EZTABLE IDEAS 是 EZTABLE 成員揮灑熱情和大家分享專業及創意的網誌。 EZTABLE 讓消費者 24 小時都可以在網路訂位全台灣最優質的餐廳,同時提供餐廳經營者 e 化的訂位管理系統 (雲端、iPad、智慧型手機)

你遇到的問題,真的是問題嗎?

八月 27 2011 Published by under Engineering, EZ心情

看到黑影就開槍

(圖片來源: http://www.bituzi.com/)

今早收到一封同事寄來的email:"apache警告Web Server發現DoS漏洞"。
仔細研讀了一下apache mailing list的訊息:
發現己經有攻擊工具被實作出來,但尚未有修正檔釋出,
且影響範圍為apache web server v1.3 所有版本 及 v2 所有版本。
嗯,標準的zero day attack,且看來沒辦法用之前介紹的iptable recent module或mod_evasive來阻擋。

(依稀記得,上次遇到比較嚴重的zero day attack是比爾蓋茲大叔家系列產品的MS08-067漏洞)
那怎麼辦? 兩眼開開,準備投胎?
當然不行啊!!!!!
mailing list中有提到一些workarounds,可以在更新檔釋出前做為暫時的解決方案。
主要是透過SetEnvIf、mod_rewrite、mod_headers等module的一些設定來達成。
方法都不難,我們不準備深入探討。
有用apache的人,趕快去設定一下吧 🙂

我想討論的,是在看到一個弱點時,要怎麼去判讀他、防範他。
先講一個我遇到的真實案例:
我認識一位號稱擁有多張專業證照、在IT業界有十餘年經驗的專家,
在面對MS08-067這個問題時,居然看不懂Microsoft Security Bulletin 的內容,
誤判緊急程度,搞得大家雞飛狗跳…. Orz

那究竟要怎麼比較深入了解一個弱點的威脅程度?
(我所謂的「深入了解」,不是指了解怎麼去攻擊這個弱點,而是要弄清楚「這個弱點對你而言,到底算不算弱點」。)

一般來說,被公開的弱點(在一些駭客論壇被私底下提出來討論的不算啦),大多會有一個CVE編號,
例如這次的apache問題,編號是CVE-2011-3192。
就是這個光! 拿這個CVE去拜一下google大神吧。
前幾筆的securityfocus、NVD(National Vulnerability Database)等,都會有更詳細的資訊可以參考。
像是「影響版本範圍」、「是否可從遠端攻擊」、「是否己有攻擊程式出現」、「是否有官方的更新檔釋出」、「是否有因應措施(workaround)」等,
還有一些相關的參考連結,這都是用來評估嚴重程度時相當重要的參考依據。
如果你用的版本根本不受影響,基本上可以完全不鳥他。
如果你的版本受影響,但你目前的防護架構可以阻絕其攻擊,那也可以不用太擔心,就等官方釋出更新檔吧。
以MS08-067為例,當初我接了不下十通來自各地的"關懷電話",要我儘快處理。
但這個問題是透過網路的port 139和445進行攻擊的,我們的firewall根本就沒開放這些port,那何需擔心?

簡單的說,遇到弱點時,不要緊張,花個1小時讀一下相關資料,判斷一下嚴重程度,再決定要怎麼做。
你可以視情況選擇:
1. 繼續提供服務,等官方的更新檔
2. 用一些非官方的workaround先擋一下
3. 先暫停服務,等更新完後再重新提供服務(不用懷疑,有些系統的性質,是需要且值得這樣做的)
4. 兩眼開開,準備投胎

不要看到zero day就嚇傻了,看見黑影就開槍。
否則你可能還沒被敵人打死,就先打死你的同事了。 XD

By Tinghan Chao, Web Developer @ EZTABLE

Related Posts Plugin for WordPress, Blogger...

No responses yet

發表迴響