阿碼外傳-阿碼科技非官方中文 Blog: 2008/7/15

2008年7月15日

阿碼 & SySCAN 共同主辦前瞻資安技術年會 2008

2008年七月,阿碼SySCAN 聯合在台北舉辦了SyScan 前瞻資安技術年會 2008,我把當初寫的一些東西轉貼在這裡。大會 blog 在這裡:http://syscantaiwan.blogspot.com/
大會照片:
直接前往相簿


講師的訪問 第一回:亞洲與歐美的資安會議比較



問:今年SyScan來到了台灣跟香港,你的看法如何?你覺得什麼樣的會是最酷的會?亞洲的會議,如SyScan、VNSECon、HITB等,你覺得如何?好的資安會議要有什麼樣的要素?

Adam Laurie:

亞洲的會議中,SyScan一直是我的最愛,因為他讓我可以離開歐洲跟美國,我大部分會議的時間都花在這兩個地方。SyScan也是照顧講師照顧得最好的會議。什麼要素構成好的資安會議?當然是內容,因為大家終究還是因為內容才來的...SyScan一直有最好的講師陣容,所以我能夠看到很多東西,學到很多,也認識到很多來自世界各地的頂尖資安專家。這一切讓我覺得參與SyScan是值得的。

但是我當然永遠會更喜歡 DEFCON 跟 BlckHat,因為我創立並參與這兩個會的工作至今超過十年了。另外這兩個會議的規模也比較大。

Matt Conover (Shok):

SyScan擴大了我很高興,SyScan是很好的會議,我已經參加了三次還是四次了。Thomas很好的主辦人,他會安排得很好讓講師很省事。至於其他亞洲的會議如POC、VNSECon、HITB、以及PacSec...我也希望以後能參加到。但是我如果全部都參加了我大概會因為正事都沒做而被公司開除吧! :)

無論如何,亞洲各國都有這些好的資安會議真的很棒,這些會議會培育下一代的資安專家,幫助他們永遠都有最新的資安知識與點子,並建立一個全球性的社群,我們大家可以隨時彼此聯絡並交換意見。這一點是我很喜歡的。我希望世界不要有冷戰的觀念,大家能多交流。

Rick Smith:

我覺得資安會議的擴張是非常好的,這樣更多的人能夠獲得最新的資安知識。我一直認為最好的防禦是從了解攻擊開始的,不懂得攻擊方法,要如何防禦?直於最酷的資安會議,這題很難!我在世界各地的資安會議都有演講,我覺得他們每個都有不同的好處。他們在世界各地舉辦,這表示我能接觸到世界各地的資安社群,大家成為一個全球的社群,這對我是無價的,也幫助我在 HP 的研究。小的會議,例如在維也納的 DeppSec 或者在英國的 BrumCon,可以跟小群人有很深入的討論;大型的會議如 BlackHat 跟 DEFCON 很有價值因為規模很大,同時有很多不同的主題可以選擇。這次參加SyScan,使我第一次來到亞洲,我很期待聽到亞洲講師的演講,並學到新的東西。

Fyodor Yarochkin:

我覺得台灣的資安社群似乎不是很國際化(non-internations),對於跟國外的資安社群交流似乎不是很有興趣。我不知道這是語言的或心裡障礙。還有這邊似乎大家比較不願意分享自己的研究,大家都想要有自己的團體,自己的project,自己的技術...但是分享是駭客文化中很重要的元素。

講師的訪問 第二回:世界越來越安全,還是不安全?



原始問題:With so many experiences and years in security research, where do you see security, in general, is heading today? Are we getting more secure, or insecure?

Adam Laurie:

很遺憾的,我必須說我們越來越不安全。這一方面是單純從量來看,現在我們接觸的科技(technology)太多了,每一種新的科技都會帶來新的資安問題;另一方面則是這些科技被商業上採用的速度。由於需要很快在商場上使用,每每資安的環節變成是最不重要的考量,常常是最後時刻才加上去的,也常常沒有經過仔細的思考,而事實上,資安機制應該是設計私人資訊系統(personal information systems)或付費系統時最重要的考量。

Internet上執法困難,每天高量的攻擊,數不完的弱點,跨管轄區域的不法行為,政府贊助的駭客團體,botnets以及靠botnets所支撐的地下經濟,SPAM,病毒,惡意程式,身份竊盜,釣魚,信用卡偽造,以及電子恐怖(cyber terrorism)對於基礎建設所帶來的威脅,再再都顯示,未來的危險重重。

除非我們目前偵測與防範資安問題的作法有超大幅的改變,我看不出情勢會有好轉的可能。

另一個嚴重的問題是,法律目前被扭曲以便讓有爛資安產品(poor security products)的廠商能夠獲利。另外,用法律禁止「逆向工程」(reverse-engineering)、駭客(hacking)、以及弱點的公布(disclosure)等,最後只會讓情勢惡化,而不會有任和幫助。因為這些法律,只會讓合法的資安研究員害怕去研究目前科技的漏洞,也害怕去公開這些漏洞,這樣的結果,就是這些漏洞會一直存在,讓那些台面下的不法份子持續利用。


Matt Conover (shok):


哈,這是一個很棒的問題。這個世界現在比以前都依賴電腦和Internet了。當然這確保我們資安研究員都會有飯吃(資安研究永遠需要),但是其實這有很負面的影響。今天我看到兩個極端負面的現象:

一、越來越多的駭客行為的動機是源自於利益。Internet已經變成一個非常恐怖的世界了。一般的Internet使用者,隨時都被釣魚或其他詐騙手法轟炸,要偷他們的銀行、eBay、或PayPal帳號。同樣嚴重的事,使用者被暴露在充滿惡意網站的環境,惡意的網站,惡意的廣告,或者原本合法善意的網站,但是被駭入並植入了惡意的網馬(掛馬)。

這些被植入的網站,會悄悄地設法在訪客的系統中安裝惡意程式,偷竊個人資料或把訪客的電腦變成僵屍網路的成員。駭客越來越先進了,有錢能使鬼推磨,所以我覺得資安界還有很長的路要走。

二、資安研究越來越被泛政治化。我們這行的一些行為現在竟然被認為是違法的了(美國的DMCA,在德國攜帶攻擊程式屬犯法,在法國使用加密軟體犯法...)。國與國之間常常控告對方國家執行駭客攻擊行為(俄羅斯 vs. 愛沙尼亞,中國 vs. 美國/德國...)。我擔心在網路世界(cyberspace)裡會開始發展出冷戰效應。對於我這個從青少年就因為純興趣而開始入行的資安研究員來說,這些改變讓我心寒。

Rich Smith:

資安範圍很大,這個問題不容易做整體性的回答。但是隨著我們日益依賴科技,科技濫用所導致的危險也隨之提升。無可置疑的,對於科技所帶來的危險,今天我們比往前要了解得多。只要我們保有開放的資安議題討論環境可以讓我們很公開的、真實的討論資安的種種議題(例如SyScan),那我覺得我們就會一直有進步。科技進步多快速,相對的資安問題的產生也就會有多快速,因為資安問題與新的科技是結合在一起的。所以我們越快知道一個科技的弱點,我們就能夠越早停止向現在這樣,把資安當作是事後彌補的事情,而在設計階段就加入資安的考量。

這是我看到目前我們面臨的最大挑戰,我們必須認識,資安是發展科技所必須付出的代價,資安不是我們事後靠一些解決方案就可以很便宜的彌補的。

Fyodor Yarochkin:

我對於整個資安大環境並不是很樂觀。隨著越來越多新的科技產生,而越來越少人真的懂資安,整個情勢一定是越來越糟的。尤其是大公司的目的不見得是「讓明天會更好」,加上龐大(龐...
大!!)的地下經濟的起飛:攻擊程式的買賣,惡意程式植入服務,僵屍網路的租賃服務...等等。

我個人意見,目前資安世界很有趣,可是說是兩個極端的面向。一方面,我們有光鮮亮麗的資安產業,有著好多漂亮的防火牆,入侵偵測系統,生物識別系統等等,但是另一方面,我們有著黑暗的地下面--使用者都是僵屍網路的一員,在他們的電腦上執行著僵屍或惡意程式;市場上什麼都可以用錢買到,政府的監控,非法的資安研究...;被入侵的企業打死不會承認...

講師Fyodor:我將公開適合台灣使用的RFID駭客工具


BlackHat / DefCon 創辦人之一的Adam Laurie將擔任本會講師,公開他的RFID駭客工具。來自俄羅斯的Fydor,也將在本會上公開的他最近研發的私房RFID駭客工具。

Adam所用的RFID讀卡機(reader)是在歐洲買的,走PC/SC規格,但是這種讀卡機在台灣比較難買到。Fyodor所使用的是我們台灣本地製造的讀卡機,走的是GIGA-TMS規格。這種讀卡機跟PC通訊所用的是GNetPlus協定。Fyodor寫了自己的工具可以暴力法解MIFARE卡的key--台灣很多卡都是用MIFARE,例如我們的捷運就是。很多購物中心/百貨公司的集點卡也都是。

Fyodor會當場用台灣的某某卡做示範。

最後報告到場的長官們,這種示範在 BlackHat/DEFCON 很常見,沒有像 Adam 那樣拿護照來直接試,已經非常乖了 :)

在 Adam 前面講 RFID,如果沒帶點實際的 demo,豈不遜爆了?

至於Adam 的工具請參考:

http://eecue.com/log_archive/eecue-log-726-Black_Hat_2007___Day_2___Adam_Laurie.html

http://rfidiot.org

CNET: 亞洲資安大會將首度來台 揭最新攻擊手法


http://www.zdnet.com.tw/news/software/0,2000085678,20130365,00.htm

ZDNet記者馬培治/台北報導 2008/07/02 20:10:04

以亞洲地區資訊安全議題為核心的資安大會SyScan,下週(7/7)將首次來台舉辦兩天,來自歐美等地的資安專家將齊聚,介紹最新的攻擊手法。
過去只在新加坡舉辦的亞洲前瞻資安技術年會(Symposium on Security for Asia Network),今年將首度來台舉辦分會,會中將有來自賽門鐵克、HP、COSEINC等國際知名資安公司派出的資深研究員發表最新攻擊手法與漏洞,與本地資安研究社群進行交流。

曾因利用飯店電視駭入客房資訊系統而聞名的專業駭客Adam Laurie便將首次造訪台灣,發表他近年來關注的RFID安全漏洞。Laurie在電子郵件專訪中表示,廣受歡迎的RFID應用雖然方便,但採用者卻未正視其安全問題。他舉例道,許多RFID方案被用在錯誤的方法上,例如門禁管理,便是誤把作為身份辨識功能的標籤拿來當作認證標籤,「多數標籤很容易複製,若沒有密碼等第二層認證系統來把關,把RFID用在認證上其實並不安全,」Laurie說。

而台灣眾多的硬體設備廠商可能會相當關心HP系統安全實驗室研究員Richard Smith將發表的、針對嵌入式系統發動的永久性阻斷服務攻擊(Permanent Denial of Service, PDOS)。

Smith在電子郵件訪問中表示,可透過連網進行flash記憶體上的軔體遠端更新的嵌入式設備,都可能存在PDOS漏洞,讓駭客利用遠端更新機制來破壞其flash記憶體,造成設備無法使用。

而賽門鐵克研究實驗室首席工程師Matthew Conover則將介紹該公司最新研發、用來觀察rootkit行為的沙盒(sandbox)技術,可限制惡意程式的行為僅在sandbox環境中執行,他並將在大會上首次展示該技術。

負責籌辦本次台灣SyScan的阿碼科技執行長黃耀文表示,台灣地區有相當活躍的資安研究社群,但一直以來缺乏與國際級資安專家互動的機會,透過引進SyScan至台灣舉辦,將有助於促進跨國資安研究社群的對話,「台灣的研究人員或許沒辦法去歐美參加BlackHat、DefCon等盛會,但也有機會聽到同等級講者的經驗,」他說。

資安人雜誌專訪 Matt Conover (shok)


我覺得參加會議前,先認識講師很重要。台灣的講師大家都比較熟,國外的大家比較陌生些,感謝資安人雜誌的專訪!

「過去一年以來 在個人研究領域上的轉變有很大的原因是,惡意軟體每年的增長速率已經快要趕上天文數字,以病毒碼或特徵值作為依據的廠商感受到很大的壓力,...」

「對我個人而言,目前研究如何偵測及移除rootkit是一個很現實的問題,像是之前Peacomm、Rustock、 Mebroot這些有rootkit功能的惡意程式,Mebroot是隱藏在MBR開機區的rootkit,...」

「所以,亞洲的資安問題肯定與全世界是有所差異的。而且在資安社群(info-security community)應該是有存在沒有經常交流溝通的事實,在亞洲很有名的資安專家或駭客,到了西方國家似乎就沒這麼有名,...」

「雖然亞洲與東歐地區在資安"黑市" 似乎發展蓬勃,許多複雜的惡意程式及rootkit都是出自亞洲地區,原因可能是因為沒有足夠的法律約束以及合法的資安企業來雇用這些高手,讓他在正確的地方發揮...」

http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=4480

ITHome:亞洲資安技術年會SyScan首度擴大在台舉辦


http://www.ithome.com.tw/itadm/article.php?c=49744
文/趙郁竹 2008-07-07

SyScan標榜會議特色在於探討具前瞻性的資安技術,其中RFID安全、手機、嵌入式系統的安全議題都是首日活動的重點。

以往僅在新加坡、泰國等地舉辦的亞洲資安技術年會SyScan今年首次將規模擴大至台灣、香港,今天(7/7)展開首天議程,吸引約350名台灣資安人員參加。RFID、嵌入式系統安全都是此次會中焦點。

SyScan今年舉辦第五屆,和本地資安業者阿碼科技共同合辦,這也是SyScan首次來到台灣。此次引進的講師陣容除了BlackHat、DefCon等國外知名資安會議定期講師,還包括HP、賽門鐵克的資安研究室成員。

例如全球首屈一指資安盛會BlackHat、DefCon的核心成員之一Adam Laurie此次特地來台擔任講師,探討RFID的安全議題。另外此次同樣以RFID安全為主題的Fyodor Yarochkin也長期擔任BlackHat會議講師,讓本地資安業者在國內就有和BlackHat同等的講師資源。

SyScan標榜會議特色在於探討具前瞻性的資安技術,其中RFID安全、手機、嵌入式系統的安全議題都是首日活動的重點。而Laurie正是近幾年來專注研究RFID安全的專家,他在現場就示範了如何入侵RFID系統,將身分識別卡、智慧卡(SmartPay)等資料複製盜用。

他指出,RFID現在有太多應用,例如動物的身分識別、旅館鑰匙、商品標籤等等,不過卻很少人注意到潛藏的安全性問題。「在沒有任何加密的情形下,裡面的資料很容易就被複製。」Laurie表示。而RFID漸漸被應用在如電子錢包、電子護照等等,讓安全議題顯得更加重要。

HP可信任系統研究室成員Richard Smith則在會中針對嵌入式系統安全發表新型攻擊Permananet Denial of Service(PDOS)手法,Smith也時常在BlackHat、DefCon等大型國際資安會議中擔任講師。

Smith從韌體安全(firmware)的角度來探討嵌入式裝置安全,他認為,目前主要業者的努力方向都在端點保護,而在這些裝置中,韌體常常是被忽略的一塊。

本地主辦單位阿碼科技表示,台灣資安社群反應比想像中熱烈,原本租借的場地不敷使用,還更換另一個較大的場地,共有超過300人報名。SyScan今天開始在台北共有兩天議程,明天還有國內知名資安部落格大砲開講部落客邱春樹針對惡意程式進行探討。

ITHome: 偵測系統核心木馬技術有新進展


http://www.ithome.com.tw/itadm/article.php?c=49838
文/王宏仁 (記者) 2008-07-17

核心木馬攻擊開始具有針對性,只有特定對象才會受害。賽門鐵克首席工程師來臺展示最新的木馬偵測程式,可以監控出未知驅動程式的隱藏木馬行為。



賽門鐵克資安研究室首席工程師Matthew Conover來臺展示偵測系統核心木馬(Kernel Rootkit)的新技術,將在新的防毒產品上運用這個偵測技術,讓防毒軟體可以發現過去難以偵測的「目標性(Target)木馬攻擊」。

Matthew Conover指出:「最近出現新的木馬攻擊手法,不只針對特定目標攻擊,還使用了難以發現的核心木馬感染技術,因而傳統的防毒偵測技術,很難完全發現這些隱藏在系統核心中的木馬程式。」

在木馬感染技術中,一般防毒軟體的系統執行權限,多半只能發現函式庫等級(Library Level)或應用程式等級(Application Level)的木馬,而一般防毒軟體最難預防的,正是隱藏成系統元件或驅動程式的核心木馬程式。他表示,通常只有在這些核心木馬程式發生了破壞系統的行為,否則防毒軟體很難偵測到。

Matthew Conover解釋最新出現的目標性木馬攻擊,他說:「只有遇到特定企業或機構的使用者,木馬程式才會啟動感染機制,例如顧客傳一份申請文件給銀行時,顧客打開文件不會中木馬,但是銀行行員打開文件才會啟動木馬,讓木馬潛伏期更長,風險也更大。」

過去偵測核心木馬的技術,是建立一個追蹤環境,觀察未知驅動程式的執行結果,但因為追蹤環境只是模擬使用者的一般系統環境,對需要特定條件才會啟動的目標性木馬,因為會誤判為正常的驅動程式而沒有效果。Matthew Conover所開發的偵測技術,則是建立一個監控未知驅動程式與系統溝通過程的Sandbox環境,可以在正常的使用環境中,觀察可疑程式與系統正常元件的資訊傳遞,進而發現異常的元件使用行為,例如可以發現不需要使用者輸入資料的驅動程式,卻呼叫了鍵盤指令,那這個程式就有可能是要偷取使用者輸入密碼的木馬程式。

目前賽門鐵克已經使用這個技術,來累積木馬程式的可疑行為特徵。Matthew Conover表示:「賽門鐵克會先在防毒程式中使用實驗室累積的行為特徵資料來偵測,下一階段才應用在防毒程式中,來監控未知的木馬程式。」文⊙王宏仁

網路資訊:RFID漏洞百出?


http://news.networkmagazine.com.tw/secruity/scrtnews/2008/07/07/895/
2008.07.7 陳宛綺/報導

資安大會SyScan今日於台北舉辦,邀請了國內外知名資安專家共同針對最新攻擊手法,特別是針對RFID與嵌入式系統,進行現場討論與Demo。

負責籌辦此次SyScan活動的阿碼科技執行長黃耀文表示,此次的會議分成2天進行;第一天主要邀集來自國外知名資安Forum專家,包括Adam Laurie、Matthew Conover、Richard Smith與Fyodor Yarochkin等,針對目前新式攻擊方式發表演說,第二天則主要以國內資安專家/駭客的演說為主。

對於目前使用越來越普遍的RFID,首次拜訪臺灣的Adam Laurie在此次的演講中,展現了多種利用RFID Reader即可輕鬆竊取RFID中Tag資料的方法。包括內含簡單ID/Data的「Dumb」卡,如門禁卡、動物晶片,甚至是智慧型卡片,如內含數位錢包的交通運輸卡,或是具有生物辨識的數位護照等,透過工具,其內含的資料都可以快速被複製。再加上這類RFID駭客工具的射頻範圍廣,因此只要這些駭客工具經過你身邊,就可以讀到卡片中的資料,或將卡片內的資料複製過去。

來自俄羅斯的Fyodor Yarochkin講師,則在此會議上公開的他最新研發的RFID駭客工具。Fyodor自己所寫的工具可以破解Mifare卡的key,而台北捷運所使用的即是Mifare卡。透過這些RFID駭客工具,駭客即可讀出智慧卡的資料,或是為卡片加值,或是再複製一張RFID卡;若是有照片的智慧卡,透過這些工具也可快速「製造」新使用者。

除了RFID議題之外,可攜式裝置的資安問題也受到關注。COSEINC的Petr Matousek則公開許多能夠攻陷Windows Embedded CE 6 核心,並隱藏 rootkit 的方法,以及如何偵測與監控的防禦工具介紹。HP的Richard Smith則介紹一種針對嵌入式系統設備的新型態攻擊手法:永久性DOS (Permanent Denial Of Service,PDOS);而利用一種名為Phlashing的攻擊手法即可以遠端完成PDOS攻擊。

SyScan明日在臺北還有一整天的會議,包括將公開嵌入式 script 攻擊手法,以及如何在WinCE上發現弱點,並如何有效隱藏 rootkit等技術。

作者 Wayne 為阿碼科技 CEO

繼續閱讀全文...