网路资讯/Web安全大战从未停歇 自我组合再进化

作/罗伯特

Web安全威胁泛指所有使用网际网路进行恶意活动的安全威胁,会经由网路传送与散播,并传送其他的安全弱点,不仅现在变得更加泛滥,同时是成长最快速的安全威胁媒介。Web安全威胁的技术很先进,包含了多个元件并产生众多的变种,又是什么造成这场大风暴?

根据安全服务供应商Trustwave指出,2011年资料隐码(SQL Injection)约占整个Web攻击的7%,看起来似乎有逐渐式微的趋势。但去年这类型漏洞攻击威胁的比例,却大幅跃升至整个Web攻击的26%,并专门攻击那些已具备自我保护能力的企业

Trustwave的资料显示出许多人们早已熟悉多年的骇客手法:即使是面对能被修补,并加以封锁之众所周知的应用程式安全漏洞,仍然有许多企业既未落实执行安全程式编码措施,同时也没挖掘其应用程式可能潜藏安全漏洞的定期测试之举。「这些企业连基本Web安全措施都忽略了,更遑论想要对抗更进阶的Web威胁,」Trustwave事件回应与鉴识总监Chris Pogue表示。

使用者进行像是搜寻、查询之类的输入作业时,透过输入验证并受限于简单字串的方式,便能达到简单防止资料隐码攻击的保护作用,但开发人员却经常无法实现这点,Pogue表示:「这是大学所教内容之一,假如它已成为大学体系,那么它也不再是尖端技术了。」

当前网站上存在各类型专门针对粗心大意企业的安全威胁,从耳熟能详的资料隐码,以及跨站描述语言(Cross-site scripting, XSS)攻击,再到由Web scraping与HTML 5等许多功能所形成之更加精致深奥的安全威胁都有。以下将列出我们认为特别需要注意,同时也是愈来愈受恶意攻击喜爱,并且常被安全专家及开发人员所忽略的10大Web安全威胁。

一、 更巨大、更精致的DDoS攻击

当I T 专家一想到分散式阻断攻击(Distributed Denial-of-Service, DDoS),随即会在脑海浮现出该攻击的最基本型态:有如洪水般的流量淹没受害者的网路,致使有效请求全被阻挡。但透过防御上的不断改进,让攻击者被迫改变其既有的攻击方式

于是乎,封包洪流变得更大,且最大可达100Gbps的地步。在长达6个月对美国银行机构展开的攻击活动中,据报导是由穆斯林骇客集团所为,其攻击封包量皆超过30Gbps的程度,这样的攻击速率为过去5年来极少见的状况。

根据网域名称注册商VeriSign表示,恶意攻击者也将攻击矛头指向基础设施的其他部分,像是公司网域名称服务(DNS)伺服器也成为攻击者的最爱。当恶意攻击者攻垮DNS伺服器,企业客户便无法存取该公司服务。「这与企业拥有多大资料中心容量无关,重点在于所有资料中心将无法接收到任何请求,」VeriSign网路智慧与可用性部门科技副总Sean Leach表示。

巨量DDoS攻击通常会采取「低速」(Low and Slow)攻击手法来自我掩饰,并以控管像是SSL通讯等特定服务的Web应用或设备为锁定对象,然后再透过特制恶意请求,将这些应用与设备的运算记忆体资源快速地消耗殆尽;这类应用层攻击约占当前所有攻击的1/4。

「如果说巨量DDoS 就像是拿到更大棍棒原始人,那么低速攻击就如同变得更加聪明的进化原始人, 」网际网路安全公司CloudFlare执行长Matthew Prince 表示。

攻击者一开始会确认目标网站的URL,接着会对该网站后端资料库进行呼叫。借由对网站页面的频繁呼叫,便能快速耗尽网站资源,云端内容递送服务(CDN)供应商Akamai Technologies安全产品副总John Summers指出:「攻击者今年所展现的目标式攻击能力,比起2011年还要好。可以看出攻击者莫不透过侦察,做足功课。」

对于企业而言,在恶意流量来袭时,透过安全设备来阻挡的做法很难发挥什么效果,这是因为路由器在低速攻击下根本撑不住,这类攻击似乎也能穿过云端DDoS减缓服务的防护网。所以企业应该采取混合式的安全防护做法,亦即结合Web应用防火墙(WAF)、网路安全设备与CDN来建立多层次防御体系,进而在攻击开始之际,便过滤掉所有不安全的流量。

二、 旧版浏览器外挂漏洞

透过浏览器漏洞所导致银行帐号诈骗之网路攻击,造成每年数以百万美元计的损失,其中最频繁常见的浏览器漏洞,莫过于支援甲骨文Java、Adobe Flash与Adobe Reader的浏览器外挂程式。透过漏洞攻击工具组,能对各种漏洞元件发动各种不同的攻击,如果公司系统没有做好最新漏洞修补更新作业,系统将会很快地遭到劫持。根据防毒方案商Sophos表示,最近出现的某版本热门黑洞(Blackhoe)入侵工具套件,便支援16种能用来发动不同攻击的安全漏洞组合,其中包括7个Java浏览器外挂漏洞、5个Adobe PDF Reader 外挂漏洞,以及2个Flash漏洞。

此外,依照安全商Webroot所发现之攻击套件作者在网上的声明显示,网路上还有同时囊括Java、PDF、IE与Firefox等各种漏洞攻击工具的「甜橘」(Sweet Orange)漏洞攻击套件。Webroot资深安全威胁研究人员Grayson Milbourne表示:「透过这类攻击套件,可以精准辨识出人们所使用浏览器中,有哪些尚未修补的安全漏洞。」