由國內白帽駭客團體舉辦的第三屆臺灣駭客年會(Hacks In Taiwan)剛落幕,雖然不像去年公布國內各種商用系統平臺可能造成零時差攻擊的漏洞,此次會場主講的議題除了攻擊手法,隨著用戶端的系統防護逐漸縝密,轉由應用系統越來越多的Web外,更有SNORT創辦人之一的主講者Fyodor,講解目前常見的自動化駭客工具等Web攻擊手法。
報名人數暴增,軍方單位參與人數變多
第三屆臺灣駭客年會與去年相比,報名人數增加了將近90名,包含工作人員、學員及講師等大約270人左右。主辦者徐千洋(TimHsu)表示,增加的人數來自於報名首度舉行教育訓練課程的免費贈票。其中,報名教育訓練課程的更有2/3來自軍方等單位。
徐千洋指出,此次效法美國Black Hat駭客年會,首度在駭客年會活動進行前舉行教育訓練課程。原訂舉行的7堂訓練課程中,學員選課比重呈現相當偏頗的現象,包括垃圾郵件、微軟系統安全課程等,選課學員興趣缺缺。反倒是有3堂課大爆滿,分別是由邱銘彰(Birdman)講解的進階間諜程式偵測與分析,李倫銓(Alan)講解的白帽駭客入侵手法,和近期備受多方重視,由劉俊雄(OuTian)主講的如何保護自家網站。李倫銓表示,從這次學員報名的開課內容中也可以看出,目前企業與IT人員看重的相關防護技巧內容,多與企業網站安全以及有效杜絕惡意間諜程式氾濫有關。
課程偏重Web攻擊手法
從駭客年會的講師主講的內容方向,多數可以作為觀察駭客入侵手法的指標。此次有兩名外國講者談論駭客所使用的工具,包括SNORT創辦人、現在就讀臺大電機博士班的Fyodor,便以自動化的駭客工具做為講解主題;另外便是來自泰國的grugq,也同樣以駭客所使用的工具鏈為主題。
對於駭客而言,自己寫攻擊程式、嘗試入侵有漏洞的系統,亂槍打鳥成效總是不彰。但若有自動化的工具,效果總是好上幾倍。根據Fyodor的研究,包括Yawatt、HttpBee以及Pbounce則是目前幾款常見的駭客自動化攻擊工具。其中,Yawatt是一款可以即時分類、測試與自動學習的Web應用程式駭客工具,而HttpBee則是一把Web應用程式的萬用瑞士刀,可以透過API與各種應用程式(包含Yawatt)或其他程式模組整合。
隨著網路應用數量越來越多,也促使許多駭客初學者,紛紛以模仿方式,入侵已經出現漏洞的Web應用程式。此時,具有自動學習功能的駭客工具,成為最好的駭客幫手。
臺灣惡意網頁氾濫,惡意威脅來自中國網軍
自動化駭客工具節省駭客入侵時嘗試錯誤的時間,但在臺灣,網路應用系統的漏洞,讓駭客更輕易入侵企業網站伺服器,取得重要的機密資料。臺灣最常見透過瀏覽器漏洞,企業網站被植入iFrame重新引導到其他惡意連結,帶動臺灣企業對於Web安全的重視。
阿碼科技開發1套自動化惡意網頁與惡意程式分析系統,該公司首席資安研究員邱銘彰說,全臺150萬個臺灣網域名稱網站的主要網頁,有效的大約12,000個。目前所有檢查的網頁中,「有400多個網站的主要網頁,被植入惡意連結,」邱銘彰指出,其中被植入的惡意連結數量有200多個,透過這些惡意連結下載的惡意程式大約有40多個。
除了邱銘彰以實際的數據,觀察到臺灣惡意網頁的潛在威脅,臺灣因為獨特的政治地位,也經常遭受中國大陸「網軍」攻擊。此次有演講者查理王於駭客年會中指出,中國網軍是有制度、採用輪班制的組織,並針對臺灣網站進行持續性的資料收集與監控。「中國網軍甚至也針對特定監控對象,開始進行人際網絡關係圖的建構。」查理王說。
查理王表示,除了中國網軍有組織性的對臺灣特定人士進行監控外,從今年開始,中國網軍也針對臺灣關鍵基礎建設進行監控,不論是醫療院所、重要交通建設等單位,甚至是核電廠等,都是中國網軍嚴密監控、觀察的對象之一。查理王認為,目前臺灣面臨的網軍威脅,政府部門不應該持續噤聲。
網站資訊全都露
當多數的服務提供來自Web,也意味著提供服務的網站本身,已經具備有相當程度的重要訊息,不論是顧客名單、會員名冊等。
多數人可能會想到杜絕外來的駭客攻擊,但此次駭客年會講者部落客XDite表示,許多人對於提供服務的網站少了很多戒心,有高達許多8成的會員資料填寫是真實的。甚至,可以透過好友反向連結的說明,進一步回推其現實生活中的真實樣貌。
XDite表示,隨著各種好用的架構,讓網站設計者照本宣科,反而容易使開發者陷入一種慣性。XDite指出,這樣的作法 讓黑客更容易透過不入侵手法,取得重要的個人與企業資訊。
用戶端系統安全仍是基本
雖然各種網站伺服器提供越來越多的服務,用戶端電腦系統的安全防護,仍是所有防護措施的基本。
此次駭客年會上講者Nanika表示,「只要能夠忍受Vista帶來的各種限制,系統的安全性將更為提高,對於系統安全與資料保護,有正面幫助。」
迄今舉辦3屆臺灣駭客年會,在規模與知名度上仍有努力空間,中華軟協資安促進會會長陳振楠直言,「目前臺灣資安驅動力,來自於這群參加駭客年會的熱情成員們。」阿碼科技執行長黃耀文則說,「臺灣駭客年會的出現,更是一個國家資安產業的成熟度指標。」
現任臺灣資安公司高階主管的資深白帽駭客OX,以及知名部落格大砲開講格主邱春樹(Roger)皆表示,臺灣軟體人才的缺乏,讓相關產業缺乏研究能量。「所有的軟體高手都被硬體廠商延攬去寫韌體,使得軟體研發後繼無人,」OX說道。「這對於臺灣資安能量的累積,有很大的殺傷力,」邱春樹指出。文⊙黃彥棻
|
從WarGame看臺灣資安技術能力不足之處 |
| 孫子兵法有云:「知己知彼、百戰不殆。」對於擅長入侵技巧的駭客(Hacker)而言,哪一種系統、有哪些弱點適合入侵攻擊,駭客們最清楚。因此,每次舉辦駭客集會時,測試駭客技術的連線比賽WarGame,往往是最受注目的焦點之一。
WarGame關主NewBug表示,今年連線比賽除了以往測試駭客入侵技巧外,也效法DefCon的WarGame作法,題目類別不局限入侵技巧,更偏重綜合應用與分析能力。例如,圖片中隱含GPS訊息,如何透過Google Map找到金鑰等。至於國外盛行的對戰式WarGame大賽,有機會在第四屆駭客年會上推出。 Windows和Linux平臺關卡,是測試駭客能力的基本。此次,在微軟平臺設計的題目,包括透過逆向分析,從檔案中找出金鑰、電腦鑑識、病毒寫作、弱點分析等題目類型;在Linux平臺上,則包含無線網路安全、資訊隱藏、數學題、密碼題、圖片題、計算題等。NewBug表示,此次破關題目中,微軟平臺的題目破關人數較少,除了工具不足之外,如同此次奪得WarGame大賽第一名、任職訊連科技的kcWu所言,「所破關卡多是Linux關卡,對微軟所設關卡較不熟悉,」顯見多數駭客仍較為專精Linux平臺。 在微軟平臺的題目中,由目前任職公家單位PK所出的電腦鑑識題,如何從記憶體的ISO檔中,找出特定程序(Process)的ID;以及任職資安公司Zha0所出的題目:如何利用逆向工程,避免系統掛點的風險題目,無人闖關成功。NewBug不諱言的指出,對於WarGame參賽者而言,不論是電腦鑑識或者是避免系統當機的風險題目,需具備比一般駭客更高層次的技術能力。他認為,這也是未來臺灣駭客們可以進一步鑽研的重點資安領域。 此次也首度有跨平臺的闖關題目,設計關主Kuon利用Python程式開發語言,實作可跨Windows XP、Linux (Mandriva 2007.1)、Mac OS X(10.3.9)平臺的WarGame:PyWarGame。他指出,WarGame大賽闖關者往往受限於能力與硬體系統,不同平臺的題目很難得分。透過這種跨平臺的題目設計,更可以測出駭客真正功力。「未來,這種跨平臺的闖關題目也可望增加,」NewBug說。文⊙黃彥棻 |
各大重要駭客集會彙整 |
|
| 駭客集會名稱 | 2007年活動日期 |
| 新加坡Sy'scan | 正式集會:07/05~07/06 |
| 第三屆臺灣駭客年會HIT | 教育訓練:07/20 正式集會:07/21~07/22 |
| 美國Black Hat 2007 | 教育訓練:07/28~07/31 正式集會:08/01~08/02 |
| 美國DefCon | 正式集會:08/03~08/05 |
| 中國XCon 2007 | 正式集會:08/28~08/29 |
| 馬來西亞HITB SecConf 2007 | 正式集會:09/03~09/06 |
| 奧地利維也納VB 2007(Virus Bulletin) | 正式集會:09/19~09/21 |
| 日本Black Hat 2007 | 教育訓練:10/23~10/24 正式集會:10/25~10/26 |
| 資料來源:各駭客集會網站,2007年7月 | |
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
