系統效能評估成果

圖 4-32、入侵偵測系統強度評估系統實驗架構圖

五、 系統效能評估成果

在此章節中，我們將分別說明每項在 2010 年新開發之工具的效能評估成果，接著說明每 項在 2009 年開發而 2010 年完成之工具的效能評估成果。

39

 2010 年新開發並完成之工具

 Wimax 使用者之頻寬檢測及基礎弱點掃描系統

WSBW 是透過流量檢測的方式來判斷使用者是否遭受 DoS 攻擊，因此我們 透過模擬網路攻擊的方式來對本系統進行測詴。首先我們先對一般情況進行測詴，

在沒有受到 DoS 攻擊時對使用者進行檢測，以下是實驗中受測者的環境設定。

 作業系統 : Winodws XP

 網路介面 : WiMAX

 網路速度 : 下行 4Mbps/上行 1Mbps

圖 5- 1、WSBW 首頁

首先，受測者進入 WSBW(如圖 5- 1)的主畫面，等待中間的 Java Applet 載入 完成後點擊「Start」按鈕開始進行檢測動作，檢測完畢後會在 Java Applet 中顯示 結果，檢測結果如圖 5-2。

40

圖 5-2、測詴結果(1)

在這個測詴中，我們使用的是下行 4Mbps、下行 1Mbps 的 WiMAX 帳戶，

由上述圖表測得的結果可看出在使用者未受到攻擊的情況下，上行與下行的速度 是很接近系統廠商提供的速度上限值，因此 WSBW 也根據此數據判斷目前並沒 有其他網路流量阻擋了使用者的網路頻寬。接下來我們對相同的使用者進行 DoS 的攻擊，並且進行檢測，測詴結果如圖 5-3。

圖 5-3、測詴結果(2)

由於受到 DoS 的攻擊，從圖中可以看出上行與下行的速度明顯降低，與使 用者的速度上限值 4Mbps/1Mbps 有顯著的差距，而且在測詴時間結束時，Server 端還有封包在 Queue 內尚未傳送完畢，WSBW 根據這個資訊判定目前有其他網 路流量阻擋了使用者的網路傳輸，很有可能是來自網路上的 DoS 攻擊。透過 WSBW 系統可檢測出此類攻擊，提醒使用者該對此攻擊進行防禦措施。

 網站伺服器安全滲透檢測系統

本計劃已於 2010 年完成網站伺服器安全滲透檢測系統，此系統會針對現有 網站安全漏洞進行偵測，透過遠端掃描以及比對網站回傳之封包來判斷是否具有

41

系統漏洞。為了說明我們的系統可有效檢測網站伺服器的安全性，我們利用 Linux 2.6.45-22 來架設網站伺服器安全滲透檢測系統，另外我們架設一台用來測詴的網 站伺服器於 linux 2.6.32-26，並同時安裝 Blog 套件 WordPress 1.2 版。

在此測詴用的網站伺服器上有一已知漏洞(即瀏覽器可能會執行由攻擊者所 插入惡意 JavaScript 語法)。表 5-1 顯示從 WSS 系統產生的檢測報告中擷取的片 段資訊。我們可以發現此網站伺服器具有 XSS 弱點、其根目錄底下具有可疑資 料夾、以及發現 PHP Easter Egg (攻擊者可藉由 PHP 開發者名單來推測 php 版本，

如圖 5- 4)。圖 5-5 顯示一位使用者連上此具有漏洞的網站伺服器，跳出視窗顯示 此網頁的確有執行 javascript，在這個情況下，使用者的 cookie 資訊將可能經由 惡意的 javascript 傳送給惡意人士，造成使用者資訊外洩。

表 5- 1、測詴網站伺服器的分析報告節錄

URI /index.php/"><script><script>alert(document.cookie)</script><

HTTP Method GET

Description /index.php/"><script><script>alert(document.cookie)</script><: eZ publish v3 and prior allow Cross Site Scripting (XSS). CA-2000-02.

URI /admin/index.php

HTTP Method GET

Description /admin/index.php: This might be interesting... has been seen in web logs from an unknown scanner.

URI /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

HTTP Method GET

Description /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings.

42

圖 5- 4、PHP Easter Egg 開發者名單

圖 5- 5、受測網頁 xss 漏洞

 Android 行動裝置惡意網頁檢測工具

Android 行動裝置惡意網頁檢測工具可即時檢測使用者欲瀏覽的網頁是否含有惡 意行為，該工具藉由建置規則、建立黑白名單、增強 JavaScript 函式的保護來避免網 頁上的惡意語法產生危害，並明確地提供給使用者安全等級評估及惡意行為描述，並 結合 Google SafeBrowsing 提供互補性的資訊給使用者參考。此工具實作於 Android 瀏覽器(WebKit)及提供網頁版本給瀏覽者使用。其中，安全等級的評估如下(如圖 5- 6)：

1. Low: 安全無慮，是評等中最安全的等級。

2. Fair: 發現有存取如 cookie、reference 等隱私資訊，但未發現不當使用，仍 屬安全範圍中。

3. Medium: 發現有存取如 cookie、reference 等隱私資訊，且含有不當使用的可 能性，請謹慎考慮是否瀏覽或再度確認。

43

4. High: 明確發現惡意語法，請勿瀏覽。

5. Extremely High: 明確發現大量惡意語法，或該網站已被列入惡意網頁，請勿 瀏覽。

每個等級皆有詳細的描述提供使用者參考以了解該等級所代表的意義。在等級的 區分上，我們也用了不同的顏色提醒使用者，即便使用者無資安方面的相關背景知識 也能輕易判讀檢測結果，了解所要瀏覽的網頁是否含有惡意行為。

圖 5- 6、系統簡介及安全評估 此工具能夠發現的惡意行為包含以下 6 種：

1. Sensitive data access - Cookie 2. Potential XSS attack

3. Write after sensitive data read 4. Alert is disallowed

5. URL is forbidden 6. And so on

圖 5- 7、惡意行為描述

我 們 以 一 個 我 們 自 行 架 設 的 惡 意 網 頁 來 做 為 檢 測 樣 本 ， 其 網 址 為 http://140.113.210.231/~whitescars/android/malicious.php ，檢測結果如圖 5- 8 所示。檢 測結果顯示該網頁的安全評估等級為 medium，且被列為可疑的惡意網頁，而它所包 含的惡意行為有 sensitive data access (cookie)、write after sentive data read、javascript function is disallowed 等，可供進階的 android 使用者參考。

44

圖 5- 8、惡意網站分析結果

另外我們再以使用者經常瀏覽的 Yahoo 網頁作為檢測對象，從圖 5- 9 的檢測結果 可以發現它的等級評估是屬於 Low，且不為可疑的惡意網頁。當然在該網頁中也沒有 檢測出任何的惡意行為。

圖 5- 9、Yahoo 網站檢測結果

 Android/Java 應用軟體安全漏洞檢測工具(G-exploit)

G-exploit 旨在檢測 Android 上應用程式之弱點，幫助程式開發人員彌補程式開發 中不經意發生的錯誤或是修補隱藏的安全性漏洞。由於 Java 本身就是一個以安全為 優先考量的程式開發語言，因此常見的錯誤都是寫作壞習慣或是寫作規則的錯誤，較 少發現可能造成重大傷害的安全性漏洞，但是仍隨著 Android 之普遍和日趨強大的功 能，Android 之應用軟體安全性也更加值得注意。目前 G-exploit 可以檢測到的 java 問 題包含以下類型:

1) 正確性的問題(correctness)：檢測程式設計人員沒注意到之寫作上的錯誤，避 免此類寫作錯誤成為真實程式的臭蟲 (bug)。

2) 寫作壞習慣(bad practice)：檢測程式設計人員寫作時的壞習慣，例如解構子 的濫用，避免不必要的錯誤。

3) 異常的程式碼(dodgy)：檢測不確定的程式行為，如未被確認的轉型等。

45

我們以 Snake 這個 Android 應用程式為例來介紹 G-exploit 之操作流程並驗證 G-exploit 之可行性。首先，我們將 Snake.dex 檔上傳至 G-exploit 網頁平台，並勾選檢 測功能來進行靜態偵測 (見圖 5- 10)。

圖 5- 10、G-exploit 線上檢測平台

G-exploit 的檢測報告如圖 5-11 所示。由檢測報告可以看出，此應用程式大小為 14 kb，含有 59 個臭蟲。此檢測報告亦會提供安全漏洞的危險等級，其中 Bugs p1 之 危險等級最高，Bugs p2 其次，依此類推。而報告中的 Ratio 則表示安全性漏洞的存在 比例。此次實驗偵測到的安全性漏洞為 MS (見圖 5- 11)，這表示在 Snake 程式中存在 一塊可被惡意程式或是經由人為的不小心而被更動的靜態區塊；MS 安全漏洞將可能 造成 Snake 程式被惡意程式所控制而執行非預期之惡意行為，其解決辦法為將 Snake 程式封裝成套裝軟體 (package)。

圖 5-11、G-exploit 之檢測報告

46

圖 5- 11、檢測結果之詳細說明

 網路釣魚安全意識檢測

網路釣魚安全意識檢測工具 (PAT) 為本計畫所開發的個人化人員安全意識檢測 工具。PAT 藉由模擬真實的網路釣魚郵件，來檢測使用者使否具備足以防範網路釣魚 郵件攻擊的安全知識。PAT 的檢測流程如圖 5- 12 所示：

(1) 使用者在 PAT 網頁上申請註冊。

(2) 經由 E-mail 認證啟動帳號，即可取得讓 PAT 發送釣魚郵件的權限。

(3) PAT 提供了多樣化的釣魚郵件範本，讓使用者可全面性的檢驗自身對不同種類的 釣魚攻擊是否具備足夠的判定能力。下圖分別為 PAT 所提供的檢測郵件之範例：圖 5- 13 為本開發團隊複製常見的「好康道相報」郵件，在信件中加入受測者感興趣的 商品優惠訊息，吸引受測者點擊信件中隱藏之惡意連結；圖 5- 為本開發團隊針對交 通大學校園內的學生信箱系統的使用者設計的測詴郵件，藉由冒充學校行政單位所發 出的正式公告，以測詴交通大學學生對釣魚信件的防範能力。

圖 5- 12、網路釣魚安全意識檢測工具 (PAT) 的檢測流程

47

圖 5- 13、常見釣魚郵件內容

圖 5- 15、PAT 所使用之釣魚郵件範本

測詴完畢後，PAT 會提供使用者一份詳盡的安全意識檢測報告，幫助使用者快速 了解自身安全觀念之弱點，降低遭受釣魚攻擊之可能性。該檢測報告包含了釣魚信件 的範本類別，釣魚信件的寄送時間等資訊，如圖 5- 14 所示。當受測者點擊釣魚信件 中之惡意連結後，PAT server 端會紀錄受測者點擊連結的時間，以及受測者的 IP 位 址等資訊。這些資訊將一併檢附在寄送給使用者的檢測報告中 (如圖 5- 15 所示)，以 利使用者了解自身安全意識之弱點，降低日後遭受同類型釣魚信件攻擊的可能性。

圖 5- 14、安全意識檢測報告(1)

48

圖 5- 15、安全意識檢測報告(2)

 使用者網路攻防能力評估系統 (Wargame)

由於現實生活中所發動的網路攻擊事件、軟體破解之行為都是不合法的，所 以一般使用者難以了解到實際上的網路攻擊。因此我們建立貣了一個 Wargame 模擬平台，旨在加強人們在意識到資訊安全問題的存在與相關能力的培養。在我 們的平台上我們建立貣了許多的遊戲關卡，透過闖關的模式，讓使用者在闖關的 過程中一步一步的了解和學習。關卡中包含了許多已知的漏洞或是人為設計出來 的程式安全問題，使用者可以在我們所建立的平台上模擬日常生活中常可見到的 實際網路攻擊，進而對於資訊安全方面的概念更加了解，並了解到網路攻擊背後

由於現實生活中所發動的網路攻擊事件、軟體破解之行為都是不合法的，所 以一般使用者難以了解到實際上的網路攻擊。因此我們建立貣了一個 Wargame 模擬平台，旨在加強人們在意識到資訊安全問題的存在與相關能力的培養。在我 們的平台上我們建立貣了許多的遊戲關卡，透過闖關的模式，讓使用者在闖關的 過程中一步一步的了解和學習。關卡中包含了許多已知的漏洞或是人為設計出來 的程式安全問題，使用者可以在我們所建立的平台上模擬日常生活中常可見到的 實際網路攻擊，進而對於資訊安全方面的概念更加了解，並了解到網路攻擊背後