軟體開發(軟件開發)

網智數位主要提供套裝及客製化的軟體系統解決方案,專為客戶量身訂做客製化的軟體,達成客製化、智慧化及網路化的管理功能。

室內設計、裝潢、窗簾報價估算軟體

網智數位主要提供套裝及客製化的軟體系統解決方案,針對室內設計師、木工、裝潢業產業,量身訂做客製化的軟體,達成客製化、智慧化及網路化的商用軟體。

商用軟體-客製化設計

網智數位主要提供套裝及客製化的軟體系統解決方案,專為客戶量身訂做客製化的軟體,達成客製化、智慧化及網路化的管理功能。

IOT 物聯網-系統開發

根據客戶實際狀況,結合雲端與載具進行客製化物聯網IOT導入與軟體開發

雲端VPS虛擬主機租用

我們的雲端VPS虛擬主機是採用雲端(虛擬化)技術所開發之全新雲端伺服器服務,可以選擇多種作業系統(Windows、Linux等),客戶可載入自訂的應用環境,執行自己所要提供的網路服務,我們的雲端服務可為您的網站提供最完美的解決方案。

ERP軟體客製化導入

ERP軟體客製化導入,室內設計、營造業、裝潢、木作工程、系統櫃工程、會計系統,全面提升公司管理營運效率。

搜尋引擎最佳化SEO

搜尋引擎最佳化(SEO)不僅能提高網站在搜尋結果的排名,更能帶來大量對我們產品或服務真正有需求的訪客。SEO 最棒的特質之一就是不像廣告一樣亂槍打鳥而導致用戶的反感,反而更能提升點閱率跟成交率喔。

服務宗旨

網智數位主要提供套裝及客製化的軟體系統解決方案,專為客戶量身訂做客製化的軟體,達成客製化、智慧化及網路化的管理功能。

我們的成立宗旨就是要以最猛的IT技術讓這個世界更Smart,在我們貫徹我們裡想的同時,我們希望可以把我們所開發的系統帶給台灣的中小企業,除了要推薦好的東西之外,我們也希望做點改變,所以我們的第一目標就是要使用最好用的系統再加上您寶貴的創意,不僅僅可以節省你大量的荷包,還可以有一個像樣的網站。我們可以幫你做的有

企業管理
  • 策略管理
  • 目標管理
  • 行銷管理
  • 財會管理
  • ERP導入
  • 企業流程自訂
資訊管理
  • 網站架設
  • 虛擬化/雲端架設
  • 主機代管
  • 私有雲建制與導入
軟體開發
  • UML設計
  • 版本控管
  • 企業軟體開發
  • APP開發
  • 網頁設計
資訊安全
  • 網頁弱點掃描
  • 主機弱點掃描
  • 木馬檢測
  • 資安鑑識
  • 設計網路架構
  • 資安監控
行銷
  • 關鍵字SEO
  • 社群網路行銷
  • 部落格行銷
  • FaceBook 粉絲團
其他
  • 協助企業申請Google Email
好玩工具開發

講出你的創意吧!沒有甚麼是資訊辦不到的

顯示具有 資訊安全 標籤的文章。 顯示所有文章
顯示具有 資訊安全 標籤的文章。 顯示所有文章

2022年12月20日 星期二

紅外線異常監測 & 放電檢測報告 & 機電線材報價系統

    感謝新竹科技大廠 聯合機電股份有限公司 以及 啟洋科技工程股份有限公司  因為多次洽談合作,因為專業的信任 給網智數位軟體開發團隊 陸續進行開發 紅外線異常監測、紅外線異常統計表、紅外線異常趨勢圖、以及許多自動化統計報表,異常與檢測報告管理系統機電線材報價系統 ,也讓我們開發團隊更深入了 機電公司 的營運作業流程與產業知識。






          








    

    而服務了該知名產業公司後,更深深發覺客戶主管的經驗與機電專業知識、線材、環境感測專業水準,讓 Allen 我更有使命傳遞公司的企業價值,就是專業服務、與客戶共同努力透過 IT 資訊科技的技術、軟體研發能力,盡可能協助各產業客戶完成系統化管理、數字化管理、智慧化管理。
        【客戶介紹】 啟洋科技工程股份有限公司除了擁有優異的專業技術,能勝任各種高難度工程外,其豐富的經驗、用心的服務與完善的公司制度及人員組織,為客戶提供以最佳的事前規劃與售後服務,更以24小時待命狀態,立即支援客戶施予緊急搶修,以維護生產線之有效運轉,堅持專業技術並提供客戶具有競爭力的服務,是啟洋公司達成企業雙贏的基本理念,也正是您諮商洽詢、安心託付的最佳系統工程專業團隊,更是您信賴的最佳伙伴。



網智數位-軟體開發(軟件開發)
針對各特殊產業都可以量身定做符合貴公司的需求,別人無法克服的就是我們的挑戰
業務合作、軟體委外開發
業務窗口:allen@netqna.com
聯繫行動號碼:0920-883-870
黃先生 Allen

2016年8月4日 星期四

伺服器被攻擊後的處理措施

     安全總是相對的,再安全的服務器也有可能遭受到攻擊。作為一個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊後能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。

hacker_internet_web_attack-100033459-medium


一、處理服務器遭受攻擊的一般思路
系統遭受攻擊並不可怕,可怕的是面對攻擊束手無策,下面就詳細介紹下在服務器遭受攻擊後的一般處理思路。
1.必須馬上切斷網絡
所有的攻擊都來自於網絡,因此,在得知系統正遭受黑客的攻擊後,首先要做的就是斷開服務器的網絡連接,這樣除了能切斷攻擊源之外,也能保護服務器所在網絡的其他主機。
2.開始試著查找攻擊源
可以通過分析系統日誌或登錄日誌文件,查看可疑信息,同時也要查看系統都打開了哪些端口,運行哪些進程,並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。
3.進行分析入侵原因和途徑
既然系統遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程序漏洞,一定要查清楚是哪個原因導致的,並且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。
4.一定必須備份用戶數據
在服務器遭受攻擊後,需要立刻備份服務器上的用戶數據,同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中,一定要徹底刪除,然後將用戶數據備份到一個安全的地方。
5.重新安裝系統
永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序,在服務器遭到攻擊後,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程序都會依附在系統文件或者內核中,所以重新安裝系統才能徹底清除攻擊源。
6.修復程序或系統漏洞
在發現系統漏洞或者應用程序漏洞後,首先要做的就是修復系統漏洞或者更改程序bug,因為只有將程序的漏洞修復完畢才能正式在服務器上運行。
7.恢復數據和連接網絡
將備份的數據重新復製到新安裝的服務器上,然後開啟服務,最後將服務器開啟網絡連接,對外提供服務。
二、檢查並鎖定可疑用戶
當發現服務器遭受攻擊後,首先要切斷網絡連接,但是在有些情況下,比如無法馬上切斷網絡連接時,就必須登錄系統查看是否有可疑用戶,如果有可疑用戶登錄了系統,那麼需要馬上將這個用戶鎖定,然後中斷此用戶的遠程連接。
1.登錄系統查看可疑用戶
通過root用戶登錄,然後執行“w”命令即可列出所有登錄過系統的用戶,如下圖所示。

wKioL1ei-aqgJ0VUAAB84CpIZOQ223

通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。
2.鎖定可疑用戶
一旦發現可疑用戶,就要馬上將其鎖定,例如上面執行“w”命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄權限的),於是首先鎖定此用戶,執行如下操作:
[root@server ~]# passwd -l nobody
鎖定之後,有可能此用戶還處於登錄狀態,於是還要將此用戶踢下線,根據上面“w”命令的輸出,即可獲得此用戶登錄進行的pid值,操作如下:
[root@server ~]# ps -ef"grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。
3.通過last命令查看用戶登錄事件
last命令記錄著所有用戶登錄系統的日誌,可以用來查找非授權用戶的登錄事件,而last命令的輸出結果來源於/var/log/wtmp文件,稍有經驗的入侵者都會刪掉/var/ log/wtmp以清除自己行踪,但是還是會露出蛛絲馬跡在此文件中的。
三、查看系統日誌
查看系統日誌是查找攻擊源最好的方法,可查的系統日誌有/var/log/messages、/var/log/secure等,這兩個日誌文件可以記錄軟件的運行狀態以及遠程用戶的登錄狀態,還可以查看每個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄著用戶執行的所有歷史命令。
四、檢查並關閉系統可疑進程
檢查可疑進程的命令很多,例如ps、top等,但是有時候只知道進程的名稱無法得知路徑,此時可以通過如下命令查看:
首先通過pidof命令可以查找正在運行的進程PID,例如要查找sshd進程的PID,執行如下命令:
1 2 [root@server ~]# pidof sshd 13276 12942 4284
然後進入內存目錄,查看對應PID目錄下exe文件的信息:
1 2 [root@server ~]# ls -al /proc/13276/exe lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd
這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄,可以查看如下目錄:
[root@server ~]# ls -al /proc/13276/fd
通過這種方式基本可以找到任何進程的完整執行信息,此外還有很多類似的命令可以幫助系統運維人員查找可疑進程。例如,可以通過指定端口或者tcp、udp協議找到進程PID,進而找到相關進程:
1 2 3 4 5 6 7 8 9 [root@server ~]# fuser -n tcp 111 111/tcp: 1579 [root@server ~]# fuser -n tcp 25 25/tcp: 2037 [root@server ~]# ps -ef|grep 2037 root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master postfix 2046 2037 0 Sep23 ? 00:00:01 qmgr -l -t fifo -u postfix 9612 2037 0 20: 34 ? 00:00:00 pickup -l -t fifo -u root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037
在有些時候,攻擊者的程序隱藏很深,例如rootkits後門程序,在這種情況下ps、top、netstat等命令也可能已經被替換,如果再通過系統自身的命令去檢查可疑進程就變得毫不可信,此時,就需要藉助於第三方工具來檢查系統可疑程序,例如前面介紹過的chkrootkit、RKHunter等工具,通過這些工具可以很方便的發現系統被替換或篡改的程序。
五、檢查文件系統的完好性
檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法,例如可以檢查被入侵服務器上/bin/ls文件的大小是否與正常系統上此文件的大小相同,以驗證文件是否被替換,但是這種方法比較低級。此時可以藉助於Linux下rpm這個工具來完成驗證,操作如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 [root@server ~]# rpm -Va ....L... c /etc/pam.d/system-auth S.5..... c /etc/security/limits.conf S.5....T c /etc/sysctl.conf S.5....T /etc/sgml/docbook-simple.cat S.5....T c /etc/login.defs S.5..... c /etc/openldap/ldap.conf S.5....T c /etc/sudoers ..5....T c /usr/lib64 /security/classpath.security ....L... c /etc/pam.d/system-auth S.5..... c /etc/security/limits.conf S.5..... c /etc/ldap.conf S.5....T c /etc/ssh/sshd_config
對於輸出中每個標記的含義介紹如下:
S 表示文件長度發生了變化
M 表示文件的訪問權限或文件類型發生了變化
5 表示MD5校驗和發生了變化
D 表示設備節點的屬性發生了變化
L 表示文件的符號鏈接發生了變化
U 表示文件/子目錄/設備節點的owner發生了變化
G 表示文件/子目錄/設備節點的group發生了變化
T 表示文件最後一次的修改時間發生了變化
如果在輸出結果中有“M”標記出現,那麼對應的文件可能已經遭到篡改或替換,此時可以通過卸載這個rpm包重新安裝來清除受攻擊的文件。
不過這個命令有個局限性,那就是只能檢查通過rpm包方式安裝的所有文件,對於通過非rpm包方式安裝的文件就無能為力了。同時,如果rpm工具也遭到替換,就不能通過這個方法了,此時可以從正常的系統上複製一個rpm工具進行檢測。
對文件系統的檢查也可以通過chkrootkit、RKHunter這兩個工具來完成,關於chkrootkit、RKHunter工具的使用,下次將展開介紹。

 

網智數位-軟體開發(軟件開發)
針對各特殊產業都可以量身定做符合貴公司的需求,別人無法克服的就是我們的挑戰
業務合作、軟體委外開發
業務窗口:allen@netqna.com
聯繫電話:0920-883-870
skype: netqna
line:netqna
微信:netqna
黃先生 Allen

2014年8月16日 星期六

停止火狐(Firefox)傳送下載檔案資訊給Google



上一篇中有提到目前的 Google Chrome 瀏覽器中其實有內建「安全瀏覽」功能,可以在使用者上網時自動幫用戶阻擋不安全網站、禁止用戶下載惡意程式,所以如果您已經使用Google Chrome瀏覽器一段時間,你可能會發現,當你下載到惡意軟體的時候Google Chrome會跳出警告視窗,並中斷您的下載。


這是因為您下載的檔案資訊會送到Google 安全中心去做比對。當發現您所下載的檔案與Google 惡意軟體列表有吻合,就會跳出警告視窗,並詢問您是否要繼續下載。


對於使用Firefox 瀏覽器的用戶來說,其實相同的功能也Copy到Firefox 上(從版本31以後),不過根據Mozilla's wiki的說法,Firefox 只會傳送執行檔 exe 檔案給Google 做分析。


但是如果你不是Google 的粉絲也不想Firefox 傳送任何資訊給Google 那怎麼辦呢?


其實有兩種方法可以停止Firefox 傳送下載檔案資訊給Google,但要先確認Firefox 的版本要在31以後喔。第一種方式是改變Firefox 內部預設配置的值。要做到這一點,請先打開你的Firefox 瀏覽器,並在網址列上打about:config,並點選I'll be careful, I promise!




在搜尋列上打browser.safebrowsing.appRepURL,在Value的欄位中就會看到Google Safe Browsing的網址了。




只要點選兩下,就會出現Enter String value這個視窗,將裡面的URL給刪除在按OK。




確定Value是空的




這樣就會儲存設定了,並且成功的停用傳送功能。


另外一種停用的方法,一樣要在網址列上打about:preferences


進入喜好設定,選擇安全性(Security)標籤,並且取消勾選 Block reported attack sites 跟 Block reported web forgeries




這樣就大功告成了。


Google 一直以來都決心捍衛所有人的上網安全,所以Virus total才在2012 年九月被 Google 收購,且相繼又提供了Safe Browsing API 等功能,目的就是要減少用戶被駭客入侵的機會。所以除非知道自己在幹嘛或有特殊需求,不然不建議將此功能給停用喔。

2014年8月11日 星期一

如何回報 Google,詐騙、惡意、釣魚網站

如果您有在使用 Google 搜尋引擎、Google 瀏覽器 Chrome,或是防毒軟體,當您瀏覽了嵌入惡意程式、木馬病毒的網頁或詐騙用的釣魚網站….等,通常都會跳出警告訊息給我們。
有了這些安全機制,在加上自己有些資安的防範意識其實基本上被入侵成功的機率就會比較低,可以參考:


不過即使有了萬全的防護,也不能保證100%安全,因為現在的釣魚/詐騙網站、惡意中繼站,型態多變、成長與更新速度非常快,Google 蜘蛛在多分析在快,也很難即時的發現新的惡意網站。

所以Google 提供了一個讓網友回報的一個平台,當您連結到某一個URL的時候,發現那個URL明明就不是Facebook、Google、Hotmail、Yahoo 等網域名稱,但頁面卻長得一模一樣,且 Google 搜尋引擎或 Chrome 瀏覽器上卻沒有明確標示該網站有問題,那就回報 Google 請他們即刻處理與封鎖。





送出後 Google 就會處理你所提交的惡意網站,審核可能會需要一些時間,所以在這段期間內其他人也可能不小心進入惡意網站,可以依照下面的指示來進行幾個你可以做的後續處理。

報表已寄送

感謝您將報表寄給 Google。現在您已經日行一善了,不妨:
  1. 開心享受一下助人的喜悅;因為您的熱心,網路世界才能變得更加美好。
  2. 確定您已將網路瀏覽器升級為最新版本,並且已套用作業系統的最新修補程式。
  3. 參閱下列網站,進一步瞭解可能使您電腦中毒的惡意軟體:Stopbadware.org 。

雖然回報給Google,無法讓這些惡意網站關站,但至少讓有使用 Google 搜尋引擎或 Chrome 的人可以收到警告訊息,避免受害者越來越多,並將傷害降到最低。

2014年8月4日 星期一

WebInspector-免費線上檢測網站安全

網路詐騙案例層疵不窮,最難防的莫過於社交工程(Social Engineering)了,因為社交工程是利用人性的弱點,如好奇恐懼貪心情色信任不在意等,來設計成各式各樣的詐騙手法,讓人防不慎防。

駭客最常利用的就是:

1.新聞事件

天災人禍像是復興空難、高雄氣爆、台北捷運隨機殺人事件 等..

2.新產品或服務的推出

假的iPhone 6 照片曝光透過電子郵件去誘騙受害者點擊。

3.名人的八卦消息

足以毀掉小賈斯汀的影片
李宗瑞XX影片

4.利用朋友的名義

駭客鎖定目標後,會蒐集目標周邊所熟悉的人、事、物,駭客在利目標所信任的人傳送社交工程郵件誘使受害者點擊。

這些郵件不外乎都是使用人性的弱點,來誘使受害者來點擊,進一步的取得控制權,竊取機密資料,植入木馬與後門等。那麼如何有效的防範社交工程郵件呢?可以參閱:


不過這篇只是針對Outlook的設定做初步防範而已,真正有問題是信件裡的附加檔案與連結,所以通常Chris收到一個非開不可的檔案,都會先使用本機的防毒軟體掃毒,在丟到VirusTotal 看看有沒有問題,最後才會將檔案給開啟,可能有人認為這樣也太麻煩了吧,沒錯資安與方便性一定不會是畫上等號的,但其實現在市面上很多程式都有跟VirusTotal 整合,雖然還是麻煩但至少可以輕鬆的上傳檔案掃毒,這部分Chris後續也會一一的介紹。

那如果Chris收到一個非開不可的網址呢? 因不確定對方的網址是不是安全的,所以Chris通常都會使用一些線上工具來檢測網站是否安全,像是 WebInspector 這個網站,它最主要的功能是檢查目標網站是否安全,是否隱藏了可疑或惡意的程式。

Webinspector 是美國公司 Comodo CA 所成立的。除了提供免費的線上偵測服務之外,也有提供付費服務(例如大量網域的檢查與偵測,免費版只能單一網域),它可以檢查網站是否為黑名單(Blacklist Checking)釣魚攻擊(Phishing)惡意軟體(Malware Downloads)驅動下載攻擊(Drive-by-Downloads)蠕蟲攻擊(Worms)後門(Backdoors)特洛伊病毒(Trojans)啟發式病毒(Heuristic Viruses) 以及其它可疑程式或活動。

網站:WebInspector

使用方式非常簡單只要在搜尋列打上網址在按下Start The Scan按鈕,Webinspector 就會即時做掃描

掃描時間會看網站的大小,通常幾分鐘之內就有結果了,如果網站沒有問題會顯示No malicious activity or malware detected等字眼。

相對的如果發現網站異常會出現紅色驚嘆號,及顯示This is a direct link to malware file.



回報為惡意網站Report as Malicious


顯示歷史紀錄Show History


另外他還有WHOIS的功能,可以查看該網域的一些基本資訊


最後 WebInspector 除了可以防範社交工程外,也可以拿WebInspector 來檢視自己的網站有沒有問題,一般Chris也會建議用戶定期的做掃描,避免自己的網站被當做惡意中繼站而不知道不去處理,導至被列入黑名單。

2014年7月12日 星期六

免費版 WAF ModSecurity 增加網站安全性

在大部分成功被駭客入侵的網站案例中,大多都屬於網頁程式設計師的疏忽,或本身缺乏安全的意識而開發的軟體,很容易造成網頁主機被入侵成功的危機,如果不確定自己有沒有被入侵,可以參考我之前寫的5個自我檢視資料庫之安全性的方法,先自行檢測看看。

一般為了預防像是 XSS、SQL Injection 此類的安全性漏洞,大多會購買WAF(Web Application Firewall,網頁應用程式防火牆)來阻絕駭客,但類似的產品,價格往往相當的昂貴,絕非一般中小企業所能負擔。 相關 WAF 資訊可以參考:


或許有人會說為什麼要砸大錢買WAF?WAF不過是至標不治本的東西,程式本身有漏洞應該是將漏洞修補起來就好了,當然這是正確的觀念,如果你的維護的是小系統可能還可以迅速做修補,但如果是大型的 ERP 系統在現實上就沒有那麼簡單了,而且在修補的過程中沒有任何防護的話,還是有一段的空窗期喔。

為了獲得最好的安全效果,我們需要雙管齊下,一方面必須提高管理者和開發者的安全意識,另一方面儘可能提高應用系統的安全性。

因此,本文將介紹這款開放原始碼的軟體 ModSecurity,免費為您的網站主機多加一層保護。

ModSecurity 簡介

ModSecurity是一個開放原始碼的WAF(Web Application Firewall,網頁應用程式防火牆),是一個入侵偵測與防護引擎,它可以作為你的服務器基礎安全設施,目前支援Apache、IIS、Nginx 等..可增強這些 Web 伺服器的安全性和保護Web應用程式避免遭受來自已知與未知的攻擊。

ModSecurity功能特點

  1. 即時監控和攻擊檢測
  2. 攻擊防禦和即時修補
  3. 靈活的規則引擎
  4. 嵌入式模式部署
  5. 基於網絡的部署
  6. 可移植性

ModSecurity新特性


  1. 增加狀態報告(Status Reporting)
  2. 增加JSON解析器
  3. 添加@detectXSS模塊
  4. 連接限制(SecConnReadStateLimit/SecConnWriteStateLimit)支持黑白名單
  5. 增加新變量FULL_REQUEST和FULL_REQUEST_LENGTH,支持對請求的所有內容進行規則限制。
簡單的說 ModSecurity 可保護您的 Web 應用程式免受複雜的攻擊,阻止線上身份竊取,並防止資料經由應用程式洩露,建議系統管理者都可以安裝這個防護措施。

2014年6月11日 星期三

OpenSSL 再爆嚴重漏洞CCS 注入


前一陣子OpenSSL(4/8)發佈緊急安全修補公告,公佈OpenSSL中一個可能潛伏長達二年之久的OpenSSL重大安全漏洞CVE-2014-0160。這個漏洞鬧得沸沸揚揚的,因為這個漏洞很多系統管理者都措手不及,但是最近OpenSSL 又被發現弱點了,這一次共有兩個弱點CCS Injection (CVE-2014-0224)DTLS DOS 攻擊(CVE-2014-0195)

延伸閱讀:

(1) CVE-2014-0224

利用中間人攻擊進行CCS Injection攻擊竊取,成立的條件是Server端與Client端的OpenSSL都要是有弱點的版本,由中間人在Hello之後立即送出ChangeCipherSpec 訊息,使伺服器先去做 ChangeCipherSpec 的動作,跳過原本應該先進行憑證交換與驗證程序,造成內文資料可被竊取成功,如下圖:

 
OpenSSL存在MITM中間人攻擊弱點,根據外部組織公告,惡意人士可先行掌握已有弱點的OpenSSL版本存在於伺服器及用戶端,透過中間人攻擊手段及ChangeCipherSpec 驗證順序漏洞,進而取得伺服器端與客戶端之加密內容資訊。

目前已知會受到影響的版本為OpenSSL 0.9.8、1.0.0及1.0.1~1.0.2 beta1版本,建議管理者應儘速上網更新,以降低受駭風險。

影響系統版本:
  • OpenSSL 0.9.8 SSL/TLS users (client and/or server) 請更新 0.9.8za 版本
  • OpenSSL 1.0.0 SSL/TLS users (client and/or server) 請更新 1.0.0m 版本
  • OpenSSL 1.0.1 SSL/TLS users (client and/or server) 請更新 1.0.1h 版本
細節描述:

攻擊者可先搜索具有OpenSSL弱點之網站主機與有OpenSSL弱點之用戶端,利用ChangeCipherSpec 驗證順序漏洞及中間人攻擊手法,導致資料竊取而無需經過驗證憑證內容。

建議管理者應儘速確認主機是否使用影響範圍內的OpenSSL版本,並請盡速評估是否更新至OpenSSL 0.98za或1.0.0m 或1.0.1h版本

解決方式:
  1. OpenSSL更新到OpenSSL 0.98za或1.0.0m 或1.0.1h版本
  2. 用戶端瀏覽器版本更新到最新版本,系統端更新前,敬請進行完整評估與測試
參考資料:


(2) CVE-2014-0195

OpenSSL處理DTLS(Datagram_Transport_Layer_Security)訊息時,未對DTLS的Client Hello訊息內容與Fragment接續進行檢查(DTLS Hello內容最大可達2的24次方),導致有心人士可利用將其長度進行擴大造成緩衝區溢位,成功癱瘓主機或取得伺服器管理權限。如下圖:
根據外部組織公佈OpenSSL存在DTLS弱點,惡意人士可利用UDP封包對有弱點的OpenSSL版本伺服器進行惡意攻擊,透過DTLS Hello訊息長度未驗證之漏洞,進而進行大量UDP封包送出達到癱瘓伺服器服務,或在訊息內塞入惡意攻擊執行緒,造成主機接收訊息後執行任意碼而取得伺服器管理者權限。

目前已知會受到影響的版本為OpenSSL 0.9.8、1.0.0及1.0.1版本,建議管理者應儘速上網更新,以降低受駭風險。

影響系統版本:
  • OpenSSL 0.9.8 SSL/TLS users (client and/or server) 請更新 0.9.8za 版本
  • OpenSSL 1.0.0 SSL/TLS users (client and/or server) 請更新 1.0.0m 版本
  • OpenSSL 1.0.1 SSL/TLS users (client and/or server) 請更新 1.0.1h 版本
細節描述:

攻擊者可先搜索具有OpenSSL弱點之網站主機,利用DTLS訊息長度漏洞,可擴大Hello訊息之長度(最大可到2的24次方長度),或在Hello訊息中塞入惡意執行碼,導致癱瘓伺服器主機服務,或取得伺服器主機管理權限。

建議管理者應儘速確認主機是否使用影響範圍內的OpenSSL版本,並請盡速評估是否更新至OpenSSL 0.98za或1.0.0m 或1.0.1h版本。

解決方式:
  1. OpenSSL更新到OpenSSL 0.98za或1.0.0m 或1.0.1h版本。
  2. 檢查DTLS Hello訊息長度與DTLS Fragment_ID是否連續。
參考資料:

2014年5月6日 星期二

[資安鑑識工具]Rootkit 殺手GMER 掃描移除程式

在介紹GMER這套軟體之前,先來介紹一下什麼是Rootkit? 
Rootkit是指其主要功能為:隱藏其他程式行程的軟體,可能是一個或一個以上的軟體組合;廣義而言,Rootkit也可視為一項技術。在今天,Rootkit一詞更多地是指被作為驅動程式,載入到作業系統核心中的惡意軟體。因為其代碼執行在特權模式之下,從而能造成意料之外的危險。最早Rootkit用於善意用途,但後來Rootkit也被駭客用在入侵和攻擊他人的電腦系統上,電腦病毒、間諜軟體等也常使用Rootkit來隱藏蹤跡,因此Rootkit已被大多數的防毒軟體歸類為具危害性的惡意軟體。Linux、Windows、Mac OS等作業系統都有機會成為Rootkit的受害目標。
簡單的來說Rootkit 是躲在系統底層的程式,偽裝成一般的系統檔或應用軟體讓人無法察覺,有些還可躲過防毒軟體的監控與掃描,所以當初Rootkit的出來,對於防毒軟體是一大挑戰。很多中了木馬或被植入Rootkit的電腦在外觀或使用上並無太大的差異,但實際上可能已經暗中竊取資料或等待時機執行其他攻擊任務。

而今天要介紹的Rootkit 掃描移除程式 GMER 是一款來自波蘭的免費多功能系統安全監控分析應用程式。除了具有偵測 Rootkit 的功能外,它還能顯示隱藏的程式、服務、驅動程式、登錄檔項目及隱藏的檔案。再者,它亦能監控自動啟動的程式、程式庫的載入、驅動程式的載入等...。

軟體下載

軟體名稱:GMER
軟體版本:GMER 2.1.19357
作業系統:Windows NT/W2K/XP/VISTA/7/8
軟體語言:英文
軟體性質:免費軟體
官方網站:http://www.gmer.net/
軟體下載:按這裡

使用方式

下載後直接打開 GMER 程式無須安裝,軟體分為「處理程序」、「模組」、「服務」、「檔案」、「登錄」、「Rootkit/惡意程式碼」、「CMD」和「自動啟動」八個標籤頁。

掃描方式非常簡單,選擇「Rootkit/Malware」標籤頁,點選Scan就會開始掃描。


掃瞄的類型如下:
  • 隱藏的處理程序
  • 隱藏的執行緒
  • 隱藏的模組
  • 隱藏的服務
  • 隱藏的檔案
  • 隱藏的磁碟磁區(MBR)
  • 隱藏的替代資料串流
  • 隱藏的登錄機碼
  • 驅動程式鈎子 SSDT
  • 驅動程式鈎子 IDT
  • 驅動程式鈎子 IRP 呼叫
  • 內嵌鈎子
掃描結果如發現到有Rootkit 惡意程式,Gmer會跳出警告視窗。
點選有問題的程式選擇刪除即可。

總結

當然,Gmer程式可能也會有些「誤判」的情況,而視窗中列出來的可能只是「可疑」而已,並不一定真的全部都有問題,如果沒掃到也不代表完完全全沒問題。我們可以根據 Gmer 的掃描結果再一一的詳細檢查、交叉比對一下是否真的非砍掉不可。不過如果你對安全性方面的要求很高,那就盡量不要放過任何一個可疑的檔案,或者多找幾套類似的工具來掃描、檢測一番。

2014年5月4日 星期日

[資訊安全]不要再用弱密碼了,教您如何設置安全又好記的密碼

當您進入電腦帳號時,總會被要求輸入帳號名稱(username)與 密碼(password),帳號名稱是用來確認進入系統的使用者身份, 密碼則是證明該使用者有權使用此帳號。在現今通行無阻的網際網路世界,通行密碼是系統安全的第一道防線,但是有許多使用者認為只要有設定密碼,別人就讀不到他的檔案,所以不需要一個好密碼。事實上,使用一個容易猜到的密碼,就好像打開大門邀請小偷進來一般危險, 不只對被侵入的帳號有影響,更可藉由此合法帳號埋下許多披著羊皮的炸彈(如 Trojan Horse),進而毀掉系統重要檔案或侵入其它系統。

安全機構Imperva Application Defense Center(ADC)做的一項研究顯示,有36%的人使用6位數以下的密碼,60%的人總是使用固定幾組英數字當密碼,50%的人使用姓名、俚語、單字、連續數字或鍵盤上相鄰的字母組合作為密碼。最常為人使用的密碼形式為連續數字,再來就是如「Password」、「iloveyou」、「abc123」等單字以及英文名字。

而駭客使用的密碼破解軟體日新月異,遇到上述簡單的密碼,短時間內就可破解,根據ADC統計,大約只要17分鐘就可以破解1000個帳號!

那麼該如何設計安全的密碼呢?安全專家們基於研究數據,及參考美國國家航空暨太空總署制訂的密碼政策,提供了以下建議:

絕對避免的密碼:


  1. 不設密碼
  2. 不設與帳號相同的密碼
  3. 不設與主機名稱相同的密碼
  4. 不使用個人資料,如生日、身份證字號、英文姓名或羅馬拼音或漢語拼音、公司部門簡稱、電話號碼...等一些平常在填寫表格不知不覺就會透露出去的資訊
  5. 不使用重覆性或連續性或過於簡單的密碼,如123456、abcdef、1qaz2wsx(鍵盤上的連續鍵)、abc123...等此類簡單的組合
  6. 不要使用英文單字或句子為密碼
  7. 不要設密碼全為數字或全為英文

較佳的設密碼原則:

  1. 密碼要至少八碼
  2. 密碼最好要英數字參雜且含英文大小寫
  3. 若環境允許的話密碼最好要連特殊符號也包含進去,但儘量不要包含空白鍵(有些系統會自動省略空白鍵)
  4. 密碼要任何沒有意義的組成
  5. 密碼要記的住,最好能夠自己迅速的不看鍵盤就可以打出來(別人偷看想記的時間都來不及)

確保密碼安全要點:

  1. 請不要在不熟悉的電腦上設置您的密碼,例如網咖、圖書館、共用系統、會議室...,不要相信您的一舉一動不會被側錄
  2. 不告訴任何人你的密碼,但可視情況選擇一人共知密碼,例如親密的配偶
  3. 不把密碼存在電腦裡面,不要為了方便而讓電腦記住你的帳號及密碼
  4. 若怕密碼忘記的話,可將密碼寫下來,但須提供這個被寫下來的密碼一個適當且安全的地方存放。 一般來說,寫在紙上的密碼較難透過網際網路洩露出去
  5. 不要透過email、即時通(MSN、Yahoo、Skype...)等任何通訊軟體傳送您的密碼,或在電子郵件要求下提供您的密碼(例如:釣魚信件要求您輸入某銀行帳戶的帳密)

如何設定符合安全性原則又好記的密碼?

那麼在以上原則之下,要如何才能設計出好記的密碼呢?

訣竅一:利用同音字替換

比如succeed這個單字,可以將英文字母e替換成同音的阿拉伯數字1,這樣就變成succ11d,好記又可混和英數字。

訣竅二:利用同型字替換

比如dog狗這個單字,可以將字母o改成阿拉伯數字0,變成d0g,一樣是有意義的詞,但是混和英數字。

訣竅三:善用特殊符號填充

比如上述d0g這個密碼不夠長,那麼就可以在後頭加上特殊符號如d0g!(!(!(!(!(!(,改成這樣之後不會難記,但是駭客得花上12340個世紀才能破解。

訣竅四:利用中文輸入法

比如「我的密碼」這四個字的注音輸入法是「ji32k7au4a83」的按鍵組合,乍看之下是隨機組合,但其實是有意義的。

總結

上述四個訣竅混搭使用,就可以設計出好記又安全的密碼若害怕自己設置出來的密碼會忘記,不用擔心,在設置之前可以運用自己的聯想邏輯來設計,而這個聯想所相關的資訊當然是儘量別人不曉得的資訊。而在幾次的登入之後,相信熟能生巧,密碼一定會變成您腦袋的一部份。

2014年5月2日 星期五

7項措施因應弱點CVE-2014-1776,IE瀏覽器零時差攻擊

微軟瀏覽器 Internet Explorer 被發現存在零時差弱點,在存取已刪除或錯置的記憶體內容時,可破壞(或修改)記憶體內容以置入攻擊者之惡意程式碼。攻擊者可利用此弱點製作惡意網頁,當使用者使用存有弱點的瀏覽器瀏覽該惡意網頁,會使攻擊者有可能以使用者的權限執行任意程式碼。目前已經發現駭客使用此一弱點發動網路攻擊的案例。提醒Internet Explorer瀏覽器使用者,應多加留意透過不明信件的連結,與瀏覽不明網站被攻擊的可能性。 

攻擊手法

那麼,什麼是「Zero Day」呢?它是一個遠端程式碼執行漏洞。白話就是:攻擊得手後,駭客能讓目標電腦執行(特定)軟體。Microsoft 的警告描述:「該漏洞會使記憶體崩潰,並讓攻擊者能在使用者當前使用的 IE 瀏覽器中執行任意程式碼。」

該漏洞源自 Flash——透過一些著名的技術手段(技術細節請參看此處),再進一步利用而侵入電腦記憶體。

在某些情境下,攻擊者會建立一個特定網站來幫助「Zero Day」入侵,該網站會誘使 IE 使用者點擊該網站的連結。因此,如果你使用 IE 瀏覽器,在收到某些附帶網頁連結的可疑的電子郵件時,就要加倍小心了。

影響範圍:

Internet Explorer 6、 7、 8 、 9、 10 、 11 。

建議措施

微軟周四(5/1)發佈重大系統安全更新KB2964358,可修補於IE 6~IE11版本發生的零時差漏洞,而對已經結束技術支援的Windows XP,微軟也釋出善意表示,基於該漏洞離XP終止支援時間點極為接近,微軟也決定破例額外為XP發布更新修復。不過微軟也提醒還在使用XP的用戶,應盡快移轉至新版Windows 7或 8.1,並將瀏覽器升級至最新IE 11版本。

此外微軟也公告,此更新將於美國當地時間5月1日早上10點釋出,用戶可透過自動更新安裝,但少部份採用手動更新的用戶,微軟也強烈建議,在安全更新發布後盡可能加快手動更新。

如企業內部無法即時更新建議使用以下措施,可以減緩被此一弱點攻擊的可能性:
  1. 安裝與使用微軟的Enhanced Mitigation Experience Toolkit(EMET) 4.1 以上的版本,舊版本的EMET無法有效阻擋此一弱點的攻擊。
  2. 將IE的安全性等級設定為"高",進而限制ActiveX控制項與Active Scripting指令碼的執行。
  3. 啟用IE受保護模式(IE 10以上內建)
    開啟IE,點選"工具"(或按alt+x)→"網際網路選項"→"安全性",勾選"啟用受保護模式"來減緩弱點的攻擊風險。
  4. 關閉Adobe Flash plugin
    開啟IE,點選"工具"(或按alt+x)→"管理附加元件"→"Shockwave Flash Object"→"停用"→"關閉"。
  5. 關閉Active Scripting
    開啟IE,點選"工具"(或按alt+x)→"網際網路選項"→"安全性"→"網際網路"、"近端內部網路"、"信任的網站"、"限制的網站"→"自訂等級"→"Active Scripting"選擇"提示"或"停用"→"確定"。
  6. 取消VGX.DLL的註冊
    點選"開始",執行指令 "regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll",取消VGX.DLL的註冊。在官方修補程式釋出並安裝後,執行指令 "regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll",恢復VGX.DLL的註冊。
  7. 勿任意點選e-mail中的網址。
延伸閱讀:
[資訊安全]如何有效防範社交工程Social Engineering

2014年4月30日 星期三

[弱點通告]IE 存在允許遠端執行程式碼的Zero-Day 弱點 CVE-2014-1776 ,請評估暫時改用其他瀏覽器!

說明

弱點:CVE-2014-1776 Microsoft Internet Explorer 含有允許遠端執行程式碼的Zero-Day 弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Internet Explorer 6~11 版本,網智數位建議請使用者評估暫時改用其他瀏覽器。

微軟官方對此漏洞的解釋 

該漏洞是一個遠端執行代碼的漏洞。該漏洞發生在在Internet Explorer讀取已被刪除或沒有被正確地分配在記憶體中的物件時。這漏洞可能是利用 Memory corruption的方式讓攻擊者可能可以對目前使用Internet Explorer的使用者電腦執行任意代碼。惡意人士可利用此弱點使用水坑型攻擊(Watering Hole Attack) 手法,針對目標瀏覽器使用群(Internet Explorer 6 ~ 11)可能會瀏覽的網站植入Flash 網頁,當目標群以Internet Explorer 瀏覽器瀏覽時則可攻擊成功。該攻擊利用Internet Explorer 無法處理使用釋放後記憶體錯誤(use-after-free) 的漏洞使惡意人士取得使用者權限並得以遠端執行程式碼。

微軟官方目前還在研究調查此漏洞,並建議使用者開啟防火牆和安裝安全軟體,也會在之後推出新的安全性更新,但須注意的是!
Windows XP 並不會在此次更新內,使用 XP 的用戶應該考慮升級您的作業系統或是改用Google Chrome或火狐Firefox瀏覽器。

影響範圍

除了 Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2 外的所有 Windows 系統上的 IE6~IE11 全系列中獎 !

建議措施

安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 

安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 利用額外的保護來防堵此漏洞攻擊,並請關閉Flash plugin,以避免遭受此弱點攻擊成功。
什麼是 Enhanced Mitigation Experience Toolkit?
Enhanced Mitigation Experience Toolkit (EMET) 是一種公用程式,可協助預防軟體中的弱點被利用。EMET 使用安全防護技術達成此目標。這些技術就像是特殊的防護與障礙,有心人士必須通過這些防護與障礙才能利用軟體弱點。這些安全防護技術不保證弱點不被利用。然而,運用這些技術能讓漏洞更難以遭受入侵。
EMET 4.0 及較新版本也提供可設定的 SSL/TLS 憑證釘選功能,稱為憑證信任。此功能的用途為偵測利用公開金鑰基礎結構 (PKI) 的攔截式攻擊。

注意! EMET 3.0 並不能防範此漏洞

更改瀏覽器

使用者若瀏覽企業內部網站則仍可使用IE 瀏覽器,連至外部網站時建議暫時改用其他瀏覽器,以避免遭受惡意攻擊。

提高警覺

請勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。

2014年4月29日 星期二

[教學]CentOS 6.4 安裝 vsftpd FTP Server

我們有個企業解決方案(無論您需要哪種項目的服務,我們都可以滿足你的需求,如果我們沒有適合您的解決方案,我們也會您開發適合您的解決方案),最近一個客戶請我們架設FTP Server,需求是便宜、快速、穩定與安全,我第一個就想到使用Linux(免錢)來架vsFTPd(本身系統非常快速與穩定)啦,vsFTPd (very secure FTP daemon) 作者為Chris Evans其主要著眼於安全、快速、穩定,在Linux系統中是很常用到的服務。安裝也非常的快速及簡單,安裝方法如下:

1. 安裝 vsftpd:
[root@localhost ~]# yum -y install vsftpd
[root@localhost ~]# touch /etc/vsftpd/chroot_list
[root@localhost ~]# chkconfig vsftpd on

2. 安裝完後讓防火牆可以通過 21 Port:
[root@localhost ~]# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
[root@localhost ~]# service iptables save

3. 編輯 "/etc/vsftpd/vsftpd.conf" [root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
找到:anonymous_enable=YES
將 YES 改成 NO。
如要限制用戶只能在自己的家目錄,則在檔案加入:
限制用戶只能在家目錄 (/etc/vsftpd/chroot_list 的用戶可不受限制)
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
如要 ftp 的檔案列表可以看到跟 Server 上同樣的時間,請在檔案加入:
# 使用本地時區
use_localtime=YES

4. 啟動 vsftpd:
[root@localhost ~]# service vsftpd start


基本上以上設定就架好FTP Server了,但如果你使用root登入會發現FTP 會回傳530 Permission denied.。為什麼會這樣呢?root不是最大權限系統管理者帳號嗎?理論上應該是通行無阻才對,原來是因為安全性的關係vsftp預設會將系統某些重要帳號設定為無法使用FTP服務。

[root@localhost ~]# ftp 192.168.0.118
Connected to 192.168.0.118 (192.168.0.118).
220 Welcome to ftp.netqna.com FTP Server.
Name (192.168.0.118:root): root
530 Permission denied.
Login failed.
ftp>

那要怎麼讓root可以登入FTP呢?請執行下面幾個動作

移除ftpusers 裡面的帳號

vim /etc/vsftpd/ftpusers
找到root 前面加上#號註解

[root@localhost ~]# vim /etc/vsftpd/ftpusers
# Users that are not allowed to login via ftpbin
#root
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
[root@localhost ~]#

移除user_list裡面的帳號

vim /etc/vsftpd/user_list
一樣找到root 前面加上#號註解

[root@localhost ~]# vim /etc/vsftpd/user_list
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied.bin
#root
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
[root@localhost ~]#

重新啟動VSFTPd 

[root@localhost ~]# /etc/init.d/vsftpd restart
Shutting down vsftpd: [ OK ]
Starting vsftpd for vsftpd: [ OK ]

重新使用root登入

[root@localhost ~]# ftp 192.168.0.118
Connected to 192.168.0.118 (192.168.0.118).
220 Welcome to ftp.netqna.com FTP Server.
Name (192.168.0.118:root): root
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye.
[root@localhost ~]#

增加FTP Server安全性

雖然root登入很方便,但還是有一定程度的安全性議題,畢竟FTP傳輸協定是明文在傳輸的,預設本身沒有加密,萬一帳號被竊取,很有可能導致公司重要資料被竊取,建議新增一個FTP User,而這個User不能登入系統,只能使用FTP 服務,即使帳號密碼被竊取,起碼可以將駭客的權限限制到FTP服務。以下兩個方法可以增加FTP的安全性。

限制FTP使用者

如果我們想把chris這個用戶目錄定位在/var/www/html/chris/public_html這個目錄中,並且不能登錄系統,我們應該如下操作

[root@localhost ~]# adduser -d /var/www/html/chris/public_html -g ftp -s /sbin/nologin chris
[root@localhost ~]# passwd chris

另外如果希望讓chris可以切換目錄,其它都不行的話,可以修改vsftpd.conf 加上兩行設定

[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
並將chris寫入 /etc/vsftpd/chroot_list 之中即可!!

限制來源IP

設定只允許 192.168.0.0/24 的主機使用 FTP Server
編輯「/etc/hosts.allow」,輸入 vsftpd: 192.168.0.x
編輯「/etc/hosts.deny」,輸入 vsftpd: ALL

總結

雖然已經限制了FTP使用者,也針對信任的來源IP才可以使用FTP 服務,看起來好像很安全了,但是就如上文所說的,FTP還是使用明文傳輸,萬一網路環境不乾淨,駭客躲在網路的傳輸中加入一個惡意的節點,攔截所有經過的網路封包,接著嘗試取得封包內的機密訊息,例如帳號、密碼等..。這時如果訊息沒有經過加密就很有可能帳號密碼因此就外洩了,可怕的是在攔截的過程中雙方都會收到彼此的訊息,管理者很難發現被中間人攻擊了,建議可以使用SFTP (SSH File Transfer Protocol),就算封包被攔截竊取,駭客也需要花時間去解密,起碼管理者有緩衝的時間,做一些因應與處理。

2014年4月28日 星期一

網頁應用防火牆(Web Application Firewal, WAF)

隨著 Web2.0 時代的到來,網站應用也逐漸被大眾廣泛的接受和使用。企業的e化雖然可為企業帶來可觀的商業利益,但建置網站的資安問題也緊跟著浮出檯面。

事實上,網站攻擊會越來越氾濫的原因,其實跟網站本身有很深的關聯。由於網路的興起,從政府機關金融機構中小企業以至於學校個人都開始架設自己的網站,而且,為了與來訪者互動,多半都會使用ASP、PHP、CGI、JSP等網路應用程式。但是因為這些程式的開發者程度不一,有些甚至沒有受過專業訓練,只是從網路上隨便抄程式碼拼湊起來,所以這些程式可說是良莠不齊,漏洞百出。

若想解除Web的安全威脅,最根本的解決方式在於重新檢視所有的Web程式,即所謂的白箱測試Code Review,從中找出不安全的程式碼再加以修改,而且有些程式碼的掃瞄軟體可幫忙程式設計師找出不安全的程式碼。但是Code Review的工程浩大,很不切實際,因此網頁應用防火牆(Web Application Firewal, WAF)應運而生。而面對網站的安全問題,許多廠商推出了像是IDS、IPS、WAF等..網站防護的資安產品,這些產品是什麼?有什麼不同之處呢?今天會針對網頁應用防火牆(Web Application Firewal, WAF)來做個簡單的介紹。

延伸閱讀:


以往僅能看到L3、L4攻擊的網路安全閘道器已無法應付這些針對L7應用程式的攻擊方式,必須仰賴像網頁應用程式防火牆(Web Application Firewal, WAF)的第七層網路安全設備來抵禦這些新型威脅。WAF的設計宗旨是防禦針對網頁應用程式的常見攻擊,像是OWASP Top 10 中最常出現的跨網站腳本攻擊(Cross Site Scripting, XSS)以及資料庫隱碼(SQL injection) 等攻擊。簡單的說WAF的作用就是為了保護網站主機,在我們來得及改善網站的安全性之前,拉起一道防護網,以減少被攻擊成功的機會。

OWASP TOP 10(年度 10 大 Web 安全漏洞)

OWASP 是一個專門研究 Web 軟體安全的社群,他們每年均會提出最有威脅的 Web 安全漏洞來提醒使用者,以下簡單的說明 OWASP 所提出的 Web 安全漏洞。

Injection(注入攻擊)

由於程式設計師出於疏失或經驗不足而未對於使用者輸入的參數值進行檢驗,以致於惡意使用者可利用惡意的輸入值(如惡意 SQL 指令串或惡意的 script 碼),讓系統自動執行惡意的指令而對系統造成危害。此類攻擊以 SQL injection,command injection 為代表,其中以 SQL injection 最具代表也最具危害性。

Cross Site Scripting(XSS,跨網站腳本攻擊)

跨網站腳本攻擊的原因跟 SQL injection 一樣,同樣是因為程式沒有檢驗使用者輸入的參數內容所造成。不過與 SQL injection 最大的不同在於,SQL injection 會對資料庫所在的主機造成重大危害,但 XSS 攻擊主要會造成瀏覽者安全上的危害,往往不會對於主機造成危害,也因此常被管理者所忽略,而使得此種攻擊有越來越普遍的趨勢。XSS 攻擊流程如下:
  1. 攻擊者將含有 XSS 漏洞的網頁,置於受害的網站伺服器上 。 
  2. 當不知情的使用者瀏覽此網頁時(如瀏覽某則留言),即會啟動 XSS 攻擊碼而將無辜的第三者相關資訊回傳到駭客的電腦上。

Broken Authentication and Session Management(鑑別與連線管理漏洞)

此漏洞是指網站自行開發的身份證驗證與連線 (session) 管理具有安全性的缺失,例如一個網站身份驗證流程如下:
  1. 當使用者登入成功後,會將一個(含有帳號及密碼甚至權限等相關資訊的 cookies,丟至使用者的電腦端上)。 
  2. 網站再存取該使用者的授權 cookies 來判別使用者的身份。 
在上述流程中,如果 cookies 並未加密,惡意的使用者只要取得此 cookies 即可得知其它使用者相關的機密資訊。或者加密的演算法不夠嚴謹,一旦被破解,也會造成使用者的機密資料外流,甚至可冒充其它的使用者(提升權限至管理者)。

Insecure Direct Object References(不安全的物件參考)

如果一個經驗不足的程式設計師,想要實做一支能動態顯示檔案內容的程式,會直覺想到直接把要顯示的檔案當做參數傳進去,如下連結所示:

http://xxx.xxx.xxx.xxx/show.php?file=xxx.txt
而後在接到參數值後,再直接開檔顯示即可。可是如果一個有心人傳進去的參數為:
http://xxx.xxx.xxx.xxx/show.php?file=../../etc/passwd
其中 ".." 為回到上一層,此種參數即可能將系統中的 /etc/ 目錄下的 passwd 檔案顯示出來。

Cross Site Request Forgery(CSRF,跨網站冒名請求)

從某種角度來看,CSRF 可視為廣義的跨網站攻擊 (XSS) ,但 CSRF 通常是在使用者已登入系統服務下發動攻擊。例如:

在討論區中的某段留言塞進一段可直接登出 (logout) 的惡意程式碼,當使用者登入後,在瀏覽相關留言時,只要瀏覽到這段留言,即會觸發該段惡意程式碼,而直接將使用者登出。此即為 CSRF 攻擊。

Security Misconfiguration(不安全的組態設定)

此漏洞較偏向管理面的問題,如未更改預設的帳號及密碼或未定時的更新系統的安全修正程式等等。

Failure to Restrict URL Access(未適當限制的 URL 存取)

一般網站通常會分成前端程式及後端管理程式。基於安全的考量 ,後端管理程式不應該直接被 Internet 上的使用者查詢,而應該限制僅有某些管理者可查詢及存取。如果網站未限制,而使 Internet 上的其它使用者也可正常的查詢,即可能造成潛在的安全漏洞。

Unvalidated Redirects and Forwards(未驗證的網頁重新導向)

有些網站提供網頁重新導向至其它的網站,惡意的攻擊者可利此種特性,將惡意網址插入到重新導向的參數中,讓使用者連接到惡意的網站上。

Insecure Cryptographic Storage(不安全的加密儲存)

網站並未對機密的資料做加密處理或使用不嚴謹的加密演算法,而導致攻擊者在取得相關的機密資料後,可以很輕易的取得相關資訊。

Insufficient Transport Layer Protection(不安全的傳輸防護)

由於 HTTP 連線均是採用明碼的方式連線,攻擊者在任何一個節點均可能利用 Sniffer(竊聽)方式取得來往資料。如果網站採用 HTTP 連線方式,來往的封包均以明碼方式傳輸,攻擊者即可輕易的取得相關機敏資訊。

儘管某些入侵防禦系統(Intrusion Prevention Systems, IPS)也能提供一定程度的應用層的防禦功能,但是它們不具備WAF的精度和準度,為什麼呢?因為這兩者是完全不同的兩種技術,IPS是基於特徵碼,而WAF是從行為來分析,以下介紹WAF與IPS的不同:
  1. WAF主要只針對HTTP(s)協定進行防護,而IPS較廣泛的針對大多數的網路協定。 
  2. WAF 是針對網路行為來進行分析,IPS 則是作特徵碼的比對,相較之下,WAF屬於動態防護,而IPS就偏於靜態。例如針對一般的SQLInjection(資料庫隱碼注入)攻擊,兩者都能夠防護。但是,如果網站資料是加密的(主要是採用HTTPS)或是攻擊者將資料編碼過(如URL Encoding),由於加密過後,風包頭尾資訊就看不到了,IPS便無法阻擋這種方式的攻擊。 
  3. WAF防護行為通常包含了黑白名單與特徵碼分析,所謂黑白名單,主要是指已知允許或不允許的網頁連線行為。例如,必須先到登入頁面才能瀏覽某個網站頁面,如果有攻擊者試著規避此一程序,WAF可以偵測到這種行為,而IPS主要只比對特徵碼。 
  4. WAF可針對網站表單欄位內容進行檢查與限制,IPS則無此功能。因此若要做到防止表單欄位內容竄改,就要使用WAF。 
  5. WAF從網頁連線要求開始就記錄和追蹤,IPS只針對封包記錄。

總結

所以說IPS主要是防禦面相是廣的,而WAF的防禦面相是深的,每個產品的資安防護都有個有不足,唯有搭配使用才能將網站做到一定程度的防護。

2014年4月25日 星期五

[資訊安全]如何有效防範社交工程Social Engineering


何謂社交工程(Social engineering)

所謂「社交工程」,就是詐騙!透過電話、電子郵件等方式偽裝身份誘騙您上勾受騙…社交工程是利用人性的弱點進行詐騙,是一種非「全面」技術性的資訊安全攻擊方式,藉由人際關係的互動進行犯罪行為。

簡單的說利用人與人之間的關係,讓使用者信任來源,例如家人、同事、長官….等等。偽裝成可信任的寄件者發送夾雜病毒的e-mail,當使用者對信件判斷為可信任來源時,戒心的下降打開信件附檔,造成了開啟復健後木馬病毒順利植入的情況。有時病毒不見得只在復健的執行檔中,有時會夾雜於文件、圖檔甚至影音檔中,讓使用者防不勝防。

常見的社交工程攻擊手法除了電話之外,常見的社交工程攻擊還包括︰
  1. 電子郵件隱藏電腦病毒
    駭客利用社交工程的概念,將病毒、蠕蟲與惡意程式等隱藏在電子郵件中,這些看似朋友所寄來的郵件,卻是應用社交工程的電子郵件陷阱,例如過去造成重大損害的I LOVE YOU蠕蟲,就是一種利用社交工程散播的電腦病毒。
  2. 網路釣魚
    有一種偽裝知名企業或機關單位寄發的電子郵件,通知收件人必須重新驗證密碼或登入某網址輸入個人資料等,這種詐騙稱為網路釣魚。收件人若無小心求證而連結了郵件中的鏈結,可能就下載了惡意程式;或者在假網頁上輸入了帳號密碼或信用卡資料等,造成銀行戶頭被盜領或盜刷等的嚴重後果,這是近年來造成個人與企業極大損害的犯罪手法,而網路釣魚就是一種典型的社交工程攻擊。
  3. 圖片中的惡意程式
    明星或色情圖片也是許多惡意程式慣用的社交工程技巧之一,這些都是利用使用者的好奇心來散佈惡意程式,之前Sobig網路病毒出現在某個含有色情內容的網路討論群組,網友點選了其中像是裸照的內容就會感染病毒,而該病毒總共導致了約10億美金的損失。
  4. 偽裝修補程式
    另一種社交工程的欺騙手法,就是偽裝成微軟的修補更新程式,因為一般使用者不會覺得這是來路不明的程式,卻沒有防範社交工程也會利用這個漏洞,而將惡意程式隱藏其中。使用者若安裝了這個檔案,不但不會修補作業系統的任何漏洞,還可能被安裝了遠端竊取資料的木馬程式。
  5. 即時通也是社交工程新途徑
    近年來,社交工程傳播惡意程式的途徑擴大至即時通訊軟體,如MSN、ICQ、YAHOO即時通、QQ等。2005年2月,一個使用MSN大量散播的病毒造成嚴重災情,這個電腦病毒會利用MSN自動傳檔給MSN聯絡人上的朋友,亞洲各國皆傳出災情,包括台灣的案例也有千起以上。

社交工程攻擊步驟

  • 首先取得一個攻擊目標的背景資訊
  • 向目標騙取資訊
  • 再利用這些資訊向其他人欺騙
  • 重覆這些步驟致達到最後目標

如何防範社交工程郵件

  1. 郵件軟體取消信件預覽及自動發信(相關設定如下)
  2. 使用純文字閱讀郵件(相關設定如下)
  3. 不開啟與公司無關之郵件
  4. 遵守組織安全政策與程序--確認對方的身份
  5. 認識常見社交工程攻擊的可疑徵兆

關閉Microsoft Outlook 的郵件預覽視窗(以Microsoft Outlook 2010 為例)

選擇「收件匣」 →點選「檢視」 →「讀取窗格」 「讀取窗格」 「讀取窗格」 →「關 閉」除「收件匣」外,刪除的郵、垃圾寄備份也請按以上步驟設定

使用純文字讀取,設定郵件禁止下載圖片和超連結

點選左上角的「檔案」 →「選項」 → 在「 Outlook 選項」點選「信任中心」 →「信任中心設定」 →「電子郵件安全性」→ 選取「以純文字讀所有標準郵件」核取方塊




取消自動發信

點選左上角的「檔案」→「選項」 →「進階 」→ (右邊畫面往下捲 ) 取消勾選「連線時立即傳」




按一下「傳送 /接收…」 → 取消「排定自動傳送/接收每隔 xx 分鐘」及「結束時自動傳送/接收」 



雖然社交工程技巧已經流傳多年,但仍一再被利用,並且不斷演進。各式各樣的資安威脅,包括許多類型的 Web 資安威脅在內,都會使用社交工程技巧。社交工程技巧在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會利用全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者。現在,蠕蟲、大量發信程式及其他資安威脅會整合社交工程技巧以鎖定世界上的某個區域或特定國家。網路罪犯可能使用各地的語言,利用各地的重大事件或新聞為誘餌,使特定國家的人產生興趣。這使得運用大規模社交工程技巧的網路罪犯得以躲避偵測,同時還能引發嚴重的災情。在擁有大量新的網際網路使用者上線的國家,這種方式可能特別有效。 

2014年4月24日 星期四

網路型入侵偵測系統(Network-based Intrusion Detection System)

隨著網絡的蓬勃的發展,在我們的生活中已經很難脫離Internet了,但也因為Internet這樣的盛行而產生了各種各樣的資訊安全問題,如網絡中蠕蟲、病毒及垃圾郵件肆意氾濫,木馬無孔不入,駭客攻擊行為幾乎無時無刻都在發生。如何及時準確的發現違反安全策略的事件,避免資訊資產遭受破壞,並及時處理,是所有企業用戶迫切需要解決的問題。

資訊資產是企業的命脈,許多企業甚至是國家重大民生設施,例如電力、航空、銀行等,都需依賴資訊系統才得以運行,假若資訊資產遭受破壞或中斷,這些企業將受到重大傷害。

為了更強化企業網路的安全性,上一篇有介紹到什麼是HIDS主機型入侵偵測系統,其中文章也有提到,入侵偵測系統IDS的偵測類型除了HIDS主機型入侵偵測系統、還有網路型入侵偵測系統(Network-based Intrusion Detection System,以下簡稱為 NIDS),那什麼是NIDS呢? NIDS可以幹嘛?NIDS又跟HIDS有什麼差異呢?

先來回顧一下,在您的網路環境中,HIDS是佈署在主機端上,即時的監控日誌檔,檢查系統檔案是否遭更改過並偵測出潛在的惡意活動。

那麼NIDS呢?顧名思義前面的N就是只Network,用來監控與分析網路上的所有封包是否有異常的攻擊行為,當NIDS發現封包中有惡意的行為或攻擊跡象(檢測到常見攻擊,如後門類、FTP類、HTTP類、DNS類、Mail類、ICMP類、Finger類、RPC類和DoS類等...),NIDS也會主動立即通知系統管理者。

簡單的說NIDS就是網路監控工具,而HIDS就是系統與檔案監控工具

NIDS佈署範例參考

從上圖可以看得出來,NIDS是佈署在個網段的節點中,分析各網段的封包流量,好處是不會增加網段中主機的負擔。

NIDS也可以安裝在:

  • 放在防火牆外 :
    • 優點是NIDS能夠看到所有來自Internet的攻擊者對系統的各種攻擊手段。
    • 缺點就是NIDS的負荷會加重,且有可能被打掛。
  • 放在防火牆內:
    • 經由防火牆第一道的把關,已將違反防火牆政策的封包給阻擋在外,可以減低NIDS的負擔,讓NIDS的分析專注於高水準的攻擊上。這樣把NIDS保護在防火牆內,免於遭受攻擊。
  • 防火牆內外都放IDS:
    • 如果企業的經費充足的話,可以在防火牆的內外都放IDS,這樣就可以得到以上兩種方法的優點。

NIDS的優點


  • 成本較低
  • 可偵測到主機型入侵偵測系統偵測不到的
  • 駭客消除入侵證據較困難
  • 可偵測到未成功或惡意的入侵攻擊
  • 與作業系統無關

NIDS的缺點


  • 沒有主動防禦的能力:IDS只有告警的能力,無法主動防禦入侵行為。
  • 性能普遍不足:現在市場上的IDS產品多依賴單一主機,因現今網路流量十分龐大,這種IDS產品已不能適應交換網路技術和高頻寬環境的發展,一旦資源耗盡,就無法運作了。
  • 加密封包無法辨識:越來越多攻擊用加密封包,使得IDS監控網路流量的能力產生盲點,因IDS是擷取網路封包進行分析的,如果封包加密,就無法辨識其內容,也就無法進行分析。

總結

IDS是企業網路中不可或缺的安全工具,主要用於檢測Hacker或Cracker通過網路進行的入侵行為。建議環境中同時佈署HIDS與NIDS來彌補互相的不足,增強企業資訊安全的防護。

2014年4月22日 星期二

主機型入侵偵測系統﹙Host-based Intrusion Detection System , HIDS﹚

入侵偵測系統 IDS 是 Intrusion Detection System 的簡稱,它是一種是一種監控工具,監控網路封包與系統日誌內容,或者是分析主機內的檔案是否遭到竄改,當發現可疑的活動,IDS可依照設定通知系統安全管理員。

入侵偵測系統IDS依偵測類型可分為網路型入侵偵測系統(Network-based Intrusion Detection System,簡稱為 NIDS)主機型入侵偵測系統(Host-based Intrusion Detection System,簡稱為 HIDS)兩種類型。今天針對HIDS做一個簡單的介紹。

HIDS是從主機系統稽核日誌檔演進而來。傳統的作法是,系統管理人員在每天的空閒時間,在日誌檔中檢查是否有任何可疑的非法行為。

可以參考


但這種方式不僅耗時費力更是沒有效率,而且無法即時的偵測出潛在的惡意活動。透過安裝HIDS後,執行監控的工作就完全交給HIDS來負責就好,從此自動化的監控,在也不必人工介入去分析,而HIDS的運作方式只要在Cleint端每一台主機上安裝一個代理程式﹙Agent﹚,常駐在系統之中,若有任何系統事件﹙Event﹚被記錄至日誌檔,代理程式便會立即將系統事件與攻擊特徵碼資料庫做比對,有些HIDS能夠監控應用程式的日誌檔,甚至檢查系統的檔案是否遭更改過,簡單的來說HIDS會記錄監控中的檔案或目錄,他們的屬性(如權限、大小、修改時間等),並將會建立一個校驗碼(如SHA1或MD5 等..)。這個校驗碼的資料會儲存在一個安全的資料庫中,以便將來的比對。

HIDS佈署範例

主機型入侵偵測系統HIDS的優點

  • 確認駭客是否成功入侵
  • 監控特定主機系統的活動
  • 即時性的偵測
  • 不需額外增加硬體設備

主機型入侵偵測系統HIDS的缺點

  • 所有的主機可能安裝不同的作業平台,這些作業系統各有不同的稽核紀錄檔,因此必須針對不同主機安裝各種HIDS。
  • HIDS不能用來監測與掃描主機所在的整個網域,因為HIDS僅能看到經由該主機所接收到的網路封包資訊。
  • 當HIDS在監測狀態時會消耗被監測主機的系統資源,可能會影響該主機本身的效能。
HIDS 通常會針對檔案或程式,做完整性的檢查,這類檢查,通常不用知道一個檔案是如何被改變的,只需要知道被改變即可,實際上應用,可以搭配Web Server,當發現檔案被改掉時,馬上進行覆蓋還源,就不會在網頁上被駭客植入不雅的文字。

Chris近期也會寫一篇使用FCIV自製的簡易型HIDS工具,當未來如檔案被非法異動過,完整性資訊遭到破壞,透過自製工具希望可以達到:
  1. 系統將會自動備份駭客異動的檔案,以利未來的分析
  2. 自動回復乾淨的程式
  3. E-Mail通知系統管理者

2014年4月19日 星期六

[資安鑑識]檔案校驗工具FCIV (Microsoft File Checksum Integrity Verifier)

說明:

前一陣子有po一篇文章,[資安鑑識]-手動尋找system32目錄中可能存在的木馬,但這個方法需要透過寫批次檔才可執行且檔案只是做個簡單的比對而已,今天介紹一個更方便的工具叫FCIV (Microsoft File Checksum Integrity Verifier)。

檔案總和檢查碼完整性檢查器 (FCIV) 是一個微軟出的命令提示字元公用程式,會計算並驗證檔案的密碼編譯雜湊值。FCIV 可以計算 MD5 或 sha-1 密碼編譯雜湊值。這些值可以在螢幕上顯示或儲存在 XML 檔案資料庫以供日後使用和查驗。 

使用 FCIV 公用程式,您可以也計算所有的重要檔案的雜湊,並儲存為 XML 檔案資料庫中的值。如果您懷疑您的電腦可能已遭入侵,及重要檔案已經變更,您可以執行FCIV並存成 XML 資料庫,以判斷哪些檔案已被修改。

FCIV支援

MD5、SHA1雜湊演算法,預設為MD5,支援遞迴查詢,並將查詢的結果存到XML檔案

檔案下載:

使用方式

語法


fciv.exe [Commands] <Options>

FCIV 常用參數:

-r:是遞迴子目錄
-type:指定檔案類型,如-type *.exe
-exc:要排除的目錄
-wp:是去掉全路徑
-v:校驗雜湊值
-xml:後面加結果的檔案路徑 

範例:

要將網站目錄c:\Inetpub\www 下的所有檔案的MD5雜湊值都計算出來
fciv c:\Inetpub\www -r -xml www.xml

如果要比對現在跟之前的MD5檔案就執行
fciv -v -xml www.xml
www.xml裡面有檔案路徑不需要在命令列在額外輸入路徑

比對過後就會列出有被修改過的檔案。如下圖:



透過檔案總和檢查碼完整性檢查器 (FCIV) 計算出網頁或檔案的雜湊值。當未來如檔案被非法異動過,完整性資訊遭到破壞,系統管理者可以自行回復乾淨的檔案程式。

2014年4月11日 星期五

NIST雲端資訊安全相關議題

雲端運算是一項新興的技術,並且包含了一些問題,其中部分問題在以前的傳統分散式運算可能已被討論了數十年,但因雲端運算的出現也引發更多相關的問題,大致上分成五個方面,運算能力雲的可靠性經濟目標法規遵從性資訊安全

因篇幅的關係我們今天針對雲端資訊安全(Information Security)來介紹。

資訊安全涉及保護機密性以及資料完整性並確保資料的可用性

一個組織或公司,如果有在執行IT業務,通常會採取以下幾種類型的資訊安全措施:
  • 組織/管理控制 指定人員在資料的相關操作及存取行為
  • 控制儲存媒體的保護及儲存設備的機房
  • 控制身分管理並加密存放與傳送中的資料與稽核
  • 用戶為了確保提供商是否提供完整的安全控管措施的相關問題
用戶要求具有特定等級的稽核紀錄,建立告警機制,活動的報告和資料保留。由於這些可能不是由供應商提供的標準的SLA的一部分,但是這些東西會影響到使用者的意願,提供商需要把重要資料的保護責任歸屬明訂於合約中,並且把這些保護重要資料的機制列入標準作業程序
  • 即使有達到使用者要求的資料保護需求,提供者仍需要給予使用者存取的方法
  • 資料加密需要強健的加密演算法 對於金鑰管理提供者應該要能夠將金鑰根據資料擁有權分給資料擁有者可採共用式金鑰或單一金鑰,去對應每個資料擁有者
在公雲中處理的資料和應用程式比起在一般線上環境的情況下可能會遇到不同的安全風險。眾多的因素影響在雲中進行處理的資料安全。例如,雲端資料中心的建設品質,雲的攻擊面,資源池的攻擊,系統的複雜度,和雲端管理員的專業知識水平是影響雲端系統的安全性考慮。

一般的雲端系統靠的是"邏輯隔離" 和使用的邏輯機制來保護用戶資源而不是"物理隔離"用戶。雖然傳統系統也有採用邏輯隔離,但他們也同時採用了物理隔離,例如實體隔離網路或系統,邏輯隔離可靠性並沒有被證明與物理隔離相同,過去有一些例子及失敗經驗在虛擬化系統的壓力測試下

Risk of Unintended Data Disclosure 資料洩密
將客戶的資料按照業務敏感性分類儲存,並加以管理,確保重要資料不會有洩密的風險

Data Privacy 資料隱私
資料隱私的機密性涉及法律及賠償責任,如用戶資料與他人資料的區隔與存取身分管理

System Integrity 系統完整性
雲端需要保護及預防蓄意的破壞或是對雲端系統功能的破壞,雲端相關的利害關係人,包含用戶,提供者,各種管理者,應具有相對應區分的權限至各個群組,並防止惡意攻擊,這些人是維護雲端完整性的關鍵,在雲端環境中,任何能見度機制的缺乏,將使用戶更難以檢查託管應用服務的完整性

Multi-tenancy 多租戶
雲端運算具有顯著經濟效益上的資源共享
IaaS,不同的虛擬機可以共享硬體透過hypervisor;
PaaS,不同的運算程序可能共享一個作業系統和資料及網路服務;
SaaS,不同用戶可以共享相同的的應用程式或資料庫;
因為提供端的共享機制,這樣複雜的機制取決於對用戶的工作負載隔離,而隔離失敗的風險是存在的減少風險的方式如進入雲端的資料加解密機制或是與供應商簽訂專門的隔離機制 ,例如租用整台實體機器資源而非單台虛擬機,專用的VPN網路通道,甚至是更進階的存取控制

Browsers
有些提供商會給予用戶專用的軟體工具進行雲端管理,但多數都透過瀏覽器來進行雲端管理,帳戶管理,資源管理,瀏覽器風險很高,因著版本的多樣化,以及用戶端系統並未受安全管理
可透過應用程式閘道,或防火牆封包過濾,甚至限制瀏覽器類型在允許建立連線,也可透過瀏覽器外掛程式,確保瀏覽器是最新的,並鎖定系統,這些技術雖然是較實際有幫助的但可能相對增加成本,降低功能,失去便利性

Hardware Support for Trust
某些情況下硬體支援可讓用戶驗證遠端連線的安全性,例如某些信任平台模組,存放校驗檢查碼,並在系統啟動時產生,但在虛擬機遷移時可能信任關係會受影響,必須建立遷移後新硬體的信任機制,這個問題仍然被討論

Key Management
妥善保護用戶的加密密鑰,需要一些雲服務提供商的合作。問題是,這不像專用硬體,歸零的記憶體緩衝區可能無法刪除密鑰:
  1. 記憶體配置透過hypervisor提供,使得存放金鑰的記憶體區塊仍持續保持可用
  2. 虛擬機於恢復目的還原了快照,快照中的記憶體狀態仍包含金鑰
  3. 虛擬機遷移到不同的硬體,移動的技術包含記憶體狀態,也包含金鑰

2014年4月10日 星期四

[資訊安全]OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞

OpenSSL(4/8)發佈緊急安全修補公告,公佈OpenSSL中一個可能潛伏長達二年之久的OpenSSL重大安全漏洞CVE-2014-0160。OpenSSL是一個開放源碼網路傳輸加密函式庫,使用相當廣泛,連全球佔Web伺服器一半以上的Apache都是使用這套軟體來進行SSL/TLS加密。Heartbleed臭蟲已存在2年以上,受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內含OpenSSL的作業系統受到影響。OpenSSL並已同時釋出OpenSSL 1.0.1g修補該漏洞。這項漏洞是由安全公司Codenomicon及Google安全部門的Neel Mehta發現。

由於這個漏洞存在OpenSSL的TLS/DTLS 傳輸安全層的heartbeat(心跳)擴充功能之中,該漏洞受到攻擊時會造成記憶體內容的外洩,可能從伺服器端外洩到客戶端,或者由客戶端外洩到伺服器端,因此研究人員將它命名為Heartbleed(心在淌血) 臭蟲(Heartbleed bug)。而他確實也如同心臟噴出血般嚴重,攻擊者可先搜索具有OpenSSL弱點之網站主機,利用HeartBeat命令傳送記憶體的Payload傳送到受害主機,導致 memory 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。這個漏洞並不是SSL/TLS協定的問題,而是OpenSSL函式庫的程式錯誤。

  • 軟體名稱:OpenSSL
  • 影響範圍:1.0.1 至 1.0.1f / 1.0.2-beta ~ 1.0.2-beta1
  • 修復版本:1.0.1g / 1.0.2-beta2
  • 影響系統版本:各作業系統只要有安裝OpenSSL影響範圍版本均受影響
  • 影響服務:HTTPSMTPSIMAPSPOP3S 等使用 OpenSSL 之服務

如何自我檢測?

要如何測試自己的網站有沒有這樣的漏洞呢?可以利用以下的網站或工具直接查詢。

應對措施

  1. 確認自己的 OpenSSL 版本是否在受害範圍
  2. 使用檢測工具檢測是否含有漏洞
  3. 更新 OpenSSL 至 1.0.1g 或 1.0.2-beta2
  4. 重開所有與 OpenSSL 函式庫相關之服務
  5. 重新產生 SSL Private Key (因為 Private Key 可能藉由漏洞外洩)
  6. 將網站舊憑證撤銷
  7. 清除所有目前網頁伺服器上的 Session (因為可能遭到竊取)
  8. 必要時更換網站內使用者密碼,或是密切追蹤網站是否有帳號盜用的情況發生
  9. 網站功能請關閉HeartBeat功能 (-DOPENSSL_NO_HEARTBEATS.) ,以避免被攻擊成功。
建議使用者應儘速確認主機是否使用影響範圍內的OpenSSL版本,並請盡速評估是否更新至OpenSSL 1.0.1g或1.0.2beta2版本,或先關閉HeartBeat查詢,以避免遭受此攻擊。