果核數位「聖誕駭樂」資安社群論壇，探索 IR、生物辨識、API 風險三大議題

在以往，企業卯足全力強化網路閘道端防護，不讓駭客越雷池一步；到了今天，駭客入侵管道趨於多元，更加防不勝防，使過往防禦策略愈來愈難發揮效用。所以企業開始體認到，當被駭成為註定的事實，重點並非如何不被駭，而是如何在被入侵後做鑑識回溯，找到漏洞根本原因避免再次發生。

此外不少人非常關心現今正夯的生物辨識，到底能提升資安規格、或反倒開啟更大的個資漏洞？再者伴隨資料開放浪潮，Open API 的安全威脅有多麼可怕？如何做適當管控、才足以趨吉避凶？針對這些熱門議題，果核數位以「聖誕駭樂-駭客退散耶誕禮物」為題，於日前舉辦資安社群論壇，期望在專業講師的精闢論述下，引領聽眾明瞭如何擬定攻防策略。

從 IR 追溯入侵來源，展開復原計畫

果核資安工程師 Jim 發表「從 IR 事件看後滲透測試之幽靈現身（首部曲）」演講，他指出多數人不清楚資安事件回應（Incident Response；IR）、資安鑑識兩者有何相同、有何不同？事實上 IR 偏重以調查方式追溯入侵來源，幫助用戶修補漏洞，鑑識重視證據保存與重建。

IR 基本上與鑑識有雷同之處，有一些步驟與方法可循，依序是研判發生何種事件、了解入侵者怎麼進入、分析事件如何發生、駭客如何帶出資料，再根據這些發現執行短期補救措施、展開長期復原計畫。

上述步驟背後隱含四個關鍵技術，分別是時間軸分析、記憶體分析、檔案系統查找及資料復原。先確認入侵點是 Web、Internet 或 Host，找出時間點，再推測相關證據。利用記憶體分析來挖掘證據、確認主機狀態和網路狀態；至於檔案系統查找，用於確認範圍、控制範圍、調查並釐清問題何在。

他列舉曾參與的實例，某企業主機感染勒索病毒，欲從 IR 探知前因後果。他先做記憶體分析，從網路狀態 TCP port 3389 找到可疑 Process ID，接著由開機啟動鈕研判有無被植入後門，從目錄查找殘餘惡意程式軌跡。

至此未找到惡意程式，Jim 轉而從 Log 探尋軌跡，察覺有無受感染主機、藉由一些 Process ID 做橫向擴散。最終揭曉答案，是委外廠商執行遠端開發和維護時導致勒索病毒擴散到內部。於是建議用戶實施短期與長期因應措施，前者包括限制外對內連線、將 C&C IP 加入防火牆黑名單、避免使用弱密碼，後者包含規劃測試區供委外廠商使用、強化防火牆規則、限制來源 IP、建立監控機制。

駭客利用生物辨識漏洞，竊取使用者資產

ZUSO 如梭世代 資安研究員「$7 智障駭客」張啟元說，透過 Touch ID 和 Face ID，使用者可不輸入帳密，直接透過生物辨識方式授權登入或解鎖裝置；問題來了，這些技術安不安全？

根據 PCI DSS 規範，使用者發送交易請求時須輸入至少六位數 PIN 碼，銀行也會使用 OTP 一次性密碼做交易驗證碼。至於 iPhone 不儲存任何指紋和臉部圖像，而是轉譯為數學形式，加密儲存於 A11 到 A13 仿生晶片中，在安全隔離區內保護，看似安全，但仍有破綻。曾有「用 Touch ID 查詢健康資料即付 100 美元」的 iOS 詐騙 App 出現，當人們的手指放在感應器，App 會在開始倒數約 3 秒時啟動確認付款畫面，在措手不及下完成付款，只因使用者基於方便開啟 Touch ID 付款功能，不需手動輸入密碼確認交易，因而中招。

蘋果為打擊誘導付費，更新 Apple Store 訂閱機制，使用者在透過 Touch ID 和 Face ID 驗證後，會再彈跳一個系統等級視窗確認購買行為，但這僅解決欺騙訂閱問題；係因 Apple 為了安全，不允許開發人員自行開發側邊電源鍵點兩下的功能（點擊後才會開啟 Face ID），於是駭客透過惡意代碼自動點擊確認按鈕、進入 Face ID 授權功能，因使用者盯著手機螢幕，遂在措手不及下完成 PIN 碼輪入，讓駭客能突破交易最後防線、成功以類似 CSRF 手法發送偽造請求。

「生物辨辨識技術在辨識特徵時，無法辨識是否出自使用者意願，」張啟元說，所以我們需要能調用系統級別的確認方法，但目前無法實現，故人們對生物特徵認證仍應提高警覺。

系統設計、檢測、監控三管齊下，消弭 API 安全風險

果核網路資安顧問 Jimmy 表示，隨著資訊網路不斷發展，現今人們仰賴的生活應用情境，網頁服務（Web）與應用程式服務（AP）可謂密不可分，而開放資料正是實現這些應用的必要基礎，因而使 Open API 蔚為風潮，成為帶動開放政府、FinTech 等大量應用的樞紐，連帶讓 API 的風險和應變成為重要議題。

有鑑於此，OWASP 於 2019 年首次揭露 API Top 10 風險，其中較常出現於臺灣的風險項目，包括 A1、A2 和 A5 等「認證與授權」風險，意指系統及 API 應用上未完善控管身份認證與授權，導致身份遭盜用、管理功能被非管理人員濫用；另有 A4「未限制資源使用」風險，主要是針對請求資源未做好限制控管，以致影響後端系統和伺服器資源的可用性。

Jimmy 建議，企業或機構應做好三件事，以確保 API 安全性，包括在系統開發設計時遵循 Open API Standard 等國際標準，接著確實執行原碼檢測、滲透測試等資安檢驗工作；最後藉由 WAF、API Gateway 及 API 日誌系統，嚴密監控 API 活動。

總而言之，時值 2019 年聖誕佳節前夕，果核發揮創意巧思，選定 2020 年最值得正視的三項資安議題，深入探討其發生成因與解決之道，讓有志於資安研究或從事防禦工作的人們知所防範。

若有興趣獲取果核論壇資訊，可加入果核粉絲團:

https://www.facebook.com/%E6%9E%9C%E6%A0%B8%E6%95%B8%E4%BD%8D-724591257628290/?ref=bookmarks