圖為 GD 嘗試透過 GOGORO 電動機車設計不佳的驗證機制,來模擬攻擊者如何盜用這台機車的使用權限。以下簡單速寫一下今天的 HITCON CMT 2016 第一天囉。
【大會致詞 by 總召 Allen Own】
剛好在活動開始的前兩週發生了第一銀行 ATM 遭盜領事件,總召 Allen Own 於致詞時提到,「恭喜各位來到可以在電視新聞上也能看到惡意程式分析的時代了。」當他問今年度最熱門的資安關鍵字是什麼?談下有人秒回 "ATM",不過在 Allen Own 心目中的答案則是「人才」。發生了這麼多的資安事件後,大家體會到個資外洩與資安弱點的嚴重性,進而感受到人才的重要性。
資安人才與政府、企業之間應該是相輔相成的,但目前困境卻是人才覺得工作難找、企業找不到合適的人才。今年 HITCON 希望能夠為人才與企業媒合。今年在 R0 也特別安排了一段議程時間,讓各徵才單位可以快速在人力招募閃電秀 (Lightning Show) 說明自己對人才的需要。
今年是 HITCON 的第十二年,有很多人會問:HITCON 有利可圖嗎?吃飽撐著嗎?Allen OWn 表示,他認為這是一個社群的時代,每個人都是社群之子,只有取之於社群、用之於社群,才能夠成長茁壯,會為了 HITCON 無償地付出,純粹是為了使命感。曾經有學生與資安產業的從業者提到「因為 HITCON,我開始喜歡上資安」、「因為 HITCON,讓我想從事資安產業」,Allen Own 鼓勵大家來此多多聽技術、交朋友,讓資安領域能夠發展。
這段致詞的全文可以看 Allen Own 的 facebook。
【貴賓致詞 by 行政院科技會報執行秘書郭耀煌】
行政院科技會報執行秘書郭耀煌提到,他在行政院科技會報的前身「科技顧問」工作時,當時的駭客年會非常低調,但是現在卻能廣邀社會大眾一起參觀,也提供多元的交流活動供各方能夠互相交換想法。現在的資訊系統與社會環境已經與以前大不同,面對的資安挑戰更多,他也盛讚 HITCON 的縱橫整合與動員力,有重視性別平權的 HITCON Girls、有具社會責任的 HITCON ZeroDay,還有協助國內資安領域與國際接軌交流的 HITCON Pacific,更扮演了政府、企業與人才之間的橋樑。
【會議提供免費口譯服務】
在活動開場前,副召 PineApple 先介紹了當日活動的規則與注意事項,例如進出會場必須配戴名牌、會議廳內無法飲食、會議進行中將手機與行動裝置設為靜音或震動。現場也提供英文口譯,可以到專屬網站聆聽翻譯:http://inter.hitocn.org,只要自備耳機就可以從這個網站上聽到口譯內容,如果忘了帶耳機,服務台也備有耳機,可以自由樂捐購買。
【專題演講 Keynote / 從人工搶旗到機器人攻防(From CTF to CGC) 談資安人才培育】
講者:交通大學資訊技術服務中心 黃世昆 Shih-Kun Huang
交通大學資訊技術服務中心黃世昆教授在 1991 年,因為在資工系的計中擔任網管,遇到許多不邀自來的駭客,在與駭客們交手的過程中投入資安領域。傳統的 CTF 是透過人工分析,曠日費時才能找出問題,過去從 Zero Day 到舉報到修補完畢,耗時平均 23.4 天;透過 CGC (cyber grand challenge),讓自動化攻擊與防禦機制,減少 Zero Day 攻擊的威協。
這場主要是介紹 CTF、CGC、CFE、CQE 這些比賽找出弱點與漏洞的攻防活動。
傳統的滲透測試是只能挖已知的洞,現在這些攻防活動,就是想要發展出能夠自動尋找出未知弱點與漏洞。
Q&A 有人問到自動化的挖掘能否完全取代人工挖掘,黃教授認為未來人是負責挖掘微妙的邏輯問題,自動化程式則是拿來測標的是否會 crash,自動化的測試還是有它的侷限性。
【物聯網 BLE 認證機制設計的挑戰:以 Gogoro Smart Scooter 為例】
講者:GD & CSC
台科大資管所碩士生 GD 在這場 talk 裡發表他找到的 GOGORO 漏洞,廠商對這次發現漏洞的內容態度很正面,積極聯繫處理了這個漏洞。
首先先講 Bluetooth 4.0 Low Energy (BLE) 這個協定。BLE 可以在低耗電的狀況下長時間待命,來回應溫度、精準度等資訊,每個數值都有一個 UDID 可以來代表它。在 BLE 裡有個 session-less 的協定,類似 HTTP,有 request & response。
BLE 要惡搞很容易,可以利用 Nordic nRF App 或 bleno Node.js 來連線使用。可以利用 Nordic nRF App 來連線到小米手環,不用任何認證,就能讓整個捷運上的所有小米手環震動。有個叫「想想物聯網」的 blog 有非常多相關資訊,大家可以去看。
BLE Sniffer 錄封包,可以錄到超多明文封包。很多裝置藍牙配對完畢,透過 sniffer 側錄(像是 Wireshark),竟然可以看到資訊都在裸奔。
為了防止固定設備被掃描,MAC address 每次重開都不同。
GOGORO Smart Scooter 電動機車是第一台使用藍芽啟動的機車,除了使用原廠配置的耀匙之外,也可以透過手機來調整很多參數設置(例如解鎖、調整燈光亮度與能源運用等)。在車與手機配對的過程中,BLE 未配對的狀態下,無硬體識別元,如何設計認證機制?
在分析過程中,先以 Ubertooth One 分析 BLE 通訊,反組譯 iOS & Android APP,測試配對。在測試過程中發現 GOGORO 會檢查 UDID 的末八碼是否為自己所持有的車的 Scooter MAC address。
機車本身會掃描附近的是不是有 GATT GOGORO Service,UDID 末八碼相同的 Scooter MAC Address 會配對上,車會把資訊送回去提供給這個 server。
過去會把 Key 放在 Document 目錄下,在手機 APP 備分過程中這些檔案會被備下來,如此一來我們就可以透過 iTunes or Android 備分程式來取得別人的車鑰匙。正常 token 應該要放在安全的加密儲存區,例如 Apple iOS 的 keychain、Android 的 KeyStore。(這個 bug 目前原廠已經在四月時修復)
今天若手機受到某種攻擊,例如備分檔被偷走、或是 security key 被截走,攻擊者只要取得 security_key 就可以把車發動,可以把 security_key 偷走。
現場 Live Demo 車子照正常程序發動、開車箱等等,攻擊者只要想辦法取得 key(例如:攻擊車主的論壇帳號、複製車主的手機資料……),就能操控 GOGORO Scooter。照理說一輛車無法同時綁定兩台手機,但是自製的 APP 是可以拿第二支手機來綁定車輛的。
大體來說 GOGORO 系統設計是安全的。廠商表現也很積極,四月發現弱點並通報廠商,七月就增強了 SSL cert 驗證,七月也強制登出更新,快速修正了這個 bug。
如果車鑰匙被從 APP 偷走的話,目前還無法 revoke 原來的 key,車會持續被攻擊者把持。講者提出「金鑰 + 雙計數器強化認證」(後者應該是 2FA 的意思?)來強化安全性,手機 key 被偷,車主也能得知有不正常的存取,在發現不正常存取時可以 revoke 被偷走的那把暫存金鑰。
(中間有聽一場百度安全實驗室的 Rancho,與大家討論 Windows 的核心漏洞,不過實在是聽不懂就⋯⋯)
(下午有一個 session 是廠商徵才專用時間,由中科院、雷亞、sudo 來做徵才說明,徵才方非常友善的回答了許多提問,覺得是滿難得的體驗,如果其他就業博覽會也可以朝這個方向做應該不錯?)
【討論 ATM 事件的議程】
從俄羅斯論壇 bankomatchik 看得到每一型的 ATM 其實都各有其問題,還是要全面思考防範。
新聞說安德魯被捕時回應:「你們都只在意錢。」講者認為,這句話的言下之意應該是必須找出根本的原因、找出 ATM 的資安問題,而不是單單嘗試找回錢藏在哪裡。台灣銀行的架構並沒有想像中那麼固若金湯。八千萬既然失而復得,不如直接拿來投入到資安環境的改善中。XD
這次的問題主要並非源自 ATM 本身,而是銀行內部的遠端連線、程式派送等機制應有改善。造成這次的事件和 Windows XP 並沒有最直接的關係,而是其他管道造成,應全面檢討,光是更新 ATM 機型並不是最有效益的後續作法。
真正要在乎的不是現在找到的車手,而是真正入侵的手法,因為若不知道手法,同樣的事換一批人還是可能發生。
(討論過程讓我想到這幾天看到的這個貼文。)
【後 APT 時期的全球 APT 族群分析與近期活動】
講者:YuMin Chang
講者會在 Github 上公布他的研究成果:https://github.com/gasgas4,不過因為會對某些團體造成影響,所以他的專案常常被檢舉違反 DMCA,有興趣的人記得常上去看看,否則可能過陣子就沒得看了。
在中國國家主席習近平與美國總統歐馬巴簽訂網路互不侵犯協議,網路上的 APT 行為就大量減少了,不過實務上的攻擊還是有。演講中提到一些抓到被打中的伺服器的經驗,比方說:
- 有的攻擊者在寫攻擊程式時,寫一寫就直接用 debug 版本丟出來,而不是用 release 版本,以至於留下了很多資訊,可以回推他的身份、或是暴露攻擊者本身的其他資訊。
- 有個攻擊者因為怕自己打到的機器會被別人摸走,所以會很勤快的幫忙更新 Windows 重大更新,上好 patch 以免有弱點被人打進來,還裝了「D盾_Web查杀」,確保不會有其他 webshell 被種到這台機器上。
- 有個攻擊者的習慣不好,會用被打到的 C&C 伺服器 (command and control server) 來做自己的私事,例如訂 pizza、叫外賣,所以可以從他留在機器上的資料看到他的電話、地址、訂餐的習性等等。
講者有個理論:「桌移小強出」,打掃的時候蟑螂會隨著家具被移動而無所遁形,同樣的道理類推過去,他假設網路變動超過駭客每天可以摸索與理解的程度,駭客會無法追上網管的調整速度,比較容易能偵測到駭客的異常行為。
對活動有興趣的人可以參考以下資訊:
- 活動日期:2016/07/22 (Fri.) ~ 2016/07/23 (Sat.) 09:00~17:30
- HITCON 官網
- HITCON 粉絲專頁
- 議程表
- 活動 hackpad 共筆
- HITCON IRC 頻道
留言列表