駭客年會：揭露Firefox安全問題

第4屆臺灣駭客年會（Hacks In Taiwan，HIT）日前落幕，這一次的駭客年會和往年相比，參加會議和參加Wargame的人數都變多了之外，在議題設定上，仍以目前臺灣企業最看重的Web安全與惡意文件的目標式攻擊（Target Attack）為主，至於以往常見的作業系統漏洞，在微軟Vista出來後，相關的議題有減少的趨勢。

Web與瀏覽器安全相關
臺灣駭客年會創辦人徐千洋（TimHsu）表示，這一次在規畫大會主軸和議題時，整體研究發現，Web安全還是主要的資安潮流。「但在安全性考量上，則以瀏覽器的安全為主，」徐千洋說，這種瀏覽器安全包括IE、火狐狸（Firefox），甚至是其他瀏覽器的外掛或附加元件等。

其中一位講師Trueman表示，許多網站被攻擊事件，常常是伴隨著網站瀏覽器的漏洞，才讓駭客有可趁之機，更容易動手腳。也因此，「一個瀏覽器的安全與否，是網路使用者電腦安全的基本門檻之一。」他說。

從另一位講師Unohope在現場展示新的攻擊手法，就可以知道惡意的瀏覽器可以造成多大的危害。Unohope指出，「駭客只要能掌握瀏覽器，就等於掌握了使用者的電腦。」當使用者用了這個被他改過的瀏覽器，所有使用者送出的資訊，在資料送出前就已經被竄改了。
他以網路銀行轉帳示範，如果使用者是使用他改寫的惡意瀏覽器進行網路ATM的轉帳，使用者看到的銀行轉帳頁面仍是正常的，然而使用者原本要轉給A先生100元，但轉帳的結果卻是轉給B先生1,000元。因為惡意瀏覽器被動了手腳，轉帳對象永遠會是轉帳給B先生1,000元。

Unohope表示，在現實生活上，惡意瀏覽器出現的機率不高，但在實務攻擊上，將惡意的攻擊手法以瀏覽器附加元件（Extension）或外掛（Plug-In）的形式偽裝，成功率就會很高。而以附加元件豐富見長的火狐狸（Firefox）瀏覽器，則可能會是個目標。日前火狐狸瀏覽器推出最新3.0版，新版市占率已達到2成之多。

也因為火狐狸有許多外掛，另一位講師Ant，目前也是中央研究院資訊科技研究所工程師曾義峰表示，不安全的附加元件讓瀏覽器也不安全，例如FFsniFF這個附加元件，會在附加元件表單中自我隱藏，也會自動化將表單（Form）內容經由SMTP對外傳遞，而且，這個附加元件到今年6月，也升級到支援Firefox 3.0。此外，有某些RSS被植入惡意程式，用先前有漏洞傳出的RSS閱讀器Sage來讀取，就會對瀏覽器造成影響；而Firebug先前也傳出有漏洞，可導致Cross Zone Script攻擊。

由於這些外掛或者附加元件，都會以一些已經打包好的工具組呈現，例如，內附或隱藏間諜程式的Firefox懶人包等。曾義峰表示，「目前企業使用火狐狸比例還不算太高，但類似附加元件或外掛， IE瀏覽器同樣也有，這也形成一個潛在的威脅漏洞。」

政府部門深受惡意文件荼毒之苦
至於另外常見的惡意威脅，多是政府部門的惡意文件特定攻擊。一位目前在政府部門工作的講師PK，他分析了300封目標式攻擊（Target Attack）的惡意文件發現，目前這樣特定攻擊多偏向以間諜程式的方式，搭配各種Office、Acrobat弱點入侵電腦，並藉此竊取資料。由於目前各種防毒軟體在掃描惡意文件時，掃描效果普遍不好，因為惡意文件樣本收集難度較高。他認為，為了降低惡意文件的危害，可以從偵測文件是否嵌入執行檔、Office文件檢查，和進行ShellCode偵測等3方面著手進行。

徐千洋也指出，目前除了Office、PDF等常見的惡意文件型態外，包括RAR、CHM、XML等，也都是常見惡意文件的類型。他指出，目前開放源碼軟體中，已經有OfficeCat可以針對惡意文件是否內嵌惡意程式在內作分析，「但最大的缺點在於誤報率高，」他說。

前兩屆的臺灣駭客年會，都還會有作業系統的漏洞揭露，但隨著Vista作業系統也推出SP1，先前除了藍色小藥丸的惡意程式植入手法之外，此次也有中國白帽駭客Card magic，來臺展示如何繞過Vista安全機制和防毒產品的HIPS，利用系統還原時，隱藏惡意的Rootkit。連續3年來臺灣參加駭客年會的美國微軟資安部門成員則認為，隨著Vista的推出，以往常見作業系統的危險性漏洞，包括臺灣駭客年會與其他的駭客會議上，也越來越少見了。文⊙黃彥棻