台灣駭客年會第十六屆HITCON 2020於昨日(12日)閉幕,連續兩天活動於週五、週六舉行,受到疫情的影響,本屆最大特色就是結合HITCON社群場與企業資安Pacific場次,並且是實體與線上併行的方式舉辦。今年也特別以「Herd Immunity for Cybersecurity」為主題,期望社群與企業都能在2020這個全球衝擊與變化最大的時刻,能凝聚資安能量,進而共創群體免疫。

在這次大會活動上,重頭戲不只多場資安技術議程,也有數場座談形式的高峰論壇,還有多項場邊活動同樣吸睛,而且是實體、線上形式都有。例如,之前獲得熱烈響應的駭客密室逃脫活動,今年首度改為線上版登場,不只具有Minecraft遊戲的風格,並且還是一個結合了迷宮、CTF與第一人稱射擊遊戲(FPS)的挑戰。

全新線上版駭客密室逃脫,三大關卡考驗腦力與手力

對於今年的駭客密室逃脫活動,負責相關策畫的HITCON 2020活動組組長Vic Huang表示,這個密室逃脫活動適合初學者闖關,即便新手也都能夠體驗,由四人組成一隊,每時段兩組進行挑戰,時間為一小時,藉此激起玩家們對資安的更多興趣。具體而言,第一關迷宮場景他們設計的稍微複雜,先讓挑戰者熟悉環境,找尋下一關的線索,也考驗團隊協力探索地圖的溝通與默契;第二關是遊戲的主要重點,包含了類似CTF的資安題目,場景是4個辦公室,但他也指出,玩家們也要能在場景中找到題目的網址才行,才能獲得進入下一關卡的兩組遊戲帳號與密碼,當然遊戲中也提供彈性,只要獲取一組帳密即可;至於第三關的場景更是特別,主辦方利用開放原始碼製作雷神之鎚FPS的遊戲場景,不過遊戲難度非常誇張,正常操作幾乎無法過關,而這類題目就是要引導玩家的思路,瞭解到不能用正常方法過關,要找出別的方式繞過去才行。

 

今年HITCON 2020採實體、線上雙模式同步進行,就線上活動而言,除了可以觀看直播議程,本屆大會也提供了線上版密室逃脫、虛擬會場及攤位,而場景是不少人都很熟悉的Minecraft遊戲風格。(圖片來源:HITCON 2020)

在週六HITCON 2020現場,我們看到有與會者正參與線上版駭客密室逃脫的場次,特別的是,由於今年密室逃脫採線上舉行,因此與會者購買線上票、沒能來現場,同樣也可以參與到活動。(攝影/羅正漢)

現場我們也請主辦方讓我們從觀察員的角色,見識線上密室逃脫第三關的第一人稱射擊遊戲場景。這裡的遊戲強度可說是非常之高,讓玩家動腦也動手,引導玩家要用不同思路,因為無法靠正常方法在短時間內過關拿到高分。(攝影/羅正漢)

Vic Huang指出,不管是線上議程、線上密室逃脫,都是今年因為疫情全新的創新。後續,他們也開始討論到,能否將這樣的線上版密室逃脫內容,繼續更新與擴大。至於未來,我們也很期待,是否有機會實體與線上版同步進行。

而對於實體與線上版的差異,他認為,以他們的策畫經驗而言,真實環境下,實體設備容易取得,但設計到線上的遊戲之中,就受遊戲框架的限制,不過以線上的舉辦及參與而言,將比實體更具彈性。

另外值得關注的是,這次主辦方準備的線上活動, 還包括虛擬會場、大會專用代幣,以及一個嶄新的「線上練蠱大會」。HITCON 2020副總召陳立中(John Chen)表示,他們打造一個虛擬機,而且是一臺漏洞很明顯的電腦,讓玩家可以透過輸入指令嘗試各種入侵方法,有別於密室逃脫是一關一關去闖。

對於今年大會實體活動的變化,我們注意到,這一屆沒有電路板識別證挑戰(HITCON Badge Challenges),對此,陳立中表示,這次籌辦時間較緊,雖然從今年2月開始,但當時正值疫情高峰期,不確定性太多,大家也很怕沒有實體會場,甚至考慮過改採全部線上舉行,而像是線上密室逃脫活動,也是從5月才開始規畫。但隨著國內疫情平緩,他們也在一些部分做出調整,這也呼應了線上線下的概念,並希望在這樣的趨勢下,可以嘗試變出不同花樣。

另外,去年HITCON社群場就有香港的VXCON帶來VX(Variety eXpliotation) Village,今年主辦方擴大引進Village的活動,仿效海外研討會的Village依主題分別呈現,包括5G Village與TDOH Village等多種主題。

 

接軌國際,今年HITCON擴大引進Village的活動,現場包含了5G Village等議程,以及依各主題呈現的多種Village攤位。(圖片來源:HITCON 2020)

物聯網家電與5G專網平臺的資安問題受關注,現場搬出模擬平臺供與會者進行攻擊研究

除了大會本身舉辦的線上與實體活動,我們看到現場攤位也有將攻防模擬平臺實際搬到會場,開放讓與會者能夠實際體驗,而且這些都不是一般的系統平臺,包括物聯網家電與5G專網這樣的環境。

例如,由Panasonic Cyber Security Lab打造的一臺Chimera Box,表面上看似一個大箱子,並帶有多種操作面板介面,其實裡面是將多種傳統家電結合的物聯網裝置,包含洗衣機、除濕機、冷氣機與冰箱等真實Panasonic家電的關鍵系統。

由於該公司發展PSIRT(產品資安應變小組)已有一段時間,現在似乎是讓家電產品也朝向Bug Bounty計畫發展。該公司製品資訊安全中心主任工程師曾詠豪表示,這個專案是他們今年的新嘗試,畢竟傳統家電較封閉,而現在家電已經走向連網發展,他們透過實際搬出這樣的專案,希望讓大家討論與研究這樣的問題,而這個盒子內就包含了四類家電的基板。之後,他們也將把這個箱子帶到各大研討會展示,未來甚至希望能實際將家電產品搬到現場。

難得的是,這次是他們這個專案正式環境的第一次對外開放,前兩個禮拜雖有邀請學生來測試,但屬封閉式的邀請。在這次活動中,他們提供兩種架構讓與會者可以嘗試攻擊,找出弱點,包括透過Chimera Box本身的無線SSID或USB埠直接連入,或是透過另一無線基地臺的方式遠端攻擊。

在這個結合多種家電基板的物聯網裝置Chimera Box,從外觀上我們也就可以看到除濕機與洗衣機的控制操作面板,現場也提供以Wi-FI或USB方式連入,讓與會者能夠嘗試攻擊。(攝影/羅正漢)

另一個搬到大會現場的是,由資策會打造的5G工控專網模擬平臺,這裡結合了基本的智慧工廠概念,讓與會者可以來嘗試攻擊,而這也是今年新打造的項目,同樣是首次對外提供模擬攻擊場景。

在去年,資策會曾打造化工串級DCS工控系統的測試平臺,這次平臺有何不同?資策會資安科技研究所組長賴家民表示,在日後5G專網、智慧工廠情境下,整體工廠需要保護的環節包含了通訊網路、核心網路,以及IT與OT。由於外界不容易清楚這樣的概念,因此,他們藉由打造這樣的小型環境,重點是要理解這整個架構可以如何做滲透。

在現場的展示設備中,包含了一個客制化的塑料加工製造的局部產線,以及5G核網設備,不過,由於現階段5G基地臺少又貴,因此他們的場域先搭配4G LTE訊號的基站。此外,還包含模擬IT環境的伺服器,以及OT工控設備閘道器。整體而言,這是以核心網路架構為主體,讓與會者可以理解此架構可能有那些滲透方式,讓攻擊者可以從IT環境到5G核網、電信基地臺、工控閘道器,最後入侵到產線工控機器手臂。

而現場他們也提供4種層級的難度,最簡單的Level 1是他們會提供參考指引,讓現場參與的人,可以依照指示一路攻擊到工控環境,讓設備停止運作或是出現異常行為。其他Level則提供較少的資訊,讓參與的人自行摸索,例如,最後第四種就是資訊都不提供,要參與的人自行對內網偵搜。

在整個5G工控專網攻防模擬平臺中,當中包含了模擬智慧製造的塑料加工製造局部產線。(攝影/羅正漢)

整體而言,這是以5G核心網路架構為主體,建構的環境包含了從IT到5G核網、電信基地臺、工控閘道器,到智慧製造的工控機器手臂。(攝影/羅正漢)

 

此外,受到今年疫情的影響,HITCON 2020除了提供線上線下的各式議程與活動,現場座談也有透過遠距視訊會議方式舉辦,讓美、日、韓等國際講者仍然能夠一同加入討論,例如,在資安人才培育的一場高峰論壇中,就討論了DEF CON CTF今年線上舉行,以及關於線上課程的趨勢。(攝影/羅正漢)


Advertisement

更多 iThome相關內容