HITCON CMT 2016 奇葩獎得獎結果公布

圖為今年 (2016) 的奇葩獎經典資安新聞得獎名單。以下簡單速寫 HITCON CMT 2016 第二天!

 

【Bug Bounty 獎金獵人甘苦談:那些年我回報過的漏洞】
講者:Orange

Orange 第一次站上 HITCON 舞台是高中的時候。這幾年靠著參加 Bug Bounty 賺了一兩桶金,不過這樣不算是多,像是在日本的 MASATO さん,可以透過 bug bounty 每年賺進年薪三百萬。

Orange 喜歡打 server side 的弱點。Bug Bounty Program 是在官方提供的規則及範圍下,讓獨立研究人員可以自由尋找系統漏洞,廠商會提供小禮物、獎金、榮譽榜等各式有形無形的回饋。

 

【台灣駭客協會年度規劃及專案報告 HITCON Annual Keynote】

  • HITCON Knowledge Base 
    • 鼓勵大家多投稿發表,建立能夠讓企業提升資安程度時可參考的知識庫
  • HITCON Zero Day
    • 網站漏洞舉報平台,從去年運作到現在這十個月以來,已通報 3,492 個漏洞。每個月獲得的通報已經越來越多。
    • 教育單位的主機多、管理者少所以通報的比率特別高。
    • 「讓漏洞成為你的助力。」希望能藉由漏洞通報,讓企業的系統安全性更為提升。

 

【2016 HITCON 奇葩獎】

收集了和台灣相關的新聞,可惜的是這半年來的奇葩新聞變少,不過上週一銀 ATM 盜領事件之後,資安新聞又忽然爆發性的成長。希望收集這些資安相關的新聞,除了搏君一笑以外,也透過回顧新聞增強群眾對資安的意識。

奇葩獎專屬討論區:https://www.facebook.com/groups/HITCON78awards/

奇葩人氣獎

  • 「國安局特考招駭客,單手握力竟要 30 公斤。」三立新聞 2015/10/15
    • 建議以後除了體力測驗還要增加智力測驗
    • 少林科技武僧選拔
  • 「中勒索軟體是否會付款?民眾:還是拿去報廢好了,因為現在電腦也才一萬多塊而已。」中天新聞
  • 「東森購物網抽獎被抓包!網友攤開程式碼,發現大獎根本抽不到」三立新聞 2015/12/15
  • 「ERP server 被勒索軟體加密,所以產生當機」靠北工程師
    • 離職前夕送給同事的大禮
  • 「新政府將打造高階的臺灣資安神盾局」IThome
    • 太棒了,我是奇葩隊長,我終於找到工作了
  • 「梁振英追蹤多位台灣美女,港特首辦駭客入侵加的」自由時報 2015/12/30
    • 出了事推給駭客就對了!
    • 真的不是他加的,因為他只認識日本女優
  • 「網曝華碩主板 BIOS 和 UEFI 更新機制隱患大,易被劫持」IT 之家
    • 推託理由包括承辦下班、窗口離職、颱風放假之類等各式藉口,相當具台灣特色
    • 一般廠商對於資安通報是沒有窗口的
  • 「羅瑩雪講了這句話:他們又不幫政府做,他們是政府的對面啊!」蘋果日報 2016/04/20
    • 相信我,在政府的對面總比在政府下面好
  • 「民進黨網站遭駭竊取情資重要會議,手機全包塑膠袋」東森新聞 2016/06/02
    • 塑膠袋是不能阻擋訊號的,要用鋁箔

奇葩新聞特別獎

  • 惡意程式屬 MD5 格式,呼籲有同型 ATM 的銀行業者,要儘快檢查是否有被植入 MD5 的惡意程式
  • 仿遠端操控,木馬程式攻擊銀行盜領 8 千萬
  • 貪色中毒招!一銀高層偷看色情郵件被駭
  • 今年得獎的是:安德魯

奇葩年度研究員

  • 黑橘大大 Orange Tsai
    • 「我們忘記密碼都是問他XD」

 

【閃電秀 Lightning talk】

每場五分鐘的短講,一共有八個段落。

  • 和 APT Opterator 談情
    • 無法說出「我左邊臉挨打時,把右邊臉給你打」,有仇必報
    • 事發經過是有人在網路上自稱有立法院的資料
    • 看起來好像是要用社交工程來互打?但是故事沒有講完
  • Pokemon Go Hacking without Jailbreak
    • 台灣為什麼不能玩 PokemonGo?
    • 在網路上看到有一個 open source 專案是可以拿來跨區用的
    • 想辦法做了介面讓自己喜歡的話就可以到 PolkemonGo 的任何地圖,可以輸入地標,昨天就花了三個小時走到加拿大XD
    • fake GPS location 的方法就是半途
  • 從錢櫃到出櫃 (Orange & CrBoy)
    • 有一天有個神秘駭客 O 和工程師 C 和遊戲工程師 S 和有錢工程師 M 一起去唱歌
    • 某 KTV 有 APP,可以坐在沙發上可以幫不同包廂、不同分店的朋友點歌
    • 還可以送訊息到朋友的螢幕上
    • 「幹沒揪!」「我在錢櫃 213 啦」←得到分店與包廂資訊後,就可以送訊到朋友的螢幕上了
    • 手滑輸入單引號,不過發現系統會爛掉,但是單引號是造成 JSON escape,要再加個反斜線才能開始做 SQL injection
    • 「唱歌也會被黑!」
    • 一直到結束謝謝光臨的時候訊息還在螢幕上面,因為本來想要打「啾咪 ^_^」,但是底線在 KTV 系統裡會變成某個特定的分隔符號,所以導致整個訊息一直卡在畫面上,debug 的方法就是:按服務鈴請服務生來重開XD
    • 播影片的時候旁邊有人出聲了:「太黑了啦,你根本就錢櫃網管嘛」
    • 藏頭文可以藏在 KTV 系統裡,「駭客年會好棒棒」XD
  • UCCU (LionBug)
    • 來自南部的社群,每個禮拜聚個會,後來轉職成打 CTF
    • 某通訊軟體,下載量超過 500 萬,「徹底資安保護,請您安心服用」,不過他舊的版本沒有混淆,所以解開來玩玩看
    • /api/v1/login,登入成功後,會告訴你請升級新版,但是偷登就會因此不會送訊息到被登入者那邊
    • 繞過登入訊息提示
  • 吃到飽!駭客的地下城
    • TDOH CONF 2016/12/17 (Sat.) 09:00~17:00
    • 以前有個遊戲叫「龍與地下城」,致敬叫「駭客的地下城」
    • 研討會的特色
      • 沒有提供中餐,但是有六小時的 buffet
      • 沒吃飽還有逢甲夜市
      • 想來找徒弟可以來 TDOH Conf
      • 想要有雙向的傳承的管道可以來參加
    • TDOH - PIPE
      • 提供講師指導
      • 需要老師的學生跟社團可以與 TDOH 接洽
    • 會在中南部耕耘資安發展
  • 黑魔法防禦術 (Ethen)
    • TDOH 
    • 悲慘的事實:老闆看不到資安價值、沒有預算、找不到靠譜的人、員工不配合、主管只看 KPI 不看成果
    • 一路看下來資安就是無底的坑,永遠找不到終點
    • 刮別人鬍子前,要先看看自己
    • 從 A 社離開後,一直在思考一個問題:是誰有能力改變問題?有誰有知識與能力站在前線?
    • 如果站在前線擁有專業的工程師,相對於沒有知識背景的主管,是更有能力解決問題的人
    • 溝通傳遞出我們的專業,讓老闆與員工信任我們做資安
    • 先有全面的視野才能向上景想
    • TDOH 推廣的目標:
      • 什麼是安全
      • 了解我們守衛的堡壘
      • 企業級資安
      • log 分析與規則建立
      • 緊急應變與鑑識
      • 奇技淫巧例如怎麼做一個 honeypot
  • 超低成本網站 DDoS 防禦術(慕凡)
    • 寫 Ruby ,五倍紅寶石創辦人
    • RubyConf Taiwan 2016 推廣
    • 網站開久了就會累積越來越多的業障
      • 筆戰
      • 某些國家的某些人特別愛打某些規模的網站
    • 業障累積到一個程度就會有 DDoS,是簡單粗暴低成本的攻擊
    • IRC 上有人出聲:<Griiid> DDoS就是... 每週日一群人一起從各地的教堂去禱告, 所以上帝每週日就受到一次DDoS攻擊。
    • 攻擊者希望你不要
  • 偷走 18 億台幣 theDAO 的那段 code (王銘德 Ming-der Wang)
    • 幾個月前有發生一次 18 億台幣被偷走的事,很難確定是哪段出現問題
    • 以太幣,可以寫程式
    • 一個月在網路上募資到 54 億台幣,不知道董事長是誰、沒有太多的資訊說明,一千多行的 code 就募到這麼多錢
    • 比特幣都是用一個 address 來代表帳號,以太幣也是
    • 跟提款機一樣,偷錢的資訊一直跳出來
    • 可以把股票分割成小股,叫做 splitDAO,攻擊者利用可以分割的功能搭配遞迴,來把錢退回帳號
    • 做了一個 TWDAO 代幣現場,歡迎大家來試偷看看

 

 

【閉幕式】

  • 用照片證明我們是個正常的聚會,不是什麼地下神秘組織XD
  • 今年有高達九成的報到率
  • 每年都有不知道為什麼變成傳統的哈根打死
  • 今年第四軌 (R4) 社群軌有神秘議程
  • 今年有特別場次,例如 GOGORO 之類的實物 demo
  • 今年的特色重點之一是有人才招募廠商
  • 口譯組在 IRC 上大獲好評,「語速和專業名詞都很麻煩」←明年我要記得帶耳機!

 

對活動有興趣的人可以參考以下資訊:

 

arrow
arrow
    文章標籤
    hitcon hitcon2016 hitconcmt2016
    全站熱搜

    小攻城師 發表在 痞客邦 留言(0) 人氣()