[微程式-技術研討會] 7月研討會 - SVN 簡介 / 2008前瞻資安技術

一:SVN 簡介

教材如下 : http://www.polarion.org/index.php?page=download&project=subtrain


二:2008前瞻資安技術年會報告 (znul)

相關網站: http://syscantaiwan.blogspot.com/

A. 資安及其重要性?
小至個人資料洩漏,大至國家機密,可能造成個人財產損失或危及國家安全
目前的駭客已由個人好玩,演變成團體的營利組織
B. 課程內容分享?
1. 駭入RFID (hacking rfid devices)
2. 協同式攻擊性運算à使用xmpp (cooperative offensive computing)
使用xmpp為資料蒐集的工具,malware分散於各地,將蒐集的資料透過jabber server 集中至某處(Knowledge Machine à KM),再利用類sql語法Query data
3. rootkit
源於unix系統,為將多種駭客程式寫成套件,安裝至電腦,藉以取得控制權,
置換系統檔案,修改registry 等方式達到隱藏自己的目的,再伺機行動
4. 犯罪軟體鑑識工具痕分析crimeware & malware (malicious software)
5. no password longin windows
(1)利用ieee1394介面連接電腦,直接修改記憶體內容,使得密碼比對傳回true
(2)使用休眠檔(修改後),重開機window會直接讀取此檔回復當時的系統狀態,
直接登入系統
6. 嵌入式script攻擊 (embedded script attacks)
Html,PDF,Excel,Powerpoint….支援script語言的軟體,利用此軟體的漏洞執行
malware
C. 防毒軟體真的安全?
防毒軟體的運作方式可分為靜態與動態
靜態:利用病毒碼(簽章),比對硬碟檔案是否有病毒檔案,或搜尋檔案中有特定字串等
動態:執行時期監控程式的行為來判斷是否為malware
D. 如何防範?
定期更新病毒碼
關閉不常用的服務及軟體功能
不開啟來路不明的檔案及來路不明的連結
E. 結論
我們也是IT的一份子,如何讓開發及建置的系統不被入侵,也應是我們該重視的一環
我們常見的疏忽:使用sa帳號連db,SQL程式設計不良,web server目錄權限開到
everyone完全控制,在msn,mail傳送主機位置,database位址,登入帳號及密碼,
使用公司電話及統編當密碼….等等,都可能被hacker利用來蒐集資訊入侵系統的管道

http://www.microsoft.com/taiwan/sql/SQL_Injection_G1.htm
http://www.microsoft.com/taiwan/sql/SQL_Injection_G2.htm


三. 2008前瞻資安技術年會報告(jackson)

1.駭入 RFID:
主要的應用有3個方向:
1. 門禁系統
2. 電子付款
3. 生物測定(或人體植入)

8 byte 明碼 ID 分為3個欄位:
1.application Flag
2. country code:
3. national ID

加密時可考慮加上 header 標頭 及CRC 檢查碼

人體植入晶片安全威脅:
個人被 追蹤 /鎖定:
假扮他人
Rfid 設備被拿走/動手腳(側錄)


2.協同式攻擊性計算
這講師發展了自己的一套系統 KM (knowledge Machine),
它用lisp 語言寫成,有它自己的一套 query 語法,
可以用來在網路上收集data,掃描各ip及port.


3.最新Windows Mobile 與行動裝置之 rootkit
所謂rootkit, 就是有心人士, 整理常用的木馬程式, 做成一組的程式套件, 以方便cracker 攻入主機
顧名思義, 入侵後, 它們將會自動昇等成 root 身份來執行.
(或稱為 kernel mode)
現在, 在 行動裝置 上也已發現利用 windows CE 弱點作成的 rootkit 了...

一般寫的 應用程式, 都是進入 user mode; (權限受控管)
除了驅動程式, 或呼叫 os 服務常式時 (windows API), 才進入 kernel mode;
(權限最大)



它可以無聲息地作以下事項: (它們都有對應的 api)
1. 檔案隱藏
2. 行程(process)隱藏
3. 網路連結隱藏
4. 系統註冊表隱藏

主要手法是透過 直接 API 操作 (syscalls), 或攔截/串接系統 API 進入點位址 (hook)


4. Rootkit 執行時期的安全觀測方法
symantec 研究室所發展的一套觀測軟體, 能欺騙 rootKit ,
讓它誤以為在 user mode 之下執行;
並將它限制在一定安全範圍(稱為 sandBox) 內模擬執行起來,
依其行為, 判定它是否為 rootkit;


5. 新的 PDOS 攻擊:
永久性阻斷服務攻擊: Permanent Denial Of Service (PDOS)
這是種利用firmware線上更新 (flash update) 功能作出的 dos 攻擊, 對嵌入式系統設備, 有極大威脅;
一但在更新過程中被植入木馬, 惡意程式將跟隨機器啟動, 進行破壞

要減少這種傷害, firmware 開發者應該:
自動更新--預設關閉
二進位檔-- 加密/數位簽章
不要在 client application 中修改 firmware

使用者:
把設備也列入資安審評
了解設備所有功能
更新firmware (patch)
限制設備對系統的存取




6. 反恐與國家資訊基礎建設保護

分散式阻斷服務攻擊: Distributed Denial Of Service (PDOS)
透過後門程式遠端遙控, 在同一時間, 不同地點, 對同一目標主機進行連線要求. 主機無法負荷大量 request 後, 網路服務終告癱瘓.


ARP 掛馬病毒:
地址解析協議（Address Resolution Protocol，ARP）
此病毒運行時，會欺騙區網內所有主機和路由器，並冒充成 gateway, 讓所有上網的流量封包必須先經過該病毒主機,
然後對經過的封包附加惡意代碼, 再傳給真正的 gateway.
特點:
1. 只要1人中毒, 整個區網就會變慢,
2. 只會感染封包, 不會感染pc上的檔案(除了原宿主),


usb 隨身碟病毒: 可突破封閉網路

sql injection: 在網頁上文字框上輸入 特殊 sql 指令碼, 導致免帳密可登入,
或透過 db server執行系統命令

其它各種惡意行為:

綁架首頁,強開子視窗, 點擊率爆增 -- 騙取廣告收入;
假的網站,付款網站 -- 騙取user 帳密,個資...
購買 domain name, 用完即丟, 防止被 TRACE;

緩衝區溢位攻擊:
在函式中利用 過長的字串(包含惡意程式片斷) copy 至過小的memory空間,
造成 data 填入至 stack 區段 EIP(程式返回指標) 的位子
把EIP指向 過長字串中的惡意程式. 並加以執行.
過長的字串: 結構大概長這樣子:
[夠長的亂碼字串: 直到預計的EIP位子] + [在此即填入下段的惡意程式碼位址] +[惡意程式碼本體]