白帽駭客齊聚臺灣駭客年會,吸引大批學生資安教育向下紮根
臺灣規模最大的資安盛會第十屆臺灣駭客年會(Hackers In Taiwan)在接連兩天的企業場盛大落幕之後,緊接而來是社群場第一天開幕。不只有請到了曾多次找出 IE 瀏覽器漏洞的綠盟科技安全小組資安研究員分享如何用 Fuzzer(漏洞檢查工具)框架發現和測試 IE 漏洞。另外也有前宏碁資安工程師利用行動安全檢測工具分析,揭露政府多款 iOS App 的安全隱私問題。而原本從會前就一直保密到家的神秘場次,也揭曉 u.6,u.6 邀請到的就是剛取得 HITCONCTF 資安競賽冠軍的的日本 Fuzzi 3 參賽隊伍,還有臺灣團隊竹狐的現場分享經驗交流,會場所到之處幾乎座無虛席。
今年的臺灣駭客年會,為因應十週年做出不一樣改變,首度將演講場次分成企業場與社群場兩場,除了順利解決過去購不到票的搶票問題,也讓更多對資安有興趣民眾也能共同參與。
而身為本屆駭客年會總召的蔡松廷(TT)也表示,接下來 2天的社群場是最能展現駭客文化精神的駭客聚會,除了有較輕鬆、活潑的資安主題,也有提供許多好玩有趣活動,像是社群場第一天,現場也提供民眾用觸控平板桌來玩駭客桌遊,在玩的同時也學習到不少資安知識。另外今年也跟去年一樣推出算命攤活動,邀請資深駭客前輩,分享個人經驗,也和現場與會者進行交流。
而在第一天的社群場人數統計中,包括一般觀眾、講師和貴賓等報到約有九百人,其中有近四成是純學生(39%),其次則是工程師(27%)與技術人員(11%)而真正的白帽駭客比例則是 1%,這也與稍早前工程師居多的企業場成功做出區別。而經由學生們親自參與資安議題的討論與學習,也讓臺灣在向外展現臺灣資安技術的同時,也成功做到臺灣資安社群的向下紮根。
在臺灣虛擬國境,打造安全可信賴的網路環境
國家發展委員會管制考核處處長何全德也在受邀參與開幕主題演講時表示,網際網路的發展帶來國家安全的新思維,在未來虛擬國境下,原本操作飛彈發射的「按鈕」,將變成了鍵盤上的「按鍵」,只要動動鍵盤就能發起網路戰爭。而面對未來高挑戰性的虛擬國境防衛,何全德也指出包括像是人的安全、系統安全(軟硬體、通訊)、以及個資保護等,都是必需處理的網路安全議題,但他也坦承,光只靠政府的力量是不夠的,必須要整合政府與民間的力量,才能夠發揮以小博大,以智取勝的最大力量。
而經由駭客年會活動的舉辦,何全德也認為,除了提供一個開放資安技術交流與學習的場所,也能達到資源情報整合和情諮分享,共同在臺灣這塊虛擬國境上,打造出一個安全可信賴的網路經濟環境。
用 Fuzzer 框架找出 IE 及 Google Chrome 瀏覽器漏洞
過去曾多次成功揭露 IE 瀏覽器漏洞,甚至還因此被微軟公開予以感謝的NSFOCUS 綠盟科技安全小組資安研究員張臣(網路暱稱:demi6od),本次受邀在臺灣駭客年會上分享了他如何運用瀏覽器 Fuzzer(漏洞檢查工具)技術,發現和測試漏洞過程。
張臣表示,隨著瀏覽器被廠商加上重重的安全防護,要攻破瀏覽器也變得更為困難,而通常攻破需經過三道關卡,包括找出漏洞、寫出利用(exploit)、對抗沙箱。而能不能發現漏洞或能發現多少漏洞,往往取決於 Fuzzer 樣本開發的框架,像是 Google 的 ClusterFuzz 框架,經由加入高階的異常監控機制,可以監控內存裡的訪問異常,再加上 Google 本身強大的運算資源,也使得 Google Chrome 瀏覽器的漏洞越來越少,經常在漏洞被發現之前就已先被修補。
張臣也說,要自建一個 Fuzzer 框架,首先要先搜集公開的漏洞樣本,然後,確保自己開發的樣本可覆蓋這些漏洞,另外也得做足功課閱讀相關書籍,最後也必須要有足夠創新的想法。張臣也表示,自己的 Fuzzer 框架,主要支持 IE 11 及 Google Chrome 瀏覽器,並採用 Javascript 和 Python 兩種程式語言來完成。會場上他也以影片示範用自建 Fuzzer 框架,從 IE 11 及 Google Chrome 瀏覽器的漏洞觸發到完整利用(exploit)的過程。
資料來源:http://www.ithome.com.tw/news/90341
正新電腦:www.pronew.com.tw04-2473-8309