.png)
國內最大資安及駭客技術研討會台灣駭客年會 (Hacks In Taiwan Conference, HITCON) 社群場次 HITCON Community (CMT) 於 7 月 23 日在中央研究院圓滿閉幕,今年活動以 "Security or Nothing" 為核心,現場展示作業系統、網路設備、智慧裝置等攻防實際案例,吸引逾千名資訊安全領域人員與會。
去年因應物聯網 (Internet of Things) 盛行,將活動主軸訂定為 "Security of Things",提醒大家留意身週的物件可能造成的資安問題;今年更因應個資外洩嚴重、資安事件頻傳,將主題擴及至 "Security or Nothing",提醒大家若不注重資安問題,其後果不堪設想。由於惡意攻擊遽增,企業對資安人才需求也年年上升,但具實力的資安人卻難遇伯樂。有鑑於此,今年 HITCON CMT 扮演媒合平台,邀請廠商前來設攤說明、上台介紹公司特色與職缺需求,提供廠商與優秀資安人才雙向溝通接觸的機會,希望能讓台灣的資安領域更加蓬勃發展。
第二天上午 Keynote 議程,由曾經挖掘出 Facebook、Google 漏洞的資安研究員 Orange,以「Bug Bounty 獎金獵人甘苦談」為題,分享舉報國外大型網站漏洞的心得。Orange 表示,漏洞通報已經逐漸走向制度化,國外也有漏洞平台像是 Hackerone、Bugcrowd,專門為企業媒合能夠貢獻資安能量的資安研究員。他也分享了找網站漏洞的心路歷程與訣竅,現場聽眾紛紛表示值回票價。Orange 也感慨企業面對漏洞的態度頗為極端:部分企業收到漏洞通報不願修補弱點,而是立刻把機器下線;有些企業則是建立了完整的獎金和流程,以尊重回報者的態度,讓研究人員未來更願意回報弱點資訊。他也期待日後台灣漏洞平台能更趨成熟,企業能夠以正確的態度更快速地處理資安問題。
面對駭客熱愛四處挖掘系統漏洞,過去企業往往避之唯恐不及,近年資安意識抬頭,企業對此事態度漸轉正面,希望能藉由企業與駭客之間雙方的合作,使系統更加安全可靠。國外有安全漏洞獎金 (bug bounty) 機制,鼓勵駭客協助找出系統弱點,facebook、Uber 與 Google 等大企業均提供這樣的獎勵;在國內,駭客查出台電的智慧電錶因加密不足,而使得攻擊者可竄改用電資料,台電積極回應駭客們回報的弱點,儘速修復問題,近期更舉辦智慧電表滲透測試競賽,希望能藉由眾人之力,一同強化電力基礎建設的安全性。詳情參閱活動網站:https://smartgridhackers.com/
今年勒索軟體 (Ransomware) 災情頻傳,許多企業遭受攻擊,業務上的檔案被加密,只能交付贖款或放棄被加密的檔案,除了要求使用者主動頻繁備分資料以外,講者 Henry 也發表了偵測預防勒索軟體攻擊的技術,希望能降低企業損失。
部分講者透過節奏明快的閃電秀 (lightning talk),利用五分鐘的短講分享資安研究成果,風趣幽默地陳述生活周遭的安全議題,包括如何在不越獄 (Jailbreaking) 的情況下繞過驗證機制安裝熱門的手機遊戲、使用特殊技巧取得虛擬貨幣等。
為了鼓勵資安領域人士互動交流,較之於往年活動擴增了攤位類型,參展攤位包括企業人才招募、社群及個人攤位,社群提供了各式有趣的 Wargame 與實體開鎖練習,模擬駭客攻防的環境,讓初探資安領域的參與者能從中獲取破解系統漏洞的成就感。
駭客年會期待能扮演政府、企業、資安人才之間的橋樑,經由每年的年會活動,讓與會人員可以盡情地聽議程、學技術、交朋友。活動後將提供演講簡報下載,歡迎至 HITCON 網站查詢:https://hitcon.org/2016/