Pages

2015/09/16

【HITCON 台灣駭客週】 - HITCON Community 回顧



台灣駭客年會 (Hacks In Taiwan Conference, HITCON) 自今年 8 月 24 日起展開了一年一度的資安盛會,至 8 月 29 日為止一共六天的活動已經順利落幕。回顧最後兩天的經典社群場,除了一如往年精彩的議程及講者陣容外,多元有趣的各項活動以及與各資安社群的合作則令人耳目一新,呈現了研討會充滿生命力與活力的不同面貌。

本次會議最大亮點,便是應邀來臺的 George Francis Hotz (Geohot) 及他所發表的「Why are our tools so terrible?」,Geohot 為首位成功破解 iPhone 及 PS3 的美國知名駭客,在許多國際駭客競賽中均奪得佳績,駭客技術能力相當深厚高強,他的演講表現亦非常精彩,毫不吝嗇地分享自己研發以加速漏洞研究及分享的工具;Geogot 同時也參與了「IoT Wargame」活動,與 HITCON 會眾同樂且取得第一名,十足展現出身為國際知名駭客的他熱愛挑戰的精神及友善活潑的性格。

來自俄羅斯 ptsecurity 公司的資安專家 Dmitry Kurbatov 和 Vladimir Kropotov 則帶來「Hacking mobile network via SS7: interception, shadowing and more」。電信公司之間的 GSM 電話和簡訊的控制、轉接、計費等,都由一種古老的通訊協定 SS7 協調完成,兩位講師針對其設計上欠缺完善的安全機制進行講解,並實際示範欺騙 HLR 用戶在國外漫遊,將簡訊攔截並轉接到攻擊者手機,包括網路銀行交易或刷卡購物 OTP 認證簡訊。

許多人在使用 App 時,對於其所要求的權限常毫不在意的同意,而在「I Know Where You Are: Location Privacy Tracking via LBSN Apps」中,從各種社交媒體 App 的弱點研究開始,發現數十種 App 都有定位資訊傳遞的安全性弱點,可以使用偽造的 App 來請求一定距離的人員定位資訊,講者也提出許多改善方案、呼籲使用者注意資訊洩漏的嚴重性。

第二天的「Hack Mobile Games For Fun」也令不少參與者印象深刻,由趨勢科技的資安專家洪健惟講述年產值數百億元的手機遊戲產業相關議題。台灣使用者在國際遊戲消費名列前茅,然而第三方修改所引發的公平性問題常成為遊戲生命週期縮短的主因,手機遊戲市場競爭激烈,建議透過適當的保護、加密 、混淆以及伺服器端的驗證過程,不但可以保障遊戲玩家的遊戲品質,更能增加遊戲的收益與公平性。 

而今年 HITCON CMT 相當用心地安排多項活動,如 Hack2Own、IoT Wargame、社群議程、駭客奇葩獎、Lightning Talk 等,為研討會增添不少活潑輕鬆的氣息,也富有立意深遠的教育目的。首次嘗試舉辦的 IoT Wargame 配合年度主軸物聯網安全「Security of Things」,利用 Arduino Nano 設計出不同形式的 Wargame,讓所有人都能夠體驗 IoT 裝置,並藉此強調 IoT 設備安全的重要;Raspberry Pi 競賽則在各廳設置題目,只要能夠成功置換首頁並保護到大會結束,便能得到該臺 Raspberry Pi 作為獎品,無論是趣味度或資安意義都十分充足。

在國際 Bug Bounty 盛行的現今,臺灣仍較缺少相關計畫,本年度 HITCON 邀請 Synology、VIVOTEK 兩家廠商合作舉辦 Hack2Own 競賽,透過正當並可獲取報酬的管道,吸引到不少資安人員參賽回報漏洞。針對 Hack2Own 競賽及其所創造的正向資安環境,HITCON CMT 總召集人 Allen Own 也表示期許 HITCON 能持續引領此種正向思維,與更多廠商合作刺激並提倡臺灣 Bug Bounty 的風氣,替臺灣企業與資安人員找到平衡點。








No comments:

Post a Comment