臺灣規模最大的資安盛會第十屆臺灣駭客年會(Hackers In Taiwan)於819日展開為期4天,不僅首度邀請雲端資安公司CloudFlare執行長Matthew Prince首度公開,如何協助香港公民普選網站抵抗高達150 Gbps DDoS(分散式阻斷式攻擊)的流量,也有併購臺灣資安團隊艾斯酷博的以色列公司Verint分享,中國網軍如何利用部落格鎖定臺灣政府進行APT攻擊,更有臺灣新創資安公司戴夫寇爾利用大資料技術,針對臺灣IP進行統計,共有超過6萬個IP可以作為駭客發動DDoS攻擊之用。

因應十週年,首度將演講場次區分成企業場與社群場,第一天企業場包括一般觀眾、講師和貴賓等,超過400人報到,其中有4成(39%)具有工程師背景,其次為技術人員(16%)、研究人員(13%)與管理階層(13%),至於真正的白帽駭客比例則只有1%。

第十屆臺灣駭客年會總召蔡松廷(TT)表示,從只是單純資安社群的聚會,到成為臺灣最大規模的資安技術研究會議,近年來,更逐年成為國際上知名的駭客年會。他說,此次有將近兩成的講師觀眾來自國外,不論是日韓組團參加,也有香港、新加坡、馬來西亞及中國參加,歐美也有,證明臺灣駭客年會在過去十年默默推動國家資安社群發時,也帶來更多國際資安視野。

蔡松廷指出,臺灣駭客年會在社群發展的過程中,每一年都由頂尖的資安研究員,點出臺灣最值得關注的資安趨勢與技術,從早期作業系統的安全漏洞,到Web的安全,甚至到近幾年持續關注的APT(進階持續性攻擊),臺灣駭客年會也都走在資安趨勢之前。

此外,臺灣駭客年會透過交流了解國外資安人才培養方法,幫臺灣企業找到專家解決問題,幫資安人才找到工作、找到客戶,吸引年輕人對資安產生興趣,更分享經驗,協助臺灣資安人才到國外投稿等。

香港公民普選網站遭大規模DDOS攻擊防禦內幕首度公開

Matthew Prince首度公開揭露香港公民普選網站遭大規模DDoS攻擊的第一手內幕流量,包括了網路第三層、第四層和第七層的攻擊。其中,最恐怖的就是DNS Flood攻擊,找出關鍵基礎設施的漏洞,也找出自己設備的漏洞,而香港普選網站就面臨到大規模的DNS Flood洪水攻擊。他說,像CloudFlare這樣的雲端服務公司可以阻擋網路第三層和第四層的攻擊,但是,當駭客透過傀儡網路,以重新解析的方式,每秒寄出25千萬的DNS請求(DNS Request)時,就會癱瘓整個網站,無法運作。而要有效對抗,就必須透過國際聯防的概念,才有辦法抵擋。

中國網軍APT新手法,利用部落格發通知

資安公司Verint產品及營運發展副總Yitzhak Vager則分享了中國網軍APT攻擊時隱藏中繼站資訊手法,他表示,根據旗下臺灣研究團隊觀察,中國網軍已經開始利用社群網站提供中繼站(命令與指令伺服器)資訊,利用部落格,交換中繼站與IP資訊,藉由瀏覽部落格的合法流量,發布新的APT惡意程式。他也說,這樣的網軍鎖定臺灣政府的APT惡意程式有Blogbot RATHannor RAT兩款,到今年開始,傳遞的資訊開始會加密,手法更為細膩。這群網軍的目的是要蒐集各國資訊,蒐集資料有七成來自各國政府,不只侷限臺灣政府,手法相對細膩,值得長期觀察。

全臺灣可用來發動DDoSIP超過6萬個

戴夫寇爾資安研究員許復凱表示,駭客長期繼續大量伺服器版本與服務資訊,可能成為駭客發動DDoS的一員。他利用大資料的技術,分析全臺灣的IP位址發現,像是駭客攻擊蘋果日報網站的DNS Amplification DDoS攻擊,截至今年8月統計,總共有61,414IP可以發動DDoS攻擊,其中有48,993IP都在Hinet.net的網域中;另外,駭客如果是要發動NTP Amplification DDoS攻擊,檢測結果,臺灣則有1,003IP可用來發動DDoS攻擊。

網路安全就是國家安全,政府要結合學術、產業和全民聯防

有十多年政府資安經驗的國家發展委員會管制考何處處長何全德參與現場座談時表示,歷經多年,目前政府已經體認到資訊安全等於國家安全,不僅成立二十四小時防護管理機制,建立各級機關與電信產業緊急事件的橫向處理機制,也制定將定期對社會各界宣告的資安白皮書,讓民眾知道國家在資通安全政策法規和作為,政府更是責無旁貸。不過,他說,現在的網路安全事件通常不是單一政府部門可以處理,政府要連結學術、產業和全民共同防衛,也無從區分軍事、非軍事、平時或戰時。

何全德說,政府未來除了會持續投資資安和研究相關技術外,也要培養更多資安人才,因此,在八月,行政院院會才通過要把技術服務中心升級,成為一個具有半公權力的行政法人,未來也將擴充一倍的人力,確保臺灣網路資料和隱私都處在安全可信任環境下,民眾企業才能發展網路經濟,政府也會大力投資。

Android螢幕鎖容易破解等同無效,行動電源也能變成入侵手機的跳板

Palo Alto Network資深安全研究員Claud Xiao則提出警告,不要太信賴Android螢幕鎖,不管是用手勢或是數字鎖,4.3版本以下的Android系統很容易就能破解等同無效,即使上鎖,駭客也可輕易讀取到手機內資料,而4.3之後的版本,一樣可以藉由獲得Root權限,來破解螢幕鎖。

Claud Xiao也舉出幾種駭客破解螢幕鎖的方法,第一種是透過橋接的方式入侵,先感染個人電腦,當受害者將手機透過USB線和電腦資料同步時,再利用入侵的惡意軟體遠端全自動駭入手機。或者駭客取得手機時也能直接破解手機系統來竊取用戶資料。

另一種少見的方法是透過行動電源入侵手機系統,舉例來說,當使用者使用了有問題的行動電源充電時,駭客可利用USB連線,不需要經過個人電腦,就可以將使用者的資料傳送到中國的伺服器上,稱為Juice-Jacking攻擊手法。

比特幣安全議題延燒,臺灣數學家提供加密強化建議

在第十屆臺灣駭客年會中,研究密碼學的臺灣大學數學系兼任助理教授陳君明也提出對比特幣安全設計的建議,他表示,比特幣本質是密碼協定,比特幣所使用的密碼元件和協定都沒有問題,產生一系列安全問題的主要原因就來自於實作。

近年來,虛擬貨幣比特幣在國外網路世界成當紅話題,自2009至2013年,創投一共投資了約1.1億美元,今年更打破紀錄,光今年上半年就累積到了1.3億美元,甚至戴爾、eBay皆接受比特幣交易。不過,自今年2月,位於東京的最大比特幣交易平臺Mt. Gox遭駭走高達85萬個比特幣,總價值將近5億元後,使得虛擬貨幣的安全性問題,再度遭到質疑。

比特幣是用橢圓曲線加密來做數位簽章,透過隨機選取的K值,作為臨時私鑰,並在簽署過程中,會得到R、S兩個值,也就是數位簽章。而搭配產生的公鑰則可用來加解密貨幣系統,來記錄每一筆交易,但此系統的弱點,就是無法防止同一塊錢被重複使用。為了避免重複使用的問題,中本聰將P2P機制引入雜湊現金系統,以防止此問題。另外,就私鑰來說,比特幣位址和私鑰成對出現,貨幣者提供者可以隨意生成比特幣位置來存放貨幣,也同時會產生一個相對應該位址的私鑰。使用者可以透過隨意生成數字做為私鑰,來簽署所有的比特幣交易,且證明擁有該位址上比特幣的所有權。若私鑰被其他人竊取,他人就可以將該帳號中所有的比特幣轉出。

不過,陳君明表示,就算已經將K值保密,不過有可能在簽署過程中,K值的數字不夠亂,也就是數值出現重複,假設用K1簽R1、S1,再用K2簽R2、S2,若很產生碰撞,得出的結果為K1等於R2、S2,就會產生安全性問題。因此,應該提高對K值的要求,如要有夠大的亂數空間、必須有絕佳的隱密性(Secrecy)、絕對不能被重複使用。若缺乏任何一個條件,都會導致私鑰被破解,也就是所有的比特幣都會被轉出去。

另外,目前物聯網蓬勃發展,在萬物皆上網的時代,難以避免地會產生一連串的資安問題,陳君明指出,若要使用強認證,用橢圓曲線作數位簽章是最佳選擇,不過若要在每一臺裝置上都放上高品質的亂數產生器,會大幅提高每一臺裝置的成本,而陳君明建議使用Pseudo-Random Number Generator(PRNG)以解決上述問題。文⊙黃彥棻、胡瑋佳

熱門新聞

Advertisement