NO.21 | 2017.09.15
banner
title有備而來 友善列印>>
2017 Hitcon 台灣駭客年會_應用服務組 鄭世傑 副工程師



台灣駭客年會Hitcon是台灣駭客社群定期舉辦的年度會議,在這會議上,除了可以接觸最新的資安技術外,亦可了解近期大家所關注的資安議題,透過這種形式互相交流經驗,來瞭解所謂的駭客文化。

在這兩天的會議上,IoT(Internet of Things)設備的資安問題,仍然是大家所關注的焦點,許多IoT設備如IPcam等,因考量成本及開發時程等因素,除作業系統採用Open source的嵌入式Linux外,許多功能模組都使用相同SDK(Software Development Kit)套件開發,攻擊者可以透過搜尋這些SDK套件的原始碼,來查找IoT設備上的弱點,藉此滲透入侵設備取得系統控制權。這類的問題普遍存在許多的IoT設備上,具有較高運算能力的IoT設備可能會被利用來發動DDoS分散式阻斷攻擊或植入挖礦程式,其他如智慧門鎖、智慧插座等IoT設備,由於控制的都是重要系統,輕微則洩露使用者隱私(進出門時間、插座電器使用狀況),更甚者則可利用使用者隱私資料研判使用者不在家的時間,藉此進行偷竊等實體入侵行為,導致使用者面臨實際損失,因此使用IoT設備時,必須以更高標準資安來檢視所有的可能性,但在大部分使用者資安意識依然相對缺乏的情況下,相信未來IoT設備的資安問題仍然是我們須持續關注的議題。

另外一個有趣的議題,SSRF(Server-side Request Forgery)服務端請求偽造攻擊,在傳統資安架構上,內外網透過DMZ來隔離,並著重在外對內的防禦,內對內的防禦架構相對脆弱,而在這種架構上,SSRF攻擊特別有效,然而SSRF攻擊概念已經存在一段時間,並不是新型態的攻擊手法,有趣的是,他依然十分有效。SSRF攻擊概念是透過外部伺服器(通常是Web server)針對使用者輸入的資料沒有進行過濾,導致攻擊者利用此方式讓外部伺服器發出request,也由於是server端發起的request,因此通常可以有效地滲透進與外部網路隔離的內網。傳統思維的資安架構難以有效防禦SSRF攻擊。面對SSRF攻擊,除了在服務端就要正確過濾使用者所輸入的所有資料外,更應採用縱深防禦架構,利用多層次防禦手法,將內對內攻擊的可能性一併考量於整體資安架構,藉此緩解SSRF或類似攻擊手法,將風險管控至最低。

綜觀各種資安問題,從勒索加密軟體到IoT設備,其背後原因很大一部分都與地下經濟有關係,只要存在獲利的可能性,攻擊就永遠不會消失,或許我們可以不同面向來思考這些資安問題,用攻擊者的思維來考量,而非傳統的防禦者角度思考,能夠有效地解決及降低這些資安風險。