網路資訊/Web安全大戰從未停歇 自我組合再進化
作/羅伯特
Web安全威脅泛指所有使用網際網路進行惡意活動的安全威脅,會經由網路傳送與散播,並傳送其他的安全弱點,不僅現在變得更加氾濫,同時是成長最快速的安全威脅媒介。Web安全威脅的技術很先進,包含了多個元件併產生衆多的變種,又是什麼造成這場大風暴?
根據安全服務供應商Trustwave指出,2011年資料隱碼(SQL Injection)約佔整個Web攻擊的7%,看起來似乎有逐漸式微的趨勢。但去年這類型漏洞攻擊威脅的比例,卻大幅躍升至整個Web攻擊的26%,並專門攻擊那些已具備自我保護能力的企業。
Trustwave的資料顯示出許多人們早已熟悉多年的駭客手法:即使是面對能被修補,並加以封鎖之衆所周知的應用程式安全漏洞,仍然有許多企業既未落實執行安全程式編碼措施,同時也沒挖掘其應用程式可能潛藏安全漏洞的定期測試之舉。「這些企業連基本Web安全措施都忽略了,更遑論想要對抗更進階的Web威脅,」Trustwave事件迴應與鑑識總監Chris Pogue表示。
在使用者進行像是搜尋、查詢之類的輸入作業時,透過輸入驗證並受限於簡單字串的方式,便能達到簡單防止資料隱碼攻擊的保護作用,但開發人員卻經常無法實現這點,Pogue表示:「這是大學所教的內容之一,假如它已成爲大學體系,那麼它也不再是尖端技術了。」
當前網站上存在各類型專門針對粗心大意企業的安全威脅,從耳熟能詳的資料隱碼,以及跨站描述語言(Cross-site scripting, XSS)攻擊,再到由Web scraping與HTML 5等許多功能所形成之更加精緻深奧的安全威脅都有。以下將列出我們認爲特別需要注意,同時也是愈來愈受惡意攻擊喜愛,並且常被安全專家及開發人員所忽略的10大Web安全威脅。
一、 更巨大、更精緻的DDoS攻擊
當I T 專家一想到分散式阻斷攻擊(Distributed Denial-of-Service, DDoS),隨即會在腦海浮現出該攻擊的最基本型態:有如洪水般的流量淹沒受害者的網路,致使有效請求全被阻擋。但透過防禦上的不斷改進,讓攻擊者被迫改變其既有的攻擊方式。
於是乎,封包洪流變得更大,且最大可達100Gbps的地步。在長達6個月對美國銀行機構展開的攻擊活動中,據報導是由穆斯林駭客集團所爲,其攻擊封包量皆超過30Gbps的程度,這樣的攻擊速率爲過去5年來極少見的狀況。
根據網域名稱註冊商VeriSign表示,惡意攻擊者也將攻擊矛頭指向基礎設施的其他部分,像是公司網域名稱服務(DNS)伺服器也成爲攻擊者的最愛。當惡意攻擊者攻垮DNS伺服器,企業客戶便無法存取該公司服務。「這與企業擁有多大資料中心容量無關,重點在於所有資料中心將無法接收到任何請求,」VeriSign網路智慧與可用性部門科技副總Sean Leach表示。
巨量DDoS攻擊通常會採取「低速」(Low and Slow)攻擊手法來自我掩飾,並以控管像是SSL通訊等特定服務的Web應用或設備爲鎖定對象,然後再透過特製惡意請求,將這些應用與設備的運算與記憶體資源快速地消耗殆盡;這類應用層攻擊約佔當前所有攻擊的1/4。
「如果說巨量DDoS 就像是拿到更大棍棒的原始人,那麼低速攻擊就如同變得更加聰明的進化原始人, 」網際網路安全公司CloudFlare執行長Matthew Prince 表示。
攻擊者一開始會確認目標網站的URL,接着會對該網站後端資料庫進行呼叫。藉由對網站頁面的頻繁呼叫,便能快速耗盡網站資源,雲端內容遞送服務(CDN)供應商Akamai Technologies安全產品副總John Summers指出:「攻擊者今年所展現的目標式攻擊能力,比起2011年還要好。可以看出攻擊者莫不透過偵察,做足功課。」
對於企業而言,在惡意流量來襲時,透過安全設備來阻擋的做法很難發揮什麼效果,這是因爲路由器在低速攻擊下根本撐不住,這類攻擊似乎也能穿過雲端DDoS減緩服務的防護網。所以企業應該採取混合式的安全防護做法,亦即結合Web應用防火牆(WAF)、網路安全設備與CDN來建立多層次防禦體系,進而在攻擊開始之際,便過濾掉所有不安全的流量。
透過瀏覽器漏洞所導致銀行帳號遭詐騙之網路攻擊,造成每年數以百萬美元計的損失,其中最頻繁常見的瀏覽器漏洞,莫過於支援甲骨文Java、Adobe Flash與Adobe Reader的瀏覽器外掛程式。透過漏洞攻擊工具組,能對各種漏洞元件發動各種不同的攻擊,如果公司系統沒有做好最新漏洞修補更新作業,系統將會很快地遭到劫持。根據防毒方案商Sophos表示,最近出現的某版本熱門黑洞(Blackhoe)入侵工具套件,便支援16種能用來發動不同攻擊的安全漏洞組合,其中包括7個Java瀏覽器外掛漏洞、5個Adobe PDF Reader 外掛漏洞,以及2個Flash漏洞。
此外,依照安全商Webroot所發現之攻擊套件作者在網上的聲明顯示,網路上還有同時囊括Java、PDF、IE與Firefox等各種漏洞攻擊工具的「甜橘」(Sweet Orange)漏洞攻擊套件。Webroot資深安全威脅研究人員Grayson Milbourne表示:「透過這類攻擊套件,可以精準辨識出人們所使用瀏覽器中,有哪些尚未修補的安全漏洞。」