今年的資安展地點,由往年的世貿一館移到了南港展覽館。除了因為捷運尚未通車造成的往返不便,南港展覽館本身跟周邊的環境,還真是一整個差。不過畢竟這是國內安全產業的最大展覽,參加人數還是維持不少(當然跟Game Show或3C展還是差了十萬八千里),而且研討會的場次也是維持一定的量。 往年參加廠商的數量,資訊安全相關產業比例就偏低,多是實體相關的產業,其中又以監測設備最為大宗。今年的狀況依舊,甚至有過之而無不及。從展場的平面圖可以看到資訊安全相關業者攤位所佔的面積只佔了一成多的比例,最大那塊淺綠色的區域則是監測設備廠商的單位。 資安展的廠商,大多數是老面孔,不過也有一些著名的廠商沒有參加。賽門鐵克、Blue Coat是比較大的攤位,另外中華電信也有參展。除此之外,這一兩年引起極度話題的(網站)應用程式安全的相關廠商與研討會,在會場則是另外一個無法忽視的部分。我特別看了一下作程式源碼安全檢測的廠商,包含 Parasoft、Fortify與阿碼科技都有參展,但是攤位不大也沒有什麼佈置。或許可以推論為源碼檢測在國內不但過去推行上並不順利(或者說沒有很大的利潤),而且廠商短期內對國內這個市場也沒有很大的信心。當然還有一個可能的原因,那就是老闆利用景氣不好這個萬用理由希望減少費用支出。 此外第一天我參加了三場的研討會,內容都是圍繞在網站應用程式的安全,主講單位則包含阿碼科技、F5、與關貿網路。阿瑪科技的內容訴求與表達方式,我認為是其中最明確且有說服力的。就像攤位的佈置一樣,阿碼科技雖然只有小小的一塊,但也不是光放幾張DM就了事,至少維持了一定的風格來引起注意。之間執行力與企圖心的差異馬上顯而易見。當然,這並不表示我認為阿碼科技的產品或服務就是最好或最值得信賴,但是至少不是那種打帶跑的廠商可以比擬,這通常也是原廠跟代理商之間的差別。如果你對源碼檢測有興趣,我之前有一篇相關的文章可供參考 - Gartner研究報告:靜態程式安全檢測,唯一可惜之處是原始報告對象並沒有包含阿碼科技。- 4月 22 週三 200921:00
2009 台北國際資訊安全科技展
今年的資安展地點,由往年的世貿一館移到了南港展覽館。除了因為捷運尚未通車造成的往返不便,南港展覽館本身跟周邊的環境,還真是一整個差。不過畢竟這是國內安全產業的最大展覽,參加人數還是維持不少(當然跟Game Show或3C展還是差了十萬八千里),而且研討會的場次也是維持一定的量。 往年參加廠商的數量,資訊安全相關產業比例就偏低,多是實體相關的產業,其中又以監測設備最為大宗。今年的狀況依舊,甚至有過之而無不及。從展場的平面圖可以看到資訊安全相關業者攤位所佔的面積只佔了一成多的比例,最大那塊淺綠色的區域則是監測設備廠商的單位。 資安展的廠商,大多數是老面孔,不過也有一些著名的廠商沒有參加。賽門鐵克、Blue Coat是比較大的攤位,另外中華電信也有參展。除此之外,這一兩年引起極度話題的(網站)應用程式安全的相關廠商與研討會,在會場則是另外一個無法忽視的部分。我特別看了一下作程式源碼安全檢測的廠商,包含 Parasoft、Fortify與阿碼科技都有參展,但是攤位不大也沒有什麼佈置。或許可以推論為源碼檢測在國內不但過去推行上並不順利(或者說沒有很大的利潤),而且廠商短期內對國內這個市場也沒有很大的信心。當然還有一個可能的原因,那就是老闆利用景氣不好這個萬用理由希望減少費用支出。 此外第一天我參加了三場的研討會,內容都是圍繞在網站應用程式的安全,主講單位則包含阿碼科技、F5、與關貿網路。阿瑪科技的內容訴求與表達方式,我認為是其中最明確且有說服力的。就像攤位的佈置一樣,阿碼科技雖然只有小小的一塊,但也不是光放幾張DM就了事,至少維持了一定的風格來引起注意。之間執行力與企圖心的差異馬上顯而易見。當然,這並不表示我認為阿碼科技的產品或服務就是最好或最值得信賴,但是至少不是那種打帶跑的廠商可以比擬,這通常也是原廠跟代理商之間的差別。如果你對源碼檢測有興趣,我之前有一篇相關的文章可供參考 - Gartner研究報告:靜態程式安全檢測,唯一可惜之處是原始報告對象並沒有包含阿碼科技。- 7月 09 週三 200800:03
SyScan '08 現場報導 (下)
第二天的主講人包含邱春樹(Roger Chiu from Malware-Test.com)、馮祥安(Sean Feng from TrendMicro)、邱銘彰(Birdman from Armorize)、PK(PK from 警政署)、Kuon Ding(Kuon Ding from Armorize)與Nanika(Nanika from COSEINC)六位,其主講內容包含:
1. Roger - Gotcha! Most Effective Ways to Catch Malware Behaviors on Live Systems
利用偵測惡意程式常用的行為與數位鑑識的概念與方法,找出系統遭受惡意程式感染的任何蛛絲馬跡,以期發現惡意程式之存在。因為目前惡意程式通常會試著躲過某些安全軟體,甚至隱藏自己的行蹤,因此要完全根據其使用的技術加以偵測總會有遺漏之處。所以Roger透過各類資訊的收集與比對,找出不一致的地方,點出可能是惡意程式存在的證據。但是因為很多牽扯到作業系統核心資訊的收集與解析,這方面是有很高的難度。原因在於微軟的作業系統並沒有提供各式資訊的資料結構說明,所以必須靠逆向工程的方式去找出資料的意義。
2. Sean Feng - Enbedded Script Attacks
介紹目前將程式碼內嵌於各種檔案格式的攻擊方法,並試著偵測出已經被內嵌惡意程式碼的檔案。目前內嵌程式碼的攻擊目標包含可執行檔、多媒體檔與文件檔,可透過程式本身的執行能力或是處理檔案的應用程式臭蟲而達到執行程式的目的。這類惡意程式碼本身主要功能為連上網路下載真正的惡意程式,所以內嵌的惡意程式碼不大,也不會產生其他惡意行為,所以很難被現有的防毒軟體加以偵測到。因為光靠下載網址或是下載檔案的內容很難有效判斷是否為惡意程式,因此Sean利用這類程式都會動態找出下載檔案API記憶體位址的動作,試著去找出惡意的內嵌程式碼。雖然這樣的方法可以面對現在大多的內嵌惡意程式碼,但是當惡意程式發現此一偵測方法,如果有其他的實作方式,就有可能造成判斷的失效。此一技術目前還在Lab階段,並沒包含在TrendMicro的正式產品中。
1. Roger - Gotcha! Most Effective Ways to Catch Malware Behaviors on Live Systems
利用偵測惡意程式常用的行為與數位鑑識的概念與方法,找出系統遭受惡意程式感染的任何蛛絲馬跡,以期發現惡意程式之存在。因為目前惡意程式通常會試著躲過某些安全軟體,甚至隱藏自己的行蹤,因此要完全根據其使用的技術加以偵測總會有遺漏之處。所以Roger透過各類資訊的收集與比對,找出不一致的地方,點出可能是惡意程式存在的證據。但是因為很多牽扯到作業系統核心資訊的收集與解析,這方面是有很高的難度。原因在於微軟的作業系統並沒有提供各式資訊的資料結構說明,所以必須靠逆向工程的方式去找出資料的意義。
2. Sean Feng - Enbedded Script Attacks
介紹目前將程式碼內嵌於各種檔案格式的攻擊方法,並試著偵測出已經被內嵌惡意程式碼的檔案。目前內嵌程式碼的攻擊目標包含可執行檔、多媒體檔與文件檔,可透過程式本身的執行能力或是處理檔案的應用程式臭蟲而達到執行程式的目的。這類惡意程式碼本身主要功能為連上網路下載真正的惡意程式,所以內嵌的惡意程式碼不大,也不會產生其他惡意行為,所以很難被現有的防毒軟體加以偵測到。因為光靠下載網址或是下載檔案的內容很難有效判斷是否為惡意程式,因此Sean利用這類程式都會動態找出下載檔案API記憶體位址的動作,試著去找出惡意的內嵌程式碼。雖然這樣的方法可以面對現在大多的內嵌惡意程式碼,但是當惡意程式發現此一偵測方法,如果有其他的實作方式,就有可能造成判斷的失效。此一技術目前還在Lab階段,並沒包含在TrendMicro的正式產品中。
- 7月 08 週二 200822:09
SyScan '08 現場報導 (中)
第一天精彩的六場演講分別如下
1. Adam Laurie - Hacking RFID Without A Soldering Iron
Adam Laurie是Apache SSL的作者之一,不過這次他講的跟SSL沒有任何關係,是RFID(含Smartcard)的安全。首先他放了一段他在飯店破解飯店房間保險箱的影片,成功的吸引了大家的注意力。之前破解RFID的方式,很多都是利用一些"特殊的裝置"去破解。儘管這樣的方式的確成功破解了RFID,但是RFID的廠商硬說因為不是複製出"一模一樣"RFID裝置,所以還是可以被發現而不算真正破解。當然,在有些時候,RFID裝置的外觀的確也是判斷的條件之一。但是在以設備為主的自動化環境下,外觀其實並不是一個檢查的項目。儘管如此,Adam硬是利用自製的破解工具,將RFID複製到另一個一模一樣的裝置上,連外觀都無法判斷。另外他也談到ePassport的安全問題。展示部分則是繼操作了他自製的破解工具與程式,成功將RFID複製到另一個裝置。另外一個展示則是讀出ePassport的資料,並加以修改。雖然ePassport有經過加密,但是因為CA也寫在ePassport內,如果沒有檢查CA的有效性,還是有可能遭受竄改而不知。本來Adam還想展至讀取晶片卡內的資料,不過現場取得的晶片卡,似乎不太合作。Adam稱他的破解工具可以在數十公分的距離內讀到RFID裝置的資料,讀到之後要做甚麼?應該不用我說了。
2. Fyodor Yarochkin - Cooperative Offensive Computing / Abusing XMPP infrastructure
Fyodor是snort與xprobe的作者之一。因為Fyodor工作之一是進行滲透測試,所以他也順道開發了一個這樣協同式攻擊的工具。簡單來說,這樣的協同式攻擊跟一般單機攻擊不一樣的地方在於這些散布各處的攻擊點(Fyodor稱之為drone)之間怎麼溝通與做資訊的交換。所以Fyodor利用了XMPP這個協定,再加上Jabber這個伺服器,達到難以被追蹤的目的。而其使用的Jabber伺服器,可以自建,當然也可以找網路上開放(有意或無意)的伺服器。想當然爾,我個人猜測應該是不太可能自建(在自己的機器)。而這些蒐集到的資訊,可以透過特定語法加以查詢。其後端使用的技術是Knowledge Machine,而前端就是使用支援Jabber協定的界面(例如GTALK?)。當然,他應該也可以透過這樣的方式去執行特定的動作,以期獲取更多的資訊或...。另外他也成功將Jabber伺服器的服務隱藏起來,目的為何請自己想。最後,Fyodor因為看到Adam的議題,順道做了一個RFID的小展示,不過就跟原先的主題沒有任何關係了。老實說,Fyodor的口音很重,整場聽下來幾乎是邊看投影片邊想像。不過神奇的事情發生在他回答聽眾問題的時候,他忽然冒出了幾句的中文。雖然中文也有些口音,不過至少比英文聽得懂。那...為什麼他不直接用中文講呢?是怕其他外國講師聽不懂嗎?
1. Adam Laurie - Hacking RFID Without A Soldering Iron
Adam Laurie是Apache SSL的作者之一,不過這次他講的跟SSL沒有任何關係,是RFID(含Smartcard)的安全。首先他放了一段他在飯店破解飯店房間保險箱的影片,成功的吸引了大家的注意力。之前破解RFID的方式,很多都是利用一些"特殊的裝置"去破解。儘管這樣的方式的確成功破解了RFID,但是RFID的廠商硬說因為不是複製出"一模一樣"RFID裝置,所以還是可以被發現而不算真正破解。當然,在有些時候,RFID裝置的外觀的確也是判斷的條件之一。但是在以設備為主的自動化環境下,外觀其實並不是一個檢查的項目。儘管如此,Adam硬是利用自製的破解工具,將RFID複製到另一個一模一樣的裝置上,連外觀都無法判斷。另外他也談到ePassport的安全問題。展示部分則是繼操作了他自製的破解工具與程式,成功將RFID複製到另一個裝置。另外一個展示則是讀出ePassport的資料,並加以修改。雖然ePassport有經過加密,但是因為CA也寫在ePassport內,如果沒有檢查CA的有效性,還是有可能遭受竄改而不知。本來Adam還想展至讀取晶片卡內的資料,不過現場取得的晶片卡,似乎不太合作。Adam稱他的破解工具可以在數十公分的距離內讀到RFID裝置的資料,讀到之後要做甚麼?應該不用我說了。
2. Fyodor Yarochkin - Cooperative Offensive Computing / Abusing XMPP infrastructure
Fyodor是snort與xprobe的作者之一。因為Fyodor工作之一是進行滲透測試,所以他也順道開發了一個這樣協同式攻擊的工具。簡單來說,這樣的協同式攻擊跟一般單機攻擊不一樣的地方在於這些散布各處的攻擊點(Fyodor稱之為drone)之間怎麼溝通與做資訊的交換。所以Fyodor利用了XMPP這個協定,再加上Jabber這個伺服器,達到難以被追蹤的目的。而其使用的Jabber伺服器,可以自建,當然也可以找網路上開放(有意或無意)的伺服器。想當然爾,我個人猜測應該是不太可能自建(在自己的機器)。而這些蒐集到的資訊,可以透過特定語法加以查詢。其後端使用的技術是Knowledge Machine,而前端就是使用支援Jabber協定的界面(例如GTALK?)。當然,他應該也可以透過這樣的方式去執行特定的動作,以期獲取更多的資訊或...。另外他也成功將Jabber伺服器的服務隱藏起來,目的為何請自己想。最後,Fyodor因為看到Adam的議題,順道做了一個RFID的小展示,不過就跟原先的主題沒有任何關係了。老實說,Fyodor的口音很重,整場聽下來幾乎是邊看投影片邊想像。不過神奇的事情發生在他回答聽眾問題的時候,他忽然冒出了幾句的中文。雖然中文也有些口音,不過至少比英文聽得懂。那...為什麼他不直接用中文講呢?是怕其他外國講師聽不懂嗎?
- 7月 08 週二 200822:08
SyScan '08 現場報導 (上)
這次SyScan在台北舉行的年會,看了現場的報告編號,大概有4,5百人。老實說,不只主辦單位自己覺得很意外,我也覺得很意外。因為這是技術導向的年會,在台灣有這麼多人搞資安的技術嗎?而且這是要付費的活動,也不太可能光是因為興趣而參加。不過我看了身邊的人,有不少似乎還是學生(所以應該是用人民的錢),另外一些可能就是公司強迫的了。因為第二天,坐在我身邊的老兄竟然拿了一本簡體中文的書在看...第二天都是國產的講師耶,不但看還看到打呼。
KeyNote是由主辦單位之一 - 阿瑪科技(Armorize)的CEO黃耀文(Wayne Huang)主講,講的是亞洲在資安市場的特殊地位。尤其因為兩岸的特殊環境,更因此形成了資安問題的主要戰場。對使用者來說,的確是一件壞消息。但是對資安廠商而言,尤其是本地化的資安廠商,倒是一個比較正面的消息。當然,這樣的條件並不保證在地的資安廠商就能順利取得優勢,還是要靠其他方面的努力才行。
兩天的主講人各有六個,其中第一天以外籍兵團為主,其中有五場是講英文。老實說,有些人講的英文因為腔調的關係,聽的過程還真是囫圇吞棗,還好Wayne適時體貼的做了重點的翻譯,也讓大家能夠更加了解主講人的意思。
不過在議題安排上,我個人認為有些可以再改進的部分。
KeyNote是由主辦單位之一 - 阿瑪科技(Armorize)的CEO黃耀文(Wayne Huang)主講,講的是亞洲在資安市場的特殊地位。尤其因為兩岸的特殊環境,更因此形成了資安問題的主要戰場。對使用者來說,的確是一件壞消息。但是對資安廠商而言,尤其是本地化的資安廠商,倒是一個比較正面的消息。當然,這樣的條件並不保證在地的資安廠商就能順利取得優勢,還是要靠其他方面的努力才行。
兩天的主講人各有六個,其中第一天以外籍兵團為主,其中有五場是講英文。老實說,有些人講的英文因為腔調的關係,聽的過程還真是囫圇吞棗,還好Wayne適時體貼的做了重點的翻譯,也讓大家能夠更加了解主講人的意思。
不過在議題安排上,我個人認為有些可以再改進的部分。
1
