本週大事

2007-09-25 02:26

這幾天比較大的資安新聞 , 絕對就是這件事了吧 -

HiNetPTT 個人帳號外洩
PChome 原始碼遭盜取
台灣深藍學生論壇卡提諾論壇EZpeer無名小站艾噹洛學院、及桃園縣部份國中 資料庫遭竊
YahooGoogle 登入程序遭破解 (並非入侵, 而是指可使用他人帳號登入)

根據下面參考的報導, 可以看出幾乎都是針對 Web 層的應用程式作攻擊

事實上, 稍有資安意識的人都知道,
目前由於防火牆(Firewall)、入侵防禦系統(IPS)技術漸趨成熟,
以及作業系統層/服務層的弱點愈來愈少,
因此近幾年來, 約有 70% 的攻擊是針對 Web 應用程式層.

常見的弱點如 OWASP 所提出的 top 10 2007 web application vulnerabilities -

    Cross Site Scripting
    Injection Flaws (常見的 SQL Injection、Command Injection、Code Injection .. 等等屬此類)
    Malicious File Execution (著名的 Local/Remote File Inclusion 屬此類)
    Insecure Direct Object Reference
    Cross Site Request Forgery
    Information Leakage and Improper Error Handling
    Broken Authentication and Session Management
    Insecure Cryptographic Storage
    Insecure Communications
    Failure to Restrict URL Access

另外, 也有幾點也是在弱點資料庫中常見的 -

    Cookie/Parameter Tampering(Poisoning or Spoofing)
    Upload File Mis-Handling
    Buffer Overflow

Web 的弱點這麼多、這麼常見, 那到底該如何防範呢 ?
 
在個人的工作經驗中, 有一系列的邏輯是可以參考的 -

    .在應用程式的開發前, 定義功能需求時, 一併列出資安的考量列表
    .SA/SD 階段期間, 作 Risk Analysis, 例入以 Thread Modeling 的觀念找出可能的潛在威脅
    .針對開發人員進行 Secure Programming 的教育訓練, 說明如何寫出安全的程式. 事實上多數的開發者僅著重功能面的設計, 鮮少注重安全的考量.
    .實際開始開發程式後, 可使用已漸趨成熟的自動化源碼分析(Code Review)工具, 以找出程式碼中存在的弱點
    .應用程式上線前,請有經驗的白帽駭客進行滲透測試(Penetration Test), 以實際瞭解到底這樣的AP上線後, 是否會被駭客攻破.
    .上線後, 以有別於 Firewall/IPS, 而是專門對付 Web 層攻擊的防禦設備 - Web AP Firewall, 作長期的保護, 同時也可以紀錄是否有人真的在攻擊網站 ? (許多攻擊, 是完全可以避過 Firewall/IPS 檢測, 甚至在 web server 上也不會留下任何 Log 的)

但在台灣的環境裡, 要做到上述每一項, 我相信幾乎是不可能的,
多數都是功能需求提出後, 就要 Programmer 拼命的趕趕趕, 絕對不能比別人晚上線這樣 ...
 
但事實上, 統計指出, 愈晚開始進行資安的考量, 所耗費的 Cost 愈高,
例如一個網站都已經上線運作了, 才開始請人滲透測試、才開始 Review Source Code,
那即使找出了問題, 也難確保是否早就有人利用弱點取得資料、甚至入侵系統、還種下後門了 ....
 
 
Web AP Security 是國外早就熱了好幾年的話題, 但國內的企業在部署機房的 infrastructure 時,
卻老是以為只要疊上層層的防火牆(Firwall)、入侵偵測系統(IDS)、入侵防禦系統(IPS),
再花錢請最高級的 Verisign 發個 SSL Certificate ,
就可以把頭埋在土裡, 高枕無憂了 ~
(真的, 我有遇過知名網站主管問我說, 他們全程使用 https 傳輸資料, 這樣也會被入侵嗎 ?)
 
 
資訊安全, 是需要每個階級的人員 (CEO、各級主管、MIS、Programmer、Operator、... )
都有相對應的 Sense ,
才有可能落實的,
台灣身處一個幾乎算是世界的資安第一線,
所有對岸的強大網軍開發出的 0day、Worm、Virus、... 絕對都以台灣的網站為實驗場,

在面對這麼可怕的威脅下,
台灣的網站是否應開始有所警覺, 開始著重 Web Security 了呢 ?
 
 
扯遠了 .... 只是有感而發, 藉題發揮罷了 :p


參考來源 -

先看看 刑事局的新聞

以及一些媒體的報導

中時電子報 - 駭客入侵各大知名網站 中華電信已二百四十多萬筆個資外洩

自由電子報 - 建中駭客又犯案 這回竊個資轉賣

TVBS - 超級駭客蘇柏榕再犯!盜百萬個資

東森新聞 - 破解中華電、批踢踢~駭客竊千萬個資 林志玲也受害!

聯合新聞網 - 少年駭客再犯 竊個資千萬筆

中央通訊社 - 台灣兩學生當駭客 竊盜Google等用戶密碼

中時新聞 - 天才駭客蘇柏榕 替黑幫盜資料

中時新聞 - 高二駭翻總統府 鬥智走偏鋒

民視新聞網 - 天才當駭客 蘇柏榕再次犯案

還有資安名組織 艾克索夫實驗室 的評論
艾克索夫實驗室 - Breaking News, Taiwan hacker compromised PTT(bbs),Yahoo,Google,Hinet(ISP)….

Security 類別的文章 :
HIT 的報導金盾獎又來啦 ~

新增留言

*

*

訂閱這則留言的 RSS Feed

各分類文章

最近的 20 篇文章