發掘網路資安漏洞 防堵駭客惡意攻擊

DEVCORE戴夫寇爾股份有限公司執行長暨台灣駭客年會副總召翁浩正。

DEVCORE戴夫寇爾執行長暨台灣駭客年會副總召翁浩正，以本身具有駭客背景的角色，透過不同角度，來介紹資安的重要性。他本身從事資訊安全系統研究及開發、網路安全規劃建置、熟悉駭客攻擊手法、駭客追蹤方式，以及開發與研究攻擊程式與後門程式。基本以駭客的角色，來看待資安，並尋找企業的漏洞。

當今的Cyberwar(網路戰爭)時代，國際間的「網軍」早已如同軍隊一般組織化，從事情報蒐集、對特定目標的攻擊與防護等工作。引述至2014年4月為止的駭客攻擊事件，87%是由國家級機構所發動的。其中49%的網路間諜活動來自大陸和其他東亞國家，21%來自東歐地區，攻擊對象超過半數是美國，6%是日本，4%是南韓。在2013年南韓曾有多家電視台和銀行癱瘓，北韓被指控為主謀，其籌畫時間長達8個月。由此可知國際駭客大戰其實一觸即發，各國企業對資安議題無法置身於度外。

剖析駭客尋找漏洞方式  了解現今的資安新風險

駭客是個思緒縝密的個人或團體，他們尋找漏洞方式，包括鎖定產品或網站來進行研究、研究廠商釋出修補程式、使用現成弱點攻擊程式。

例如研究廠商所釋出的修補程式，然後研究該修補的部分，嘗試找出前一版漏洞(或從資安漏洞通報平台找出)，然後撰寫該漏洞攻擊程式，來攻擊尚未更新的舊版用戶。這種等待修補程式釋出才進行攻擊的守株待兔模式，會造成來不及更新的用戶受害。

駭客們會將攻克的企業網站機敏資料(個資、營業秘密)拿來對企業勒索獲利，若企業不從，則會放在駭客交易黑市來兜售，供其他駭客/網軍組織來出價取得。

如今Big Data時代，也成為現今的資安新風險，有些駭客利用大規模的全網路掃描，對整個企業、IPv4、甚至全世界的網路進行掃描，找出全世界有多少主機含有漏洞。只要你的任何裝置有上網，都可能被駭客掃描到，並植入惡意程式，以用來遠端控制並發動攻擊。

極為嚴重的資安漏洞  讓IT人員心在淌血

翁浩正接著剖析2014年4月7日爆發的OpenSSL嚴重漏洞：Heartbleed (心血漏洞)，讓全球網路風雲變色，各家網路伺服器成為全球駭客的嗜血戰場。該漏洞讓攻擊者能從伺服器記憶體中讀取64 KB的資料。利用傳送heartbeat的封包，在封包中控制變數導致memcpy函數複製錯誤的記憶體資料，因而擷取記憶體中可能存在的機敏資料(如私密金鑰Private Key、Cookie、Session ID、帳號密碼、個人資料、信用卡資料、其餘記憶體中可能暴露的資料等等)，成為駭客64KB的刮刮樂。

由於該漏洞所影響的作業系統範圍頗廣，許多知名的硬體設備廠商也受到波及，而台灣2014年4月16日的受害數據，採用OpenSSL的33522台伺服器中，有2424台有漏洞。由於使用HTTPS、SMTPS、IMAPS、POP3S等服務的伺服器都有可能受到影響，因此他建議IT人員趕快升級OpenSSL版本至1.0.1g以上，以防堵機敏資料外洩。同時透過網路的Heartbleed測試網站，為自家的企業網站做健診與把關的動作。

駭客攻擊無所不在 現場模擬讓君嚇壞

駭客可以透過全球掃描方式，找出全世界有連網電腦的屬性與可能的漏洞，然後便可加以監控與利用。接著翁浩正實際找一個網站，搜尋沒有設密碼的網路攝影機，結果便找到一堆，並可連進去看影像。藉此案例來說明設定密碼的重要性，以免被不明人士看到您家裡的隱私。

另外翁浩正示範如何攻擊有OpenSSL漏洞之伺服器(以自設網站做範例)，他透過一些工具來竊取帳號密碼與Cookie資料，然後冒名登入，成功以管理員身分登入該網站，然後可以自由閱讀資料庫中的資料。

另外在老舊漏洞部分，以DNS Zone Transfer(AXFR)為例，如今很多網站仍有此漏洞。他實際展示如何用此方法來查詢某機構的所有DNS主機，若該漏洞沒補起來，就會導致曝光太多內部DNS伺服器訊息，而引誘駭客去攻擊。

翁浩正總結上述實際展示與案例，說明安全風險是不會消失的，風險共存才是生存之道。因此對惡意攻擊的應變方式，就是要熟知安全風險、迅速資安通報、資安事件演練，將傷害降至最低。