VML零時差弱點入侵展示
Sunday, September 24, 2006, 19:04 - 資訊電腦, 資訊安全
我想絕大多數不在資訊或資訊安全領域的人,即便看了前面幾篇有關零時差攻擊的部落格,大概對於這個問題的嚴重性還是很難有感覺。國外的資訊安全研究公司Websense針對這個問題,特別製作了一段video來展示這個問題的嚴重性。
這段video是在9/21剛錄製完成,影片一開始就告訴觀看者,畫面上顯示的電腦環境是Windows XP, Service Pack 2,而且所有微軟已經公佈的弱點都已經修補完了。接著畫面顯示以IE瀏覽器瀏覽一個目前被發現實際存在有VML零時差攻擊程式的網頁[註],接著畫面顯示再以IE瀏覽器開啟PayPal網站,同時以PayPal的帳號與密碼登入PayPal網站。
到此為止,使用者完全感覺不到他的電腦有任何不對勁,接著Websense的專家就開始解釋背後到底發生了什麼可怕的事。首先在使用者瀏覽實際存在有VML零時差攻擊程式的網頁中,隱藏有一個看不到的iframe,這個iframe裡面就被黑客(Cracker)埋藏了VML零時差攻擊程式。當使用者瀏覽這個網頁時,事實上電腦裡已經被植入了一個鍵盤側錄程式,這個程式會把使用者在瀏覽器中打的所有字都偷偷的側錄下來,並傳回去給黑客。影片中將這個鍵盤側錄程式所錄到的PayPal帳號與密碼都顯示出來了。
有興趣看這段影片的人,可以點選此連結下載觀看。建議最好在全螢幕模式下看較為清楚。
[註] 在Netcraft上有報導一家叫做HostGator的Web Hosting公司遭入侵,並被利用作為VML弱點攻擊。
[ 1 回應 ] ( 6預覽 ) | permalink
目前如何避免IE VML弱點影響你的電腦
Sunday, September 24, 2006, 18:30 - 資訊電腦, 資訊安全
最近在資訊安全領域最熱的新聞之一就屬微軟的向量標記語言(Vector Markup Language, VML )弱點。這個弱點發生的原因是由於微軟在產生向量圖形(Vector Graphics)的程式庫vgx.dll中有緩衝區溢位漏洞,即使是完全修補的Windows XP SP2系統,使用者在瀏覽到利用了此弱點的網頁後,使用者電腦便會被植入惡意的後門程式。並且vgx.dll同時也被微軟的電子郵件軟體Outlook使用,即便使用者僅是預覽郵件(以HTML格式),使用者電腦同樣會被植入惡意程式。目前會受到影響的Outlook版本可以上Sunbelt公司的部落格查。
Sunbelt軟體公司首先在色情網站中發現利用此弱點的惡意網頁,後來VeriSign的 iDefense 團隊發現該程式碼可以在郵件中被執行,即使用戶只是預覽郵件並未進行開啟信件或是點選連結等動作,該惡意程式仍可趁機進入電腦。目前這個程式碼已經在病毒網站間快速流傳,由於該程式碼可以輕易被人複製使用,因此可能造成相當大的問題。
目前要避免IE VML弱點影響你的電腦,除了等待微軟公佈補丁程式或是去下載ZERT所公佈的補強程式外(只是真要安裝3rd party的補丁程式還是讓人怕怕的),也可以透過簡單的設定來避免這個問題。目前專家建議的做法包括:
- 改用其它的網際網路瀏覽器產品,例如Firefox或Opera
- 使用純文字格式瀏覽郵件
-
微軟建議的反註冊Vgx.dll檔案workaround
- 點選「開始」-->「執行」-->輸入cmd,按下確定。
- 輸入:regsvr32 -u "%ProgramFiles% \ Common Files \ Microsoft Shared \ VGX \ vgx.dll"。
- 出現一對話方塊確認反註冊已經成功,按下確定。
[Note] 較深入的資訊可參考Windows VML Vulnerability FAQ (CVE-2006-4868)
[ 發表回應 ] | permalink
One Web Day
Sunday, September 24, 2006, 16:36 - 資訊電腦, 網際網路
延續昨天的話題,網際網路已經不可能消失,而且它會以我們無法想像的方式滲透到我們的每一個生活細節裡,不論你喜歡與否。最近國際上有人提出一個叫做One Web Day的線上活動。這個活動的想法是希望號召「實體地球」上的每個人從2006年開始,每一年的9月22號來慶祝Web。選擇9月22號的原因是因為OneWebDay是受到世界地球日的啟示,同時為了表示對世界地球日─每年的4月22日的尊敬,所以選擇這天為OneWebDay。
想參與OneWebDay的人,可以到OneWebDay所設立的ProjectWiki網站上,把你想慶祝的想法寫下來,OneWebDay將透過這個網站媒合與你想法類似的人,一起來舉辦活動。OneWebDay的網站提出了一些可能的慶祝方式,包括
音樂的網路混合服務(mashup) [註]
用投影片或在flickr網站上用照片做出OneWebDay的手勢
口述Web如何改變我的生活
我怎樣在網路上發現我的工作
我怎樣在網路上交到朋友
Web對我的意義
我怎樣在線上工作
教你的祖母寫部落格
教市長寫部落格
把你的數位照片放上網
為你的俱樂部、教堂或學校製作一個網站
把你的街坊登記在Wikipedia上
收集你鄰居的電子郵件地址,並做成鄰居互動的mailing list
企業可以為在家工作的員工舉行線上虛擬會議(virtual meeting)
員工可以教你的老闆用及時通訊
父母可以請你的子女教你使用及時通訊
醫生可以設立一個讓病人自己掛號的網站
圖書館和學校可以開網站建置的研討會
[註]
Mashup is a web page or site made by automatically combining content from other sources, usually by using material available via RSS feeds and/or REST interfaces.
[ 發表回應 ] | permalink
網際網路不安全,是因為人類讓它不安全的
Saturday, September 23, 2006, 16:56 - 資訊電腦, 網際網路
在這個部落格裡的文章,只要一講到資訊安全好像都會讓人感覺到網際網路充滿著負面的現象。但是很好玩的是,雖然我從事的是資訊安全的工作,我反而常常會跟一些對網際網路存疑的朋友發生爭論。就以網路交友這個議題為例,網路交友大概是僅次於網路賭博、色情等最能夠賺錢的網際網路服務之一,也因此網路交友也是最容易有爭議的議題之一。對網際網路存疑的朋友認為(當然這樣的人已經越來越少了),網際網路充斥著壞人,因此網際網路裡的人其實是另一個世界的人,因此我們不能信任任何從網路認識的人。
針對這樣的論點,我同意的部分是網際網路充斥著壞人,但這些壞人哪裡來的?這些壞人同樣充斥在你我每天生活所在的現實社會中。網際網路裡的人就是現實社會的人組成的。當然有人會進一步爭論,如果不是因為網路,那我就不會碰到這些壞人了。只是這樣的論點是無法驗證的,所以我並不想在這項議題上去深究。
我想提出的是,我一直認為網際網路是歷史的必然,它就跟火車、公路與飛機一樣,把人類互相連結的象限增加了另一種可能性,不論你喜歡它與否,it's there, and it won't leave。在火車、公路與飛機這些工業革命的產物剛被發展之際,相信很多我們的祖父輩或曾祖父輩會認為,這些產物會帶來大量的外地人或外國人,所以這些東西是邪惡的,是會破壞我們安全生活環境的。這樣的心態,大體上就跟我剛提到有些人認為網際網路充斥壞人,因此我們不能信任任何在網際網路上認識的人一樣的心態。
我必須要強調的是,我不是說網際網路是安全的,它跟火車、公路與飛機一樣存在著風險。而且如同我一開始所說的,在我部落格裡只要是有關資訊安全的文章,大概都反應出網際網路一部分的黑暗面。但我們沒有任何人有辦法去抗拒網際網路變成是我們生活裡除了火車、公路與飛機以外的另一種「交通工具」。在網際網路上交友其實跟你現實生活中認識人一樣都存在著風險,因此談交友,不論是不是透過網路,讓我們回歸到判斷人性基本面上來爭論,而不要爭論網際網路是否安全。
簡言之,網際網路不安全,是人類讓它不安全的,但網際網路已經不可能消失,而且它會以我們無法想像的方式滲透到我們的每一個生活細節裡,不論你喜歡與否。實體的交通安全經過幾百年的規範,對所有人來說已經是很自然的事,網際網路的發展只有短短的2,30年,但我相信再過數十年,我們的下一代看待網際網路將與我們看待火車、公路與飛機一樣的自然。
[ 發表回應 ] | permalink
零時差緊急應變團隊(ZERT)
Saturday, September 23, 2006, 00:17 - 資訊電腦, 資訊安全
2003年2月26日一位美國商人,因為高燒、乾咳、肌肉痛及輕微喉嚨痛被送進越南河內一家醫院。在四天後病程進展至呼吸困難、嚴重血小板缺乏,並出現成人呼吸窘迫症,而需要使用呼吸器。送香港治療後卻不治死亡。之後在香港、越南陸續出現非典型肺炎合併有呼吸道感染症狀的案例,並懷疑是一種尚未經証實之病毒感染引起。世界衛生組織(WHO)於三月十五日因其特點為發生瀰漫性肺炎及呼吸衰竭,較過去所知病毒、細菌引起的非典型肺炎嚴重,因此取名為嚴重急性呼吸道症候群-Severe Acute Respiratory Syndrome(SARS)。[SARS的教訓]
在資訊安全領域,越來越多像SARS一般的各種零時差(Zero-day)惡意程式,在人們還措手不及的情況下就被有心人士釋放出來,用以發動網路世界的"SARS"零時差攻擊(Zero-day Attack)。而且絕大多數這些惡意程式的設計都把握了兩個原則:1.針對擁有最龐大使用族群的微軟應用程式弱點來設計,以便能獲得最大的攻擊影響範圍。2.在每個月著名的的「微軟修補週二」的隔天,發起「零時差攻擊週三」,以便能夠獲得最長的攻擊影響時間。
第一個現象是市場經濟的問題,短時間恐怕無法改變,但針對第二個現象,目前已經有一群散佈在全球,精通軟體、韌體或硬體逆向工程(Reverse Engineering)的電腦專家,組成了一個名為Zeroday Emergency Response Team (ZERT)的緊急應變團隊。ZERT成立的目的是希望在有零時差攻擊出現,而受影響的軟體製造商尚未發布修補程式前的這段空窗期,就能夠搶先提供修補程式。ZERT是在去年(2005年)的11月,在當時的 WMF (Windows Metafile)攻擊之後成立的。過去這段時間ZERT都相當的低調,一直到最近一個最新,且截至目前為止都還沒有修補程式的IE瀏覽器向量標記語言(Vector Markup Language,VML)漏洞出現後,由於ZERT決定在9/22發布這個弱點的修補程式後,因此除了在資訊安全界引起討論外,國外的電子媒體也出現了ZERT的相關報導。
我想ZERT的成立背後所帶出來的嚴肅議題,除了代表對於軟體製造商,目前在修補產品弱點仍不夠積極的一種無形批判外,也代表病毒、蠕蟲與木馬程式的演化規則已經徹底改變了:這些惡意程式不會乖乖等到解藥都出來後才發動攻擊。這些網路世界的SARS病毒是被有犯罪意圖的惡棍在精確計算後,拿來作為組織化間諜活動(corporate espionage)的一個重要手段。未來我們只會看到這樣的事件快速成長,並且這樣的狀況不會像SARS一樣,在肆虐過後突然就消聲匿跡,而是只要網際網路存在就永遠不會消失。而這,正是我們開始應該嚴肅以對的問題。
[ 2 回應 ] ( 43預覽 ) | permalink
前一頁 下一頁
