副總統賴清德首度於HITCON 2020致詞表示,希望未來白帽駭客和政府以及企業有更多的合作經驗,甚至可以進一步創業、成為資安產業一員。

圖片來源: 

HITCON提供

武漢肺炎造成全球許多資安會議全部變成線上會議,HITCON 2020(臺灣駭客年會)從原本考慮舉辦線上會議,後來因為臺灣防疫有成,於9月11日~12日舉辦時,除了在中研院舉辦實體會議外,也同步提供線上票,讓海外會眾也可以連線參與外,HITCON更首度將鎖定社群分享資安技術的HITCON CMT以及強調企業資安的HITCON Pacific合而為一。

副總統賴清德今日(11日)也代表總統於大會致詞表示,政府希望可以推動社群與政府和企業的合作,讓成熟的資安專家有機會創業,產官學研共同合作,「預計到2025年資安產業產值可以達到780億元。」他說。

鼓勵駭客與政府合作,未來創業成為資安產業一員

賴清德指出,小英總統第一任任期開始,就揭櫫「資安即國安」的政策目標,首任行政院長林全在院長任內成立資安處,到賴清德擔任第二任行政院長時,因為全球化是必然趨勢,智慧國家更是未來發展方向,在這個過程中,落實資安則是必然的,並在任內通過《資通安全管理法》;蘇貞昌接任第三任行政院長任內,則透過舉辦資安高峰論壇和「資訊安全產業發展行動方案」,希望結合臺灣包括半導體、ICT、電信產業的優勢,可以活絡資安產業發展,同時,藉由建置產品淬鍊場域並接軌國際、行銷全球,預估到2025年,資安產業產值可達到780億元規模。

2019年11月,總接見HITCON CTF戰隊和BFKinesiS戰隊成員,當時總統也回應戰隊對資安人才培育與知識傳承的期待。這也讓賴清德開始思考,政府是秩序維護者,駭客挑戰和追求自由,駭客可能跟政府合作嗎?但從臺灣駭客協會網站寫到「具備高超技術、又有挑戰精神,就是駭客」,可以看到政府和駭客的確有合作的可能性。

賴清德指出,包括政府和金融單位都有很多機敏資料,政府和駭客的合作,可以從紅隊演練以及漏洞獎勵計畫來看,由駭客組成的紅隊攻擊政府,並且舉辦漏洞獎勵計畫,鼓勵駭客來找政府和金融單位系統的漏洞並給予獎金,幾次之後,這些有能力、有經驗的駭客就可以出去創業,也成為資安產業的一員,也可接政府的資安專案、共同維護政府資安,這就是產官學研的合作,未來也可以持續合作、共創多贏局面。

整合實體線上議程,引進Village概念

HITCON 2020總召陳伯堯(Sean Chen)表示,受到武漢肺炎影響,許多國家都封城,臺灣因為防疫有成,不僅可以舉辦實體資安會議,更首度搭配線上會議提供給海外會眾共同參與,線上票人次超過1,500人,同時也結合社群CMT和企業資安的Pacific場次,這是HITCON 2020的第一大特色。

第二個特色就是,HITCON 2020今年新增企業高峰論壇,從2020年遭遇到的五大難題入手,包括:「金融業如何迎擊數位戰場的第一道烽火」、「主動式資安防禦策略,解決OT資安相依性風險」、「如何兼顧疫情控制與隱私保護」、「疫情後資安人才培育的挑戰與契機」和「人工智慧能否為人類指引網路攻防的基石」。

第三個特色就是首度引進DEF CON的Village的概念。陳伯堯表示,這次的Village有賴許多社群支持,有包括TDOH Village、5G Village以及一整天的CTI Village;也有以印鈔公司為故事背景的完整滲透流程、主打「來對我釣魚吧」的社交工程體驗;另外還有包括:Hacking 101、Capture The Flag、IoT Hacking 101、Router議題、Side Channel Attack(旁通道攻擊)、惡意程式分析、Life Hacking和技術分享等。

最後,大會的主視覺則結合疫情主題,他指出,希望讓會眾感受到今年主題Herd Immunity for Cybersecurity(網路安全的群體免疫),也可以結合社群和企業的力量,打造臺灣對於資安的群體免疫力。

議題囊括漏洞挖掘等四大主軸,Orange再度駭入臉書經驗全球首發

HITCON 2020副總召鄭仲倫(Mars Cheng)表示,今年HITCON議程分成四大主軸,包括漏洞挖掘、威脅分析、關鍵基礎設施以及企業資安政策。他表示,今年除了曾經連續三年投稿Black Hat和DEF CON會議的戴夫寇爾資深資安研究員Orange Tsai,於HITCON 2020全球首度發表「How I Hacked Facebook Again!」(我如何再度駭入臉書),不只分享再度駭入臉書的經驗外,更是詳細分享駭客思維模式,對於鼓勵漏洞挖掘的駭客思維有幫助。

鄭仲倫表示,今年更是有史以來,最多黑帽議程(Black Hat UAS)投稿入選演講者最多的一年。黑帽議程包括:奧義智慧資安研究員陳仲寬、林昆立和姜尚德針對臺灣半導體產業遭遇的大規模APT攻擊的分析始末「APT Chimera - Operation targets Semiconductor Vendors」;HITCON CTF成員趙正宇(Jeffxx)透過USB利用多個漏洞突破防護,成功取得三星手機Galaxy S10的手機控制權「Breaking Samsung's Root of Trust: Exploiting Samsung S10 Secure Boot」;以及趨勢科技資深威脅研究員Federico Maggi針對多間工業機械手臂的攻擊、惡意利用的案例分享,也提供防禦建議「Guarding the Factory Floor: Catching Insecure Industrial Robot Programs」。

推出線上密室脫逃和練蠱大會,增加會眾互動

HITCON 2020副總召陳立中(John Chen)則負責所有線上活動,當駭客逐網路而居,HITCON 2020也提供純線上的網路活動,讓購買線上票種的會眾,除了可以聽議程,也可以透過活動和會眾參與。他表示,把去年的密室逃脫活動轉成線上版,也結合Minecraft密室逃脫與CTF遊戲體驗,在加上FPS刺激結尾,挑戰參賽者的知識與反應,讓所有參賽者能有機會展現文武雙全的實力,拔得頭籌後也能獲得對應的獎勵。

另外,陳立中指出,今年也有「線上練蠱大會」,打造一個虛擬機,,讓駭客透過指令可以在獨立環境鬥智,就是說,參賽者透過指定的 IRC 頻道執行自己撰寫的指令,將特殊字串綁定到任意 port 上,活得越久分數越高,可獲得相應的代幣獎勵;大會更再度推出HITCON Token數位虛擬貨幣,也推薦Chrome擴充套件及使用說明,或者可以使用習慣的介面來管理錢包。


Advertisement

更多 iThome相關內容