close
圖為今年 (2016) 的奇葩獎經典資安新聞得獎名單。以下簡單速寫 HITCON CMT 2016 第二天!
【Bug Bounty 獎金獵人甘苦談:那些年我回報過的漏洞】
講者:Orange
Orange 第一次站上 HITCON 舞台是高中的時候。這幾年靠著參加 Bug Bounty 賺了一兩桶金,不過這樣不算是多,像是在日本的 MASATO さん,可以透過 bug bounty 每年賺進年薪三百萬。
Orange 喜歡打 server side 的弱點。Bug Bounty Program 是在官方提供的規則及範圍下,讓獨立研究人員可以自由尋找系統漏洞,廠商會提供小禮物、獎金、榮譽榜等各式有形無形的回饋。
【台灣駭客協會年度規劃及專案報告 HITCON Annual Keynote】
- HITCON Knowledge Base
- 鼓勵大家多投稿發表,建立能夠讓企業提升資安程度時可參考的知識庫
- HITCON Zero Day
- 網站漏洞舉報平台,從去年運作到現在這十個月以來,已通報 3,492 個漏洞。每個月獲得的通報已經越來越多。
- 教育單位的主機多、管理者少所以通報的比率特別高。
- 「讓漏洞成為你的助力。」希望能藉由漏洞通報,讓企業的系統安全性更為提升。
【2016 HITCON 奇葩獎】
收集了和台灣相關的新聞,可惜的是這半年來的奇葩新聞變少,不過上週一銀 ATM 盜領事件之後,資安新聞又忽然爆發性的成長。希望收集這些資安相關的新聞,除了搏君一笑以外,也透過回顧新聞增強群眾對資安的意識。
奇葩獎專屬討論區:https://www.facebook.com/groups/HITCON78awards/
奇葩人氣獎
- 「國安局特考招駭客,單手握力竟要 30 公斤。」三立新聞 2015/10/15
- 建議以後除了體力測驗還要增加智力測驗
- 少林科技武僧選拔
- 「中勒索軟體是否會付款?民眾:還是拿去報廢好了,因為現在電腦也才一萬多塊而已。」中天新聞
- 「東森購物網抽獎被抓包!網友攤開程式碼,發現大獎根本抽不到」三立新聞 2015/12/15
- 「ERP server 被勒索軟體加密,所以產生當機」靠北工程師
- 離職前夕送給同事的大禮
- 「新政府將打造高階的臺灣資安神盾局」IThome
- 太棒了,我是奇葩隊長,我終於找到工作了
- 「梁振英追蹤多位台灣美女,港特首辦駭客入侵加的」自由時報 2015/12/30
- 出了事推給駭客就對了!
- 真的不是他加的,因為他只認識日本女優
- 「網曝華碩主板 BIOS 和 UEFI 更新機制隱患大,易被劫持」IT 之家
- 推託理由包括承辦下班、窗口離職、颱風放假之類等各式藉口,相當具台灣特色
- 一般廠商對於資安通報是沒有窗口的
- 「羅瑩雪講了這句話:他們又不幫政府做,他們是政府的對面啊!」蘋果日報 2016/04/20
- 相信我,在政府的對面總比在政府下面好
- 「民進黨網站遭駭竊取情資重要會議,手機全包塑膠袋」東森新聞 2016/06/02
- 塑膠袋是不能阻擋訊號的,要用鋁箔
奇葩新聞特別獎
- 惡意程式屬 MD5 格式,呼籲有同型 ATM 的銀行業者,要儘快檢查是否有被植入 MD5 的惡意程式
- 仿遠端操控,木馬程式攻擊銀行盜領 8 千萬
- 貪色中毒招!一銀高層偷看色情郵件被駭
- 今年得獎的是:安德魯
奇葩年度研究員
- 黑橘大大 Orange Tsai
- 「我們忘記密碼都是問他XD」
【閃電秀 Lightning talk】
每場五分鐘的短講,一共有八個段落。
- 和 APT Opterator 談情
- 無法說出「我左邊臉挨打時,把右邊臉給你打」,有仇必報
- 事發經過是有人在網路上自稱有立法院的資料
- 看起來好像是要用社交工程來互打?但是故事沒有講完
- Pokemon Go Hacking without Jailbreak
- 台灣為什麼不能玩 PokemonGo?
- 在網路上看到有一個 open source 專案是可以拿來跨區用的
- 想辦法做了介面讓自己喜歡的話就可以到 PolkemonGo 的任何地圖,可以輸入地標,昨天就花了三個小時走到加拿大XD
- fake GPS location 的方法就是半途
- 從錢櫃到出櫃 (Orange & CrBoy)
- 有一天有個神秘駭客 O 和工程師 C 和遊戲工程師 S 和有錢工程師 M 一起去唱歌
- 某 KTV 有 APP,可以坐在沙發上可以幫不同包廂、不同分店的朋友點歌
- 還可以送訊息到朋友的螢幕上
- 「幹沒揪!」「我在錢櫃 213 啦」←得到分店與包廂資訊後,就可以送訊到朋友的螢幕上了
- 手滑輸入單引號,不過發現系統會爛掉,但是單引號是造成 JSON escape,要再加個反斜線才能開始做 SQL injection
- 「唱歌也會被黑!」
- 一直到結束謝謝光臨的時候訊息還在螢幕上面,因為本來想要打「啾咪 ^_^」,但是底線在 KTV 系統裡會變成某個特定的分隔符號,所以導致整個訊息一直卡在畫面上,debug 的方法就是:按服務鈴請服務生來重開XD
- 播影片的時候旁邊有人出聲了:「太黑了啦,你根本就錢櫃網管嘛」
- 藏頭文可以藏在 KTV 系統裡,「駭客年會好棒棒」XD
- UCCU (LionBug)
- 來自南部的社群,每個禮拜聚個會,後來轉職成打 CTF
- 某通訊軟體,下載量超過 500 萬,「徹底資安保護,請您安心服用」,不過他舊的版本沒有混淆,所以解開來玩玩看
- /api/v1/login,登入成功後,會告訴你請升級新版,但是偷登就會因此不會送訊息到被登入者那邊
- 繞過登入訊息提示
- 吃到飽!駭客的地下城
- TDOH CONF 2016/12/17 (Sat.) 09:00~17:00
- 以前有個遊戲叫「龍與地下城」,致敬叫「駭客的地下城」
- 研討會的特色
- 沒有提供中餐,但是有六小時的 buffet
- 沒吃飽還有逢甲夜市
- 想來找徒弟可以來 TDOH Conf
- 想要有雙向的傳承的管道可以來參加
- TDOH - PIPE
- 提供講師指導
- 需要老師的學生跟社團可以與 TDOH 接洽
- 會在中南部耕耘資安發展
- 黑魔法防禦術 (Ethen)
- TDOH
- 悲慘的事實:老闆看不到資安價值、沒有預算、找不到靠譜的人、員工不配合、主管只看 KPI 不看成果
- 一路看下來資安就是無底的坑,永遠找不到終點
- 刮別人鬍子前,要先看看自己
- 從 A 社離開後,一直在思考一個問題:是誰有能力改變問題?有誰有知識與能力站在前線?
- 如果站在前線擁有專業的工程師,相對於沒有知識背景的主管,是更有能力解決問題的人
- 溝通傳遞出我們的專業,讓老闆與員工信任我們做資安
- 先有全面的視野才能向上景想
- TDOH 推廣的目標:
- 什麼是安全
- 了解我們守衛的堡壘
- 企業級資安
- log 分析與規則建立
- 緊急應變與鑑識
- 奇技淫巧例如怎麼做一個 honeypot
- 超低成本網站 DDoS 防禦術(慕凡)
- 寫 Ruby ,五倍紅寶石創辦人
- RubyConf Taiwan 2016 推廣
- 網站開久了就會累積越來越多的業障
- 筆戰
- 某些國家的某些人特別愛打某些規模的網站
- 業障累積到一個程度就會有 DDoS,是簡單粗暴低成本的攻擊
- IRC 上有人出聲:<Griiid> DDoS就是... 每週日一群人一起從各地的教堂去禱告, 所以上帝每週日就受到一次DDoS攻擊。
- 攻擊者希望你不要
- 偷走 18 億台幣 theDAO 的那段 code (王銘德 Ming-der Wang)
- 幾個月前有發生一次 18 億台幣被偷走的事,很難確定是哪段出現問題
- 以太幣,可以寫程式
- 一個月在網路上募資到 54 億台幣,不知道董事長是誰、沒有太多的資訊說明,一千多行的 code 就募到這麼多錢
- 比特幣都是用一個 address 來代表帳號,以太幣也是
- 跟提款機一樣,偷錢的資訊一直跳出來
- 可以把股票分割成小股,叫做 splitDAO,攻擊者利用可以分割的功能搭配遞迴,來把錢退回帳號
- 做了一個 TWDAO 代幣現場,歡迎大家來試偷看看
【閉幕式】
- 用照片證明我們是個正常的聚會,不是什麼地下神秘組織XD
- 今年有高達九成的報到率
- 每年都有不知道為什麼變成傳統的哈根打死
- 今年第四軌 (R4) 社群軌有神秘議程
- 今年有特別場次,例如 GOGORO 之類的實物 demo
- 今年的特色重點之一是有人才招募廠商
- 口譯組在 IRC 上大獲好評,「語速和專業名詞都很麻煩」←明年我要記得帶耳機!
對活動有興趣的人可以參考以下資訊:
- 活動日期:2016/07/22 (Fri.) ~ 2016/07/23 (Sat.) 09:00~17:30
- HITCON 官網
- HITCON 粉絲專頁
- 議程表
- 活動 hackpad 共筆
- HITCON IRC 頻道
文章標籤
全站熱搜
留言列表