阿碼外傳-阿碼科技非官方中文 Blog: 2010/10/26

2010年10月26日

OWASP 2010 中國峰會隨筆(摘錄萬馬奔騰演講)

自 2009 年底至今,阿碼來過中國好多次,包括上海、廣州、深圳等地。而其中北京給我們的感覺是一個古今結合(保留完整的京師九門、曲折幽深的胡同、譜出無數英雄傳奇的中關村、寸土寸金的 CBD 地區、一系列奧運會的聚睛建築如鳥巢、水立方、央視新大樓等)、地鐵便捷(近十條路線,平民價兩塊人民幣),以及四季分明的城市。說到氣候,我們感受特深,這北京是春天沙塵暴(空氣品質差,能見度也低),夏天炎熱(西裝筆挺等於汗如雨下),冬天寒冷(路邊積雪可多天不退),只有秋天氣候宜人、天高氣爽,真是一年最好的季節。

此次 Wayne 和 Matt 委派我和 Vincent 來北京,就只為了 OWASP 2010 中國峰會 這個盛事,而礙於大家的行程都十分緊湊,原本要一同過來的 Sunrise 和 James 改留在公司全力幫忙處理仍在進行中的工作,情義相挺,甚為感謝!! 與會前我們家的各項繁瑣籌備工作,機票酒店行程安排,展場工程聯繫協調,議程跟催,我們沒有龐大的行銷團隊,Jason 一肩扛下一人搞定,感佩!! Thank you!!

在中國的產官學界大力支持下,作為全球知名的應用安全組織 OWASP(Open Web Application Security Project)順利圓滿於北京舉辦以「應用安全」為主軸,讓資訊安全意識、知識、技術在中國更為廣泛而深入的加以推廣與積極交流。

本次 OWASP 2010 中國峰會特別邀請政府、金融、網際網絡、教育、電信等熱門行業的領導,其中包括公安部、中國軟件學院、中國測評中心、中國互聯網網路中心,國內外知名的應用安全專家、廠商代表與媒體夥伴共聚一堂。

阿碼科技此次與有榮焉、共襄盛舉。

OWASP 中國峰會大會現場



OWASP 中國峰會給阿碼的第一排貴賓席(哎呀,不是那個瑪)


現場宣傳DM (對我們家超強設計師 Joe 由衷敬佩,感謝!!)


會場攤位(Vincent 校長兼撞鐘,攤位都是他在招呼,辛苦了!)


鑽石贊助(感謝管理階層與董事會的支持!!)


OWASP 中國峰會大會會刊


敝人在大會會刊上的講師相親照...=/=


OWASP 2010 中國峰會大會議程


大會開場是中國人民大學的石文昌教授,以及OWASP中國分會主席萬振華(Rip)致詞,他們特別感謝本屆 OWASP 2010 中國峰會能獲得多方領導、朋友的大力支持,尤其能邀請到公安部網絡安全保衛局的郭啟全處長等嘉賓發表演說,還得到銀監會、國家電網、民航、中鐵、高校等部門和單位的領導和專家的大力支持。同時也對本屆峰會大力支持的合作夥伴表示由衷的感謝,分別是:安恆信息、阿碼科技、啟明星辰、梭子魚網路、深圳昂凱、神州數碼、古安科技、南京瀚海源等。

接著是 OWASP 全球董事會 Tom Brennan致詞,並由 Helen 現場翻譯。他強調大家彼此互相尊重,互相合作,並喚醒所有的軟體開發者建立堅固的代碼。

Tom Brennan在致詞



China 2010 中國峰會的第一位演講嘉賓是公安部的郭啟全處長。他主要分享中國在1)等級保護制度(http://www.djbh.net)推展的情況與成效,2)當前網絡安全形勢與防禦對策,3)等級保護體系的配套措施,以及4)下一步未來三年的等保工作內容。可以看到中國在資訊安全的最終目標是讓國家的重要系統具備「有效抵禦」的能力,那就是最大抵擋,最小折損。

公安部郭啟全處長


緊接著演講的嘉賓是中國科學院軟件研究所(ISCAS)負責系統安全與可信計算的丁麗萍研究員,她過去有警察的資歷,有刑事科學與犯罪偵查實務經驗,此次演講的主題是新型網路環境下的電腦取證技術研究。她對電腦取證在中國的法源、技術發展、以及近年國家型計畫的研究題目做了扼要分享。丁研究員最後亦對熱門的雲計算、物聯網(the internet of things)、三網融合(電信、廣播、網際網路)分享她所看到的電腦取證困難與機會。以雲計算為例,其中問題包刮高效計算和高效存儲帶來的安全威脅。以物聯網為例,最大的問題在於虛擬資安議題擴及至實體安全議題,各物質均因具備 RFID 等晶片而間接面對網際網路上的安全威脅;以三網融合為例,主要問題在於龐大的資訊量與因圖像等多媒體帶來的內容安全複雜度。

丁麗萍研究員


第三位嘉賓是中國網際網路資訊中心(CNNIC)的邢志傑安全專家,就網際網路域名安全挑戰與對策進行分享,他妙喻DNS就是打蛇打七寸的七寸,他也向大家介紹了 DNSSEC,並概述 CNNIC 的近況。

邢志傑安全專家



接著是安杭資訊的CEO范淵(Frank)分享他從一個普通Java工程師轉型至今天投入資訊安全產品研發之路,Frank 所分享的「縱觀中國 WEB 安全 5 年發展歷程及趨勢與挑戰」精闢地歸納中國在過去幾年所經歷的資訊安全課題與達成的里程碑成就,包括在實體或虛擬世界均呈現高水準、可信賴的 2008 北京奧運。

安杭資訊 CEO Frank


接下來就是阿碼科技的演講了! 主持人友善的介紹Benson將帶來「萬馬奔騰、裝模作樣 (Trojan: Trusted Insider)」的精彩演講。在演講一開始,我先感謝公司的同事費爾德(Fyodor)與老闆黃耀文(Wayne)對這份簡報提供的寶貴意見,讓我能夠大大提升這次演說的品質。

阿碼科技 Benson


-----我重新潤飾整理演講全文如下,歡迎繼續閱讀,交流想法與相互切磋-----

「萬馬奔騰、裝模作樣 (Trojan: Trusted Insider)」 by 阿碼科技 Dr. Benson Wu


引言與大綱
大家好!我是吳明蔚,今天很高興能夠來到北京參加OWASP會議。今天的主題是跟木馬有關,駭客最喜歡的就是木馬,木馬這個故事大家都知道,它是一個看起來不怎麼樣的東西,你以為它是禮物,把它默默的推到城裡面,後來它作怪。其實不像我們現在的木馬,現在的木馬是張牙舞爪,行為是很明顯的,防毒軟體一看到它就會發現它是病毒。

我介紹一下我自己,我在臺灣出生,在菲律賓長大,我老婆是長沙人,我自己認為我們現在這個時代非常幸福,因為以前沒有網際網路的時候自己頂多能夠幫助一個人,學醫再怎麼樣厲害頂多一次救一個人,但是網際網路可以幫助很多人。所以我很喜歡李開復和大家分享的一句話,就是「做最好的自己」。你可以學很多觀念,但是你自己要有你自己的價值觀,做最好的自己。

引用一下美國SANS的CEO的一句話,「走這行,快學中文」,外國人開始知道在中文的世界有很多資訊安全寶藏可以學習,我們的技術文章不僅先進,也有很多人樂於分享視頻教學,節省其他人學習的時間。相對的,做為中國人,那應該學什麼?我覺得應該學俄文,在俄文世界裡有很多無論是攻擊的武器還是各類地下經濟都可以做很多切磋。以下是今天的演講的大綱:首先從一些案例來分享什麼是木馬?木馬為何要裝模作樣?再談一談掛馬的一種常見方式: SQL盲注入。最後是歸納木馬產業鏈的樣態,也就是對地下經濟而言: 管他什麼馬,賺大錢最重要。

什麼是木馬?
它是一種惡意軟體,在資訊網路大量出沒。木馬可以做什麼呢?它可以做一些遠端的控制,像是有的人在單戀,拿木馬用在不當用途做強制視頻。它可以充當跳板,譬如發現一個網站有漏洞,但是我想打它的話會被他看到我的IP,所以我就要找一個受害者當跳板。或者是說我要寄大量的垃圾郵件,我就拿別人的郵件伺服器去搞,讓他背黑鍋。其實我覺得安全有趣的地方是在於 它是在玩弄「數位落差」和「資安意識的落差」。因為在實體安全上我們知道怎麼樣小心強盜,怎麼樣小心小偷,我們知道怎麼樣避免,看起來鬼鬼祟祟的就會去小心。但是在網路上很多人不知道要如何去小心木馬,因為網路上面有很多電腦的知識是大家無法理解的。也許我們理解了,但是爸爸媽媽們不理解,爺爺奶奶們更不理解,所以上面有很多安全的東西很有趣。

我這邊舉個很有趣的例子,講一下假的防毒軟體,防毒軟體是一個很大的產業,非常賺錢。但誰會想到賣假的防毒軟件竟然也是一個很賺錢的生意。假的防毒軟件之所以能夠成功,就是玩弄敵我雙方的「資安意識與知識」。再來我們看,有時候你會收到很多郵件跟你講學校的郵件伺服器壞掉了,需要維護,要讓你填下你的資訊來確認,有的人一眼就看出是騙人的玩意,但也許它發1萬封,最終有幾個人上當了,它就是抓這類的機率。再來我們看最近流行的Unicode混淆副檔名的社交工程手法。這類東西是Windows本身就有的功能, 它讓使用者能指定顯示文字的方式可以從右到左或從左到右,它顯示的方向不一樣。這樣的東西是五年前就有,但最近拿來用還是非常有效,又是一個挑戰你的「資安意識與知識」的例子。正牌的防毒軟體大概有好幾十種,像是VirusTotal上面有整合的大概四十來種,但假的防毒軟體居然有超過250種品牌! 假的防毒軟體還有網上客服系統呢! 你買了這個假的防毒軟體還可以跟它的客服互動。其實平常在網路上逛大家都有機會遇到木馬,古人說人善被人欺,現在是人善被馬騎!

U+202E Unicode攻擊手法


掛馬技巧:盲注入為例
分享一下怎麼樣做盲注入,這是網路上的一些入侵畫面,拿出一些國產很厲害的工具直接可以打到後面的資料庫。下一步是把馬放上去,解碼之後的注入碼是像這樣子的,基本上它只要一行注入碼,就可將所有資料庫欄位塞滿他注入的木馬連結,所以不是一個網站只有塞一隻馬,是每一個頁面每一個欄位都塞,讓你清的時候清到瘋掉。我們看這個受害案例,這邊有被塞一匹馬,那裡也有一匹木馬,它真的是一個頁面重複出現好多次相同的木馬。最有趣的地方是旁邊也有一個,但是不一樣的一匹木馬,所以是前赴後繼,各路好手都來塞各種木馬,只要漏洞沒被修補,就不會只是一次傷害、二度傷害,而是每個攻擊方經過都會持續加害。

木馬從張牙舞爪到裝模作樣
木馬長什麼樣我們可以看一下幾個實務案例,目前這個產業流行的木馬基本上都非常的隱蔽,有的是你明明知道這個是木馬,但是就是砍不下去,包括它DLL或Code注入至重要系統程序裡面,或以系統服務或驅動程式之姿出現。剛剛我們看到的這些都是木馬目前的現狀,目前的現狀是亂槍打鳥(或亂槍打肉雞),抓到的量就夠它這個產業。但一旦後來發現這樣已經不能活了,譬如它每次只要一出現,防毒軟體的阻擋率是百分之百,那麼它一定要開始走裝模做樣的路線,這就是未來大家更需要擔心的。因為最危險的就是披著羊皮的木馬,滿口任意道德的木馬,它們說自己是免費軟體,他們不隱藏程序,他們不利用零時差漏洞,但偷偷摸摸作怪,讓你毫不知情。這可以延伸到很多地方,其實你會擔心的東西不會只有網路,我更擔心的是延伸至各種關鍵基礎建設的系統,譬如醫療這類的東西,如果你看病的時候醫生開了藥給你,但是醫生開的藥跟你最後拿到的藥不一樣,這不是很好笑,是很可怕,最後都可能死掉。

膽戰心驚的諜報情節,木馬又何嘗不可如此揣摩?


木馬創造的地下經濟

為什麼駭客會把時間花在刀口上?因為它可以賺大錢,以前大家都知道的80/20原則,現在更有90/10的賺錢之道,就是10%的人掌握大部分的財富。其實木馬可以用在洗錢,可以用在製造偽卡,可以產生物美價廉的虛擬商品市場大餅。洗錢會不會被抓,當然會,我們看這邊的交易紀錄,還是查得出來是匯到誰的人頭戶頭。但為什麼這樣的罪犯在集團中稱為是Mule(螺子)?因為他們是最下階層的,螺子是馬和驢子的下一代,沒有翻身和繁殖下一代的機會,所以FBI抓到的是洗錢集團中最沒有價值的一群罪犯。真的要抓的話應該抓上面大的,中國固然處處是黃金,但我們看到很多重大犯罪案件,那些作惡多端、無惡不作的都沒能包得住火,躲不掉國家的嚴峻制裁。偽卡這個畫面大家看一下,就是它讓購買信用卡變得像買一般民生用品一樣簡單,這些都是它們偷來的假的信用卡,但我們可以看到都是基於真實的信用卡的數據。也有很多假的虛擬商品,也就是贓貨,明明一個商品的價格要100塊,但是它只賣你10塊,而且它是有效的。也可以買DDoS阻斷式攻擊服務,也就是說我自己沒有機器我就去買一個DDoS的服務打人家。現在不僅防守方可以有資安的SaaS防禦服務,攻擊方也可以拿殭屍網路做SaaS攻擊服務!

搞木馬不是為了好玩,黑客是為了賺大錢


網路購物的品項包括信用卡...


我們以 TDS (流量分散系統)來說明各方在這樣產業所扮演的角色。譬如說S先生今天很會掛馬,可以一下子掛一萬多網站,這個JS可以把所有看到這個網站的人都通通指向一個網站,瞬間創造1萬個人到那個網站,所以S先生就是流量產生者,S先生會賣流量,所以掛馬的人可以賣流量,它是賣家(Seller)。那誰會是買家(Buyer)呢?買家就是需要人家變成僵屍網路一員的人,比如B先生希望人家中他的木馬,“你能不能夠幫我創造每小時100個人來瀏覽我的網站?”這樣每小時就會出現有100個僵屍。我們再回顧一下剛剛那個防毒軟體,各位看一下它的銷售體制,這邊是激勵制度。這個圖是有多少個人看到這個頁面(Unique visitors),有多少個人安裝(installed),有多少人買(sold)。各位看一下他的收入多少,他一個人一個禮拜賺2 萬多塊美金! 以這個集團為例,目前有約500名銷售代表,而在這個激勵制度刺激下,我們看到第一名的銷售人員可達月收入332,000美金,還有車子等大獎等著大家去衝假的防毒軟體的業績!

總結: 當木馬真的成為木馬
最後我總結一下木馬的明天,隨著各種作業系統、應用軟體的加固與安全設計,譬如更穩定的IE8/9瀏覽器,Windows 7中更良好安全架構的DEP + ASLR + SEHOP + Low Integrity等等,這些對於防範張牙舞爪的木馬都會很有效果,可是零時差漏洞這種東西是可遇不可求的,有時候是要花幾萬塊錢,甚至十幾萬上百萬人民幣來買,可是有那個必要嗎?再良好的安全設計都無法阻止你點兩下把一個不可信的軟體安裝起來。不過現在木馬的猖獗已經讓全民心驚膽跳,如果你要不認識的人去看你的空間,他們可能都不敢去你的空間,因為怕你的空間有木馬。其實真正的木馬是它在你身邊你都不知道,這才是真正的木馬,而不是像現在這樣木馬是很明顯的,謝謝大家!

木馬的明天...無可限量


後記:
中國 IDC 圈在大會現場打的這個立體投影我覺得挺好看的!! 效果真好~


作者 吳明蔚(Benson Wu) 博士 為阿碼科技產品線總監


繼續閱讀全文...