9. 台灣企業常見資安弱點 - Bowen Hsu

台灣企業常見資安弱點- Bowen Hsu​

張皓翔 張明潔 楊晴焱 黃韶柏

 

總括:

前言:

人類有史以來,成本最低廉的監控與偷窺時代。

--Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World

在網路上的任何行為都會留下紀錄,包括了: 帳號註冊與登出入、信用卡消費、銀行轉帳、病歷傳遞、軍事密訊等;因此,如果今天這些紀錄沒有受到妥善的管理、保護,再加上有心人士的操弄,就會有隱私資訊外洩的情況出現。

   

訊息加解密:

既然有許多隱私資訊需要受到保障: 透過特定的技術,將這些資訊從明文(原始資訊),轉變成密文(經過特殊處理的資訊,使其內容變形、截然與原始資訊迥異)的過程,稱之為加密;反之,則稱為解密。

  常見的加密技術,有:

  • MD5
  • SHA-256
  • AES
  • RSA
  • 等等.....不勝枚舉

  解密工具(方法):

  • 網站-(如: https://hashkiller.co.uk/md5-decrypter.aspx 就是一個破解MD5加密雜湊的網站,其實比較像大家破解的密碼庫)                  -(https://hashes.org/ 可以試試把某個字串加密)
    •     
  • 應用程式(如: John the Ripper)
  • 自己想、用語言實作一個(RSA 的 C語言實作)
  • 暴力破解(單字、符號、數字+良好的排列組合能力)
  • 色誘、死纏爛打(社交工程?!)

​        

自我檢視:

  1. 自我反思
    • 註冊帳號時,設定密碼的模式、想法?(是否有常用的字詞彙、組合)
    • 多少個帳號撞碼(密碼一樣)? 甚至帳密皆同?(同Email、同密碼)
    • 若註冊為網站,該網站的安全性憑證(Http? Https?)? 其是否曾有個資外洩的新聞、事件出現?
    • 使用者的個人習慣(公共電腦記得登出? 個人電子裝置是否離開視線? 周遭是否可疑人物,疑似窺竊自己的隱私?)
  2. 檢測輔助工具

IOT後,衍生的資安問題

IOT: Internet of Things, 物聯網......對人們、身邊裝置、機器等做電子識別,讓物體與網路連結或結成網,應用廣泛(可達成醫療、交通、軍事、家庭、學校、政府等串聯維繫)。

  • 隨著IOT的發展後,能上線的實體增加,形成更至密、複雜、龐大的網絡,但也因為如此龐大的連結、牽一髮動全身,若遭受惡意的入侵、控制,能造成的傷害更是難以估量。
          

談駭客:

駭客的思維: 

  • 見縫插針、知其所可為與不可為(知道可以下手的點,潛在漏洞,臆測驗證機制)
    • 網址(知道資料庫類型、語法)、連結(轉址)、登入介面(SQL Injection)、圖片(隱藏的惡意指令)、點擊按鈕(執行惡意指令)等互動物件都可能成為駭客下手入侵參考依據。

               

駭客的攻擊流程:

  • Reconnaissance (偵察)

  • Scanning (掃描)

  • Gaining Access (取得存取權)

  • Maintainig Access (維護存取權)

  • Clearing Tasks (滅跡)

A. Reconnaissance - 偵察 ​​探敵情、盡可能找出目標相關資訊,以供後續測試需求:

  1. whois- 查詢該網站管理者資訊(如:Email、DNS)
    •  
    • DNS Zone Transfer-若管理/開發者未對DNS Server限制存取來源,任何人皆可以查詢
    • Wappalyzer-用來偵測各種Web Server、Web Framework
    • BlindElephant-探索Web Application的版本資訊
  2. 拓跡法(footprinting)- 可將上列的whois歸於此類;這主要是(駭客)透過各式工具方法來儘可能找出關於某部主機的所有(可以有機可乘的)資訊
  3. 蒐集一些網站的歷來版本: Internet Archive
  4. 大數據的淫威(含Google Hacking)
    • Google Hacking: 透過Google的搜尋引擎,對其下一些敏感的搜索指令,如:
      • intext: 尋找網頁內文包含某個資料、內容
      • intext:Taiwan
      • intitle: 尋找網頁標題中含有某字串的網頁; 在intitle後加上"index of" ((特定目錄、備份檔案.bak等-可以找到一些網站的備份目錄與其紀錄、甚至整個目錄一覽無遺)),以下為指令示範
        • intitle:"Index of" .sh_history
        • intitle:"Index of".bash_history
        • intitle:"index of" passwd
        • intitle:"index of" people.lst
        • intitle:"index of" pwd.db
        • intitle:"index of" etc/shadow
        • intitle:"index of" spwd
        • intitle:"index of" master.passwd
        • intitle:"index of" htpasswd
        • intitle:"index of" etc
        • 實作:  intitle:"index of" (mp3) 歌手或樂曲名,找到某些應該是音樂網站的歌曲資料夾,歌曲是可以直接下載的。
      • inurl: 在inurl後加上關鍵字,找在網址列當中的某字串內容(可以找尋後台管理介面;前一個intitltle的方式也可以找後台),其常見指令格式如下
        • inurl:admin intitle:後台
        • inurl:phpmyadmin inurl:index.php
        • intitle:"JBoss JMX Management Console"
        • intitle:login inurl:doc/page/login.asp
        • 搜尋特殊錯誤訊息,如: site:tw "You have an error in your SQL syntax" 、site:gov "Warning: mysql_connect()"-都會找到某些疑似被測過SQL語法的網站
        • 其他的Google Hacking可下的檢索令,可參考: GHDB
      • 小結: 儘管Google Hacking這個方式很容易達成某些"小確幸",但其實都是會留下記錄的(Google搜尋引擎的伺服器都會記錄我們的每個REQUEST),所以分寸還是要拿捏好。
      • 其他跟大數據有關的資安參考網站:
        • ZoomEye-鍾馗眼(找找網路設備的IP,如:路由器,其連網其歷程記錄,哪天有誰上線)
        • InternetCensus2012(有點類似成果報告書)
        • Shodan(類似 ZoomEyE-鍾馗眼 的查詢功能,只是要看到完整的搜尋結果必須註冊付費)​

 

B. Scanning - 掃描                          掃描目標主機的弱點,取得主機作業系統、服務和運作狀況等資訊

  • Port Scanning
  • Footprinting
  • Vulnerability Scanning

C. Gaining Access - 取得存取權       利用系統弱點取得主機權限

D. Maintainig Access - 維護存取權       維持目前取得的權限,以便日後再次存取而不需繁雜的步驟

E. Clearing Tasks - 滅跡                  清除入侵的痕跡

談台灣企業常見的漏洞:

  • 跨站腳本攻擊
  • SQL Injection
  • 商業邏輯漏洞
  • 跨站冒名請求
  • 資訊洩漏