觀點

第四屆台灣駭客年會現場直擊

2009 / 06 / 25
吳依恂
第四屆台灣駭客年會現場直擊
台灣駭客年會於今年7月19日~7月20日,假台科大國際會議中心舉行。今年令人感興趣的,是什麼樣的資安議題呢?

主辦單位用心良苦

  
今年台灣駭客年會(HIT, Hacks in Taiwan)現場人潮更比往年來得多,除了1樓高鵬滿座以外,連2樓Wargame的場地也都幾乎被塞滿。一如往年,除了研討會交流之外,現場還有Wargame的比賽,提供台灣網路玩家一個合法的網路攻防戰競賽。

  HIT主辦人徐千洋表示,舉辦了3年,透過每一次的經驗,傾聽與會者的意見都可讓台灣駭客年會越辦越好。今年主講者以台灣為主,採中文發言,主要是聽眾反應過去雖然有來自國外的講者,但由於受到語言、文化障礙,像這類技術導向的研討會,很難找到即席翻譯,而即使有這樣的翻譯,有些議題也很難光靠翻譯解說,聽眾往往都只能在台下讚嘆其技術高明卻難以理解,徐千洋認為其理解程度大概只有2、3成,造成聽眾覺得這樣的研討會,實用程度不高。為了增加與會者的參與度,主辦單位調整了每場議程的間隔時間,時間彈性較大可讓台下聽眾有較多時間互動與討論,並且要求主講者增加實際Demo的部份。

  今年的7月,在台灣還有場資安技術交流盛事-SyScan資安技術年會,徐千洋說,他很高興HIT達到了拋磚引玉的效果,SyScan從新加坡來到台灣舉辦,也證明了台灣的資安環境以及資安市場達到了一定的成熟程度,足以聚集夠多的能量來支撐。過去台灣在這類研討會的舉辦方式都以廠商、行銷為主,較無單純技術交流,HIT舉辦的初衷正是希望可以屏除商業,以技術為主。

  主要參加者,學生佔有很大的比例,其次為政府、軍事單位。今年call for paper的題目主要是Windows Vista的安全技術探討,徐千洋認為,Windows Vista對資訊安全的生態正在改變,逐漸擴大它的影響層面。例如說由於Windows Vista系統較難攻破,攻擊者可能便轉往攻擊行動裝置上的系統弱點。此外,他們也感受到來自網站的威脅,例如可以透過控制瀏覽器外掛程式,達到完全控制使用者電腦端,因此在本次的議程中亦有不少網站安全的議題。

現場直擊 議程回顧

  這次邀請到的大陸籍演講者孫明焱(網路代號Card Magic),展示如何利用Windows Vista系統還原點(restore)隱藏rootkit,此法並不會更改還原點,只是讓系統還原的時候看不見rootkit,並且解說如何透過Vista的還原點繞過HIPS防護的新方法。Card Magic表示,這是Windows Vista系統設計上的缺陷,還原的過程是一個很系統化的動作,但是在模組與模組之間的連結銜接並不是很緊密,使得他能夠找到插入點,將rootkit插入其中動些手腳,繞過HIPS偵測也是利用同樣的弱點來感染系統。

  他認為,解決之道在於微軟資訊公開的程度,首先是微軟在設計上的安全考慮應當更周詳,二來是,公開的資訊不充足,他說,如果微軟沒有做好這方面,至少其他安全防護解決方案廠商可以幫忙補足,但在公開資訊不充足的情況下,就容易有這樣的漏洞產生,微軟並不需要公開太詳細的程式碼,但要是能夠公開一些架構上細節,大家也比較能夠容易發現這些該加強的部份。

  主持知名網站「大砲開講」的資安專家邱春樹在「Web安全威脅偵測與防護」的議程裡談到,目前造成資安問題最嚴重的,是未經驗證的第三方的應用程式,因為撰寫時無需考慮到可能衍生的問題,他認為目前一般的防毒軟體都著重在於,當系統出現下載動作的時候去進行分析、偵測,但目前有許多網站漏洞皆與程式碼安全品質有關。他也預測,未來影音檔的廣告將會是主流的攻擊媒介,尤其是Flash檔,目前在國外情形已很嚴重,利用網頁漏洞,攻擊者會下載竄改之後再放上去供人下載,而由於影音檔檔案太大,會造成掃描時間太長,因此防毒軟體無法處理,雖然IPS防護做得較底層,但還是無法做比較詳細的偵測比對。席間有人問起網頁應用程式防火牆是否有其功效,邱春樹認為,是有所幫助但並非百分百,為了避免這些網路威脅,應該要想辦法先找出漏洞,然後修補漏洞,平時便要做好監控的動作,才能盡量降低資安風險。

  除此之外,瀏覽器也可能是造成不安全的威脅來源,如今年6月甫才釋出的Firefox 3.0,最近網路上也開始有些修正過的外掛程式提供下載使用,在「Firefox Extension Spyware」議程裡,主講者ant提醒大家雖然在網路上有許多方便好用的瀏覽器外掛程式,但並沒有經過任何驗證,也有許多的惡意行為隱藏在其中,例如FormSpy、Firebug等,或像是好用的RSS訂閱工具Sage雖然是善意軟體,但有漏洞,因此也有可能會被惡意攻擊者所利用,這些安裝在瀏覽器上的外掛程式都有可能繞過防火牆等安全設備,追蹤瀏覽器記錄、竊取cookie等,因此,在一頭熱的安裝這些新奇、便利的擴充套件工具時,不能不思考到它所可能帶來的安全性問題。

  延伸上述類似的議題,在「看不見的網站攻擊」議題裡,Unohope也現場展示了如何利用使用者端的瀏覽器來進行惡意攻擊,甚至不需要網頁弱點,便可輕易繞過認證。Unohope提到,有許多的問題,其實是出在使用者端身上,系統端無論如何安全,使用者只要使用不安全的外掛、未更新的軟體等,便可輕易使得惡意攻擊者長驅直入、攻城掠地。

功力孰高孰低 Wargame競賽見真章

  負責Wargame統籌規劃的newbug說,這次的Wargame比賽設定主要是在指定的行動裝置系統內動作,設定在Windows CE5或Windows CE6的環境,不過,在進入系統前可得先破解現場一個無線網路基地台,參賽者可自由選擇不同的關卡,當然,依破解難度會有不同的得分。徐千洋說,出題者都有各自專精的領域,每個人出一個題目,綜合起來可就不簡單了,當然,這些也都是先經過測試。newbug在旁邊笑著說,沒那麼容易,主辦單位也稍微花了點時間破解唷!經過2天的激戰後,第四屆台灣駭客年會的冠軍依然為連續蟬聯3年的kcwu,可獲得新台幣2萬元獎金,第2名的ccn有1萬元,第3名B也有5,000元。徐千洋表示,來參加Wargame的人以學生居多,甚至有些還有學長、學弟的傳統傳承,他認為像這樣的競賽活動相當有趣,也可以培養出許多資安方面的人才。

  不過,提及聽聞以往校園金盾獎的得主,似乎都有詐騙集團與之聯繫,吸收有技術與破解能力的人才。這類的競賽多由學生來參加,可以說是未來資訊工作者的縮影,如同駭客有好、有壞,能力強的人當然大家都搶著要。他說,Wargame的獎金都是由贊助商提供,因此連網駭科技(主辦單位)也沒有競賽者的聯絡方式,而是由贊助商與獎金得主直接聯繫。如今詐騙集團都開始轉變其攻擊手法,跳脫以往一對一或一對多的詐騙方式,採用網路攻擊的方式,有效率的進行惡意詐騙,甚至是搭配上技術性來篩選、獲取有用資訊,讓使用者降低戒心、提高成功率。看到這樣的警訊,我們是不是也更應當重視資訊安全技術的防禦呢?

台灣駭客年會會後花絮

  根據筆者前往現場觀察的情形,前往參與者仍以學生和企業用戶為主,主要訴求希望可以聽見較新鮮的議題,因此也有聽眾反應此次設計的議題不夠新,大部分都是著重在網頁用戶端的防護,這類的議題在多個研討會中都曾被分享過。不過,也有聽眾反應利用Windows Vista系統漏洞
隱藏rootkit的方法倒是相當值得一聽。另外,在場外還有贊助廠商Yahoo!奇摩的徵才,俏麗的show girl請與會者填寫問卷送贈品的活動,問卷內容主要是詢問是否有加入Yahoo!奇摩的意願,欲擔任何種職務?以招收各種工程師為主。顯然這樣的場合依然是廠商尋找未來適任員工的好地方。