果核數位資安社群論壇，洞察駭客戰術、增強防禦能力

多年來無論企業如何戒慎恐懼，仍無法完全遏止資安事件的發生，以致駭客思維興起，強調企業應調整一味構築安全堡壘的觀念，假設自己必然遭受攻擊，轉而利用「Red Team」與資安團隊反覆攻防，甚至邀請白帽駭客發動滲透測試，為求在駭客攻擊前挖掘自身弱點，以提升防禦能力。

為此果核數位選定「駭客過招，實戰分享」主題，於日前舉辦 2019 年首場資安社群論壇，期望在深具實戰歷練的講師帶領下，向聽眾分享最新攻防策略。

做好 App 防護，對抗行動裝置威脅

果核數位資訊安全部工程師 Jim Lin，引用日片「原來以為只是手機掉了」概念，闡述行動裝置威脅防護之道。他歸納使用者的行動裝置可能面臨的風險，除安裝惡意應用程式、網路行為的攻擊、作業系統漏洞外，另一件可怕的事便是手機遺失，可能因而引爆一連串攻擊，比前 3 項更難防範。

也許有人認為，將手機上鎖便萬無一失，殊不知當圖形驗證、指紋辨識、臉部辨識都驗不出，會回歸密碼驗證，屆時可能被成功暴力破解，不論 GPS 資訊、信件內容、聯絡人清單、麥克風錄音或照片都將遭竊，讓壞人藉機對手機失主發動簡訊詐騙、社交工程等惡意行為。

Jim Lin 指出，手機界有 Android 與 iOS 兩大作業系統，前者因開源政策、各版 OS 僅 20％ 有更新，加上 Google Play 存有不少惡意程式，以致潛藏較多風險，但後者亦非絕對安全，若使用者造訪第三方市集，仍可能遭遇類似幾年前 XcodeGhost 的侵襲。

在惡意程式氾濫下，人人都需要有憂患意識，尤其 App 開發商或企業用戶更應重視行動應用程式防護。Jim Lin 建議採取四項防護措施，一是「防止逆向工程阻止反編譯」，藉由 AES 對稱加密演算法及長度 256 以上的金鑰，完全隱藏原始碼。二是「阻擋 Debugger 防止記憶體被修改」，設法讓 Debugger 工具失效，防止動態程式碼注入。三是「針對 App 做完整性校驗」，以確保App 正確性，防止 APK 被竄改與散佈。四是「敏感性資料加密與綁定」，莫忘針對 App 敏感性資料做完整加密。

培養資安意識，戰勝社交工程

果核數位資安工程師 Phil Hung，借用電影經典台詞「朕不給，你不能搶」，強調唯有反制社交工程，才能避免無意間洩漏自己個資；只要我不給，任何人搶不走我的個資。

事實上社交工程並非單純攻擊手法，它隱含了心理學，利用你的信任、你的弱點（譬如你對名牌包有著強大慾望），衍生上百種引君入甕的方法，其中近九成皆由社交工程信件發動。或許現在不少人已有正確觀念，知道不要隨便點擊可疑的附檔或連結，但其實目前許多 HTML 型式的信件，在你開啟的同時，便會利用背景執行惡意程式，即使什麼都不點也會中招，萬一你再點開附件或網頁，更會慘上加慘。

假使遭受社交工程的載具為手機，Phil Hung 傳授一些必須提高警覺的可疑癥兆，首先是沒有經常滑手機，卻莫名其妙快沒電；其次 Wi-Fi 訊號時有時無，疑似遭人佔用；再者並未傳簡訊給某人，但對方卻來電詢問剛剛的簡訊是什麼意思。

比方說曾有日本色情業者利用 QR Code 誘騙付費，另外廣受歡迎的免費版 oCAM 螢幕錄影軟體也曾被發現埋藏挖礦程式，意謂社交工程手法日趨險惡，大家如何自保？Phil Hung 建議，若以企業而論，應先做好資安健檢、原始碼檢測、弱點掃瞄、滲透測試、後滲透服務、AI SOC、Incident Response、Cloud DDoS Service等防護工程，其次即便做好防護，也不容掉以輕心，須知人性是更要命的弱點，一定要設法導正所有同仁的資安意識。

透過專案邊做邊學，逐步成為白帽駭客

來自台灣資訊安全聯合發展協會（ISDA）的 Louis Lu，前年在 HoneyCon 曾以「樹莓派也可以變鳳梨」演說，讓許多資安同好留下深刻印象，此次則以「成為白帽駭客之路」展開論述。

他指出 ISDA 舉辦過白帽菁英入門活動，利用 WarGame 遊戲過程讓學員培養資安興趣、學習駭客思維；其間不少人表態想學習資安的全部領域，但他認為，資安基礎技能主要分為密碼學、網路安全、網頁安全、逆向工程、程式安全與數位鑑識等大項，看似數量不多，然而欲精通每一項、皆需研讀大量書籍，建議不妨從小領域為起點，再逐步拓展。

對於想成為白帽駭客的人，Louis Lu 建議不只看書，更重要的選定例如軟體無線電（SDR）、藍牙電子鎖、Wi-Fi 加密…等等有興趣的題目，接著動手做專案，勤於善用 Google 搜尋相關技術文章，嘗試啟用一些駭客工具，相信能從中學到很多東西。比方說面對 SDR 議題，可利用 HackRF One半雙工設備，在 1 MHz～6 GHz 工作頻率下，揣摩如何控制頻段及發訊號、錄訊號、回傳封包，甚至利用 USRP 全雙工環境，透過 70 MHz~6 GHz 更寬廣的工作頻率，直接製作 3/4/5 G核心網路，觀察手機連入「假基地台」後，駭客可以施展哪些攻擊作為。

總括而論，每天都有新的程式誕生，只要有新的程式，理所當然就有新的威脅，可能以假亂真悄悄潛伏在你我身邊，伺機出手造成個人、企業或社會的危害；因此各領域都需要白帽駭客，運用紮實的基礎知識，幫助大家有效預防層出不窮的威脅。

若大家有興趣獲取論壇資訊，可加入果核粉絲團：https://www.digicentre.com.tw/news.php