搜尋此網誌

2010年8月21日 星期六

[新聞時事] Network Solutions 的小工具被植入惡意程式,造成大規模的網站遭受感染。

Widgets1 根據前幾天的消息指出,來自臺灣的資訊安全廠商 Armorize 發現了在著名的主機代管業者 Network Solutions 中,有大量客戶的網站遭受到惡意程式的感染,並成為惡意程式散佈的平台。而根據 Armorize 的估算,受感染網站的數量可能高達五百萬個,創下新的歷史紀錄。此次感染的方式,據悉是透過一個已被植入惡意程式的小工具 (Widget),這個小工具名為 Small Business Success Index,是由 Network Solutions 所提供。此一小工具不但可以運作在 Network Solutions 客戶的網站中,也可以安裝在 Facebook, Blogger, Twitter, iGoogle, WordPress, LinkedIn, my Yearbook 等知名的服務平台上。目前官方的建議解決方案是將此一小工具先行移除,並對你的網站進行惡意程式的掃描,以避免繼續散佈惡意程式。而 Armorize 也特別指出這類針對主機代管業者的攻擊行為對駭客來說是可以讓惡意程式快速擴散的有效方法,因此類似的事情在未來將會越來越多,值得相關業者好好地重視。

 

相關連結:

2010年8月12日 星期四

[新聞時事] 不安全的胎壓監測器

Tire-Pressure-Gauge-Dimensions 之前我分享過一則離職員工為了報復公司而入侵系統並惡搞客戶汽車的新聞,這次出問題的則是用來監測汽車輪胎胎壓的監測器。安全研究員發現這些監測器存在安全上的漏洞,如果修改其所讀取到的數值,將可造成電子控制器 (ECU, electronic control unit) 的誤判或失效。雖然目前控制器對於胎壓不正常可能僅是發出聲音警告駕駛人,因而尚不致於造成實際的危害,但是如果日後控制器的行為更為進化 (例如強制停車),所產生的後果就不僅止於小小的困擾,甚至可能因此造成人員的傷亡。再加上這些胎壓監測器都具有一個獨特的識別編號,因此駭客可以很準確地鎖定目標,並從遠端發動攻擊。

 

相關連結:

2010年8月5日 星期四

[從電影看資安] 揪團網購不算啥,揪團搶錢才夠嗆 - 運鈔車大盜

運鈔車大盜 裡,一群資深的保全人員計畫在一次運送大量現金的行動中自導自演一場打劫的戲碼。成員間的精神領袖麥克剛介紹一位好友的兒子泰進入保全公司,並成為同一個小組的成員。為了確保計畫的成功,麥克力邀泰一起參與行動。泰盡管有著荒唐的過去,但是在參與過戰爭與接下照顧弟弟的責任後,泰對於人生有了不一樣的體認,也因此在第一時間就回絕了麥克的提議。然而造化弄人,社福單位因為泰的經濟狀況不佳並疏於照顧弟弟,因此打算把其弟弟交付給寄養家庭。迫於現實的無奈,泰最後決定一起參與行動,希望這次行動能夠讓他解決經濟的問題。運鈔行動開始後,組員們把運鈔車開至一座荒廢的工廠,想要把錢藏起來。正當大家興高采烈的搬著現金時,突然發現有一個遊民意外的目睹了這一切的事件,也因此引發了組員間的爭執。就在一片混亂之中,一位組員開槍射殺了遊民。泰看到傷重的遊民於心不忍,因此想要帶著遊民前往醫院救治,因此惹擾了其他組員,雙方因而產開一場你追我打的對抗戲碼。

主角泰跟他的好友麥克 (右一) 是保全公司的警衛,泰的警衛工作甚至是麥克介紹來的。vlcsnap-2010-08-02-23h15m52s94

麥克跟一群認識已久的好同事私底下也是好朋友,只有泰是新加入的成員。vlcsnap-2010-08-02-23h16m32s103

麥克告訴泰他們即將運送一大筆現鈔。vlcsnap-2010-08-02-23h17m16s78

麥克一夥人打算自導自演一齣搶案。vlcsnap-2010-08-02-23h18m20s199

泰對於麥克的提議無法置信,並且完全無法認同。vlcsnap-2010-08-02-23h19m11s195

泰一回到家裡,就發現兒福局的社工人員前來關切弟弟的生活。 vlcsnap-2010-08-02-23h20m37s44

儘管生活困苦,泰依舊想盡辦法要把弟弟留在身邊。vlcsnap-2010-08-02-23h20m55s219

迫於現實的無奈,泰只好加入搶錢的行列。 vlcsnap-2010-08-02-23h21m55s54

臨行前隊長親口表達對泰的加入感到驕傲。 vlcsnap-2010-08-02-23h22m35s172

主角們把現金從倉庫搬到運鈔車上。 vlcsnap-2010-08-02-23h22m49s80

運鈔車在運行當中必須定時回報。 vlcsnap-2010-08-02-23h23m44s123

主角們利用回報的空檔進行自導自演的搶案。 vlcsnap-2010-08-02-23h24m26s35

沒想到這一切勾當被一位遊民所撞見。 vlcsnap-2010-08-02-23h24m58s89

搶匪之一發現遊民的存在。vlcsnap-2010-08-02-23h25m05s165

情急之下有人開槍擊中了遊民。 vlcsnap-2010-08-02-23h26m01s143

良心不安的泰為了拯救遊民而不顧其他搶匪的反對,雙方正式決裂。vlcsnap-2010-08-02-23h26m29s231

影片中保全人員一起參與非法行動的行為屬於共謀 (Collusion) 形式的監守自盜,對處理大量有價 (無形或有形) 資產的業務來說是絕對必須全力防範的行為。共謀屬於人的問題,也因此必須透過管理面的程序來作為主要的防範措施。我們可以利用下列方法來減少監守自盜或共謀發生的機會:

  • 將一個任務加以切分多個小任務,並交由不同的人員各自負責自己的小任務,也就是所謂的 Separation of Duties。雖然在影片中組員們都有自己的任務 (開車、回報、警戒),但是基本上小組成員都是同一群人,所以這樣的分工並不能達到相互制衡的作用。比較好的作法是各種小任務都有專門的負責人員 (如專門負責開車的人員),而且每次任務都採用不同的組員搭配,如開車小組A搭配回報小組B,這樣可以避免小組成員之間進行事前的共謀。
  • 有一個跟 Separation of Duties 關係密切的手法,稱之為職務輪替 (Job Rotation)。透過職務輪替可以發現監守自盜行為的發生,產生相當的嚇阻效果。
  • 將組員的權限降到最低,也就是所謂的 Least Privilege。以影片中的例子而言,運鈔車組員不應該有接觸現金的機會。如果他們直接運送保險箱,那麼他們要成功的機會就更低了。
  • 加強回報與查核。以影片中的例子而言,執行此次任務的運鈔車似乎並沒有裝佩 GPS,再加上回報間隔時間長達 58 分鐘,因此讓組員們有了上下其手的機會。縮短回報的間隔時間可以增加發現問題的機會,但是也會增加管理的負擔,因此必須審慎思考以取得一個平衡點。不過不管查核的頻率為何,查核方式都必須有效才行。再以影片中的例子來說,如果運鈔車搭配了影像電話,那麼控制中心就能夠更精確的掌握運鈔車的狀況,甚至是隨時監控都不成問題。
  • 除了這些標準手法之外,還有一個與心理因素有關的手法可以操作,那就是在進行任務前提醒組員有關榮譽或信仰等道德的話題。影片中組長在出發前對泰的一句話,雖然只是提到了他對泰的加入感到驕傲,但是卻也勾起了泰曾身為軍人所應該有的榮譽感。除此之外,搶匪之一在殺了同袍之後,也因為擔心自己不能獲得上帝的原諒而選擇自盡。兩段情節看起來都很具戲劇性,但是根據研究實驗顯示,在進行任務前讓人想到有關榮譽與信仰等議題,確實可以有效減少任務進行間欺騙行為的發生。要特別注意的是,這種手法隨著使用次數的增加,效果可能會隨之遞減,而且也是防君子不防小人。儘管如此,以投資報酬率來說這確實是相當有效益的手法,尤其適合用在一些資安要求較低的環境下。

不可諱言這些措施將會增加很多管理上負擔,因此實施與否與執行程度都必須經過審慎的評估。此外,如何避免相關人員因為這些措施的導入而產生不被信任的失落感,也是必須加以防備的問題。

2010年8月2日 星期一

[資安觀念] Virtual Patching

patch之前我討論過許多次關於更新的重要性並介紹了相關的工具,然而對於許多資訊背景的人員來說,上補丁 (Patching) 一詞或許比更新更令人覺得親切。不管是叫做更新或是上補丁,指的都是利用置換程式執行檔 (或其他相關檔案) 的方式來修正應用程式 (包含作業系統等各種程式) 的問題,這類問題包含安全性的問題、功能的提升、或是一般操作性的錯誤。

雖然 Patching 是解決應用程式問題時最有效也是最重要的方法,但是 Patching 在實際的應用上卻也存在著不少的困擾:

  • 如果存在問題的應用程式是商業軟體,使用者通常只能等待原廠提供更新檔案。在此之前,使用者無法對應用程式本身做任何的處理。對於安全性的問題而言,這段更新前的空窗期將會讓應用程式處於一個毫無防備能力的困境。這類問題就是所謂的 Zero-day Attacks。
  • 早期的攻擊手法多以網路與作業系統作為目標,而這類產品的供應商大多屬於大型的組織,所以提供更新的速度與品質具有一定的質量。但是現在攻擊手法多以應用程式為主要攻擊目標,所有相關的供應商服務能量不一,再加上技術能力的良莠不齊,導致等待時間的空窗期變得更長,使用者甚至無法取得正式的更新檔案。
  • 就算是使用 Open Source 的應用程式,一旦發生問題後雖然使用者可以自行對於應用程式本身進行修改,但是對大多數的使用者而言並不具備這樣的技術能力與資源 (人力/時間)。再加上原開發團隊屬於志願性質,因此對於提供更新的保證顯得更加的薄弱。
  • 組織在進行實際更新作業前,往往必須經過審慎的測試過程。對於越重要的系統,測試過程的時間也就越長,也就是說越重要的系統處於未更新的時間越長。然而這類系統一旦發生問題,所產生的危害卻也更大。在兩者影響相互放大的情況下,讓問題的嚴重性急速惡化。

因為 Patching 存在這些問題,所以有了 Virtual Patching 這個概念。Virtual Patching 一詞在 2003 年就引進於 ISS 的產品 (Internet Scanner) 之中。簡單來說就是當 Internet Scanner 發現系統存在安全性的問題時,就利用 IDS 的規則來偵測攻擊行為的發生。也就是說 Virtual Patching 並不是針對有問題的應用程式本身進行修正,而是採用外掛 (IDS) 的方式讓外界無法有效地利用應用程式的缺陷加以攻擊。早期 IDS 僅能提供偵測的能力,但是目前的產品已經透過整合 IDS/IDP 與各式各樣的防火牆 (傳統的 Firewall、Web Application Firewall、Database Firewall) 來達到即時阻擋的能力。

雖然 Virtual Patching 可說是一種治標不治本的防禦方式,但是透過全自動化 (至少在理論上) 的作業方式,可以大幅縮短應用程式毫無防備能力的空窗期。在 Web 應用程式大行其道的今日,Web 應用程式所帶來的安全議題不但急速惡化,而且開發團隊 (不管是供應商或是內部人員) 的技術能力與資源與實際的需求也呈現更大的差距,所以 Patching 的困境也愈形嚴重,因此 Virtual Patching 的概念受到許多安全廠商的重視。這些廠商利用 Web Application Scanner 與 Web Application Firewall 的整合,達到發現安全問題與防堵的全自動化,可以有效減少 Web 應用系統無防備能力的空窗期。雖說這樣的機制在使用上確實很方便,但是依舊有一些必須特別注意的地方:

  • 應用系統的安全問題往往不只侷限於實作的層面,需求與設計階段所產生的安全問題影響通常更大。Virtual Patching 必須先利用掃描的方式發現問題後才能防堵問題,而自動化的掃描適用於找出實作方面的問題,對於需求與設計方面的問題幾乎沒有任何偵測能力,所以這類機制註定無法全面解決 Web Application 的安全問題。
  • 這類機制透過 Web Application Firewall 達到防堵的目的,而 Web Application Firewall 多採用 Blacklisting 的方式。Blacklisting 在大多數的情況下所帶來的安全性遠不及 Whitelisting 的方式。
  • 此方法採用的治標不知本的方法,長久來說對於整體系統的安全提昇助益有限,甚至往往是有害的。就像生病吃特效藥一樣,有用的特效藥反而讓人忽略了平常維持身體健康的重要性。所以一旦特效藥失效,或是感染的疾病沒有特效藥可以醫治,病情的惡化程度反而更為加劇。也就是說如果因為過度依賴這樣的機制而使得開發團隊失去提昇 Web Application 安全的能力,長久來說對於整體 Web Application 的安全環境反而是有害的。

寫到這裡,您一定猜到我要說什麼。那就是跟所有的安全議題一樣,Web Application 的安全性絕不是光靠一種機制就可以完全解決,不管這個機制是治標還是治本。唯有必須透過多層次 (Layered) 的防禦機制,才能夠提供較為完整的安全性。而所謂的防禦機制,絕對不僅限於事後的防範,更應該從 Web Application 的發源時期就開始考量與實施,而這就是 SSDLC (Secure Software Development Life Cycle) 的範疇了。

About