通信世界网(CWW)10月22日消息 今天,OWASP 2010中国峰会在北京举行,国内外知名的应用安全专家、厂商代表共聚一堂,就应用安全及业务安全发展及技术创新等话题进行广泛而深入的讨论。
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,是全球顶级的Web应用安全组织。
通信世界网作为本次大会的直播媒体,将对本次大会进行全面、深入的报道。
图为 新加坡OWASP主席 黄安志
演讲实录:
黄安志:大家好!我是从新加坡来的。我所讲的是一个非常新兴的概念和领域,我今天的题目是关于回复的检测,今天早上听那些演讲者说到网上被挂马,造成一些无辜的访问者被骗下载或者安装。接下来我会讲一些例子,入侵检测方面的产品和研究非常成熟,但是今天早上我们也看见入侵检测的科技也不算是百分之百。图片下部分是关于检测,至今非常多的专业人士或者公司都专注于这个检测,这个表前三名是政府、教育和医疗保健,在美国的医疗保健系统可以通过网上缴付你的医药费用,所以很多系统都连到公网。国内的信息安全公司记载着国内所被黑的网页的案例,在2008年一整年,我们可以看到160个网页被黑,黑了之后去骗访问者下载安装。2009年的前7个月我们看到有275%的增长,我没有记载2009年7月之后的增长幅度,但是我想大家都可以预测到应该是超过300%。
据我所知信息泄露有四大原因,第一大原因是网页被侵入,第二个原因可能是一些安全的漏洞。我们接下来所描述的案例是根据这四大类分开的。第三点是它的服务器设置加固方面不完善。第四点是个人疏忽或者雇员故意的。
下面讲一讲黑客攻击网页的目的,一般来说主要有四种。第一种,他可以盗取敏感资料,然后在黑市拍卖盗取的资料。第二种目的就是为了涂黑,他涂黑的目的可能是为了表达一个政治的目的,或者是为了成名,为了把自己的名誉推广到全世界,说我可以成功的把某个网页给黑了。第三种就是传播恶意软件了。如果我们做回复检测的话可以非常有效的阻挡这三大目的,无论他使用的攻击方式是什么,打个比方,他的手可以进入盒子去掏一个所谓的“饼干”,但是如果你可以检测的话就可以确保他手从那个箱子取出手的时候“饼干”不会跟着他的手出来。
这是最出名的一个Auction.co.kr网站,它在08年4月被攻击,听说是来自国内,国内的防毒软件没有所谓的(英文),结果无法保护它的这个网。它被侵入之后整个系统被盗取大概1000万客户的个人资料,从它的WEB服务器被盗的。这个事件是在今年1月6号,本田网站被攻击盗取了密码和帐号,他盗取帐号密码之后会登陆WEB服务器。在这个情况下大概7万个访问者在访问5个公司网站的时候被恶意去下载一个恶意代码,比如当时的访问者很想访问本田的网站看本田最新款的汽车,结果要说你必须下载一个新的软件去观看本田的最新款汽车。这是苹果公司,这个案例里面大概有100万个网页被黑客入侵,都是以注册的方式。在这种情况下苹果有入侵检测的防御,但是它的黑客使用了高度编码的文字符串绕过了苹果的入侵检测。现在黑客所使用的方式是(英文),这个词汇描述的是一个攻击方式,这个攻击方式是把一连串的方式组合起来,变成一个高度非常有效率的攻击方式,因此可以攻破那些安全工具。
第二种案例是应用方面出了漏洞,这个是东卡罗莱纳大学,任何一个学生或者老师以一个合格的帐号和密码,登陆到这个之后就可以发现65000个学生的个人信息。这个案例不是被黑的案例,是软件开发出了漏洞。在这种情况下同样用正规的帐号、正规的密码也可以通过管道登陆这个校园的网站,登陆之后可以发现65000个学生的资料。这是美国的西宾夕法尼亚医院,有一个病人出院后想付费,就登陆了这个医院的网站去付费,结果他发现85个病人的资料,主要是这个系统跟第三方伙伴出了暂时性的连接错误,使第三方付费的伙伴系统出了问题。今天早上描述过这个ASP平台,这个问题是从今年9月被公布的,它可以泄露个人密码和保密的资料。在这种情况下是平台出了问题,而不是你的软件出了问题,所以尽管你的ASP.NET应用软件开发多么加固加密,但是它的平台出了问题。这是国内的一个电信公司,它的软件把它的源代码和密码全部给控制住了。这是国内的一个科技公司它所设立的网页,出现了一些(英文),结果把所有版本的资料全部给破坏。
第三种案例是服务器设置错误,这是UBS,2009年系统升级方面出现一些疏忽,造成新加坡和香港所有富豪富裕的客户都可以看到对方的帐户和资料。UBS不是一个小的公司,是一个国际银行,虽然近几年来它受到金融风暴的影响,可是它每年在信息安全方面的投资也不小。所以我想说的问题是无论它投资在信息安全是什么,都无法避免跟防止这个案例,因为这是服务器升级上出了问题。今天的信息安全产品有哪一个可以避免这种事情发生呢?这是源代码泄露,它的源代码没有错误,可是它服务器设置错误。这个无需攻击,不需要加入任何一个编码,只要你懂他的网络地址就可以直接登陆进去。这是哥伦比亚大学易学中心的案例,它错误的把6800个病人资料上载到线上的一个服务器,这个医院管理的领导在报纸上才知道这个事情,因为他的医院从上到下无人知道他们正在泄露病人的隐私。
第四种案例是属于一种疏忽情况下造成的,这是今年9月我们发现东南亚一个国家的军事网页上载了一个较旧的军事(英文),它里面的清单也无意上传到网络。以下是一些法律,国内有《个人信息保护法》,还有其他国家,包括美国、英国、南韩都有各自的法律去掌控监控个人信息保护的方面。
让我做一个总结吧。通过对外回复的检测,您可以收获以下的好处:第一,提高或建立客户对你(英文)的信心,因为你可以更有信心的去跟你的客户说我实施了多层次的保护策略,如果你的竞争力说我有入侵检测,如果你在你的行业里面是唯一一个做回复检测的话,在对于大众信息方面是有大大的保护的。第二,通过避免触犯规定的处罚和修复生育的开销来支持企业运营。第三,使用回复检测可以辅助现有的入侵检测,通过补充现有安全系统,降低信息外泄的风险,以支持企业信息安全系统。第四,通过补充现有的开发测评工作,在开发阶段找出信息漏洞召开,从而优化应用的程序的开发。第五,通过制止任何原因改变而发生的错误漏洞,以支持企业正常运作。
