2016年12月29日 星期四

資安周報第54期:3成重要政府官網不夠安全,恐因XSS漏洞害民眾

 
每日出刊.2017.01.02
 
本 期 目 錄 簡介/舊報明細
資安周報第54期:3成重要政府官網不夠安全,恐因XSS漏 ...
Fintech雙周報第11期:DeepMind也要發展區塊鏈技術, ...
Container雙周報:Docker將容器基礎元件containerd開 ...
百萬會員電商平臺大改造,東京著衣品牌再造先從IT做起

優惠訊息

Data Science新手村攻略
行銷!就用中文網址輔助
租虛擬主機架站,再附信箱

IT報告 

資安周報第54期:3成重要政府官網不夠安全,恐因XSS漏洞害民眾

今年網路攻防演練受測的府院等共35個演練機關中,有3成機關網站面臨XSS網站漏洞,也有管理員偷懶使用弱密碼以及廠商提供的預設帳密和路徑,置網路使用者安全於度外



今年行政院資安處針對總統府、行政院、立法院、司法院、考試院及監察院等五院,直轄市及縣市政府為主共35個演練機關以及1646個系統進行網路攻防的實兵演練,並由行政院資通安全會報技術服務中心(簡稱技服中心)協助進行。

根據技服中心揭露的資料顯示,有超過3成的受測府院及縣市政府網站,都面臨跨站腳本程式攻擊(XSS),使用者只要瀏覽被駭客植入惡意程式的網頁,就會在本機端被植入惡意程式受害,甚至於,從技服中心的資料也發現,有部分網站管理員除了使用弱密碼,甚至還疑似沿用廠商提供的網站預設帳密及路徑,造成政府網站不安全。在政府網站多數都有許多重要的民眾資料和政策資料時,如此輕忽的作為,不僅缺乏資安意識,也置民眾網路使用安全於度外。

府院縣市政府受測35個機關中,有3成網站有XSS漏洞

政府進行的攻防演練主要是採用OWASP在2013年釋出的十大弱點測試手法加上應用程式或系統弱點,總計11項作為檢測政府機關系統弱點的標準,這也是各界進行弱點檢測的共通參考指標之一。

技服中心表示,今年實兵演練中,可以發現政府機關普遍的弱點,占比最高的就是跨網站腳本攻擊(Cross Site Scripting,XSS)以及錯誤的安全性設定(Security Misconfiguration),占比都超過3成以上,這一般都和網站應用程式安全相關,而過往常見的SQL Injection弱點,今年演練結果中,只有5%的機關有這樣的弱點。

有31.48%的機關都有發現XSS這樣的弱點類型,而這種攻擊手法主要是允許駭客將惡意程式碼(包含HTML和使用者端的腳本語言)注入到網頁上,當其他網路使用者瀏覽已經被注入惡意程式碼的網頁時,就會受到影響。

駭客幾乎可以藉此控制使用者端的瀏覽器,只要使用者瀏覽這些受害網站後,駭客就可以竊取使用者瀏覽器中的Cookie資訊,進而取得使用者更高的權限,可以冒用使用者身分進行一些網銀或者是郵件、部落格的服務,或者是竊取使用者才知道的私密網頁內容和其他對談資訊等。

以政府部門的網站設計來看,討論區是最常被駭客用來輸入XSS的攻擊字串,其他像是個人聯絡資料、蒐集欄位或者是網址參數等,也都常見此類攻擊手法。因此,技服中心則建議,政府部門負責網站的同仁都應該要過濾特殊符號,也應該設定可用的白名單與禁用的黑名單,才能確保瀏覽網站的網友安全。

有機關網站管理員使用弱密碼和廠商預設帳密和路徑

從技服中心提供的資訊顯示,有31.07%的政府部門普遍都有「錯誤的安全性設定」漏洞,最常是因為沒有關閉網站「顯示錯誤訊息功能」、「目錄瀏覽功能」,駭客就可以從這些顯示的資訊中,找到可以入侵系統的非公開資訊;另外常見的方式則是,啟用網站檔案上傳功能時,並沒有做好相關安全性設定,導致駭客可以上傳任意的惡意檔案,例如Webshell,以獲取系統權限。

出現這種漏洞風險的單位,除了使用弱密碼,也都可能會出現使用廠商提供預設帳號密碼以及路徑而沒有修改,使得駭客可以輕易透過測試字串,從網頁顯示的錯誤訊息中,輕易得知網站資料庫的欄目名稱資料。所以,要解決錯誤的安全性設定問題,技服中心便建議,要避免使用廠商提供預設的帳號密碼、路徑,以及關閉可以顯示網頁程式等錯誤訊息的服務外,也應該要限制所有上傳檔案的類型,都已經經過檔案驗證並確認檔案正確性,避免駭客成功上傳惡意程式。

另外,也有10.91%的政府機關發現,都有「遭破壞的認證與連線管理」弱點,最主要的常見原因,都是因為密碼強度不足,導致使用者無法正確執行身分認證和Session連線管理,造成駭客可以破壞系統的身分認證機制。

政府機關最常見的攻擊手法多是,在網頁系統登入頁面中,駭客可以輕易猜測管理員預設的帳號密碼都是admin,就可以順利登入系統管取得系統管理者的權限,這往往和密碼強度不足有關,導致使用者無法正確執行身分認證和Session連線管理,造成駭客可以破壞系統的身分認證機制。

從技服中心揭露的案例可以發現,許多機關因為偷懶,在設定網站的系統管理員的帳號和密碼時,甚至是使用廠商提供的預設帳號密碼而沒有做任何更改,輕易讓駭客取得系統管理者權限,實不可取。這就像是之前,有許多被駭客用來發動DDoS的網路攝影機一樣,因為駭客掌握製造商預設的帳號密碼,只要輸入這些預設帳號密碼,駭客就可以順利掌控系統、為所欲為。

不論是要解決3成機關網站面臨的錯誤的安全性設定問題,或者是1成機關網站面臨「遭破壞的認證與連線管理」弱點,從技服中心的建議中都可以發現,只要使用強密碼,並且不要使用廠商提供的預設帳號密碼,都可以有效提升網站的安全性。因此,技服中心強烈建議,除了應該改用8個字母以上,英數大小寫字母或特殊符號混雜、且不句任何有意義單字的強密碼外,政府部門在管理不同的網站時,也應該使用不同管理者密碼,更重要的是,一定要落實定期更新密碼,以確保網站系統的安全性。

 閱讀全文
 
 
Fintech雙周報第11期:DeepMind也要發展區塊鏈技術,保障醫療隱私

DeepMind打算將區塊鏈分散式帳本的概念,應用在醫療保健上,保存病人的敏感資料。此外,臺灣的監理沙盒修法案又有進展,在財委會審查中凝聚出共識,將監理沙盒改稱「金融科技創新」。美國央行在區塊鏈技術上也十分積極,釋出首份分散式帳本的研究



重點新聞(12月10日-12月23日)

DeepMind也要發展區塊鏈技術,保障醫療隱私

Alphabet旗下的人工智慧公司DeepMind,該公司的共同創辦人Mustafa Suleyman宣布,DeepMind正在尋求類似區塊鏈的方式,應用在醫療保健上,保存病人的敏感資料。11月時,DeepMind跟英國的公醫制度(NHS)簽暑了一份5年的新合約,要將病人資料無紙化,並且用來辨別急性腎損傷的風險,而DeepMind發展區塊鏈技術就跟這份合約有關。

Mustafa Suleyman表示,他們正往透明化的架構發展,要用一種分散式、不可竄改的方式,來監控閱覽資料的權限,以及觀看資料的時間。病人可以看到自己資料被誰閱覽多少時間。此消息一出,引發不少有關醫療隱私的爭辯,DeepMind也承受不少質疑。目前,雙方合作的醫療保健計畫延攬了資安工程師以及加密技術者Ben Laurie,來研發資料透明化與資安問題,同時也持續招攬區塊鏈的專業人才。

監理沙盒7大修法共識出爐,改稱「金融科技創新」換思維

監理沙盒(Regulatory Sandbox)機制,正如火如荼地進行修法階段,目前版本有金管會提出的修改金融消費者保護法(金消法)一法,以及立委曾銘宗、余宛如、許毓仁以及賴士葆等人各自提出的修法版本。12月19日通過財委會初審,凝聚7大共識,將監理沙盒的精神融入金融8部法中,並將監理沙盒更名為「金融科技創新」。

7大共識包含主管機關應成立專案辦公室來負責監理沙盒的運行。主管機關在受理監理沙盒申請案件後的60天內,要完成審查並通知申請人。而在沙盒實驗中,有具體事項足以認定會危害金融市場以及金融消費者權益時,主管機關得命令申請者停止實驗。也明訂適用對象以及出沙盒後的輔導機制。接下來監理沙盒還需面對二讀、三讀的程序。
更多新聞:監理沙盒新進展,7大修法共識出爐,改稱「金融科技創新」換思維

美國央行釋出首份分散式帳本研究

聯邦儲蓄系統(The Federal Reserve)隸屬美國央行體系,近期他們釋出首份有關分散式帳本的研究報告,投入的團隊包含聯邦儲蓄委員會、紐約以及芝加哥的聯邦儲備銀行,主要研究分散式帳本技術在支付、交易清算上的應用,並瞭解在實際採用時會面臨的機會與挑戰。

兩個月前,聯邦儲備理事長Lael Brainard表示,央行對分散式帳本很有興趣,並打算深入研究此領域。兩個月後報告就釋出,顯示央行十分重視該技術。報告一共採訪了30位來自公私部門、相關公司及新創的代表,並從廣泛的角度來看區塊鏈技術,以及金融公司、清算系統要採用時會面臨的整合問題等。

 閱讀全文
 
 
Container雙周報:Docker將容器基礎元件containerd開源

根據Docker目前的規畫,containerd 1.0預計會在明年第二季出爐,屆時不論是Docker或其他容器系統業者,都可利用containerd作為核心的容器runtime



重點新聞(12月10日-12月23日)

Docker將containerd開源,雲端四龍頭都要參與開發

Docker宣布將Docker Engine中的核心元件containerd獨立為新的開放源碼專案,包括Alibaba Cloud、AWS、Google、IBM及微軟都已承諾願意成為該專案的貢獻者及維護者。此外,明年初containerd將進一步成為中立的基礎,以讓業者可在共通的基礎上打造自己的容器管理軟體。

Docker創辦人暨技術長Solomon Hykes表示,Docker已成長為一個完整的平臺,仰賴它建置、遞送與執行分散式應用,功能從調度到基礎架構,核心的容器runtime只是其中的一小部份。雖然數百萬的開發人員想要的就是完整的平臺,但許多平臺建置商或營運商卻只需要一個最基本的元件,以便能在自家系統中執行容器,而containerd即符合此一需求。

支援Linux及Windows的containerd 1.0將提供用來管理容器的各種核心功能,包括容器執行與監督、映像檔的遞送、網路介面管理、本地儲存、原生管道水平的API,以及對Open Container Initiative(OCI)的完整支援等。根據Docker目前的規畫,containerd 1.0預計會在明年第二季出爐。更多資訊

Docker釋出Azure版Docker公測版本

在AWS版Docker(Docker for AWS)釋出公開測試版後,Docker也推出了Azure版Docker(Docker for Azure)公開測試版,提供IT人員在Azure平臺上部署Docker時的安裝、維護安全性與可擴充性。

Azure版Docker在6個月前還在封閉測試階段,現在終於釋出公開測試版,能直接在用戶的Azure儲存帳號中儲存容器日誌記錄,也提供用戶Docker診斷工具,當有堆疊(Stack)或資源群組(Resource Group)運作不正常時,會寄送Log記錄至Docker。

另外,Docker for AWS和Docker for Azure目前都僅支援Linux平臺的Swarm叢集,Windows Server平臺則將在Windows Server版Docker(Docker on Windows Server)發展成熟後開始支援。更多資訊

Kubernetes 1.5版本釋出,首先支援Windows Server Container

暨9月Gogole釋出Kubernetes 1.4版本,靠2指令就能部署一套容器叢集,以及新增跨叢集、跨雲環境部署後,近日也推出了1.5版,其中的重要亮點在於,它是目前唯一市面上能支援Windows Server Container的容器調度工具,甚至還相容於Windows Server 2016平臺。

在新版本中,Kubernetes總共新增了2組Beta功能:StatefulSet以及PodDisruptionBudget。Google表示,StatefulSet是一組控制器,用於辨別叢集中,不同節點(Pod)的身份,「透過它來安排系統部署、水平擴充的順序。」第二個Beta功能則是PodDisruptionBudget。Google表示,它是一組API物件,在系統運行時,此功能會確保叢集維持運作一定數目、比例的複本(replica),應用程式部署者可以確保系統不會同時關閉過多節點,導致遺失資料的狀況發生。更多資訊

 閱讀全文
人物專訪 

百萬會員電商平臺大改造,東京著衣品牌再造先從IT做起

擁有百萬會員的網路原生女裝電商品牌東京著衣,在新團隊入主後,要重整資訊架構,推出新版官網,並優先導入BI系統

許峰維 東京著衣資訊管理處協理


點開雅虎奇摩拍賣的銷售排行榜,女裝商品一直都是獨佔鰲頭的品項。而臺灣最早且規模最大的雅虎奇摩更是許多女裝品牌、網路原生店家的發跡處。東京著衣這個創立至今12個年頭的女裝品牌,也是由此奠定基礎,打進臺灣電子商務市場,還連年獲得雅虎奇摩拍賣評價第一名,累積的商譽十分可觀。

近年來,除了國內的女裝電商品牌競爭激烈外,各國的快時尚品牌也壓境臺灣,它們不僅快、迅速掌握流行指標,更在價格、品質上給臺灣品牌帶來莫大的壓力。「我們期望新品上架的時間越短越好。」東京著衣資訊管理處協理許峰維這麼說著,他在今年9月加入東京著衣資訊管理處,跟著6月份才入主的新經營團隊一起打拼,他們肩負著東京著衣品牌的響亮名號,在快時尚的戰場上繼續競逐女裝電商的龍頭寶座。

東京著衣在易主後的半年內就跨出第一步,在12月8日宣布品牌重塑(Re-Branding),公開新經營團隊、全新的品牌識別設計、品牌新作之外,同時也推出響應式(RWD)的網站。

許峰維表示,新的網站將原本分開的PC版與手機版的網站整合在一起,資訊人員未來只要維護一套系統,並且也藉此將購物流程整體優化,讓消費者將商品加入購物車後的流程更加簡單。

品牌重塑代表著東京著衣脫胎換骨的決心,其內部系統的整合與建構也是資訊處的首要目標,許峰維表示,資訊處正在招募程式設計的新血,要重新建構公司內部的資訊系統。

他透露:「東京著衣現在的資訊架構,可以用疊床架屋形容,但不能說是前人的錯,而是多年來完成各種階段性任務的結果。」因為東京著衣由拍賣起家,一開始使用的是雅虎奇摩的網站系統,後來規模擴大後才慢慢自建系統,導致許多東西是因應當時的需求而建,這樣的架構也成為團隊在開發新功能時的痛點與障礙。因此,他們正在積極調整內部資訊系統的體質。許峰維表示,正進行系統架構的優化、增加移動作業的能力。

他透露,接管資訊處僅短短3個月,但團隊的速度是他所待過公司最快的,現正規畫多個系統整合與優化的內涵,包括了導入商業智慧(Business Intelligence,BI),改善作業流程、加快決策速度。同時也評估導入CRM系統、APP建構等。

東京著衣更打算將部分主機虛擬化來強化管理,並也評估雲端解決方案,將部分系統上雲端。

此外,最快明年底至後年間,就會設立「數據分析部門」,要用大數據與社群連結,提供消費者更精準的服務。

上百萬筆會員資料,首用BI瞭解會員、加速決策

關於東京著衣的資訊架構,除了可用疊床架屋來形容外,整體的資訊現況,許峰維更引用董事長靜婷所說的「百廢待舉」來形容,「原本資訊處工作時間的分配比例,應該是要維持80%的維運與20%的創新,但因為現況百廢待舉,使得資訊處的工作時間分配比例可以說是完全倒過來。」更何況現在電商腳步飛快,東京著衣也必須快馬加鞭進行改革,因此,團隊現正以20%的時間維運,再加上80%的創新來因應現況。要改革舊系統,首先進行系統架構的「盤點」,然後評估新系統的導入可能以及挑戰。

東京著衣目前有一百多萬的會員量,這是他們能在女裝電商業致勝突圍的關鍵優勢,因此新團隊正嘗試進行會員資料的分析,建立會員的輪廓,直接快狠準的進行行銷。許峰維指出,近期如火如荼評估中的BI系統就是可以即時產出產銷報表,讓高階主管可以快速決策。除了更瞭解會員的消費數據外,也可以加速整個作業流程,讓上架販售的時間不斷縮短。

「之前,我們要知道一項新品進來後的售罄率如何,都是用人工把資料撈出來後,再用Excel去做資料整理。」費時費力外,更缺乏彈性。不過,導入BI系統之後,在跨部門主管會議之前,部門主管不需要再另外花時間從各種報表中撈取所需的數據,然後加工。未來各項銷售資料、產品開發的數據,直接用BI系統設定好的模版,在會議當下直接產出即時的數據,進行簡報,省時又可省去事前整理資料的工程。

而且,還能夠即時切換到不同的維度或條件,「如果老闆要找銷售數字前300大的品項,直接點擊下去就可以即時追蹤了。」他預估,導入BI系統後,至少可以減少一倍以上的時間成本。

不過,也因為舊系統的架構不夠簡潔,也使得導入BI系統時面臨不少挑戰。許峰維透露,他們一開始所採用的BI系統服務廠商,在技術層面比較薄弱,他在某個晚上九點多,收到DBA(資料庫管理員)跟專案管理部的同仁傳來的求救訊息,表示資料整理不完,因為該BI系統廠商要求要先人工將資料整理成Excel檔後,才能匯入該BI系統中,但是一百多萬的會員累積起來的資料是很可觀的。他認為,要求先整理資料是完全不符合系統導入的成本效益,「以資訊系統的觀點來說,我完全無法忍受這樣的狀況。」在選擇另一家BI系統廠商的服務後,問題才獲得解決。

「資訊是一門應用科學,其實最主要是解決人的問題。」許峰維強調,從設計領域跨到資訊領域,他秉持著相同的解決方法論:「以人為本」,設計更讓他可以跳脫工程師對程式的執著,可以從不同角度角度去看事情。

他認為,資訊系統就是要減少作業流程上的人力需求,把複雜的運算交給資訊系統,讓人工以及經營團隊聚焦在決策,才是高效率的經營方式。



 閱讀全文
前期文章 全部歷史文章
出刊日期 出刊主題
2017-01-01 全臺最大雲端資料中心登場
2016-12-30 華碩機器人Zenbo能自主移動與...
2016-12-29 明年1月起,Chrome 56將標記含...
2016-12-28 IBM加入Serverless戰局,推出O...
主編推薦  
大戶欽點10檔雞年潛力股
核食公聽會亂搞傳小英暴怒
一起飛到韓國走跳旅遊去!
超夢幻!香港遊必買伴手禮
我要訂閱這份報紙 我要取消這份報紙 訂報說明
.本電子報內容由 iThome online 提供
PChome ePaper 電子報版權所有,關於電子報發送有任何疑問,請聯絡 客服中心
廣告刊登消費者保護兒童網路安全關於PChome徵人
網路家庭版權所有、轉載必究 Copyrightc PChome Online

沒有留言:

張貼留言

您或許對這些文章有興趣: