惡劣的環境中逆勢成長,不只投資人驚訝,說實在我們自己也很驚訝。今年放年假前,我們一算,光一月的業績,就達成了今年第一季 forcast 的九成!這麼好的成績,一方面感謝每一位阿碼同事的努力,一方面感謝台灣與全球行銷伙伴對我們的支持與信心,然後最重要的,就是我們的客戶--我們很榮幸成為各位選擇的 Web 資安廠商,各位對阿碼的支持,讓我們有用不完的精力,我們一定會更加努力,不論在我們的服務、產品的改進或技術的研發上,我們會精益求精,不斷努力,也會珍惜各位給我們的寶貴意見,讓阿碼一天比一天更好!

去年的尾牙上,團隊成員接二連三的上台說了你們的感想,讓我很欣慰,阿碼真的建立了非常不一樣,非常優良的文化,每一個人都這麼在意自己的進步,自己的學習,自己在團隊中的貢獻。很多同事過年前打電話跟我再三的說,真的很高興有機會加入阿碼,阿碼的文化真的很好,這幾年下來學了好多。我聽了當然也很高興,我能說的尾牙上都說了,對我來說,很榮幸能夠跟各位共事,阿碼是大家共同建立起來的,我很高興,也很榮幸我是其中的一份子,跟各位工作,真的非常愉快,也從各位身上,學了很多,真的很謝謝各位。

阿碼準備了很久,從 2001 年我在中研院跟 Walter 開始研究黑箱技術 WAVES,到 2002 年 Chris 從德國加入,到後來我們一起投論文... 到後來 Matt 加入,我們募資,在董事長沙正治先生的領軍下我們成立了公司,後來 R&D 的各位加入,為我們的產品開發注入了能量。去年,產品日趨成熟,Jordan 率領的老外國際業務團隊日有斬獲,在各國都拿下了指標性的客戶,也一步一步把經銷代理伙伴訓練了起來。實力堅強的 X-Solve 團隊的加入,為我們帶來了新的產品線:HackAlert,也為我們帶來了專業的業務團隊。多位資安界的資深朋友的加入,讓我們得以成立了 ASF (Armorize Special Forces) 資安團隊。國內資深的業務前輩,Vincent、Sunrise、Eric 等人願意放棄原本的好工作,加入阿碼跟我們一起打拼,帶來了他們寶貴的經驗,讓我們更有信心,我們一定能提供好的服務給客戶,把支持我們的客戶照顧好。在這邊我也特別感謝阿碼的另外三位創辦人--技術長 Walter、研發總監 Chris、營運長兼財務長 Matt。Walter 還在唸書時就跟我一起做研究寫論文了,是整個團隊跟我最久的一位,能力非常好,但是一路上配合我,在後面當我隱形的伙伴,讓我在前面衝,自己則在後面支援。Chris 是德國人,願意為了阿碼放棄微軟的好工作,不但搬來台北,也把好朋友一起從歐洲挖過來,離鄉背井,幫我們帶著 R&D 打拼;新年期間,看到他們都在線上,知道他們沒地方去,心裡很過意不去。Matt 是我弟弟,能力不比我差,擁有 Stanford 企管系的MBA,待過麥肯錫顧問公司,擁有各種的好履歷,但是一樣,總是站在我後面,給我一切的支援,這次金融風暴,Matt一個人胸膛一挺,一面扛起整個募資的責任,一面繼續擔任營運長,打點公司大小事物與跑國外的大客戶,沒有一點怨言。三位,我想如果沒有來阿碼,三位現在成就可能都超過我,但是每當掌聲響起,我從沒有忘記三位為阿碼的犧牲;其實我從沒忘記阿碼任何一位同事的努力,阿碼是大家一起做出來的,謝謝你們,謝謝大家!

年後將有更多新同事加入阿碼,去年是阿碼蓄勢待發的一年--經過了這麼多年的努力,今年我們將要起飛,我們會讓世界看到,在 Web 資安界,台灣有頂尖的技術能量,有來自各國的菁英團隊,台灣不是只有硬體製造代工業,我們能夠做出符合潮流的的頂尖軟體技術,我們有自己的品牌,我們有一流的軟體人才,我們有國際化的行銷團隊。

最後我們要感謝阿碼的個人與法人投資人,特別是董事長沙正治先生。當初我們一無所有,只有幾篇得獎的論文,是你們給了我們機會,並一路給我們建議、輔導與幫助,我們才能有今天的成績。在金融風暴周遭公司裁員倒閉的情況下,你們繼續支持我們,並以實質股價的成長來肯定我們的成果,給了整個團隊無比的信心,今年我們氣勢如虹,我們一定做出好成績,對於支持我們的投資人,各界前輩,經銷伙伴,還有我們的客戶,我們不會讓各位失望的!我們希望成長,但是我們不想做搶錢的公司,我們想一步一腳印做出我們的成績來,做出我們的價值給客戶,並賺取我們該得的。我們去年不就是這個精神嗎?結果證明我們業績超乎預期的成長。現在資訊發達,客戶都很聰明,懷有僥倖想法的業務團隊,很快會被客戶唾棄。我們慶祝去年的好成績,但是我們絕對不會因此而驕傲,是否是台灣第一,亞洲第一,並不重要,重要的是我們每個人都會虛心學習,不斷提升。我深切體會過自視第一的同行的那種傲氣,那種把同業當笨蛋,把客戶當凱子的不成熟的文化,阿碼絕對不容許有那種文化。我們的策略很簡單,就是我在尾牙上說的,我們很清楚,我們必須謹守我們最有價值的兩項:技術與服務,我們的研發團隊會馬不停蹄地提昇技術與產品的功能,ASF 資安團隊會不斷研究、分析新的攻擊趨勢,充分掌握新的威脅與各種解決方法,業務團隊會無時無刻想著我們還能如何為客戶提供更好的服務,更低的價錢,與更節省成本的產品。技術與服務是阿碼這個年輕團隊僅有的,我們很清楚,我們會盡一切努力提升。謝謝大家一直以來對我們的支持,也希望大家能繼續支持我們,給我們意見,讓阿碼能夠陪伴各位一起耕耘,一起前進!

阿碼全體在這邊跟各位拜年,祝各位新年快樂,牛年大吉,翠柳迎春千里綠,黃牛耕地萬山金!

黃耀文 代表阿碼科技團隊 敬賀

阿碼去年大事記:

  1. 完成 CodeSecure 源碼檢測系統於 J2EE 語言支援,ASP支援與全 .NET 系列語言支援(ASP.NET、VB.NET、C#)

  2. 推出能與源碼檢測整合之 SmartWAF Web 防火牆

  3. 完成 HackAlert 產品開發,並推出含網頁爬行與竄改監控等功能之企業版

  4. 獲選新創公司最大獎,Red Herring Global 2008 Innovator's Pit,並於西雅圖發表演講

  5. 獲選道瓊 Dow Jones VentureWire 2008 Technology Showcase 技術大展,並於 Redwood City 發表演講

  6. 於全球贏得超過五十個指標性大客戶,包含:

    • PriceGrabber(美),全球最大比價網站

    • MyYearBook(美),全球前三大社群網站

    • GMO(日),日本最大上市之 hosting 集團

    • HDB(新),東南亞在資安界最具指標性之客戶

    • POSCO(韓),韓國最大鋼鐵集團

    • Innotronic(德),歐洲領先之 ISP

    • Bank of India(印),印度最大公有銀行

    • 台灣大哥大,台灣電信業重要指標客戶


  7. 在全球挑選並訓練起超過十家之專業 Web 資安經銷伙伴

  8. 參展世貿資安展(台北)、OWASP US(紐約)、OWASP Asia(台北),OWASP India(印度),RSA Conference(美國)

  9. 與 COSEINC 共同舉辦 SySCAN Taipei

  10. 被 Forrester 與 Aberdeen 等重要分析集團報導為重要 Web 資安廠商


(台灣世貿資安展 2008)


(美國 RSA 2008)


(美國 OWASP AppSec US 2008)


(台灣 SySCAN 2008)


(印度 OWASP AppSec India 2008)


繼續閱讀全文...

2009年1月15日

雅虎搜尋引擎遭掛馬利用

平常用 Yahoo 搜尋引擎的人要特別注意了。搜尋結果會出現帶有 XSS 攻擊的連結,若是連結目標網站存在 XSS 漏洞,會導致網頁掛馬的攻擊手法,瀏覽者的瀏覽器軟體會遭受攻擊,系統有被植入惡意程式的風險。這可能是網頁掛馬手法的翻新利用,或者是 Mass SQL Injection 攻擊的後遺症。該惡意連結與先前<駭客集團於新年假期展開罕見之大規模SQL Injection攻擊>一文的惡意連結相同。
下圖可以看到"84."的搜尋連結明顯夾帶異常字串。


詳細分析"36."的搜尋連結:


直接搜尋"inurl:daxia123",可以找到很多有問題的連結:

可以看到很多搜尋連結夾帶攻擊碼,如果點選連結,配合 XSS 漏洞,會導致瀏覽者遭受攻擊。

直接搜尋"inurl:jxmmtv"的連結也是:

手法跟 daxia123 幾乎是一樣的,當然,因為是一夥的。

研判可能原因有兩個:
1.大量掛馬的網頁,造成雅虎搜尋引擎抓到網頁連結時,就是已經被掛馬的連結,導致搜尋連結帶有惡意網址。
2.有人大量餵給雅虎搜尋引擎掛馬連結,導致搜尋結果的連結,帶有惡意網址。

先前 google 也有遭利用,被用來進行掛馬攻擊,可以參考鳥毅-<Googlt Bot會找漏洞>一文

繼續閱讀全文...

2009年1月12日

SmartWAF v3 的釋出與新功能介紹

產品前進的腳步是不停歇的,三個月前還在 SmartWAF v2.5 的階段,轉眼間 SmartWAF 已經釋出第3版啦!

如果說 SmartWAF v2.5 是 SmartWAF 2 的強化版,不如說是 SmartWAF v3 的嘗鮮版。 SmartWAF v3 可以說是總合 SmartWAF v2 時代許多客戶的需求以及 SmartWAF v2.5 上的一些實驗性新功能,所推出來的新版本。 SmartWAF v3 整體介面風格並沒有多少改變(預計3.5版會改頭換面),但是有幾項主要改變與新增功能特色:

1.集中更新派送
其實 SmartWAF 的更新已經很簡單了,有安裝過的人都知道,只是 Web Server 一多,一台台連進去更新總是不夠方便。集中更新派送的功能主要提供給大量使用 SmartWAF 的客戶,透過管理介面就可以遠端更新各台 Web Server 上的 SmartWAF ,就像是企業防毒軟體的中控台一樣,這樣一來,無需一台一台 Web Server 遠端登入然後手動進行更新,版本更新也變得更加方便,另外也可以遠端停止 SmartWAF 運行或是重新啟動。
之前總是會有人會把 SmartWAF 與免費產品拿來比較,這個功能應該在免費的 WAF 產品上找不到吧。

2.支援多處理器
支援多處理器是 SmartWAF3 的一個重要里程碑。過去 SmartWAF 啟動時會同時生出多個 process ,但是並不支援多處理器模式,在多處理器環境下只能為每個 process 分配處理器來利用 CPU 資源。現在 SmartWAF v3 已經支援多處理器模式,甚至還可以指定要使用幾個處理器,一些比較繁重的工作如統計、過濾 response body 等就可以分散給多個處理器同時處理,不再只是佔用特定的處理器,其他處理器卻是閒得發慌。
相較之下,許多免費產品使用單一 process ,也不能充分利用 CPU 資源, process 一旦異常就整組報銷,而流量大一忙碌時,也沒辦法有效運用系統資源。

3.偵測模式與保護模式
在 SmartWAF v3 以前,如果想先觀察規則的嚴密程度,是否有誤擋情形,都必須使用 SHADOW Rules 。許多客戶在試用階段僅需要使用 SHADOW Rules ,另外有些客戶則是把 SmartWAF 當成 WebIDS 來用,一般用戶則在上線前都需要觀察一陣子,因此從 SmartWAF3 開始,提供了兩種模式,分別為偵測模式(Detection Mode)與保護模式(Protection Mode),用以提供使用者更直觀的操作體驗。
細部的實際操作與過去的 SHADOW Rules 與 ACTIVE Rules 相差不大,只是現在預設都處於偵測模式,相關規則設定、學習、匯入完成並觀察運行一陣子並微調完畢後,只需要切換到保護模式即可上線提供保護,攔阻違規的網頁存取行為。

4.異常警示
異常警示功能在 SmartWAF v2.5 就有了,到了 SmartWAF v3 又有了強化。過去僅能做到系統級別的警示,例如 SmartWAF 總存取量異常增加等,現在可以進一步到 Application 級別的警示,也就是說當某個 Application 內所保護網站的總存取量異常增加時,一樣可以發出示警。另外,現在示警的方式也增加了 SNMPTrap 這種方法,許多有使用用網管系統,或是有 NOC 或 SOC 的單位都可以接收 SNMP Trap。
目前系統層級的警示類型包含:
a. Cluster State - 例如叢集成員斷線或是系統異常無法回應
b. Requests Per Minute - 例如 DoS 或是弱點掃描
c. Denied Requests Per Minute - 例如弱點掃描
而 Application 級別的警示類型包含:
a. Requests Per Minute Per Application
b. Denied Requests Per Minute Per Application
c. New Sessions Per Minute Per Application - 例如弱點掃描或是 Session 猜測

目前發出警示的方法則包括:
a. Mail - 寄送警示至相關信箱
b. Post - 傳送警示至特定網頁
c. LogFile - 儲存警示至特定紀錄檔
d. SNMPTrap - 透過 SNMP Trap 送出警示

預計下個版本還會增加更多的警示類型與方式。

另外還有許多改進如新增的 Preconditions 、新增的 Handlers 、許多 Handlers 內的新增參數、每週及每月 PDF 統計報告、叢集成員系統狀態統計與特定 Handler 狀態統計等,功能強化不少,我就不一一列出了,有興趣試試看的,歡迎進一步連繫囉。

作者 Wisely 為 阿碼科技 產品經理

繼續閱讀全文...

2009年1月5日

駭客集團於新年假期展開罕見之大規模SQL Injection攻擊

阿碼科技新聞稿 2009年1月5日

此次罕見之大規模資料隱碼(SQL Injection) 掛馬攻擊,於2008年12月24日開始展開,許多知名企業網站均受其害。犯罪集團趁著民眾休假時上網時間增加,以及網管人員可能無法立即處理,本次攻擊從12月24日持續至今,根據本公司SmartWAF所攔截的記錄顯示,此波攻擊中單一網站就遭受來自179個不同攻擊來源,高達500多次的攻擊記錄。相較於先前2008年五月之大規模掛馬攻擊,只有不到 20 個攻擊來源相比,此次規模相對龐大。

此外,此波攻擊之網站掛馬已經含有先前本團隊公布之微軟 IE 7 0-day 漏洞 (微軟已經緊急修補),故不排出此次大規模攻擊,目的之一為散播此一新 IE 7 掛馬。本次攻擊手法仍然針對後端資料庫使用微軟 SQL Server 的網站為主,透過Google抓出 ”id”、”msgid” 或 “classid” 等關鍵字做為攻擊點,再進行資料隱碼攻擊。本公司估計此波攻擊至少造成百萬以上網頁受害。



攻擊特徵:
(1) 罕見之大規模 SQL Injection 攻擊,單一網站遭受來自179個不同攻擊來源,高達500多次的攻擊記錄。
(2) 掛馬中含有最新的 IE7 0-day 攻擊碼。
(3) 標準假日型攻擊,於2008年12月24日持續至今。
(4) 目標以大中華區的網站為主。
(5) 攻擊來源5筆來自台灣IP,137筆來自於南韓,31筆來自於中國大陸。

攻擊碼:
樣本一:

解碼後為:



樣本二:


解碼後為:



建議處理方式:
A、網站網管人員:
(1)是否遭受攻擊?以攻擊字串中的關鍵字 (例如 “dEcLaRe” 或 “0x4445434C”) 搜尋 Web 伺服器的 log記錄,看看是否遭受類似攻擊。

(2) 是否遭受攻擊成功?以惡意網址中的關鍵字 (例如 “daxia123” 或 “jxmmtv”) 搜尋網頁內容以及資料庫。

(3) 如何預防攻擊?網站遭受攻擊,是因為有 SQL Injection 漏洞。採用CodeSecure源碼檢測,找出漏洞並修補之。如果沒有資源或時間修補,可以使用SmartWAF網站防火牆來阻擋攻擊。

(4) 如何監控網站是否被掛馬?可以使用免費 HackAlert 24小時網頁掛馬監控服務,網址:http://hackalert.armorize.com

B、ISP 網管人員:
(1) 保護一般民眾 – 對於 outbound HTTP 流量,封鎖目標為此次掛馬之惡意網域之流量。本次攻擊所使用的相關網域名稱如下:daxia123、jxmmtv.com、lhaham.cn、daxia123.cn、ghahah.cn、dayoo.com、hhahai.cn、 ihahaj.cn。
(2) 保護網站遭受攻擊 – 對於 inbound HTTP 流量,封鎖來源為此次179個攻擊來源 (IP) 之流量。可來信向本公司索取此次惡意 IP 清單:pr小老鼠armorize.com。


繼續閱讀全文...