圖片來源: 

HITCON

第15屆臺灣駭客年會(HITCON)社群場於23、24日登場,連續兩天活動於週五、週六舉行,現場帶來多個議程與各式大會活動,吸引近千名對資安有興趣的研究人員和學生參與。

近年來,全球各國積極推動資安人才培育,臺灣最大最具資安技術能量的臺灣駭客年會,也期望與國內產、官、學、研領域,共同提升國內的資安人才與能量。

在這次大會活動上,例如,現場有資安研究人員Orange Tsai與Meh Chang,道出他們找出企業SSL VPN漏洞的寶貴經驗,其實在8月初的美國Black Hat大會上,他們已經發表成果,不過這次是他們首次以中文演講,讓國內與會者能夠更近距離接觸與理解。

而在多項議程之外,現場還有各式活動,包過歷年來都持續有的綿羊牆、駭客算命攤與奇葩獎等項目,以及一番賞、閃電秀、攤位賓果連線、狩獵者行動、焊接電路板等。特別的是,在週六的大會現場,他們還針對今年的駭客密室逃脫競賽,獎勵破關最快的前3名。

關於駭客密室脫逃的活動,這其實是去年新推出的項目,結合了解謎、教學與競賽,不過甫推出就獲得熱烈響應。負責駭客密室活動的Melody表示,這個密室是他們打造的一個擬真辦公室空間,裡面有常見辦公設備,像是印表機、打卡系統、監控系統與機房設備,而裡面的題目涵蓋範圍,包含物聯網安全、網站安全、伺服器安全等,希望讓玩家在體驗密室後,可以快速知道自己的強項與不足,激發參賽者學習資安的渴望。

今年HITCON將這項活動擴大舉行,因此活動不只短短兩天,而是從今年7月即開始接受組隊參加,至今活動已舉行一個月,他們也針對前三名給予鼓勵,其中第一名的「CSCS」團隊,更是以比其他隊伍快一半的時間破關。而這項活動,還將持續到9月28日。

幫助訓練IT人員實戰的Mini Hardening新登場

特別的是,在週六一整天的活動中,現場還舉行了一個稱之為Mini Hardening的大型活動,這是大會今年特別邀請的項目。本屆HITCON CMT總召邱柏森表示,這是日本資安社群 WAS Forum打造的攻防競賽,已經在日本舉辦很多場,這次首度將整個活動搬到海外。

基本上,這項活動對於企業IT人員將很有意義。參與的人都將能以親身體驗的方式,要在3小時內,找出與修復特定環境中的漏洞,以保護系統不會再次受到同樣的網路攻擊。

  
圖片來源/HITCON

邱柏森指出,這對於企業負責IT管理維運,又要處理資安事情的人,會很有幫助。他解釋,很多IT人員知道Windows Update、Patch修補,也就是系統更新與弱點修補,但可能不知道安裝Patch可能要做一些系統調整,才真的做到保護,而這項活動將讓IT人員能更清楚知道,如何修補與防禦設定,以及檢查那些資料去處理這樣的漏洞,並透過團隊合作來執行資安事件處理。

由於傳統IT人員的產業中,很少有這樣的訓練,但實務上,IT裡面真的需要懂資安的人,才能讓IT維運與架構變得更好,HITCON並希望能在活動後的交流與分享,可以從別人身上學習到更多,並把經驗帶回企業,或是未來的工作,讓自己的環境與伺服器,可以變得更安全。

其實,去年底HITCON也舉行過HITCON Defense企業資安攻防大賽,精神都是讓參賽者扮演藍隊的角色,來找出防禦的不足,以及遭受攻擊時發現弱點與修復。

值得一提的是,在Mini Hardening之外,現場還有一個大型活動也很特別。這是來自香港的VXCON帶來的VX(Variety eXpliotation) Village,將帶領大家將USB上面的晶片解焊下來,並用專門的晶片讀取器,劫持無線的燈號控制器,挑戰硬體破解實作。目前,這個VX Village的活動,也正盛行於各大資安研討會上。

 
圖片來源/HITCON

臺灣造型電路板Badge吸睛,並提醒大家注意使用TrustZone時,實作不當仍有資安問題

另外,近幾年大會發起的電路板識別證挑戰(HITCON Badge Challenges)活動,也讓與會者認識不同的知識與技術。像是去年推出區塊鏈硬體電路板,今年更是帶領大家認識與挑戰硬體安全TrustZone。

在這塊以臺灣為造型的電路板上,由24顆LED及3個傳輸燈號開關燈號組成,並有6個操作按鍵,當中並設計了TrustZone挑戰關卡讓大家來破解。

負責電路板設計的李倫銓,在議程上再次強調硬體安全的重要性,並說明TrustZone的概念,甚至指出現在的串流保護,有些也是透過硬體去確保,做到版權的控制。對於這次電路板上的TrustZone挑戰關卡,不只是要認識TrustZone的意義,同時也希望能藉由這次經驗,讓大家注意到使用TrustZone時,如果實作有問題,一樣會有資安的問題、資安的缺陷。

 
圖片來源/HITCON

在這次的電路板挑戰上,他們使用了新唐M2351的MCU晶片,這也讓大家認識在MCU上也能跑TrustZone。負責韌體與大會題目的張元(Yuawn)表示,這顆MCU晶片並不複雜,主要分別不安全(Non-secure)與安全(Secure)的區域,當中包含一個環節,是從不安全把東西往安全區域送,而安全區域完成運算後,又是如何把權限轉回去。

簡單來說,在這塊電路板上的Non-secure部分,包含LED與簡單的命令列等,另外,他們將電路板上很重要的部分放到Secure區域,像是解鎖的部分,當中用了一些簡單的Bit當作Lock,若需要對它讀取與修改,一定要透過預先部署的方式來執行。而在這項TrustZone挑戰中,共包含了三道題目可以破解,之所以能夠破解,是因為他們希望傳達一個理念,那就是,就算開發程式是放在TrustZone,但也要注意開發上的安全。

在今年大會推出電路板識別證內,所隱藏的考題,可是呼應了大會主題「Trust in the Untrusted World」,利用電路板上內建的MCU晶片,設計了TrustZone挑戰關卡讓與會者破解。攝影/羅正漢


Advertisement

更多 iThome相關內容