搜尋此網誌

2009年8月31日 星期一

[新聞時事] WPA 加密機制僅需一分鐘就可以破解

在去年底的時候,有密碼專家宣稱可以破解部分 WPA (Wi-Fi Protected Access) 的加密機制。時隔近一年後的現在,有日本的研究員 (Toshihiro Ohigashi 與 Masakatu Morii) 宣稱可以在一分鐘之內破解使用 TKIP 機制的 WPA 加密機制。此兩人已經於日前在中山大學舉辦的 Joint Workshop on Information Security 會議中發表了他們採用的方法與理論,並預計於 9/25 作進一步的討論與說明。

經由此一研究報告的揭露,等於正式宣告 WPA 不再具備提供保護資料機密的能力。雖說攻擊方法侷限於使用 TKIP 機制的 WPA 標準,但是由於 WPA 正式的標準只規範了 TKIP 的機制,所以比較保險的說法就是放棄 WPA ,而採用較為安全的 WPA2 規範。 WPA2 使用 AES 作為資料加密的演算法,是目前已知相當安全的演算法。

TKIP 嚴格說來,是當初發現 WEP 使用 RC4 演算法時因為金鑰處理不當而造成易遭破解後所產生的過渡性解決方案,甚至整個 WPA 標準也不是 IEEE 的正式規範。只不過因為已經有不少無線網路環境使用了 WPA 機制,再加上一直以來並沒有正式的破解方法與工具被發表,所以對於網路管理者也沒有甚麼急迫的理由需要進行設定的調整。此次,拜日本的研究員所賜,該是向 WPA 說再見的時候了。比上次WEP被發現安全問題時幸運的是, WPA2 早已經準備好了。

2009年8月24日 星期一

[研究報告] 76%的企業封鎖社交網站

根據日前一份由 ScanSafe 所公布的研究數據顯示,在其客戶中有高達 76% 的比例針對社交網站進行封鎖。這個數字已經高於”線上購物”這類傳統上被認為會嚴重影響工作效率的被阻擋率 (52%),甚至也高於”武器相關”網站的被阻擋率 (75%)。

阻擋這類網站雖有一部分的理由導因為避免資料外洩的風險,但是主要的原因仍在於避免員工因使用這些網站而造成工作效率的低落。這樣的做法我個人認為其實有些反應過度了。

不管是從安全或是工作效率的面向出發,有一個不可否認的事實,那就是社交網站對於某些業務的進行確實有它的好處。凡事本就有利有弊,如何取其利、避其害,才是該採取的思維,因噎廢食可就不是那麼聰明的決定。因此,針對業務的性質,找出必須使用社交網站的員工,並訂定明確的使用規範,是比較正面的作法。

另外一個更具爭議性的話題就是,阻擋這類非工作必要的網站是否就比較有工作效率?通常員工(不管懂不懂電腦)都有一個不為人道的專長,那就是公司禁止的事情,總會有人有辦法加以突破,更遑論公司(幾乎)沒有辦法隨時監控員工的電腦使用行為。甚至,根據學者的研究,在工作時進行適當的休閒上網瀏覽,不但不會降低工作效率,甚至還能提升工作效率。所以下次當你決定要封鎖社交網站(或其他種類的網站)時,請確定你有充分的理由支持這樣的作法。

 

相關連結:

2009年8月23日 星期日

[新聞時事] Facebook 小遊戲可別亂玩

這一陣子 Facebook 可真是熱門,各式各樣的消息不斷占據新聞版面,其中不少事件跟安全相關。今天的主角是 Facebook 上的第三方應用程式。

使用過 Facebook 的人應該都知道,Facebook 除了提供使用者分享資訊外,還有一大堆的第三方工具可以使用。這些工具最受歡迎的大概算是遊戲了,從心理測驗、種田、開餐廳…各式各樣,不一而足。這些第三方程式除了可能因為撰寫不良而成為惡意份子利用的管道外,甚至有些第三方程式的撰寫人原本就不懷好意。

日前 Facebook 上發現了數個應用程式利用將使用者導向釣魚網站的手法,意圖竊取使用者的登入資訊。這些被發現的應用程式雖然已經被關閉,但是以這麼龐大的應用程式數量,很難確保會不會有其他尚未被發現的惡意應用程式。身為使用者,除了避免使用非必要的第三方應用程式外,對於要求輸入登入資訊的頁面也必須多加以注意,尤其是網址列以及要求輸入登入資訊的原因。另外,避免使用萬用密碼,也是減少問題發生後所衍生危害程度的良好習慣。

相關連結:

2009年8月20日 星期四

[研究報告] 高達8成的公司使用真實資料進行開發與測試

在一份由 Ponemon Institute LLC 所公布的研究報告中指出,有高達八成的受訪者表示使用真實資料進行開發與測試。使用真實資料進行開發有甚麼問題,不都是在內部掌控的環境下嗎?如果再搭配其他兩項數據,問題的嚴重性應該就不言可喻。

data 001

第一項數據是危害資料安全的主要來源是內部使用者(無意或有意)以及協力廠商。

data 002

第二項數據是有接近一半的受訪者表示對於開發/測試環境的保護並不如正式環境一般”安全”。

data 003

也就是說儘管有良好的安全機制保護線上的資料,但是這些資料的分身(有時候甚至超過一個分身)在開發/測試環境中卻是沒有受到良好保護的。這些資料可供內部使用者、甚至協力廠商利用,而這些人正是資料安全最大的危害來源。資料內容包含客戶資料、員工資料、信用卡資料、交易資料…無所不包。

事實上,我也實際遇過在開發環境中看到真實的員工資料,其中包含薪資。這個問題說大不大,說小也不小。薪資資料在所有公司都是極高的機密,甚至很多公司明文禁止討論。

系統開發/測試期間有時候確實需要”接近”真實的資料,才不會在上線後才發現很多莫名其妙的錯誤。但是,並不是每個人都需要用到全部的資料,甚至很多人往往只要利用假造的資料就可以進行相關工作。所以,我們應該套用最小權限的概念,只提供特定角色任務執行上所需的資料內容。使用的方法可包含 Masking (把不需要的資料欄位改成無意義的內容) 及 Reduction (只取出必要的資料筆數)等。透過有效的管控與 Masking/Reduction 機制,將可以大幅減少資料安全受到威脅的機會。對於協力廠商,除了這些機制外,其他傳統上使用的方法 (簽訂NDA、定期Auditing等)也必須一併考慮開發/測試資料的保護,以達更完整的防護。

相關連結:

2009年8月18日 星期二

[新聞時事] Twitter - 新的 botnet 攻擊管道

這一陣子有關 Twitter、Facebook 這類社交網站最紅的新聞莫過於因為一個使用者的關係,進而遭受到阻斷服務攻擊而影響了網站的服務。相較於這些新聞,另外一個新聞似乎就沒甚麼人討論。在這個新聞中, Twitter 從受害者搖身一變成了加害者(或者說是幫兇)。

阻斷服務攻擊通常都是透過殭屍網路 (botnet) 發動,這些大量又聽話的殭屍,確實很容易對被攻擊目標造成相當程度的影響。嚴格來說,這些殭屍本身也是受害者,我們通常稱之為次要的受害者(Secondary Victims),而遭受殭屍網路攻擊的目標則稱之為主要受害者(Primary Victims)。殭屍存在的目的之一就是進行阻斷服務攻擊,而為了遂行這些目的,就需要有辦法讓惡意分子對其進行控制 (Command and Control)。這些控制的機制,從早期的Client-Server、Agent Handler(多層次的Client-Server)到利用IRC、P2P網路進行指令的下達。

 

殭屍網路透過 IRC 網路取得攻擊指令,以便進行攻擊任務

botnet

 

這樣發展的軌跡一個很重要的原因就是增加殭屍自身的隱密性。透過 IRC、P2P 網路的機制,殭屍不再需要開啟特殊的服務埠以便讓惡意分子下達指令,而是利用合法的管道自動取得攻擊指令(或其他指令)。再加上這些流量都是正常的網路服務,再再都增加了偵測與防堵的困難度,也更難追蹤到攻擊指令的源頭。除了隱密性之外,IRC 與 P2P 網路的高可靠度與內建傳輸能力,對惡意分子來說也是重要的利多。

而如今,殭屍網路用來傳遞指令的管道又多了一個,那就是 Twitter 。雖然 Twitter 本身不具備傳輸檔案的能力,但是 Twitter 本身的資料量相當龐大,所以增加了隱蔽的方便性。除此之外,相較於企業/政府組織阻擋 IRC、P2P 服務使用的高比例,封鎖 Twitter 服務的企業/政府組織明顯少了許多。甚至就算個人使用者安裝了個人防火牆之類的產品,也幾乎不會去阻擋 Twitter 的流量。

唯一可能的好消息是,如果哪天 Twitter 被大量用於殭屍網路下達指令的機制中,或許它就不會遭受阻斷服務攻擊了。也或許駭客組織之間會為了是否攻擊 Twitter 而大打出手也說不定。

 

相關連結:

[研究報告] 一成以上的安全事件導因於不足的驗證

The web hacking incident database (WHID) 於日前公布了一份雙年度的研究報告,此報告主要針對網站安全事件作進一步的統計與分析。不同與其他以技術或網站弱點為主的研究報告,此報告的研究基礎是真實發生的攻擊事件,並著重在所發生的影響,而不僅只於技術上的弱點。

研究報告中指出,所有攻擊事件的目標中,以 Defacement 的比例最高 (28%)。這裡所謂的 Defacement ,除了我們一般常提到的網頁置換外,也包含了植入惡意程式於網頁中的攻擊行為。也就是只要是非法改變網頁內容的行為,不管這樣的內容是不是可視的,都會被歸類於 Defacement 。報告中也特別指出,過去因為大家對於 Defacement 的印象是多為影響單位的形象,而非系統本身,所以也往往採取較消極的防護措施 (如 SIV)。但是這樣的狀況已經改變,網站常常因為 Defacement 而變成了攻擊的管道之一,也因此需要針對此類問題的發生原因好好加以分析並防護。

另外一個發現就是 Web 2.0 的網站 (例如 Twitter),已經取代政府單位,成為受到最多攻擊的目標 (19%)。原因無他,因為這類網站的高使用率,使得它們成為攻擊管道的最佳候選人。此外,上面擁有眾多的個人資料,也是一個充分的誘因。當然,另外一個可能的原因是這類網站對於安全防護較不重視,或是能力較為不足。

而對於攻擊手法的分析上,SQL Injection 雖然已經出現許久,仍舊是最主要的攻擊手法 (19%)。再次證明攻擊方著重在效率,而非使用技術的層次高低,而防禦方卻往往很容易落入技術的迷失。另外一個就是顯見程式安全對於系統開發人員來說,依舊是比較缺乏的一塊,因此對於這類存在已久的問題還是沒有方法加以有效避免。此外,需要特別注意的是有高達 11% 的事件無法確認攻擊手法,顯示對於紀錄/分析/稽核的功能與能力,仍舊有相當的改進空間。而同樣排名第二的另一個攻擊手法則是利用驗證機制的不足 (11%),似乎再次顯示開發人員對於建置一個安全網站的能力不足以應付所面對的威脅。

 

相關連結:

2009年8月17日 星期一

[工具介紹] 禁止 Flash 亂入的 Flashblock

Flash 的應用,從早期的廣告 Banner 到現在幾乎已經無所不能。而影音播放與線上小遊戲,更是 Flash 的天下,也是很多人幾乎天天都會用到的功能。Flash 雖然好用,但是其安全性的問題也不少。最近 Adobe ”又”對 Flash Player 做了更新,而更新的內容是解決可能造成系統當機、甚至是被駭客控制的安全漏洞。

Flash Player 在安全性的問題上,有兩個真正麻煩的地方。一是缺乏有效的更新機制。不管是個人使用者或企業用戶,都必須要自行檢查是否有更新檔釋出,並且手動下載更新檔以便予以更新。二是不少第三方的軟體內含了 Flash Player 的動態連結檔 (dll),而這些動態連結檔的更新責任就落到了第三方。想當然爾,第三方對於更新的速度與更新檔發布的機制,通常比 Adobe 來的差。

有關更新的問題,我們可以透過一些檢查更新的工具來加以輔助,以降低其帶來的風險。但是,其實有很多網站使用的 Flash 並不是那麼必要。所以,直接將 Flash 關閉是更根本的解決之道。今天我要介紹的小工具 - Flashblock,是屬於 Firefox 的外掛程式,可以封鎖網站執行 Flash。

在你正確安裝好此外掛後,當你連結嵌有 Flash 的網頁時,Flash 的部分會變成 flashblock-004 。如果你確認此一Flash 是需要執行的,只要在圖示上點選滑鼠左鍵一下就可以了。上述的做法對於單一 Flash 的執行很方便,但是如果整個網站有很多 Flash 都需要執行,這樣的方法就顯得過於累贅。此時你可以點選滑鼠的右鍵,選單中會有一個”允許此網站的 Flash (A) (A)“的選項。只要點選此選項,此網站所有 Flash 就都可以正常加以執行。

此外,Flashblock也提供了簡單的管理介面,讓使用者可以以手動的方式加入/刪除允許 Flash 的網站清單。

點選”允許此網站的 Flash (A) (A)“可以讓網站內所有的 Flash 不再受到限制。

flashblock-003 

點選“選項”按鈕可以進入Flashblock設定畫面

flashblock-001

 

“白名單”頁籤提供使用者手動新增/刪除允許 Flash 的網站網域名稱。

flashblock-002

 

相關連結:

2009年8月15日 星期六

[研究報告] IE 8 阻擋釣魚網站能力居瀏覽器之冠

在一份由微軟贊助的報告中指出,IE8在面對釣魚網站與社交工程網站的威脅時,其表現遠比市場上的其他瀏覽器優秀。不同於大部份的研究報告,此報告針對的不是瀏覽器本身的安全議題,而是瀏覽器對於安全防護的表現。由微軟贊助的研究報告,當然可以針對IE的強處去比較,這其實沒有甚麼大問題,只要實際的數字是正確的即可。至於比較議題的適用性,還是必須經由使用者自己去決定。

當然,我們可以不僅只於依賴瀏覽器提供的安全功能。像是整合型的防毒軟體、端點安全的產品,甚至是一些瀏覽器的外掛 (如 SiteAdvisor )也都提供類似的防護功能。另外,瀏覽器的設定也可能影響到防護功能的表現。然而最重要的是儘管有再多再好的工具加以防護,永遠都無法達到100%的安全,所以良好的上網使用習慣依舊是確保安全的最後,也是最重要的一道防線。

 

ie-001 

 

ie-002

 

 

相關連結:

About