有不少美商第一證券的客戶,在9月14日~15日的週末發生電子郵件與客戶名稱被竄改的資安事件,許多客戶原先以為是遭到駭客入侵,之後在第一證券的告知下,才知道這起事件其實是第一證券委由Hackerone執行的漏洞獎勵計畫的測試。

圖片來源: 

iThome

美商第一證券(Firstrade)的許多客戶,在9月14日~15日週末期間都陸續發現一個奇怪現象,,有不少客戶的電子郵件遭到不尋常的竄改,例如:帳號E-mail都被改為「stefanofinding at wearehackerone.com」,甚至連名字都被改掉了。客戶以為遭駭後,緊急聯繫第一證券的客服人員,卻得到一問三不知的答案。

最後,許多客戶只在第一證券的臉書社團,看到一則簡短的訊息表示,「這是第一證券聘請Hackerone.com於週末對系統進行深度測試,對於測試導致客戶的個人電子信箱有任何困擾致歉;但也再次重申,客戶面臨的這些修改只是測試的一部分,客戶的個資是安全的。」

私訊該名白帽駭客stefanofinding表示,受限於合約以及保密協定,無法提供任何關於測試的資訊,請我們與第一證券聯繫後續的細節。經過多方求證,這是由第一證券(Firstrade)委由漏洞獎勵計畫通報平臺Hackerone.com所執行、形同內測的小型私有化漏洞獎勵計畫(Private Bounty Program)。

由於第一證券客戶的電子信箱,遭到白帽駭客更改後引發軒然大波,即便第一證券稍晚針對客戶發出正式的通知信函,但仍無法平息眾怒,有不少客戶痛批,應該要事先通知有相關的測試,也紛紛在臉書社團中,表達將儘速轉換交易券商的意願。

私有化漏洞獎勵計畫不適合臺灣金融業現況

一位不願具名的臺灣金融業資訊高階主管一剛開始以為,這是一個失敗的滲透測試(PenTesting),惡質資安業者導致客戶的資訊遭到修改;但是,後來該高階主管聽聞這是一個小型私有化的漏洞獎勵計畫時,則直言,這對臺灣金融業者來講,還有很大努力的空間。

另外一位金融業的高階資安主管第一時間以為這是假消息,因為寄給客戶的電子信件,字句用詞都像是中國用語;但確認為真實事件後,他則笑說,這樣的測試情境若發生在臺灣,一定會被主管機關金管會盯慘,「不管怎麼樣的測試情境,怎麼可以在未經客戶同意下,動到客戶資料呢?」他說。

臺灣知名資安業者戴夫寇爾擅長滲透測試以及紅隊演練,該公司執行長翁浩正表示,他們先前曾經針對臺灣金融業做過多次紅隊演練(Red Team)以及滲透測試,「但不管是哪一種情況,只要會影響到客戶資料,過程都必須非常謹慎且與客戶保持密切溝通。」他說。

戴夫寇爾資安研究員Orange Tsai則是全球知名的漏洞獎勵計畫的獎金獵人,也是資深紅隊演練與滲透測試專業資安顧問。在提及第一證券爆發的修改客戶資料的資安測試事件時,他依照個人經驗指出,不管是哪一個漏洞獎勵計畫通報平臺,平臺業者通常會建議想要舉辦漏洞獎勵計畫的企業用戶,先啟動一個僅限少數白帽駭客參與的、類似內部測試的小型私有化漏洞獎勵計畫(Private Bounty Program),以避免企業用戶的系統,在漏洞百出情況下就公諸於世。

不過,Orange Tsai觀察,平臺業者看來是提供常見的Private Bounty Program的建議,但從第一證券業主的角度來看,此次小規模的測試範圍,都不應該開放讓白帽駭客直接進行線上服務的測試。

再者,此次爆發也因為同時具備多種巧合,例如:第一證券的系統不完善、有許多明顯的系統漏洞,像是SQL Injection等,並沒有事先測試並完成修補;再加上此次參與測試的白帽駭客,對於滲透測試或紅隊演練嚴謹的測試流程不熟悉,才使得該次漏洞獎勵計畫的執行,最終直接影響到第一證券的客戶資料。

漏洞獎勵計畫的測試與紅隊演練與滲透測試有何不同

從這起第一證券爆發的事件來看,許多人對於紅隊演練、滲透測試甚至是漏洞獎勵計畫的差異並不了解。Orange Tsai指出,紅隊演練是範圍最廣的資安測試,從廣泛的流程到服務,找出各種可能的系統和邏輯漏洞;至於滲透測試,則是針對單一的核心系統做更深入的測試,以提升系統的安全性;而漏洞獎勵計畫其實是補講究廣度的紅隊演練,和在意深度的滲透測試的不足之處。

Orange Tsai同時身兼獎金獵人以及資深資安顧問雙重身分,根據他的經驗,一般產業通常會建議先跑過幾輪紅隊演練,找出可以找出的系統與邏輯弱點、漏洞並修補後,再針對重要核心系統進行深度的資安滲透測試,這樣對整個系統的安全性,才可以做到一定程度的提升。

他說,之後就可以透過舉辦僅邀請少數人的私有化漏洞獎勵計畫(Private Bounty Program),或者是針對大眾公開的漏洞獎勵計畫(Bug Bounty Program),邀請更多白帽駭客協助找出該企業服務或系統漏洞,這通常已經是難度更高的漏洞,像Orange Tsai先前挖掘的各種零時差漏洞,則是透過集合各種漏洞的連續技所挖掘的漏洞,難度相對高,也通常不在紅隊演練或滲透測試的過程中。

至於第一證券許多客戶抱怨,相關的資安測試沒有事先通知,客服部門一問三不知的狀況,Orange Tsai表示,一般而言,滲透測試會事先通知,但紅隊演練為求真實,則不會事先告知;至於客服部門由於權限太低,通常很難得知這類資安測試的訊息。

推測白帽駭客應該是在更新第一證券測試資料時出包

翁浩正也表示,改資料基本上會是在測試範圍的,因為那邊也是常見的被攻擊點。因此,該公司在執行紅隊演練或滲透測試時,改資料會相當謹慎,並遵守一個方法論,如果發現是Update(更新)資料的區塊,不僅測試會非常謹慎,也會一定會避免影響客戶資料,甚至高風險的部分,也會先跟客戶溝通之後再進行。

也就是說,執行相關的資安測試時,都會先與客戶確認,然後針對更改、刪除等等部分嚴謹進行;如果客戶有擔憂,因為怕影響客戶資料,通常會請客戶提供測試環境,這樣要怎麼改都沒關係。

他進一步解釋,戴夫寇爾會根據經驗,預測資料的呼叫方式,這個叫做CRUD,可以分成CREATE(新增)、READ(讀取)、UPDATE(更新)和DELETE(刪除)等四個動作,根據每個測試項目與方式不一樣,而有不同的作法。

他說,通常READ問題不大,因為只讀取資料,其實不更動客戶的資料;CREATE其次,因為新增資料可能會造成客戶其他流程受到影響;UPDATE再更嚴重些,DELETE最嚴重。

翁浩正從整個流程推測,第一證券應該是駭客在測試資料UPDATE的環節出包,因為更改了其他使用者資料,推測可能是SQL Injection測試不嚴謹,導致UPDATE 語法缺少了WHERE的語句,造成更改整個資料表。

有經驗的系統測試者,會使用造成最小程度的Payload去做測試

Orange Tsai也說,由於許多獎金獵人平常對於紅隊演練或滲透測試,所需要嚴謹的過程並不了解,像這一次第一證券的問題,就可能是白帽駭客在測試過程中,在每一個測試項目都插入一樣的參數,遇到SQL Injection的漏洞配上有問題的系統時,「牽一髮、動全身」,一個不小心就更動到客戶資料了。

他表示,對此有經驗的資安專家,會使用造成最小損害程度的攻擊代碼(Payload)去做測試,既可以達到不要造成系統問題,又可以測出漏洞的目的。也就是說,有經驗的資安專家,會針對不同測試項目插入不同參數,而這些參數對系統造成的影響程度最小,卻又可以驗證系統漏洞,他說:「這其實是從許多實務經,驗慢慢累積而成的。」

翁浩正觀察到,有一些劣質的PT業者,會使用自動化工具掃描,或者是遇到經驗不足時,可能會以為是基本的SQL Injection漏洞,測試結果發現是更改資料,最後,就不小心改了整個資料庫的資料了。

他也補充指出,一般紅隊演練或滲透測試的檢測流程都有規範,也會在每天公司內部戰情會議討論執行進度,也會請業主委託IT或者資安部門觀察與監控該公司的伺服器狀態,但若這個過程,是透過執行漏洞獎勵計畫而達成的目標,有可能遇到不專業的檢測人員,無法用團隊來做規範跟品管。

臺灣產業對推動漏洞獎勵計畫,整體環境還不成熟

曾經參與金融業多次紅隊演練及滲透測試的Orange Tsai,他認為,臺灣個產業,包括金融業在內,目前外在環境的成熟度以及駭客社群的成熟度都還不足,推動金融業的漏洞獎勵計畫(Bug Bounty Program)難度很高;相較國外市場,駭客社群已經有一定成熟度,但各產業對於漏洞獎勵計畫的接受度仍有落差。

他說,目前臺灣金融業面對資安問題採取的解決之道,並不是從基本面去提升整體系統的安全性,往往是,採用各種禁止訪問存取的手段,例如,當外部使用者對某一項金融服務的存取訪問,超過系統預設的限制時,就會搭配實體臨櫃的方式,確保使用者是可信任的。這樣的作法或許當下確保系統安全,但對於整體安全性的提升,並沒有任何加分。這也使得產業的漏洞獎勵計畫難以實施,也容易造成白帽駭客會因為金融業系統端的各種警報,導致無法真正測試系統資安問題所在。

Orange Tsai會建議,金融業者可以先做過幾次紅隊演練後,再針對關鍵系統做滲透測試,之後再透過舉辦漏洞獎勵計畫的方式,找出對系統有危害但大家還沒有發現的漏洞。但他也提醒,不管哪一個產業,在無法確保一定的系統安全程度之前,各種漏洞測試絕對不要直接測試線上服務系統,以免出包後,難以收拾。

至於從事相關資安測試的白帽駭客,Orange Tsai則說:「白帽駭客永遠要清楚知道,自己插入的參數Payload到底是什麼,而這個插入的參數,會對系統帶來什麼影響。」如果只會一招半式闖江湖,想要用一個參數、適用全部系統,充其量,也只不過是腳本小子(Script kiddie)而已。

 

 


Advertisement

更多 iThome相關內容