Ashley Shen
HITCON GIRLS 創辦團隊
專長:
Advanced Persistent Threat Research, Malware Analysis
經歷:
- Cyber Threat Analyst at Team T5 Inc.
- NTHU Information Security Lab
- Speaker at HITCON CMT, HITCON ENT, CodeBlue, Troopers
===============================================
一、【在 HITCON CMT 投稿的題目主要想傳達什麼訊息?】
Answer:
我目前做的是 Threat Intelligence 相關的研究,這個名詞這幾年在國外已經很熱門,但對於國內卻還很陌生,所以想藉著投稿相關的題目來讓更多人認識到底什麼是 Threat Intelligence 跟 Threat Intelligence Platform 對於攻擊防守方的重要性。不管是個人、公司組織、還是政府單位,每天都面對不同的威脅,就跟面對恐怖攻擊需要搜集威脅情資一樣,面對網路攻擊也是有各式各樣的威脅情資,要怎麼有效地對情資做分析、把情資變成可以馬上進行防禦動作的資料( Actionable Data )是很重要的。
Catching the Golden Snitch - Leveraging Threat Intelligence Platforms to Defend Against Cyber Attacks投影片連結:http://hitcon.org/2016/CMT/slide/day2-r0-b-1.pdf
二、【為何想加入 HITCON GIRLS?想從這社群尋求什麼?】
Answer:
一開始幫忙創立 HITCON GIRLS 時其實是抱著很單純的想法:想讓更多人有機會學習跟接觸資安。[a]我在高中時開始對資安有興趣,但當時身邊完全沒有相同興趣的人,也不知道要從什麼管道來學習,所以當時覺得學習很容易間斷,也很難找到一起研究的對象。而現在在 HITCON GIRLS 除了有獲得很多不錯的想法跟學習資源外,還有可以一起討論的夥伴跟一起研究的教練,我覺得這是很寶貴的。
三、【針對[a]有什麼想要付諸於實現的想法或方法嗎?】
Answer:
其實在和 HITCON GIRLS 創辦團隊一起成立 HITCON GIRLS 的時候就是想增加大家可以學習資安的機會,所以一開始和 HITCON GIRLS 的成員們一起舉辦了 Workshop ,除了可以讓大家一起來學習之外也可以讓大家找到互相交流的夥伴,我想這是第一個付諸實現的行動。其他像是平常多在社團分享文章和資安時事新聞,也是一個可以增加大家接觸資安機會的方法。除此之外,有時候我也會利用一些對外演講的機會來傳達一些資安領域的資訊,讓有興趣的人能找到一點方向。
四、【對於 HITCON GIRLS 有沒有什麼期許?】
Answer:
HITCON GIRLS 雖然目前是一個純女性的社群,但我認為我個人想傳達的訊息並不是學資安的女生有多特別,而是 ”我們一點也不特別“,女生對資安也很有興趣,對研究也很有熱情,不輕易放棄。我的期許是:未來女生學資安變成一件很普通的事情,當在研討會擔任講師時,大家不是因為是女生而特別去聽,而是因為對於研究題目有興趣而想去聽。
五、【對於APT的研究,通常要如何進入這個領域?】
Answer:
APT 的研究牽涉的範圍很廣,大家可能會先想到的是要有一定的技術能力,不過其實如同我投影片中所描述的,除了技術的能力外,APT 的研究還需要部分的語言背景、分析能力、對於攻擊技巧的熟悉度、甚至是對於國際關係與政治的了解等等,而經驗也是一個非常重要的要素[b]。
六、【為何[b]這些項目如此重要,可以分享例子嗎?】
Answer:
舉個前陣子鬧得轟轟烈烈的 DNC Breach 為例子(這真的是一個非常有趣的 Case 有興趣的人可以閱讀下面的文章連結),美國民主黨內部網路在 2016 年 6 月被媒體爆出遭受到駭客攻擊,導致民主黨內部文件與 Emails 外洩,此事件由 CrowdStrike 調查後認定為是由俄羅斯攻擊組織 APT28 & APT29 進行的攻擊行動,並在部落格發表了他們的調查,由於年底就是美國的大選,而俄羅斯與美國在政治上面的諜對諜關係相信大家也多少有些瞭解,不瞭解可以去看 House of Cards XD這就是為什麼會說 APT 研究會跟政治相關,這個攻擊被爆出的時機與他的攻擊來源在此時都算是蠻敏感的,因此事件爆出就受到很大的關注,但沒想到更精彩的好戲還在後頭。
在媒體曝光這起攻擊事件的隔天,一名自稱來自羅馬尼亞的駭客 Guccifer 2.0 跳出來打臉反駁 CrowdStrike 的調查結果,宣稱這起攻擊事件其實是他做的,還在自己的部落格公布了 DNC 內部文件以示證明,其中一份受到矚目的文件是名為 “Donal Trump Report” 的報告,裡面是 DNC 對於美國大選的對手 Trump 進行的研究調查結果,另外還有其他文件包含了捐款給民主黨的名單等等,Guccifer 2.0 在事後將資料提供給 Wikileaks 公布。 Guccifer 2.0 的出現引發了各種辯論與猜測,究竟這起攻擊事件是如 CrowStrike 說的是俄羅斯政府網軍的攻擊,還是只是Guccifer 2.0 的個人行動,變成了一個大家都想解開的謎。
首先是 Dell SecureWorks 不約而同地在6/16公布了他們觀察到 APT28 針對 DNC 與 Hillary Clinton 陣營進行的 Spear-phishing 攻擊研究,隨後 ARS TEchinca 又在 blog 指出他們在 Guccifer 2.0 洩露的資料裡面發現包含俄文的 fingerprint ,而且文件在公開前被名字是俄文的作者修改過(這就是一個語言背景對APT研究也很重要的例子),另外 ThreatConnect 也針對洩露出的文件修改時間與使用的VPN 進行了一連串的追查跟分析,種種一連串的分析均導向 “Guccifer 2.0 只是一個轉移大眾注意力,用來 cover 俄羅斯政府的一個幌子” 的結論。(這些調查就是APT研究人員每天都在做的事情,有興趣的可以看他們的分析文章)
除此之外,這件事情所帶來的影響也已經遠遠大過一般的資料外洩事件,原因在於 7 月時,在 Trump 被正式提名後, Guccifer 2.0 又提供了 WikiLeaks 更多資料,隨後公佈了 DNC 內部一萬九千多封的 Emails ,而這些 Emails 揭發了民主黨高層蓄意破壞 Hillary Clinton 對手桑德斯(Bernie Sanders) 競選活動的內幕,導致民主黨委員會主席 Debbie Wasserman Schultz 在消息流出後宣佈將請職,間接影響到了2016年的美國大選選情。這件事情讓 APT 攻擊的手法與影響都達到了一個新的層面: “利用公佈 APT 攻擊竊取的資料直接影響國家大選”
這個攻擊事件就是一個很好的 APT 研究範例,不只牽涉到了技術、政治、國家關係、語言等等的背景都是 APT 研究中會使用到的技能。
七、【對於APT的研究,通常要怎麼樣累積經驗呢?】
Answer:
若對 APT 的攻擊研究有興趣的話,建議可以先從閱讀相關的研究成果開始,像是經典的 Mandiant APT1 報告,可以幫助瞭解 APT 的研究都在做些什麼,也可以試著分析相關的樣本,看自己有沒有辦法找出報告中所描述的線索。
八、【給初學者建議或推薦的進步方法?】
Answer:
資安的領域真的非常廣,每種資安研究的學問也很不同,建議初學者一開始可以先了解各種不同的研究是在做什麼[c]、自己對於哪種比較有興趣,從那個方向開始學習。瀏覽書以及技術文章有助於了解不同研究,多思考造成資安問題的原因是什麼、這項技術怎麼辦到的等等,也可以 follow 一些資安訊息平台[d],或參加資安社群,將 「資安」 變成一種「環境」,就會變成不是每天固定看幾篇文章,而是不知不覺每天就看了很多文章。
九、【[c]可以提供幾個不同領域的 keyword 嗎?】
例如以 HITCON GIRLS 的組別舉例的的話:Web滲透測試、Android滲透測試、惡意程式分析、數位鑑識,其實每個大項目都可以再細分,其他我們沒有建立組別的還有:系統安全、資訊收集、密碼學種種
Answer:
其實資安就是任何跟資訊的安全有關的議題都是資安,所以這個領域真的是非常廣,要列舉有點困難,上述的那些都是大家比較常聽到的,但其實還有很多大家比較沒想過的資安領域議題,比如今年 HITB 的 Keynote speaker Katie Moussouris 進行的工作之一就是推廣跟協助政府與企業舉辦 Bug Bounty 計畫,除了 Microsoft 之外他也協助舉辦了美國國防部的第一個 Bug Bounty 計畫 “Hack the Pentagon”,這也是一項資安領域的專業。舉這個例子是想表達資安領域研究的範圍真的非常廣,大家可以透過多聽多看多交流(交流也很重要)來瞭解各種有趣的研究領域。
十、【[d]可以提供幾個網站嗎?】
Answer:
網站真的很多,我自己比較常看的是下面這幾個給大家參考,各家資安廠商的 blog 也可以 follow
http://motherboard.vice.com/en_us (各種科技相關,不只資安)
除了網站之外還有一個很棒的資安訊息管道就是 Twitter,很多資安研究員都會在 Twitter 上發表自己的研究跟最新的訊息,Follow 很多資安領域的 Researchers 之後每天只要打開 Twitter 就能知道最即時的資安大小事,非常方便。
太............ :D
回覆刪除