Hacking is a state of mind

Thomas 出書了!!  --- [WiFi Hacking 無線網路駭客現形攻防戰]

網路書店已經可以找到了 :D

博客來網路書店
 

金石堂

 旗標出版社

 搶先看:
- 駭客如何透過無線基地台的弱點攻擊？
- 無線駭客如何使用 AirSnort 破解 WEP 金鑰？

  

 

By reviewing the statistics of my space, I found there is a very interesting referral link from Google. The keyword of this Search is "Hacking Forum", and this space is the first result if you search only in traditional Chinese.

Obviously this is NOT a Hacking Forum as I am not going to bring you hacking skills here. There are just too many hacking associations around the world and this is a peace land that only share you with Thomas' ordinary experience or humble words.

I will see here as a Security Forum instead of a Hacking Forum. I am not sure whoever came here look for what. However, I will alwasys hope if you came here, you could get something interesting or useful for you.

Here is the google link for "Hacking Forum":

Last few words, I have just found that the first result of Google search for keyword "Security Forum" in traditional Chinese is here as well.

"Security Forum", Sounds better :)

在攻擊事件頻傳的網路環境裡，各家企業，都花了相當多的人力及資金在資訊安全的防護，然而資安事件卻還是無法完全消彌，網路上的駭客攻擊，企業內部的不肖員工，這些潛在的威脅因素，都將對企業安全防線做無情的考驗，而企業如何確認安全防線的有效性，了解可能的危機來調整安全策略？滲透測試，提供企業資安另一個有效的解決方案。

什麼是滲透測試(Penetration Testing)

滲透測試是由一群資訊安全專家，以模擬駭客的角度，在限定的合約時間內，經過企業的授權來對企業進行有系統、合法的攻擊測試。測試的目標包含了主機、應用程式、網路設備、防火牆等安全設備，及其安全的架構與政策。

這些資安專家，利用自動的工具，不管是市面上的商用工具或網路的免費工具，來找尋企業資安架構上已知的弱點，並針對這些弱點，實際上進行利用及入侵，以測試這些弱點對企業實際的危害，及危害的程度。

為什麼要滲透測試, 對企業帶來的成效

目前大部份的企業花了相當多的人力及經費，來提供企業的資安防護，但是常常覺得不知道目前到底安不安全，當沒有事情發生的時候，到底是因為已經很安全了，抑或是己經被入侵而不自知？而當有被入侵的可能時，到底這些駭客們可能的入口在那裡？從這些漏洞，他們又可以獲得那些企業的資源？

利用滲透測試的執行，除了可對目前企業的安全等級做一個考驗外，也可驗證這些資安防護的投資，是否具有成效，並做為將來資安政策制定的考量，以及提供未來資安投資方向。畢竟，當企業詢問建置系統的廠商是否安全時，永遠只會得到已經『安全』的答案，而企業本身又缺乏專業測試的技術，使得企業的資訊安全，總是等待著駭客來打分數。

滲透測試的種類
而滲透測試的種類，依照及測試目標的不同，可分為外部測試及內部測試。

- 外部測試(External Testing)
外部測試是針對企業提供外部服務的主機，以及防火牆的安全政策，來進行測試。這一類型的測試，通常可以從遠端來執行，以駭客的攻擊做為模擬的對像。
- 內部測試(Internal Testing)
內部測試是在企業內部網路，針對內部架構及主要主機進行測試。這一類型的測試，通常是到企業內部實地來執行，模擬的對像為公司內部的員工，對企業內部已有相當程度的了解，可能對企業發動的攻擊，及早發現企業內部裡的隱憂。

滲透測試的步驟
滲透測試的步驟，可以分為幾個階段：
- 專案管理與計劃
當企業決定要做滲透測試之後，在實際由資安專家開始執行前，必須兩方先能夠有充份的溝通，了解執行的方法，相關保密規定，並訂定合約。其中討論的部份包含此次評估的目標、範圍、執行時間，以及雙方對應的窗口。
另外在此階段也必須針對以下幾點考量後進行確認：
1. 是否包含阻斷服務(Denial of Service)攻擊
2. 是否包含社交工程(Social Engineering)測試
3. 是否有特殊執行時間的要求
4. 是否告知企業內部偵測系統的負責人，或是將測試其偵測及應變能力

- 進行攻擊測試
在確定專案的內容之後，資安團隊在通知受測企業後，將展開一系列有系統性的工作。這些工作程序如下：
1. 外訊資訊收集
利用網路上公開的資訊，先對攻擊的目標作資訊的收集，例如利用現在廣為應用的，『Google Hacking』，搜集攻擊目標網站不當的文件權限設定，閱讀可能有用的資訊，或是搜集email 或電話號碼等資訊，這些都可以在下一階段攻擊時運用。
2. 辨識目標主機及其服務
找尋攻擊目標的主機，以及辨識主機上的作業系統及開放的服務。針對這些開放的服務，都必須進行詳細的了解，以得知其服務的版本資訊，提高攻擊的成功率。
3. 弱點的掃描與發現
利用自動化的工具及手動的檢測，來發現系統及服務上的弱點，這些弱點包含了沒有Patch的已知漏洞、不當的設定、過度的資訊分享，以及簡單的帳號密碼等弱點。
4. 發動滲透攻擊
將所有搜集的資料加以利用，使用攻擊工具(Exploitation Tool)來攻擊這些系統及服務的漏洞，嘗試進入主機，取得主機的控制權。
5. 整理及紀錄攻擊結果
在進行攻擊的同時，得到的這些結果，有系統的整理及紀錄，以做為報告的內容及提供企業了解測試的內容及成果，針對成功的攻擊，最好能截取畫面，作為佐證，以利將來對主機負責人員說明時，提供有力的證明。

- 攻擊結果對企業影響分析
完成攻擊後，將攻擊結果與企業的安全架構及政策做比對分析，找出對企業安全的影響，另外，針對一些未知或可疑的服務及設定，也要紀錄下來，列入風險分析的考量。

- 修補建議與稽核
在做完影響分析及風險評估後，資安專家提出弱點的修補建議，針對企業安全架構不完善的地方，提出最佳建議，並針對不安全的設定及脆弱的主機，提供修正的方法。另外在做完滲透測試後，企業經過一番修補改正後，資安專家可再協助企業做弱點修補的稽核，以確保企業安全危機能夠完全的消彌。

- 成果報告及提交報告
在測試完成後，提交詳盡的技術報告及總結報告供技術人員及高階主管閱讀。並利用口頭報告，召集相關人員，包含重要資安決策主管、企業資安人員、主機系統負責人、防火牆及主要網路設備管理人員以及測試團隊成員，針對測試結果進行討論。

企業選擇測透測試服務的考量

目前國內提供滲透測試服務的公司，並不是那麼普遍，而企業在選擇服務時，首先考量的是執行單位的信譽及操守。畢竟在這樣的測試，有機會接觸到企業的內部資訊，若是執行者沒有高道德標準，則對企業是另一個隱憂。另外企業廠商選擇時應避免建置與檢測為同一方人員，以期能獲得客觀公正的結果，並排除掩蓋缺失的疑慮，同時也能避免疏乎一些潛在問題及盲點。

另一個考量是滲透服務公司的專業能力，但有時這些能力卻很難實體化或量化來評估。因為滲透測試的專業技術，不僅僅是自動工具的操作與執行，最重要的是能夠具有專業知識及分析能力，同時也要能富有想像力，才能實際將發現的弱點予以應用，找到成功滲透的方法。而這些專業技術，除了駭客攻擊手法的掌握，測試團隊的成員，最好要能有程式語言的能力、Unix 及Windows 及其他作業系統的知識、防火牆及網路設備相關知識，以及網頁程式的深入了解，才能夠在複雜的企業網路環境，將所有知識串連，進行嚴格而完整的測試。

在服務範圍的考量上，則應考量進行外部或內部測試，在外部測試時，考量採用Black Box 或是White Box的方法。Black Box 測試是僅提供公司名稱等有限的資訊，讓滲透成員以在不知道內部資訊的角度來進行測試，此種測試較能模擬駭客的環境，但卻需要花更多的時間於資料的搜集，另外缺點是有時較不易做到深入的測試。

最後在服務項目的考量，除了一般的滲透測試外，也有特別針對網站及其應用程式為目標，來進行測試，或是針對無線網路的環境，也可成為一個單獨的測試專案，這些項目在進行測試服務的選擇時，也應詳看廠商的服務內容是否包含，或是另外提供單獨的服務。

結論
滲透測試就像是企業安全防護的攻防演習，在企業建置好安全防護之後，則應考量如何能夠評估這些安全防護的有效性，檢測企業安全防線可能的不足處，以提供未來加強及努力的目標。

 

作者簡介：

 

無線網路普及，企業危機重重

無線網路的便利性，使得行動辦公室的實現變得非常的容易，只要在辦公室裡接上無線網路基地台(AP)，就可以在辦公室裡的各個角落，能夠連接上網路。而現今的無線網路科技日新月異，無線基地台的廉價，更使得很多公司在方便性的驅使之下，無不開始考慮採用無線網路。然而，很多公司的腳步並無法及時的跟上員工的需求聲浪，或是在考慮到無線網路的安全性時，而裹足不前。

事實上，在公司內部未開放使用，或無相關政策的同時，很多員工為了方便性，即私自攜帶無線基地台，在公司裡使用。或是公司高層，習慣了使用無線網路，在自己的辦公室裡，自行接上了無線基地台，成為公司無線政策下的例外。尤其是現今的無線基地台，無不打著三合一、超迷你的號召：基地台、無線網卡、橋接三合一，大小已經有到火柴盒那麼小，甚至USB的無線基地台也可輕易在電腦商場買到，因此，在公司的無線設備管理上，產生了很多的困擾。

非法設備，大開企業安全大門

而這些無線設備，到底對企業有怎樣的安全危害，經過了一年多來，資安業者對客戶的教育，以及雜誌媒體，或是新聞上入侵事件的駭人報導之後，企業界對無線網路的安全，有了明顯的相對提昇。

在一般的企業環境裡，常發生的情節，為公司內部使用未經授權的無線基地台，此類的AP往往使用預設設定(Default Configuration)，或為了方便或缺乏安全認知而沒有任何安全機制，這些AP的存在，無疑是讓公司的網路透過無線訊號的傳播，使得公司成為熱點(HotSpot)，此時有心人士則利用這個連線，直接登入了公司內部網路，公司對外網路上再強大的防火牆，也無法阻擋這些有心人士的入侵。

而另一方面，公司附近也許原本就有HotSpot，或是鄰近公司的AP，或者想像到年底時，台北市將有90%的無線網路覆蓋率，此時，如何確保員工連到原本應該要連線的無線網路，將是另一大議題。

因此，如何找尋這些私接的AP，或是判斷公司領空的這些無線訊號的來源，或是追蹤這些誤用非授權AP的員工，或是找尋正在對公司進行攻擊的攻擊者，變成了企業想要完成的不可能任務。
無線定位技術的演進

二年前，單純的找出這些無線訊號，己經可以滿足管理者的需要，而今，如果無法判斷這麼錯綜複雜的空中網路，漓清合法與私接的網路設備，則企業的網路安全管理者，將寢食難安。解決的方法，有從偵測無線設備是否與公司內部網路連結，或是直接做位置定位。

無線網路的位置定位，從最早時，單純的根據單一的AP連線紀錄去尋找Client端的使用者，或是利用手提裝置，實際上去做「Site Survey」根據訊號強弱來判斷AP的位置，到現今，所謂的這些定位系統，一般較常採用的方法，有「無線訊號三角定位」(RF Triangulation) 及「無線訊號特徵定位」(RF Fingerprinting) 兩種。

目前無線網路的這些定位系統，大都是利用「收訊強弱指數」(Received Signal Strength Indication, RSSI) 來做為比較的基準。當無線電波 (Radio Frequency) 訊號在空氣中傳遞時，因為傳播介質的影嚮，隨著接收距離的遠近，產生了相對的衰減。因此利用這個指數，可以估計訊號的範圍，但無法判斷訊號的方向源。

無線訊號三角定位

此種方法利用RSSI來估測從訊號源到接收器的距離。但單一個接收器並不足以判斷其正確的位置。一般需要三個以上的固定點才能夠做估測距離。

無線訊號特徵定位

此種方法也是利用數個接收器的RSSI數據來計算可能的位置。此時其得到的數據，不是利用其訊號的強弱度直接去計算估計值，而是去比對一個預先建好的Model。這個比對的Model，則必須先經過在實際環境做「實地測定」 (Site Calibration)，依各個不同的環境建立其各別的Model。RSSI值在不同的室內環境裡，由於實際建築物的隔間，建材的不同，所產生的散射或衰減，在每個環境裡都不一樣。因此此類系統在建置之初，則必須要實際帶著一台可以發送無線訊號的設備，在樓層裡走動，建立該環境的Model，並儲存這些不同的RSSI值。

為了提高準確度，這些實際測得的RSSI數據點，將做更進一步的統計分析，因此實際比對數據時，將不是比對RSSI的實測值，而是經過計算後的「特徵」。這樣的比對，是去比對訊號點的「RF Fingerprint」，因此實際上並不一定要三個以上的接收器，兩個以上的接收器則可做定位，但若有高準確度的要求，則建議仍然使用三個接收器。

三角定位的挑戰

三角定位法，在開放空間裡，若無障礙物的阻隔，則可得到較為準確的結果，然而，在一般的辦公室裡，隔間、電梯、設備或其他的設施，造成了相當多不確定的環境因素。這些變數，造成訊號的散射(Scattering)、多路徑(Multi-pathing)、及衰減(Attenuation)。

散射
當訊號在傳播時，遇到辦公室裡的牆或其他不規則的表面，而同時產生很多強弱不同的反射訊號，因此，實際上這些訊號需要花更多的時間才會被接收器收到，同時訊號的強度也變得較為微弱，使得定位系統在估算時，會比原本實際的距離估算較遠，造成錯估。

多路徑
在辦公室裡的眾多設施，將使得訊號在傳送時，同一個訊號可能會採用不同的路徑到達接收器。雖然是同一個訊號源發射訊號，但在接收器上可能會收到各種不同RSSI數值，三角定位所依賴的是RSSI值，此時估算出來的距離，將無法準確或判斷實際距離。

衰減
在辦公室裡的訊號，可能直接穿過隔間牆而直接抵達接收器，但抵達的同時，訊號已經衰減，三角定位裡的估算，其衰減的估算是以在無障礙空間的自然衰減值來計算，因此，此種情況將會高估實際距離。

特徵定位的實地測定

為了克服三角定位的散射、多路徑、衰減的影響，特徵定位採用實地測定來現場採樣經過這些影響後的RSSI值，並建立該環境的位置Model。所以在定位系統建立之初，需要先做實地的走測，建立參考點的RF 特徵值。使用者先輸入平面圖，然後帶著無線設備，並用穩定的速度在環境裡走動，讓接收器能夠記錄參考點的統計數據，為了得到最佳精確度，一般建議至少每10英呎能建立一個參考點。而在各個參考點之間，系統則會利用內差計算，來補足這些數據。當實地測定的參考數據愈多，則可得到較高的準確度。

精確度的比較

距離估算的精確度，跟接收器的多少、密度、擺設位置以及現場環境的變數惜惜相關。三角定位由於散射、多路徑、衰減的影響，經過實測數據得到的平均準確度約為30英呎。特徵定位的平均準確度，實測的平均精確度可達到10英呎以內。大幅提昇了無線定位的準確性。若為了節省接收器的佈建成本，則並不一定要採用三個以上的接收器，直接降低購置接收器的費用支出。

給企業的建議

特徵定位改進了三角定位的限制，提昇了準確度，若是考量定位系統的建置成本，也可以在降低準確度的要求下，減少接收器的佈置。但其缺點為必須經過一次實際的參考點採樣。

目前市面上的無線網路管理＆入侵偵測系統，許多廠商都積極的加入了這項的功能，各家的方法及技術也不一樣。有些採用傳統的三角定位，也有使用特徵定位的系統。因此企業可依實際環境及其他因素的考量，來選用及建置這些系統。

無線設備定位的技術，隨著無線網路的廣為採用，以及無線環境日趨複雜，企業安全需求增加，各家廠商無不致力於這方面的研究。以目前10英呎的定位技術的準確度，再配合公司無線網路政策的執行，相信這些非法的無線設備，將可排除於企業的安全大門之外。

 

作者簡介：

<原文刊於 ITHome 2004 資安特刊>

近幾年來，企業資訊安全的危機，來自於蠕蟲的攻擊，佔了相當大的一部份。SQL Slammer、Blaster、Sasser 這些蠕蟲，利用攻擊這些在軟體本身上的弱點，造成全球數十億美元的損失。事實上，根據美國電腦危機處理中心(CERT/CC)的研究報告指出，超過99%的資訊安全事件，都是針對已知弱點所造成的破壞。顯示企業安全的成敗除了被動式的防禦，主動預防式的弱點管理之有效執行，才能解決問題的根源。

弱點管理與企業安全

從2002年至2004年間，CERT/CC接獲回報的弱點數，每年將近四千個，平均一天超過十個以上的新弱點，在企業內有限的人力之下，如何能在利用弱點的蠕蟲產生之前及時修補，將是企業的挑戰。尤其目前弱點公布至蠕蟲流行的時間已從1999年的288天，至2004年的十天反應時間，如何能從企業內部眾多的數位資產裡，找出弱點的所在，從何處著手來做好弱點管理，考驗著資安人的智慧與能力。

 

  

資料來源US CERT/CC

弱點管理從何管起?

在2001年，SANS機構與FBI集合了資安專家的意見，共同公佈了一份文件，以”Stop the Break-Ins!”為標題，列出了十項網路上最危急的重大弱點，提供企業在面對成千上萬個弱點時，能夠有優先順序的準則，先致力於最危險的弱點修補。而後在2002年增加為二十項，並從2003年起分為Windows Top 10及Unix Top 10。而事實證明，SANS/FBI每年公佈的前二十項最重要的弱點，這些弱點也是後來這些蠕蟲如Blaster, Slammer, Code Red, 或是 NIMDA所利用的弱點。

最近的一份報告(2004年10月)公佈的前二十項重大弱點如下：
Windows平台的前十大弱點：
•  W1 Web Servers & Services
•  W2 Workstation Service
•  W3 Windows Remote Access Services
•  W4 Microsoft SQL Server (MSSQL)
•  W5 Windows Authentication
•  W6 Web Browsers
•  W7 File-Sharing Applications
•  W8 LSAS Exposures
•  W9 Mail Client
•  W10 Instant Messaging

UNIX平台的前十大弱點：
•  U1 BIND Domain Name System
•  U2 Web Server
•  U3 Authentication
•  U4 Version Control Systems
•  U5 Mail Transport Service
•  U6 Simple Network Management Protocol (SNMP)
•  U7 Open Secure Sockets Layer (SSL)
•  U8 Misconfiguration of Enterprise Services NIS/NFS
•  U9 Databases
•  U10 Kernel

在這份新的清單內，值得注意的是，W10 Instant Messaging 是第一次進入排行榜。隨著IM軟體使用者的大幅增加，在IM上的弱點也逐漸被發掘，不管是在 MSN，Yahoo Messenger或者AOL上，都存在著弱點，類型包含了檔案傳送時或ActiveX Controls上的緩衝區溢位，雖然這些IM主要為一般使用者使用，但可能造成企業內部員工的機密資料外洩，或是使得員工無法工作，降低生產力，造成企業損失。另外W8 LSAS Exposure的弱點也因Sasser的流行，加入了Top 20。

優先修補的對象
雖然了解了弱點修補的項目，但企業內龐大的資產數量，如何確認何者應為優先修補的對象？雖然各個企業對於資產重要性的定義或有出入，但以下幾個類別，可以列為工作的重點：

1. 具有外部連線的主機
很多企業在設計網路架構時，內部與外部網路，常常並沒有分開，所以這些有外部連線的主機，常常為第一攻擊目標，也是駭客進入內部網路的大門。所以應列修補的重點。
2. 伺服器
常用的郵件、檔案、DNS、Domain Controller等伺服器，關係著企業的正常運作與否，因此需要優先防護，以免於不管是來自內部（蠕蟲、病毒、Insider…）或外部（駭客、Script Kiddies…）的攻擊。
3. 資料庫
儲存著企業的重要資料及機密。
4. 重要系統
交易系統、ERP、人事資料系統等公司日常營運所使用的系統。
5. 防火牆及網路設備
防火牆為企業安全防護的城牆，當然應隨時檢視其自身之安全。而網路設備例如Router、Switch等設備，若受攻擊，則企業的網路也立刻受到影響。
6. 其他重要人事之主機
CEO、財務、人事管理者所使用的電腦裡常存有企業的重要機密資料，也應列為檢測重點。

弱點管理的工作，無法一次修補所有的資產，有系統的做好資產清查，分門別類，了解資產的重要等級，針對這些重要的資產，優先做處理，才能使得努力有所成效。

Top 20 弱點的影響

SANS/FBI的這些弱點，究竟對企業會造成那些的危害，可分為以下幾類：
1. 系統完全被非法擁有
利用這些弱點，攻擊者可以得到系統管理者的權限。竊取系統內的重要資料或更進一步利用這些主機發動DDoS攻擊。
2. 資訊或檔案的外洩
攻擊者無法獲得完全的權限，但可以讀取更改資訊及檔案，造成資料的完整性、隱私性、可用性受到破壞。
3. 執行任意程式碼
利用這些弱點，攻擊者可以在主機上執行任何的程式碼，通常此種攻擊若有系統權限或配合提升權限的方法，可以進一步達到完全擁有主機的目的。
4. 阻斷式攻擊
攻擊者攻擊這些弱點，使得主機上的服務中斷，無法提供正常的運作。
5. 感染及散播病毒
由於軟體本身上的弱點，造成執行了惡意的程式碼或病毒程式。
6. 散發Spam信件
利用Email服務上的弱點，大量散發郵件。

弱點檢測的方法與工具

針對這二十項弱點，企業內部的IT人員，該如何來檢測數位資產上是否有這些弱點？在SANS 網站上公佈的最新文件裡，有詳細的列出了每一個弱點的影響系統版本、如何檢測、如何免除危險，以及相對應之CVE/CAN編號。然而，從2001年公佈的Top 10一直演進到目前版本的Top20，事實上其包含的項目，己成數倍增長。最新公佈的這一份文件，所涵蓋的相關弱點相當的多，其列出之相關CVE/CAN編號，超過五百個項目，若是完全以人工來找尋這些弱點，則是工程相當浩大的任務。因此目前市面上有相對應的弱點評估/管理系統，提供針對SANS/FBI Top 20項目而做的檢測。

SANS網站上所列舉的弱點評估/管理系統如下：
- Foundstone Enterprise Vulnerability Management System (www.foundstone.com)
- eEye Retina Network Security Scanner (www.eeye.com/retina)
- Preventsys (www.preventsys.com)
- Qualys (www.qualys.com)
- Sara (www-arc.com/sara)

其他還有一些非針對SANS/FBI Top 20的弱點掃描系統，
- Nessus (www.nessus.org)
- SAINT (www.saintcorporation.com)
- Nmap (www.insecure.org)

修補方法與建議

在找尋到這些弱點之後，IT人員又該如何來進行修補？一般的修補工作，可以分為以下幾種類型：
1. 上相對應的Patch或更新版本
針對系統或服務，廠商都會提供Patch檔，針對這些弱點做修補，這一類型的修補工作，佔相當大的比率，執行時應注意的是對於重要的上線系統，應該先做測試，評估其是否有其他的不良影響。
2. 參考廠商或專家提供的Best Practices建議，更改設定
一般的廠商及專家會提供最佳設定的建議給使用者，例如Apache、IIS Server這些都有安全設定的建議，使用者應該參考這些建議，補強預設Configuration的不足。
3. 關掉不必要的服務
沒有再使用的服務，應該直接將其移除或關閉。常見的情況為預設安裝作業系統時，一併裝設了很多沒有在使用的服務而不自覺。這些沒有在使用的服務，往往也疏於管理更新。
4. 使用Host-based Firewall跟IDS
這些防禦機制，如果正確的設定，可以有效的防止攻擊者使用這些弱點。
5. 最小權限原則(Least Privilege)
合理定義每個使用者的權限，避免過度的權限給予攻擊者機會。

安全了嗎?

修補了SANS/FBI Top 20，事實上即可消彌目前常見的重大資安事件。以US-CERT公布當前最常發生的重大資安事件為例 (2005/03/14, http://www.us-cert.gov/current/current_activity.html) 這些目前流行的資安事件，都在Top 20建議的修補範圍之內。下表列出其與弱點之關聯：

 

事件名稱	對應SANS/FBI Top 20之弱點	說明
W32/MyDoom Revisited	W6, W9	利用Email Client 自動瀏覽的功能或使用者打開不安全的附件達到感染及傳送病毒的目的。其新變種也利用IE IFRAME的弱點進行攻擊。
MySQL UDF Worm	W5	這一個蠕蟲並未利用任何MySQL的弱點，而是利用其安裝在Windows平台時簡易的密碼或無密碼設定的弱點。
Santy Worm	W1, U2	利用phpBB佈告欄程式的弱點，達到控制Web Server的目的。
W32/Sober Revisited	W9	利用Email Client 自動瀏覽的功能或使用者打開不安全的附件達到感染及傳送病毒的目的。
W32/Bagle Revisited	W9	利用Email Client 自動瀏覽的功能或使用者打開不安全的附件達到感染及傳送病毒的目的。

 

 由上表顯示，目前流行的這些蠕蟲與病毒，其實也都被涵括在這個Top 20的項目內，只要能持續修補這些重點項目，則已經能夠阻擋這些常見的攻擊活動。

持續的有效進行弱點管理

來自於網路上的威脅雖然日新月異，但其實也不完全是無跡可尋。面對成千上萬個弱點，其實只要能夠掌握住重點，則這些修補工作就能具有效益，而不是花了很多的精力在修補一些不會對企業造成任何危害的弱點。畢竟企業內部弱點修補的工作是永無止境的。

義大利的經濟學家Vilfredo Pareto在1906年提出的20-80理論，事實上也可應用在弱點管理的工作上。百分之20的弱點，會為企業帶來百分之80的風險。找出那些百分之20的弱點，優先修補這些弱點，可立即大幅降低企業風險。而這些所謂的百分之20的弱點在那裡？SANS/FBI Top 20，即是一個相當重要的指標。

“Protecting the Right Assets • From the Right Threats • With the Right Measures”，在做弱點管理時，使用正確的弱點管理系統為你做正確的評估，以SANS/FBI Top 20為方向找出正確的威脅，如此，企業才能保障資產的安全。

<原文刊於 ITHome 2004 資安特刊>

前言
你是否有這樣的經驗，打開電腦，啟動無線網卡，然後試著讓Windows XP幫你自動找尋可用的無線網路，想要在 Coffee Shop或者甚至是路邊，享受無線上網的樂趣。

而現在隨著無線設備價格的平民化，想要在路旁找一台無線基地台，似乎也不是難事，尤其是在一些Coffee Shop 更是以提供無線上網為號召，吸引隨時隨地想上網的人。然而，就在無線基地台所在都有的情況下，當你啟動你的無線網卡時，可能，你己經暴露在無形的危機裡。

目前無線網路的駭客工具，在網路上都可以很容易得到。而且所需要的專業知識，也愈來愈低。HotSpot裡常見的駭客攻擊行為，以及他們所利用的工具，如以下所述。

偵察
首先，駭客找了一個可以放心進行攻擊的好位置，然後對這一個無線環境，做一番的「偵察」工作。這一類的工具有很多，最基本的，可以利用Windows XP 所內建的無線網卡設定工具。在Windows XP SP2以前的 Wireless Zero Configuration 的設計裡，它會自動利用你己使用過的SSID先去做尋找無線基地台的工作，所以，若是你己經將一些常用的Default SSID加入你的Preferred Network List 裡，可以加快你發現無線基地台的時間，也可以發現一些SSID 廣播被關掉的基地台。

在Windows 裡另外一個常用的工具，那就是 NetStumbler。NetStumbler的功能比Windows內建的工具好些，提供你SSID，MAC 地址，頻道，加密與否以及訊號強弱的資訊，此時你就可以利用這些找到的SSID試著去做連線。

這些Windows平台下基本的工具，並無法提供你更進一步攻擊所需要的資訊，例如，正在連線的工作站的MAC地址，這樣的資訊是你突破MAC Address Access Control List限制所必需要的資訊。目前並無這類免費的工具，而付費的工具有AirDefense Mobile 以及 AirMagnet。當然，如果你對Linux有些基本認識，你可以使用無線駭客的最愛的免費工具--Kismet。

Kismet提供了相當完整的無線偵察功能，也是War Driving常使用的工具。此時駭客感興趣的是無線基地台的SSID，MAC Address，使用頻道，以及是否使用WEP或其他的認證機制。同時也收集使用者的MAC Address，IP等資訊。而且，Kismet也可以將封包存下來，讓你用破解WEP 的工具來進行WEP解密。

連線
有了這些偵察工具的幫忙，駭客第一步就是找到一個可以連線的基地台。完全沒有安全防護的基地台，到處都是。而一般常見的安全機制有在基地台端的有MAC Address Control List，WEP加密，在後端與付費系統整合的認證，有利用MAC或Session來做認證。MAC Address Control List可以從無線網路偵測的工具裡找到有用的MAC Address，駭客只要利用像SMAC這樣的工具，將自己的網卡改為同樣的MAC地址，則可輕鬆破解。WEP加密，則可利用AirSnort直接花時間去破解，也可利用Kismet所抓到的封包，使用WEPcrack等工具去做字典攻擊。

至於整合付費系統的認證機制的服務，在此類的認證，常常會先允許你連線到基地台，取得合法IP，但未付費時，則無法使用Internet。此時，駭客的攻擊手法就得因地制宜了。

一旦駭客連上了HotSpot 的無線基地台，即使他無法破解HotSpot的付費認證機制，但他卻可以對在HotSpot的其他使用者，進行攻擊，甚至可以竊取合法用戶的資料，來登入HotSpot的付費系統。

監聽
駭客最基本的功夫，即是利用Sniffer來監聽沒有加密的內容。常見的Sniffer工具有很多，現在更有針對特殊應用程式及Protocol設計的程式，例如MSN Sniffer讓你看得到別人的聊天內容，HTTPDetect讓你知道別人在瀏覽什麼網頁，像WinSniffer，Cain或ACE Password這樣的工具，自動幫你搜集利用明碼(Plain-Text)傳送的密碼，例如Email，FTP，或Telnet。另外Ethereal及Airopeek這種功能強大的Sniffer，也是駭客常用的工具。

Evil Twin
除了監聽之外，進一步的駭客攻擊，則會利用Man-in-the-middle，來操弄其他的使用者。駭客使用兩張無線網卡，一張與HotSpot的無線基地台連線，另一張網卡則利用軟體驅動成”Soft AP”，並且設成和HotSpot一樣的SSID，欺騙其他的使用者來與其連線。駭客的筆記型電腦，此時即設成了所謂的『Evil Twin』，偽裝成和HotSpot一樣的”攣生AP”，靜待受害者連線。此時駭客可再設置一個和HotSpot付費登入一樣的網頁，讓使用者輸入其帳號密碼，然後再將他重新導向到真正的付費畫面，使用者就在不知不覺中，被騙取了帳號密碼。MITM攻擊的工具，則有著名的Monkey Jack，HotSpotter或是其他可以使用軟體驅動成Soft AP的無線網卡。

癱瘓
最後，駭客也可以發動阻斷式攻擊(DoS Attack)，癱瘓HotSpot的無線基地台，此種攻擊可以是單純的阻礙使用者連線，也可暫時中斷使用者連線，然後增加使用者連到駭客設置的Soft AP的機會。阻斷式攻擊可以針對某一台基地台，中斷所有的連線，使用工具為hunter_killer，或是針對某一台主機與基地台的連線，例如wlan_jack等工具。

 

Client端攻擊
除了以上這些無線網路下特有的攻擊模式，事實上，當駭客與使用者在使用同一個無線網路的時候，有線環境下的攻擊，也可以一一應用在WLAN裡。最簡單的攻擊，則是掃描使用者的漏洞，或是用字典攻擊法猜取使用者的Windows 管理者密碼，尤其是一般人對密碼設置的不重視，使用過於簡單的密碼或過短的密碼(低於8位數)，admin, password, 1234, 123456, abc123若是你有使用類似的簡單密碼，在幾秒鐘之內，駭客即可猜到，然後若你的電腦為所欲為：讀取檔案，裝設木馬，完全控制你的電腦。

自我防衛
了解了HotSpot裡所可能進行的無線網路攻擊的行為，對一個單純的想要在HotSpot裡品嚐咖啡，享受無線上網樂趣的使用者，以下的幾點建議，將可有效的加強自身的防護，避免自己成為下一個受害者。

一、 使用VPN連線，防止駭客監聽。
二、 使用加密的通訊協定取代沒有加密的通訊協定，例如：使用SSH代替Telnet，使用SSL加密的HTTP。
三、 啟動個人防火牆，減少駭客直接Client to Client的攻擊行為。
四、 不在公用無線網路裡進行重要的交易，例如使用網路銀行或線上購物。
五、 離開電腦時啟動登入鎖定，不使用簡單或空白的登入密碼，避免駭客利用你離開座位的時候，裝設惡意程式在你的的電腦上。

作者簡介：
莊添發 Thomas Chuang
美國卡內基美隆大學資訊安全及電腦輔助工程雙碩士，目前任職精誠資訊公司，擔任亞太區顧問。主要領域為風險管理與弱點評估，以及無線網路安全，並且也擔任Foundstone Ultimate Hacking 講師，於新加坡、曼谷、香港、北京、上海等地開課。