8款弱點評估產品採購大特輯

今年3月31日，總統府網站遭受駭客入侵，你只能看到「總統府宣布愚人節為國定假日」，經過緊即通報後，約十分鐘後恢復原狀。去年的求職信病毒（Klez）感染全球7%以上的個人電腦，傳染率超過先前肆虐病毒的總和，比SirCam和Nimda病毒更囂張。SQL Slammer更讓比爾蓋茲說出：「距離安全的路還很遙遠。」

上面這些事件都是駭客利用系統漏洞進行破壞，病毒和蠕蟲還需要技術能力，入侵網站和置換網頁只需要適當的工具，就可以透過系統漏洞入侵，根本沒有技術層次可言。即使已經建置防火牆和入侵偵測系統（IDS），仍然有90%的企業遭受駭客入侵。

根據2002年CERT/CC（Compute Emergency Response Team / Coordination Center）所公布的最新資料，2001年總共發現2437個漏洞，到2002年成長為4120個，資安事件也成等比例增加，從2001年的52658件，增加到2002年82094件。
防毒、防火牆、抓漏和入侵，哪個排第一
安全不是買到產品就OK而是做到才OK

安全市場吵得火熱，Ａ說「防毒」，Ｂ要「防火牆」，Ｃ能「抓漏」，Ｄ可「入侵」，該怎麼做才是正確的呢？我們先聽聽專家的意見：

賽門鐵克技術顧問林育民認為防毒系統是企業建置安全系統的第一步，第二步則是建立閘道型防火牆，接下來導入網路型弱點評估和網路型入侵偵測系統，然後建置主機型弱點評估和主機型入侵偵測系統，最後由資安管理系統統一管理。

鈺松國際技術工程師殷文龍表示，就現狀和理論而言是先設置防火牆，然後是防毒系統，之後再做弱點評估，最後才是建置入侵偵測系統。聚碩科技產品經理江其杰表示，企業大都已經建置防火牆和防毒系統，建議先做弱點掃描，再針對漏洞做修補。

從他們三位的意見中，我們歸納出一個共同的看法，就是防毒系統和防火牆都是基本設備，之後先做弱點評估，再談入侵偵測。聽完專家的看法，我們來看看政府正在做些什麼。經過Code Red或Nimda肆虐後，政府發現99%的駭客入侵或蠕蟲擴散都是導因於既有的漏洞，所以也開始重視弱點評估。

國家資策安全會報就將全國3713個政府機構分成ABCD四個等級列管，總統府等126個單位更被列為安全等級最高的A級防衛。這項分級制度是依各政府部門的任務需求，進行資訊安全管制分級，並定期由國家資通安全會報技術服務中心執行弱點評估，確認各單位的安全狀況。

5月也是對岸「紅客」攻擊的尖鋒，所以行政院向資策會和工研院等單位徵調電腦高手，五月底前會對A級和B級的政府部門發動攻擊，測試是否存在安全漏洞。政府將在兩年內建立國家資通安全整體防護體系，全面防堵入侵破壞行為。

當駭客要入侵某個網站或企業時，會先使用安全漏洞掃描器去偵測網頁伺服器的作業系統、服務和漏洞，再破解密碼以取得權限，然後建立後門、竊取資料或進行破壞。相同的，系統管理者也可以利用弱點評估軟體模擬駭客入侵手法，測試網路和主機有哪些漏洞，再根據掃描結果採取主動防範策略，找出本身的安全漏洞並加以修補，能有效降低風險與損失。

有錢就能買到產品，但要買到合用的產品，就得多做評估。好員工的標準不在於學歷高低或能力高低，好的弱點評估工具當然也是合用最重要。弱點評估工具的主要功能是協助管理人員了解潛藏弱點，並降低安全風險，介面好看或報表花俏與否並沒哪麼重要，重要的是報表內容對弱點修補有幫助，能夠協助管理人員降低安全風險。

成本考量
單以軟體成本來看，預算寬裕的企業適合高階產品，產品具備詳細的政策選項和個人化設定，並能詳細分析掃描結果；預算不多，沒有專業IT人員，卻需要安裝操作容易的解決方案，適合選擇具備工作排程和分散式掃描架構的產品（30萬元左右）；經費少，掃描需求不高的企業，可以選擇免費軟體，但需要有專業的IT人員。

只是企業所花費的成本不只是硬體和軟體，而是要由整體擁有成本（TCO）來看，不能光看軟體成本，卻忽略人力和訓練的成本。因為一套產品要100萬元，一位專業人員年薪也差不多100萬，教育訓練的費用也不便宜，要買產品或買服務就要多方面考量。

專業人力
人是串起安全的橋樑，組織內部有專業的人力嗎？專職的安全人員會比一般MIS專業，企業可以從外部徵求人才，或派員接受訓練，如果覺得不敷成本，可以考慮委外服務，專職的安全人員當然會比較專業。

中文化
我們發現弱點評估產品都強調中文報表，其實這都歸功於政府單位和軍方的努力，因為MIS需要上呈報表給主管，英文的報表都要經過一定的加工，所以大部分的MIS人員會要求中文報表。

專業廠商
專門負責資訊安全的廠商，在這方面的經驗和能力一定比MIS人員專業，知道資訊安全的重點在哪裡。資安市場火熱，目前各家廠商都在卡位，有豐富弱點評估和委外服務經驗的廠商卻不多，而且大部分的客戶仍是集中在政府單位和軍方，這些經驗是否能夠轉移到各種產業，筆者仍是存疑，因為我們不知道政府機關、傳統產業或IT產業的安全需求是否相同。

品牌與整合性
大廠的品牌還是有一定的影響力，但安全不能光靠一種產品，弱點評估必須與入侵偵測、防毒、防火牆和路由器等設備整合，不能單止由弱點掃描的角度來看，而是提供整體的解決方案。弱點評估產品能否與企業內部的安全產品整合，就有待你的測試。

支援能力：原廠的弱點資料庫多少更新一次？是否有足夠的技術團隊？國內許多廠商轉型資訊服務業，不單只是賣產品，而是提供整個解決方案，但是否有足夠「品質」的人提供服務，還是只是空口說白話？

Multi-Scanner
弱點掃描工具就如同入侵偵測一樣，最常被人詬病的問題是誤報（False Positive），加上一堆無用的修復資訊，讓IT管理人員無所適從。除了本身的產品，建議企業可以搭配其他免費的掃描工具，如nmap、Nessus、Stealth Scan和Typhon，兩份報告一同比對，會有更高的準確率。

自行建置vs.委外服務
委外服務＝專業的工具＋專業的分析

中華龍網產品技術部經理賴妍帆表示，根據Datamonitor在4月11日發表的調查報告，歐洲的大多數企業仍然拒絕將主要的安全管理委外。為什麼資安業者極力倡導安全委外的同時，歐洲的企業卻大聲的對業者說不！因為他們並不相信「委外」之後安全便能得到保障。尤其在Visa信用卡資料被竊取之後，他們更害怕辛苦經營的數位資產像信用卡的資料一樣被販賣。

自行建置就比較好嗎？每一個公司的網路環境及數位資產的價值都不同，根據資策會的調查顯示，國內大部分資安人員是由IT或MIS人員兼任。由於資安人才不足，企業對資訊安全只能做多少算多少，並不算真正的安全。

既然「沒有100%的安全」，賴妍帆建議，當自行建置與委外都不怎麼安全時，哪麼該由自己掌控的部分就自行建置，可以交由資安業者的部分就委外，既不用擔心沒有的能力做好資安管理，也沒有全部委外的風險。她認為：「自行建置多少或委外多少都不是最重要的，唯一重要的是安全有保障。」

精誠資訊資訊安全事業部技術處長黃正杰表示，企業買產品之後，卻不一定能夠善用產品，例如要掃描IIS的漏洞，要用IIS的工具，但不少企業不知道需求是什麼，要掃哪些漏洞，就要有相對應的稽核工具。他認為資訊安全是整體性的東西，建議企業從面的角度來看，考量風險在哪裡（網際網路、內部網路、主機），要將設備擺哪裡，要買什麼產品（防火牆、入侵偵測、弱點評估），有多少預算……，不要單考慮某一點。以DMZ區為例，MIS通常只評估DMZ區裡面的單臺主機，正確做法是從整個DMZ區來看。他建議不知道重點在哪的企業，可以先尋求委外服務。

另一方面，伺服器主機通常由MIS人員安裝與管理，往往無法擺脫主觀因素，例如為了管理方便，而使用pcAnywhere遠端管理，卻沒有想到可能造成的安全漏洞，這時就需要第三方客觀的查閱報表。而且有些安全稽核人員本身並沒有實權，只能提供建議，第三方能更有效的推動與執行，改善企業安全狀況。

鈺松國際第一事業處技術顧問冼柏齡表示，沒有特別安全編制和專業能力水準不高的公司，適合使用委外服務，因為MIS執行掃描後，雖然獲得報表卻不知該從哪裡修起，修正檔（patch）是否會影響到應用程式的運作。這時委外服務就是他們求助的對象，假如修正檔不能上，他們會建議用程式修補，同時掃描的工作負擔也可交由委外服務的工程師負責，減輕工作負擔。

大型企業若有安全編制，可以自行建置弱點評估系統，冼柏齡建議大型企業至少要有安全長（CSO，Chief Security Officer)或資安長（CISO，Chief Information Security Officer)，負責管理企業整體資訊安全。文⊙陳世煌
20項最危險的網路安全弱點

在2001年10月，電腦安全機構SANS和FBI發表一份報告，提出20項最嚴重的網路安全弱點（http://www.sans.org/top20/），被企業奉為圭臬。這份報告共分為一般弱點、視窗系統弱點及Unix弱點等3大部分，內容包含弱點描述、影響平台、CVE（Common Vulnerabilities and Exposures）或CAN編號、檢測方式及補救方法。

大部分的網路入侵事件都可以追溯到這份報告所列的安全弱點，因為駭客其實也是投機份子，會採取最簡單、最方便的途徑，使用最容易取得的入侵軟體，躦大家都知道的安全漏洞。所以，最實際的預防方式就是用弱點掃描程式檢測這20項弱點，免費的網路掃描程式SARA就特別為了這20項安全弱點，推出SARA特別版。不少商業掃描軟體也可以掃描這些弱點，在SANS網站（www.sans.org）上，有列出針對這20項弱點的掃描軟體清單。
我們將這20項弱點整理如下：

所有系統都有的嚴重弱點
1. 作業系統及應用程式的預設安裝軟體：大部分的軟體（作業系統和應用程式）都有安裝程式或腳本檔（script），使用者能夠自行安裝需要的功能，減輕系統管理員的負荷。廠商的想法是「寧濫勿缺」，但使用者卻可能用不到這些安裝檔，反而造成一些安全漏洞，因為使用者不會主動維護平常不用的程式，而且很多使用者根本不知道安裝了哪些程式。網頁伺服器最嚴重的安全弱點之一，就是範例腳本檔。駭客可以用這些腳本檔侵入系統，取得系統資訊。

2. 帳號無密碼或密碼安全性太差：密碼是大部分系統的唯一防線，加上管理者的帳號容易取得（root、administrator），因此容易猜到的密碼、帳號與密碼相同、沒有密碼的帳號和預設密碼都是大問題，所以密碼安全性低的帳號都要刪除或修改密碼。

3. 無備分或備分不完全：事故發生後，必須要有最新的備分檔案以還原資料。有的企業每天備分，卻沒有測試備分檔是否可用；有的企業制訂備分政策和流程，但沒有還原政策和流程，這些錯誤常常在被入侵後才發現。

4. 開太多通訊埠：合法使用者和駭客都是透過開啟的通訊埠連線到系統，開啟的通訊埠越多，連線的方式也增加，開啟的通訊埠只要能維持系統正常運作即可，其他通訊埠最好關閉。

5. 未過濾封包，檢查正確的位址：偽造IP位址是駭客常用的手法，可以隱藏自己的來源，例如Smurf攻擊。如果對進出網路的封包進行過濾的動作，就能提供更好的保護措施。

6. 無日誌檔（log）或日誌檔記錄不完整：新的安全漏洞一天到晚發現，如果被入侵卻沒有日誌檔，就很難知道駭客做了什麼。日誌檔可記錄哪些系統被攻擊，哪些已經被入侵的詳細資料，專家建議把日誌檔送到統一的日誌檔伺服器，並備分到只能寫入一次的儲存媒體，讓駭客無法竄改記錄。

7. 有安全弱點的CGI程式：大部分的網頁伺服器都支援CGI程式，讓網頁擁有資料收集和身分驗證等互動功能。安全性不夠的CGI程式，可能變成駭客用來攻擊網頁、竊取資料和後門程式的跳板。

Windows系統最嚴重的弱點
1. Unicode弱點（Web Server Folder Traversal）：Unicode標準是大部分廠商通用的標準，如果駭客在某個URL中，加入無效的Unicode UTF-8 sequence，然後送到IIS，就可以強迫伺服器離開目錄，執行任意腳本檔。

2. ISAPI Extension緩衝區溢位：微軟的IIS會自動安裝部分ISAPI（網際網路服務應用程式開發介面）延伸程式，讓開發人員能利用DLL檔擴充IIS的功能，但某些DLL檔（例如IDQ.DLL）有漏洞，不會禁止過長的輸入字串，駭客只要把資料送到這些DLL檔，就會造成緩衝區溢位，直接控制IIS。

3. IIS RDS漏洞（Microsoft Remote Data Services）：惡意的使用者可以利用IIS的Remote Data Services（RDS）程式弱點，以系統管理員的權限從遠端執行命令。

4. NETBIOS無保護措施的視窗網路分享：Server Message Block（SMB）具備網路檔案分享功能，但設定不正確很容易就會暴露重要的系統檔或檔案存取權。Windows、Mac和Unix電腦如果開啟檔案分享功能，都會有安全上的問題，例如資料失竊或感染病毒，建議最好關閉分享功能。

5. Null Session連線導致資料外洩：Null Session連線（匿名登入）讓使用者不需經過身分認證，就可以取得使用者名稱和分享檔案等訊息。駭客只要用「Null Session」連線到NetBIOS Session Service，就可以取得使用者和群組資訊（使用者名稱、登入日期、密碼原則、RAS資訊）、系統資訊及登錄機碼（register），用來當作猜測密碼的輔助工具。

6. SAM雜湊密碼安全性不足（LM hash）：雖然大部分的使用者都不需要LAN Manager支援的功能，但Windows NT和2000的預設值還是會儲存LAN Manager的password hash。由於LAN Manager的加密方式的安全性比微軟目前用的差，所以LAN Manager的密碼容易被破解。而且還可以用監聽的方法取得LAN Manager的password hash。Unix系統最嚴重的弱點

1. RPC服務緩衝區溢位問題：遠端程序呼叫（RPC）可以讓某部電腦執行其他電腦的程式，常用來存取NFS檔案共享及NIS網路服務。在2000年前，大部分的DoS攻擊事件都是透過有RPC弱點的電腦當做跳板。

2. Sendmail弱點：Sendmail是Unix和Linux常用的郵件伺服器軟體，是不少駭客的頭號目標，而且CERT/CC在1988年就指出Sendmail有安全漏洞。常用的手法是寄出「精心製作」的郵件給Sendmail伺服器，Sendmail會把密碼檔寄給駭客。

3. BIND弱點：BIND（Berkeley Internet Name Domain）是常用的DNS軟體，不少DNS服務是執行有安全漏洞的BIND程式。最常見的攻擊方式是把系統日誌檔清掉，然後安裝工具，取得系統管理的權限。舊版BIND還有緩衝區溢位的漏洞。

4. R指令：一般公司只有一個系統管理員，負責數個甚至上百個系統，會採用信任關係和Unix的R指令，方便切換到不同的系統。R指令不需要密碼就能存取遠端系統，如果駭客控制其中一部電腦，就能進入其他機器。

5. LPD（遠端列印通訊協定daemon）：IN.LPD是讓其他使用者和本地端印表機通訊的服務。LPD會聽取TCP 515埠上的要求，程式也有緩衝區溢位的問題，若在短時間內囤積太多工作，就可能會當機或以較高的權限執行任意程式。

6. Sadmind與Mountd：Sadmind能讓遠端的系統管理員存取Solaris系統，讓系統管理功能有圖形介面；Mountd則控制Unix主機上NFS Mount的存取動作。由於程式設計的缺點，導致這兩組程式都有緩衝區溢位的問題，讓駭客取得root存取權限。

7. Default SNMP Strings：簡易網路管理協定（SNMP）常被網路管理員用來監控所有連網設備，但SNMP只有一個驗證機制，用的是未加密的「community string（通連字串）」，大部分的SNMP設備，其預設community string都是「public」，駭客可以利用這個弱點從遠端重新設定設備或關機。