LINE Taiwan Security Meetup – BECKS #2

一直以來,資訊安全都是 LINE 最重視的環節之一,除了積極推動各項資安強化策略,更從今年 (2019) 開始,定期於韓國、日本、台灣三地聯合舉辦 BECKS.IO – Security Meetup,邀請各國資安研究者參加,讓全球各區域的資安研究者,透過這個聚會進行更多交流。這次的 BECKS.IO 選在士林三號出口藝廊咖啡廳舉辦,由 LINE 資安團隊主管,同時也是 GrayLab 負責人李丞鎮 (Beist),以及 LINE 資安工程師 David Liu 開場,介紹 LINE 身為國際化科技公司,積極開發 LINE Things、LINE Pay 等多元服務,並跨足區塊鏈與行車系統等領域,由超過 80 位團隊成員進行最嚴格的資安控管。而講座部分共包含三個主題,邀請到韓國 GrayLab 成員 Cheol Ung Lee (Chpie)、資安研究者 MingYen Hsieh,以及趨勢科技的 Mars Cheng 在開放而輕鬆的氛圍中,暢談不同面向的資安研究心得與實務經驗,並和與會者們面對面交流。

KKTIX 活動網頁: https://becks.kktix.cc/events/20190603

LINE Taiwan Security Meetup 系列活動將邀請 LINE 全球資安工程師、各國資安研究員定期分享最新概念,持續推廣 LINE 資安設計,以及促進資安領域經驗交流,歡迎對資訊安全議題有興趣的開發者參加。

什麼是 BECKS?

在去年韓國知名資訊安全公司 GrayLab 加入 LINE 之後,為 LINE 的安全團隊注入了一股不同的能量,GrayLab 是由頂尖資安研究者的所組成的一間公司,其中很多成員皆為世界知名的安全研究人員,同時也是韓國資安人員培育計畫 Best of Best 的成員,因此,我們一直思考除了漏洞獎金計畫、透明度報告與安全白皮書之外,是否有更好的方法讓 LINE 的安全團隊與社群有更好的互動,除了讓更多人了解 LINE 的安全設計之外,也能利用我們的能量來協助社群推廣資訊安全,這個想法就成為了 BECKS 的前身。

Beer is beautiful, hacks is amazing, BECKS is gold. BECKS 是由 Beer 與 Hacks 兩個字所組成,顧名思義,這個 Meetup 的主要目的就是提供一個定期的輕鬆聚會,讓資訊安全研究者可以分享最近在做的相關研究,並與各領域的專家進行討論與分享。同時,我們也盡力邀請國外的安全研究者參加,為不同領域及不同區域間的資安研究者提供交流的機會。

Webkit Fuzzing for Fun / Cheol Ung Lee (Chpie) of GrayLab

Fuzzing 常見的方式包括源碼測試、coverage-guided fuzzing,以及黑箱測試這些 Fuzz 的策略取決於測試者擁有的資訊,以及工具的組合。而不管使用哪一種策略,降低 Fuzzing 工作的人力投入與時間成本,應該是每個執行 Fuzzing 測試的研究人員最想得到的結果,因此,利用自動化運行檢測、調校 fuzzer 變數、監控測試結果、發展 dashboard 以便於閱讀,以及確認速率與 CPU 使用率等,都是建立一個 Fuzzing framework 須考量的項目。為了提高 Fuzzing 的效率,一個能 24 小時持續進行且大量的自動化 Fuzzing 架構是每個執行 Fuzzing 測試研究者理想的工具。

來自韓國 GrayLab 的 Cheol Ung Lee (Chpie) 這次便分享他是如何結合 Kubernetes 與 open source fuzzer 建構一個可延展的自動化 Fuzzing 基礎框架,這次他介紹的 Fuzzing 目標為瀏覽器底層引擎 Webkit,他先簡短介紹了幾個 open source 的 Fuzzer,例如:OSS-fuzzDomato 和 JsFunFuzz,以及他挑選 WebKit 版本的策略,接著就是利用 Kubernetes 的自動化功能,在測試完畢後自動刪除並產生新的 docker container。Chpie 透過自己撰寫的 Python 程式,有效率地記錄每一個測試的結果,並透過 Kubernetes 本身提供的指令與維護機制,讓 Kubernetes 不斷產生全新的測試樣本,而不需要任何的人為介入。在這次演示中,他展示了如何透過 K8S 自動化部署 Fuzzing Cluster,以及動態擴充同步測試的數量,而他本身透過公司內部的雲端系統,最多曾經同時使啟用 14,000 個虛擬機做為測試,顯示出這個機制水平擴展的可能性。當然,他也利用這個機制找到了幾個 zero day 漏洞,目前已回報給廠商修復中。

MITRE ATT&CK: What You Need to Know / MingYen Hsieh

近來 MDR (Managed Detection and Response) 成為熱門名詞,許多觀念與用語,包括 red team、blue team、threat hunting 等也應運而生,而 MITRE ATT&CK 亦是相關概念之一。MingYen Hsieh 在講座中介紹 MITRE ATT&CK、如何加以運用,以及既有 defense mindset 與 MDR 的差異。

講者提到 “Pyramid of Pain” 的概念的應用,說明駭客的痛點在於防禦方阻擋 TTPs (慣用手法),而非偵測 IP 或 Hash。而 MITRE Att&ck 將各種 attack technique 進行定義,讓資安團隊得以列出各組織進行攻擊的方式與路徑,並進行系統化的分析。講者也提醒,在運用 MITRE Att&CK 時,須了解並非所有 technique 都屬於相同的風險等級,掌握不各個風險等級的定義,才能提升判斷漏洞的效率!

MITRE ATT&CK 亦可用於評估 EDR (Endpoint Detection and Response) 產品成效。由 MITRE 扮演紅隊與白隊 (裁判),產品方扮演藍隊,在紅隊進行 APT (Advanced Persistent Threat,進階持續性滲透攻擊) 之後,由藍隊即時反應並記錄受攻擊後的措施,交由白隊判定結果,透過視覺化 (visualization)、總結 (summarization)、 detection test modifier 等方式,呈現結果供資安團隊進行分析。

The Distance Between Us and Industrial Control System Security / Mars Cheng of Trend Micro-TXOne Networks

今晚的最後一位講者 Mars Cheng 於講座中深入淺出的說明何謂工業控制系統、工業控制系統所面臨的資安威脅,以及為何會是駭客眼中的新藍海等,最後則以實際案例說明駭入工業控制系統有多麼容易。

一般來說,工業控制系統 (Industrial Control System, ICS) 因運用領域不同與開發廠商等因素,其使用的工業控制通訊協定差異非常大,其中又可分為公開協定與廠商私有協定。以使用率相當廣泛的 Modbus 為例,因其屬於公開通訊協定,協定規格可於網路上搜尋到,藉此駭客便可以透過研究 Modbus 通訊協定,嘗試對網路上支援 Modbus 通訊協定的 PLC (Programmable Logic Controller, PLC) 進行攻擊,進而造成 ICS 的運作異常或危害。議程中 Mars 也簡單地展示了如何透過 Ettercap 與客製的 Exploit,在模擬環境中分別對 HMI 及 PLC 實現回應注入與命令注入攻擊,藉此展示攻擊工業控制系統是相當容易的。

此外,在世界各地皆發生過工控系統遭駭的事件,造成人員與財產損失。以 2015 年烏克蘭大停電事件為例,已證明駭客實際攻擊電廠等民生設施已是可行。再者,我們日常使用的基礎設施大多建築在 ICS 之上,也說明我們與 ICS 資安的距離其實是相當接近的,其安全議題值得我們審慎思量!

活動小結

本場活動是本年度第二次的 BECKS.IO 小聚,除了透過講座為與會者提供最新資安趨勢與實際案例,也希望藉由 Meetup 形式,讓來自不同國家、各領域的資安研究員交流資安相關概念,為整體資安社群注入新的能量。

立即 follow「BECKS」活動訊息,就能收到第一手 Meetup 活動最新消息的推播通知。▼

「BECKS」活動專頁:https://becks.io

關於「LINE 開發社群計畫」

LINE 今年年初在台灣啟動「LINE 開發社群計畫」,將長期投入人力與資源在台灣舉辦對內對外、線上線下的開發者社群聚會、徵才日、開發者大會等,預計全年將舉辦 30 場以上的活動。歡迎讀者們持續回來查看最新狀況。詳情請看 2019 年LINE 開發社群計畫活動時程表 (持續更新)https://engineering.linecorp.com/zh-hant/blog/line-taiwan-developer-relations-2019-plan/)

徵才訊息

《LINE 強力徵才中!》與我們一起 Close the Distance 串聯智慧新世界 >> 詳細職缺訊息

Related Post