文/黃彥棻|2006-07-24發表

第2屆臺灣駭客年會於7月15、16日在臺北舉行,會場中除了揭露最新的資安趨勢,並示範各種駭客攻擊手法,此次年會更有微軟美國總部資安專家到場參與。

臺灣駭客年會主辦者徐千洋表示,跟上一屆相比,參加人數從去年約150人,提升到今年參加人數約200人;而參加成員的類型,與去年雷同,1/3是學生族群,其他2/3則包含政、軍等政府機關成員,各類型資安廠商的研發人員和資安專家,以及各種駭客團體成員。

不論講師或聽眾,首見外國臉孔
講師部分,徐千洋說,去年第一次主辦,主講者都從社群領袖邀請,今年仍有許多核心社群成員主講,也有上過社會新聞的知名駭客,上臺分享經驗;今年也首度邀請國外資安專家參與,包含McAfee Foundstone資深管理顧問陳彥銘,來自南非、但目前在泰國資安顧問公司工作的grugq,還有一位在臺灣工作的外國講師Fyodor Yarochkin。不過,grugq因為簽證臨時出錯,無法前來,便在第2天透過Skype進行演講。

值得一提是,參與成員多以網路暱稱互稱,成為一大特色。此外,聽眾當中也出現外國臉孔, 2位微軟美國總部資安部門研究員和高階主管,2天議程全程參與。徐千洋認為,微軟專家參與可能是受該公司政策影響,需要與各地資安社群成員積極交流;也有其他與會者認為,微軟資安主管的參與,則證明微軟近年來重視資安議題,即使目前規模仍算小的臺灣駭客年會,都願意全程參與。

徐千洋表示,有鑑於臺灣白帽、黑帽駭客也需要技術和人員的交流平臺,因此,他才會從去年開始,仿效國外作法,結合幾個網路上資安社群的成員,開始籌辦臺灣駭客年會。他說,從今年參加人數的大幅提升,則證明臺灣不論是白帽和黑帽駭客,都需要這樣的交流平臺。

也因為今年參與人數比去年增加,徐千洋參酌各方建議,今年活動支出除了第1屆的盈餘外,主要來自學員的報名費,並沒有向廠商爭取贊助。

以側錄和投影片,取代現場攻擊示範
對於專精入侵技巧的駭客們,除了瞭解資安趨勢和資安產業動態外,參加駭客年會最大的期望,不外乎可以透過講師的經驗分享,進一步瞭解各式各樣的攻擊手法。相較於上屆,年會現場有講師直接「表演」如何駭進某外國網站,但因為過於遊走法律邊緣,因此,今年在年會上,少了讓人血脈賁張的入侵表演,但為了滿足多數聽眾對於入侵技術的渴求,講師仍透過播放滲透攻擊的側錄影片和分享簡報檔案取代之。

平常因公必須執行某些滲透測試的行政院資通安全會報技服中心,此次應年會之邀講課的Charmi Lin,不僅示範如何利用滑鼠複製、貼上和搜尋功能,就可以在不懂任何程式語言下,發現網站漏洞,甚至修改使用者權限,更實際播放先前技服中心,針對某一政府網站進行滲透測試時的側錄影片。他指出,有不少政府部門或民間企業網站程式中,因為提供具有上傳或下載功能的網頁程式,例如WebShell、ASP、php等,讓網站入侵者可以透過這個網頁程式入侵。他說,某些已修補漏洞的網站,甚至成為活體誘捕系統(Honey Pot)。

另外一個最近比較常聽到的攻擊手法,就是針對流量大、會員多、甚至結合金流功能的商業網站,發動跨站式網頁攻擊(Cross Site Scrioting;XSS)。本身是Zuso資安社群成員的講師bf表示,駭客利用將cookie跨送到不同地方、未經檢查來源就直接執行指令、或者在異站接收cookie並儲存,甚至冒名登入和竊取私人資料,都是XSS攻擊手法的一種。Bf則透過投影片,模擬如何駭進某商業網站的手法。

因為簽證問題不能來臺的grugq,主要議題是如何入侵VoIP系統,撥打免費電話,稱之為VoIPPhreaking。

駭客年會公布系統漏洞
在上屆年會中,講師現場公布各種應用系統的漏洞,造成大轟動。不過,今年年會為了鼓勵學生族群,發起一項活動,只要是願意上臺發表不曾公布過的安全漏洞,即可以免費進場,果然吸引了「有志青年」的興趣,之前入侵大考中心的年輕駭客cb520,就因此而免費入場。

此次年會主要發表的漏洞以Linux作業系統和某些應用程式的漏洞為主。講師Newbug則公布Linux作業系統Mandriva的漏洞;也有一家印表機廠商驅動程式造成緩衝區溢位(buffer overflow)的漏洞,以及國內一家企業搜尋引擎公司和某電子郵件代管公司查詢上的漏洞;而cb520則貢獻了P2P軟體APIA的漏洞。Newbug說,年會會後會透過技服中心將發表的漏洞,回報給當事者。

駭客攻擊,系統漏洞仍是主流
在白帽與黑帽駭客的競爭中,知己知彼方能百戰百勝。資安專家陳彥銘觀察駭客攻擊手法,主要仍是針對程式漏洞。美商阿碼科技(armorize)創辦人兼執行長黃耀文則認為,防駭若要能制敵機先,在程式開發的同時,就必須做到軟體安全驗證,不然,「資安漏洞反而是駭客發現的。」他說。

除了駭客攻擊外,某些防毒廠商與商業廣告軟體的廠商,防毒軟體都掃瞄不出來這些商業化廣告軟體。艾克索夫(X-Slove)資安顧問邱銘彰則說,因為艾克索夫將自己的研究進行商品化,也沒有和其他廠商互動,邱銘彰說,「有一些商業廣告軟體,只要具有偵測、變更系統等行為,都可被偵測到」。文⊙黃彥棻



知名駭客社群紛紛現身
此次採訪臺灣駭客年會時,除了有機會進一步接觸、瞭解,這些平常隱身在網路背後的網路安全玩家們,也觀察到幾位曾經在臺灣社會新聞中出名的年輕駭客,以及協助此次活動主要的資安社群成員。

現年17歲的ik,先前曾經因為入侵一家資安媒體資料庫,而在社會新聞曝光。他除了平常是高中生身分,更是一個平均年齡19歲資安社群Zuso的領導人。因為先前社會新聞事件,此次他在活動現場顯得低調,但問起平常的活動,除了日前舉辦高中生資安研習營,並以自己為例外,「看到網站有漏洞,有時候還是會忍不住手癢。」不過ik也說,因為被法律處罰過,所以對於這些「入侵」行為,他會比較自我控制一點。主辦單位為了鼓勵這一群年輕駭客往正面發展,則邀請社群成員上臺講課、分享經驗。

除了這個年輕駭客的社群外,讓整個年會活動圓滿落幕的,則來自資安社群chrO.ot的成員。這一群「駭客們」,多數都是資安公司的研發人員,同樣對於各種新興的駭客技術充滿熱情,平時以讀書會的方式彼此切磋,甚至,臺灣第1本跟駭客有關的書,The Wargame:駭客訓練基地。駭客防駭實戰演練,更是由其中幾個主要成員執筆。文⊙黃彥棻

熱門新聞

Advertisement