文/余至浩 | 2014-08-22發表

臺灣規模最大的資安盛會第十屆臺灣駭客年會(Hackers In Taiwan)在接連兩天的企業場盛大落幕之後,緊接而來是社群場第一天開幕。不只有請到了曾多次找出IE瀏覽器漏洞的綠盟科技安全小組資安研究員分享如何用Fuzzer(漏洞檢查工具)框架發現和測試IE漏洞。另外也有前宏碁資安工程師利用行動安全檢測工具分析,揭露政府多款iOS App的安全隱私問題。而原本從會前就一直保密到家的神秘場次,也揭曉u.6,u.6邀請到的就是剛取得HITCON CTF資安競賽冠軍的的日本Fuzzi 3參賽隊伍,還有臺灣團隊竹狐的現場分享經驗交流,會場所到之處幾乎座無虛席。

今年的臺灣駭客年會,為因應十週年做出不一樣改變,首度將演講場次分成企業場與社群場兩場,除了順利解決過去購不到票的搶票問題,也讓更多對資安有興趣民眾也能共同參與。

而身為本屆駭客年會總召的蔡松廷(TT)也表示,接下來2天的社群場是最能展現駭客文化精神的駭客聚會,除了有較輕鬆、活潑的資安主題,也有提供許多好玩有趣活動,像是社群場第一天,現場也提供民眾用觸控平板桌來玩駭客桌遊,在玩的同時也學習到不少資安知識。另外今年也跟去年一樣推出算命攤活動,邀請資深駭客前輩,分享個人經驗,也和現場與會者進行交流。

而在第一天的社群場人數統計中,包括一般觀眾、講師和貴賓等報到約有九百人,其中有近四成是純學生(39%),其次則是工程師( 27%)與技術人員(11%)而真正的白帽駭客比例則是  1%,這也與稍早前工程師居多的企業場成功做出區別。而經由學生們親自參與資安議題的討論與學習,也讓臺灣在向外展現臺灣資安技術的同時,也成功做到臺灣資安社群的向下紮根。

在臺灣虛擬國境,打造安全可信賴的網路環境

國家發展委員會管制考核處處長何全德也在受邀參與開幕主題演講時表示,網際網路的發展帶來國家安全的新思維,在未來虛擬國境下,原本操作飛彈發射的「按鈕」,將變成了鍵盤上的「按鍵」,只要動動鍵盤就能發起網路戰爭。而面對未來高挑戰性的虛擬國境防衛,何全德也指出包括像是人的安全、系統安全(軟硬體、通訊)、以及個資保護等,都是必需處理的網路安全議題,但他也坦承,光只靠政府的力量是不夠的,必須要整合政府與民間的力量,才能夠發揮以小博大,以智取勝的最大力量。

而經由駭客年會活動的舉辦,何全德也認為,除了提供一個開放資安技術交流與學習的場所,也能達到資源情報整合和情諮分享,共同在臺灣這塊虛擬國境上,打造出一個安全可信賴的網路經濟環境。

用Fuzzer框架找出IE及Google Chrome瀏覽器漏洞

過去曾多次成功揭露IE瀏覽器漏洞,甚至還因此被微軟公開予以感謝的NSFOCUS綠盟科技安全小組資安研究員張臣(網路暱稱:demi6od),本次受邀在臺灣駭客年會上分享了他如何運用瀏覽器Fuzzer(漏洞檢查工具)技術,發現和測試漏洞過程。

張臣表示,隨著瀏覽器被廠商加上重重的安全防護,要攻破瀏覽器也變得更為困難,而通常攻破需經過三道關卡,包括找出漏洞、寫出利用(exploit)、對抗沙箱。而能不能發現漏洞或能發現多少漏洞,往往取決於Fuzzer樣本開發的框架,像是Google的ClusterFuzz框架,經由加入高階的異常監控機制,可以監控內存裡的訪問異常,再加上Google本身強大的運算資源,也使得Google Chrome瀏覽器的漏洞越來越少,經常在漏洞被發現之前就已先被修補。

張臣也說,要自建一個Fuzzer框架,首先要先搜集公開的漏洞樣本,然後,確保自己開發的樣本可覆蓋這些漏洞,另外也得做足功課閱讀相關書籍,最後也必須要有足夠創新的想法。張臣也表示,自己的Fuzzer 框架,主要支持IE 11及Google Chrome瀏覽器,並採用Javascript和Python兩種程式語言來完成。會場上他也以影片示範用自建Fuzzer 框架,從IE 11及Google Chrome瀏覽器的漏洞觸發到完整利用(exploit)的過程。

綠盟科技安全小組資安研究員張臣(網路暱稱:demi6od),因屢次成功揭露IE瀏覽器漏洞,還因此多次被微軟公開予以感謝。這次是他第一次受邀參加臺灣駭客年會分享找IE漏洞經驗。

多款政府App驚爆資安漏洞,用戶恐遭駭

在臺灣第十屆駭客大會上,前宏碁資安工程師何宜霖以Web軟體安全計畫(Open Web Application Security Project,簡稱OWASP)中Top 10 Mobile 2014 RC1,也就是OWASP所公布的關於行動裝置的十大弱點風險做為檢測準則,搭配免費的檢測工具,如Snoop-it、Gidb、Introspy來分析,多款政府App,如臺北好行、行動水管家等政府類App的安全性。發現包括了超過60萬人下載高速公路局的「高速公路1968」App、19萬人次下載的臺北好行App 和10萬下載人次的警政署「警政服務」App,甚至還包了日常生活可用的自來水公司的「行動水管家」App,都發現了資安弱點,恐有安全性不足的疑慮,最嚴重時恐導致使用者的帳號密碼遭竊外洩。文⊙余至浩、胡瑋佳

相關報導請看另一篇延伸報導

熱門政府App驚爆有弱點,臺北好行、高速公路1968皆上榜恐影響60萬民眾

社群場第一天正式開放進場後,陸續開始湧現人潮,而報到方式是採用QR碼來進行,只要用手機掃過QR碼就完成報到手續。

 

大會現場也有提供民眾用大型的觸控平板桌來玩駭客桌遊遊戲,不僅十分有趣,在玩的同時也學習到不少資安知識。

iThome Security

熱門新聞

Advertisement