發掘網路資安漏洞 防堵駭客惡意攻擊
DEVCORE戴夫寇爾執行長暨台灣駭客年會副總召翁浩正,以本身具有駭客背景的角色,透過不同角度,來介紹資安的重要性。他本身從事資訊安全系統研究及開發、網路安全規劃建置、熟悉駭客攻擊手法、駭客追蹤方式,以及開發與研究攻擊程式與後門程式。基本以駭客的角色,來看待資安,並尋找企業的漏洞。
當今的Cyberwar(網路戰爭)時代,國際間的「網軍」早已如同軍隊一般組織化,從事情報蒐集、對特定目標的攻擊與防護等工作。引述至2014年4月為止的駭客攻擊事件,87%是由國家級機構所發動的。其中49%的網路間諜活動來自大陸和其他東亞國家,21%來自東歐地區,攻擊對象超過半數是美國,6%是日本,4%是南韓。在2013年南韓曾有多家電視台和銀行癱瘓,北韓被指控為主謀,其籌畫時間長達8個月。由此可知國際駭客大戰其實一觸即發,各國企業對資安議題無法置身於度外。
剖析駭客尋找漏洞方式 了解現今的資安新風險
駭客是個思緒縝密的個人或團體,他們尋找漏洞方式,包括鎖定產品或網站來進行研究、研究廠商釋出修補程式、使用現成弱點攻擊程式。
例如研究廠商所釋出的修補程式,然後研究該修補的部分,嘗試找出前一版漏洞(或從資安漏洞通報平台找出),然後撰寫該漏洞攻擊程式,來攻擊尚未更新的舊版用戶。這種等待修補程式釋出才進行攻擊的守株待兔模式,會造成來不及更新的用戶受害。
駭客們會將攻克的企業網站機敏資料(個資、營業秘密)拿來對企業勒索獲利,若企業不從,則會放在駭客交易黑市來兜售,供其他駭客/網軍組織來出價取得。
如今Big Data時代,也成為現今的資安新風險,有些駭客利用大規模的全網路掃描,對整個企業、IPv4、甚至全世界的網路進行掃描,找出全世界有多少主機含有漏洞。只要你的任何裝置有上網,都可能被駭客掃描到,並植入惡意程式,以用來遠端控制並發動攻擊。
極為嚴重的資安漏洞 讓IT人員心在淌血
翁浩正接著剖析2014年4月7日爆發的OpenSSL嚴重漏洞:Heartbleed (心血漏洞),讓全球網路風雲變色,各家網路伺服器成為全球駭客的嗜血戰場。該漏洞讓攻擊者能從伺服器記憶體中讀取64 KB的資料。利用傳送heartbeat的封包,在封包中控制變數導致memcpy函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料(如私密金鑰Private Key、Cookie、Session ID、帳號密碼、個人資料、信用卡資料、其餘記憶體中可能暴露的資料等等),成為駭客64KB的刮刮樂。
由於該漏洞所影響的作業系統範圍頗廣,許多知名的硬體設備廠商也受到波及,而台灣2014年4月16日的受害數據,採用OpenSSL的33522台伺服器中,有2424台有漏洞。由於使用HTTPS、SMTPS、IMAPS、POP3S等服務的伺服器都有可能受到影響,因此他建議IT人員趕快升級OpenSSL版本至1.0.1g以上,以防堵機敏資料外洩。同時透過網路的Heartbleed測試網站,為自家的企業網站做健診與把關的動作。
駭客攻擊無所不在 現場模擬讓君嚇壞
駭客可以透過全球掃描方式,找出全世界有連網電腦的屬性與可能的漏洞,然後便可加以監控與利用。接著翁浩正實際找一個網站,搜尋沒有設密碼的網路攝影機,結果便找到一堆,並可連進去看影像。藉此案例來說明設定密碼的重要性,以免被不明人士看到您家裡的隱私。
另外翁浩正示範如何攻擊有OpenSSL漏洞之伺服器(以自設網站做範例),他透過一些工具來竊取帳號密碼與Cookie資料,然後冒名登入,成功以管理員身分登入該網站,然後可以自由閱讀資料庫中的資料。
另外在老舊漏洞部分,以DNS Zone Transfer(AXFR)為例,如今很多網站仍有此漏洞。他實際展示如何用此方法來查詢某機構的所有DNS主機,若該漏洞沒補起來,就會導致曝光太多內部DNS伺服器訊息,而引誘駭客去攻擊。
翁浩正總結上述實際展示與案例,說明安全風險是不會消失的,風險共存才是生存之道。因此對惡意攻擊的應變方式,就是要熟知安全風險、迅速資安通報、資安事件演練,將傷害降至最低。