果核數位「聖誕駭樂」資安社群論壇,探索 IR、生物辨識、API 風險三大議題

2020/01/06

在以往,企業卯足全力強化網路閘道端防護,不讓駭客越雷池一步;到了今天,駭客入侵管道趨於多元,更加防不勝防,使過往防禦策略愈來愈難發揮效用。所以企業開始體認到,當被駭成為註定的事實,重點並非如何不被駭,而是如何在被入侵後做鑑識回溯,找到漏洞根本原因避免再次發生。

此外不少人非常關心現今正夯的生物辨識,到底能提升資安規格、或反倒開啟更大的個資漏洞?再者伴隨資料開放浪潮,Open API 的安全威脅有多麼可怕?如何做適當管控、才足以趨吉避凶?針對這些熱門議題,果核數位以「聖誕駭樂-駭客退散耶誕禮物」為題,於日前舉辦資安社群論壇,期望在專業講師的精闢論述下,引領聽眾明瞭如何擬定攻防策略。

從 IR 追溯入侵來源,展開復原計畫

果核資安工程師 Jim 發表「從 IR 事件看後滲透測試之幽靈現身(首部曲)」演講,他指出多數人不清楚資安事件回應(Incident Response;IR)、資安鑑識兩者有何相同、有何不同?事實上 IR 偏重以調查方式追溯入侵來源,幫助用戶修補漏洞,鑑識重視證據保存與重建。

IR 基本上與鑑識有雷同之處,有一些步驟與方法可循,依序是研判發生何種事件、了解入侵者怎麼進入、分析事件如何發生、駭客如何帶出資料,再根據這些發現執行短期補救措施、展開長期復原計畫。

上述步驟背後隱含四個關鍵技術,分別是時間軸分析、記憶體分析、檔案系統查找及資料復原。先確認入侵點是 Web、Internet 或 Host,找出時間點,再推測相關證據。利用記憶體分析來挖掘證據、確認主機狀態和網路狀態;至於檔案系統查找,用於確認範圍、控制範圍、調查並釐清問題何在。

他列舉曾參與的實例,某企業主機感染勒索病毒,欲從 IR 探知前因後果。他先做記憶體分析,從網路狀態 TCP port 3389 找到可疑 Process ID,接著由開機啟動鈕研判有無被植入後門,從目錄查找殘餘惡意程式軌跡。

至此未找到惡意程式,Jim 轉而從 Log 探尋軌跡,察覺有無受感染主機、藉由一些 Process ID 做橫向擴散。最終揭曉答案,是委外廠商執行遠端開發和維護時導致勒索病毒擴散到內部。於是建議用戶實施短期與長期因應措施,前者包括限制外對內連線、將 C&C IP 加入防火牆黑名單、避免使用弱密碼,後者包含規劃測試區供委外廠商使用、強化防火牆規則、限制來源 IP、建立監控機制。

駭客利用生物辨識漏洞,竊取使用者資產

ZUSO 如梭世代 資安研究員「$7 智障駭客」張啟元說,透過 Touch ID 和 Face ID,使用者可不輸入帳密,直接透過生物辨識方式授權登入或解鎖裝置;問題來了,這些技術安不安全?

根據 PCI DSS 規範,使用者發送交易請求時須輸入至少六位數 PIN 碼,銀行也會使用 OTP 一次性密碼做交易驗證碼。至於 iPhone 不儲存任何指紋和臉部圖像,而是轉譯為數學形式,加密儲存於 A11 到 A13 仿生晶片中,在安全隔離區內保護,看似安全,但仍有破綻。曾有「用 Touch ID 查詢健康資料即付 100 美元」的 iOS 詐騙 App 出現,當人們的手指放在感應器,App 會在開始倒數約 3 秒時啟動確認付款畫面,在措手不及下完成付款,只因使用者基於方便開啟 Touch ID 付款功能,不需手動輸入密碼確認交易,因而中招。

蘋果為打擊誘導付費,更新 Apple Store 訂閱機制,使用者在透過 Touch ID 和 Face ID 驗證後,會再彈跳一個系統等級視窗確認購買行為,但這僅解決欺騙訂閱問題;係因 Apple 為了安全,不允許開發人員自行開發側邊電源鍵點兩下的功能(點擊後才會開啟 Face ID),於是駭客透過惡意代碼自動點擊確認按鈕、進入 Face ID 授權功能,因使用者盯著手機螢幕,遂在措手不及下完成 PIN 碼輪入,讓駭客能突破交易最後防線、成功以類似 CSRF 手法發送偽造請求。

「生物辨辨識技術在辨識特徵時,無法辨識是否出自使用者意願,」張啟元說,所以我們需要能調用系統級別的確認方法,但目前無法實現,故人們對生物特徵認證仍應提高警覺。

系統設計、檢測、監控三管齊下,消弭 API 安全風險

果核網路資安顧問 Jimmy 表示,隨著資訊網路不斷發展,現今人們仰賴的生活應用情境,網頁服務(Web)與應用程式服務(AP)可謂密不可分,而開放資料正是實現這些應用的必要基礎,因而使 Open API 蔚為風潮,成為帶動開放政府、FinTech 等大量應用的樞紐,連帶讓 API 的風險和應變成為重要議題。

有鑑於此,OWASP 於 2019 年首次揭露 API Top 10 風險,其中較常出現於臺灣的風險項目,包括 A1、A2 和 A5 等「認證與授權」風險,意指系統及 API 應用上未完善控管身份認證與授權,導致身份遭盜用、管理功能被非管理人員濫用;另有 A4「未限制資源使用」風險,主要是針對請求資源未做好限制控管,以致影響後端系統和伺服器資源的可用性。

Jimmy 建議,企業或機構應做好三件事,以確保 API 安全性,包括在系統開發設計時遵循 Open API Standard 等國際標準,接著確實執行原碼檢測、滲透測試等資安檢驗工作;最後藉由 WAF、API Gateway 及 API 日誌系統,嚴密監控 API 活動。

總而言之,時值 2019 年聖誕佳節前夕,果核發揮創意巧思,選定 2020 年最值得正視的三項資安議題,深入探討其發生成因與解決之道,讓有志於資安研究或從事防禦工作的人們知所防範。


報導連結: https://www.ithome.com.tw/pr/135164

其他動態