資安亂談 @ SA-Taichung

出自 Z
前往:導覽搜尋

駭客思維

  • A, D, G, J, ?
一般人以為是「M」,駭客可能認為是「L」(鍵盤排列)


動態鍵盤很安全?

  • 傳典鍵盤可經由鍵盤側錄取得密碼
  • [宙斯」等新病毒
    • 防毒免殺
    • 防火牆無法阻擋
    • 隱藏啟動方式
    • 支援 Win7
    • 支援多種密碼格式
    • 支援 IPv6
    • 支援滑鼠點擊快照
  • OTP (One-Time Password)


已知弱點 vs. 未知弱點

  • 安全人員拒絕提交安全漏洞:Charlie Miller @ Pwn20wn 表示不會提交前 20 項安全漏洞


商業漏洞

  • 技術漏洞
  • 流程漏洞


各家廠商資訊隱藏方式不一樣

  • 例如:李 X 明、李小 X => 李小明


網路犯罪織法律問題

  • 駭客年齡藏下降,低於十八歲之駭客沒有法律懲罰規定
  • 網路無國界


「人」的問題

  • 螢幕上鎖
  • 隨身碟收起來
  • 繞過指紋辨識:小熊軟糖


「個資法」好好玩?

  • 法律是否適合現行資訊業?
  • 2010 年 4 月通過新版個人資料保護法
    • 擴大保護課題
    • 普遍試用主體
    • 增修行為規範
    • 強化行政監督
    • 促進民眾參與
    • 調整責任內含


企業因應策略

  • 資安政策修正
  • 隱私資料分析
  • 資料庫稽核與資料外洩的防止機制建立
  • 人員的配合


影響與衝擊

  • 對整體環境的衝擊
  • 對特定產業的影響
  • 對使用者的保障
  • 地下經濟的再興起?


個資法問題點

  • 舉證責任的定義:非無罪推定
  • 個人資料保護管理制度
  • 處分對象?
    • 加害者?
    • 另一個受害者?
  • 對駭客而言:報復性攻擊造成的傷害加成


除了個資法之外:

  • 消保法
  • 妨害電腦使用罪部份還不合時宜
  • 妨害秘密罪

這不是滲透測試!!

  • 辨識出目標的弱點
  • 測試安全機制是否有效
  • 以駭客攻擊觀點的一種安全模擬測試
  • 由一群具有專業知識的「道德安全」團隊執行


目的

  • 資安管理的一部分
    • 了解入侵者可能利用的途徑
    • 了解系統及網路的安全強度
  • 演習
    • 安全產品效益
    • 安全事件回應處理
  • 強化整理網路與系統安全


掃描

弱點掃描:

  • 利用自動化工具找出弱點並產生報告
  • 會有誤判情形


滲透測試:

  • 深層檢測每一個弱點
  • 可針對自動化工具沒辦法偵測到的弱點做檢視並證實是否真的有漏洞
  • 所有可入侵的弱點、方法、途徑都被證實過,因此不會有誤判


滲透測的執行地點:

  • 遠端執行
  • 現場執行


滲透測試的執行方式:

  • Block Box
    • 僅知道公司名稱
    • 完全模擬駭客攻擊
  • White Box
    • 知道所有的客戶資訊
    • 偏向系統稽核
  • Gray Box
    • 僅知道客戶部份資料



國際組織、標準

  • OWASP


執行滲透測試執行的遊戲規則

  • 是否使用社交工程
  • 是否可入侵使用者的電腦
  • 是否執行阻斷攻擊
  • 詳細定義範圍
    • 人天
    • 時程
    • 主機數
    • 網站數
    • 網段數


測試注意事項

  • 所有動作都必須有紀錄
  • 完整的報告內容、建議
  • 滲透測試的佐證資料
  • 隱私權保護
  • 資料不可外洩
  • 資料不可以被破壞


滲透測試流程

  1. 專案起始會議
  2. 資料搜尋
  3. 滲透規劃
  4. 資訊洩漏與弱點測試
    • Google Hacking:「filetype:xls 密碼」、「intitle:"後台管理" site:gov.tw」、「intitle:"Index of"」
  5. 建立滲透途徑
  6. 安全漏洞滲透
  7. 信任關係測試
  8. 權限跳脫與提昇
    • 提高權限
    • 建立跳板
    • 繼續滲透 or 回到資訊收集
  9. 滲透測試報告
  10. 簡報、文件交付


滲透攻擊

  • 使用已知攻擊程式
  • 客製化攻擊程式
  • 開發測試攻擊
  • 發動攻擊


清除

  • 擬定清除的標準作業程序
  • 清除使用工具等


模擬

  • 遠端檢測
  • 現場檢測

腳印拓取

主要尋找可用主機、開放的服務、可用的弱點

  • Nmap
  • Nessus


網路設備

  • 檢測登入頁面
  • 檢測密碼:預設密碼表、sniffer 到的密碼、簡易或是簡易的密碼、暴力猜測
  • SNMP 預設 community


伺服主機

  • 作業系統
  • 開放的服務
  • AP
    • 已知密碼
    • 預設密碼
    • 弱點


使用者電腦

  • 系統漏洞
  • 弱密碼
  • 惡意程式植入
  • 不當資源開放
    • IIS
    • FTP
    • P2P
    • Remote Control
  • 共用資源搜索
    • 交接手冊等
    • Source Code


連線竊聽

  • Sniffer Tools
  • Switch 環境無法 sniffer?
    • Mac flooding
    • ARP spoofing


其他

  • Wireless
  • VoIP
  • 社交工程
  • 沒有 SOP
  • 觀察力、敏銳度
  • 一定程度的技術能力
  • 保持客觀的角度

Note