多年來無論企業如何戒慎恐懼,仍無法完全遏止資安事件的發生,以致駭客思維興起,強調企業應調整一味構築安全堡壘的觀念,假設自己必然遭受攻擊,轉而利用「Red Team」與資安團隊反覆攻防,甚至邀請白帽駭客發動滲透測試,為求在駭客攻擊前挖掘自身弱點,以提升防禦能力。

為此果核數位選定「駭客過招,實戰分享」主題,於日前舉辦 2019 年首場資安社群論壇,期望在深具實戰歷練的講師帶領下,向聽眾分享最新攻防策略。

做好 App 防護,對抗行動裝置威脅

果核數位資訊安全部工程師 Jim Lin,引用日片「原來以為只是手機掉了」概念,闡述行動裝置威脅防護之道。他歸納使用者的行動裝置可能面臨的風險,除安裝惡意應用程式、網路行為的攻擊、作業系統漏洞外,另一件可怕的事便是手機遺失,可能因而引爆一連串攻擊,比前 3 項更難防範。

也許有人認為,將手機上鎖便萬無一失,殊不知當圖形驗證、指紋辨識、臉部辨識都驗不出,會回歸密碼驗證,屆時可能被成功暴力破解,不論 GPS 資訊、信件內容、聯絡人清單、麥克風錄音或照片都將遭竊,讓壞人藉機對手機失主發動簡訊詐騙、社交工程等惡意行為。

Jim Lin 指出,手機界有 Android iOS 兩大作業系統,前者因開源政策、各版 OS 20% 有更新,加上 Google Play 存有不少惡意程式,以致潛藏較多風險,但後者亦非絕對安全,若使用者造訪第三方市集,仍可能遭遇類似幾年前 XcodeGhost 的侵襲。

在惡意程式氾濫下,人人都需要有憂患意識,尤其 App 開發商或企業用戶更應重視行動應用程式防護。Jim Lin 建議採取四項防護措施,一是「防止逆向工程阻止反編譯」,藉由 AES 對稱加密演算法及長度 256 以上的金鑰,完全隱藏原始碼。二是「阻擋 Debugger 防止記憶體被修改」,設法讓 Debugger 工具失效,防止動態程式碼注入。三是「針對 App 做完整性校驗」,以確保App 正確性,防止 APK 被竄改與散佈。四是「敏感性資料加密與綁定」,莫忘針對 App 敏感性資料做完整加密。

培養資安意識,戰勝社交工程

果核數位資安工程師 Phil Hung,借用電影經典台詞「朕不給,你不能搶」,強調唯有反制社交工程,才能避免無意間洩漏自己個資;只要我不給,任何人搶不走我的個資。

事實上社交工程並非單純攻擊手法,它隱含了心理學,利用你的信任、你的弱點(譬如你對名牌包有著強大慾望),衍生上百種引君入甕的方法,其中近九成皆由社交工程信件發動。或許現在不少人已有正確觀念,知道不要隨便點擊可疑的附檔或連結,但其實目前許多 HTML 型式的信件,在你開啟的同時,便會利用背景執行惡意程式,即使什麼都不點也會中招,萬一你再點開附件或網頁,更會慘上加慘。

假使遭受社交工程的載具為手機,Phil Hung 傳授一些必須提高警覺的可疑癥兆,首先是沒有經常滑手機,卻莫名其妙快沒電;其次 Wi-Fi 訊號時有時無,疑似遭人佔用;再者並未傳簡訊給某人,但對方卻來電詢問剛剛的簡訊是什麼意思。

比方說曾有日本色情業者利用 QR Code 誘騙付費,另外廣受歡迎的免費版 oCAM 螢幕錄影軟體也曾被發現埋藏挖礦程式,意謂社交工程手法日趨險惡,大家如何自保?Phil Hung 建議,若以企業而論,應先做好資安健檢、原始碼檢測、弱點掃瞄、滲透測試、後滲透服務、AI SOCIncident ResponseCloud DDoS Service等防護工程,其次即便做好防護,也不容掉以輕心,須知人性是更要命的弱點,一定要設法導正所有同仁的資安意識。

透過專案邊做邊學,逐步成為白帽駭客

來自台灣資訊安全聯合發展協會(ISDA)的 Louis Lu,前年在 HoneyCon 曾以「樹莓派也可以變鳳梨」演說,讓許多資安同好留下深刻印象,此次則以「成為白帽駭客之路」展開論述。

他指出 ISDA 舉辦過白帽菁英入門活動,利用 WarGame 遊戲過程讓學員培養資安興趣、學習駭客思維;其間不少人表態想學習資安的全部領域,但他認為,資安基礎技能主要分為密碼學、網路安全、網頁安全、逆向工程、程式安全與數位鑑識等大項,看似數量不多,然而欲精通每一項、皆需研讀大量書籍,建議不妨從小領域為起點,再逐步拓展。

對於想成為白帽駭客的人,Louis Lu 建議不只看書,更重要的選定例如軟體無線電(SDR)、藍牙電子鎖、Wi-Fi 加密…等等有興趣的題目,接著動手做專案,勤於善用 Google 搜尋相關技術文章,嘗試啟用一些駭客工具,相信能從中學到很多東西。比方說面對 SDR 議題,可利用 HackRF One半雙工設備,在 1 MHz6 GHz 工作頻率下,揣摩如何控制頻段及發訊號、錄訊號、回傳封包,甚至利用 USRP 全雙工環境,透過 70 MHz~6 GHz 更寬廣的工作頻率,直接製作 3/4/5 G核心網路,觀察手機連入「假基地台」後,駭客可以施展哪些攻擊作為。

總括而論,每天都有新的程式誕生,只要有新的程式,理所當然就有新的威脅,可能以假亂真悄悄潛伏在你我身邊,伺機出手造成個人、企業或社會的危害;因此各領域都需要白帽駭客,運用紮實的基礎知識,幫助大家有效預防層出不窮的威脅。

若大家有興趣獲取論壇資訊,可加入果核粉絲團:https://www.digicentre.com.tw/news.php

(左起)果核數位資安工程師 Phil Hung、Jim Lin、台灣資訊安全聯合發展協會(ISDA) Louis Lu


Advertisement

更多 iThome相關內容