東南亞資安市場大爆發 馬、越研討會見端倪

大眾資安意識不容忽視
OWASP台灣分會會長黃耀文在今年駭客年會當中曾說，有能力舉辦資安技術研討會，代表這個國家的資安成熟度，是資安廠商評估市場的指標之一。但馬來西亞Hacker Halted的例子，卻證明了社會大眾普遍具備資安意識，這樣的市場也不容忽視。



馬來西亞Hacker Halted門票昂貴卻趨之若鶩
馬來西亞的Hacker Halted活動於8/13~8/16在首都吉隆坡舉行，在研討會開始之前先舉辦2天專為技術人員開班的訓練課程，內容涵蓋災難復原、滲透測試、網路法規、Linux安全等課程，緊接著是9場不同議題的演講與論壇。

不同於美國Black Hat的演講，內容較專注在駭客技術與工具的探討，對象多半是資安研究人員。而Hacker Halted則偏重在IT安全管理的認知以及駭客攻擊趨勢介紹，與會者多半是企業、政府機構裡非資訊背景的管理人員或一般網管工程師。而演講者來自世界各國，包括美國資安事件調查公司Navigant Consulting Inc.的總監Erik Laykin發表開幕演說，以及EC-Council主席Sanjay Bavisi發表惡意駭客的第8個習慣、Fiberlink Communications的Dan Hoffman談如何保護移動式設備安全等，而台灣關貿網路總經理陳振楠也受邀以「自掘墳墓：企業安全常犯的12種錯誤」為題，發表演講。

陳振楠指出，過去台灣所舉辦的資安研討會比較多是對技術面的探討，或資安工作者的心得分享。而這次Hacker Halted則多半是一般認知層面的內容，從與聽眾息息相關的生活經驗談起，例如使用P2P軟體所造成的安全問題、社交工程的危害等。兩天的研討會下來，幾乎學員都從頭到尾全程參與。陳振楠明顯感受到馬來西亞人對於資訊安全有著極高的危機意識，這種危機感使得他們更自發性地前來汲取資安相關知識。

「台灣就要輸掉了！」受邀前往參加活動的EC-Council台灣區總代理翊利得資訊董事長邱月香開門見山地說。貴的令人咋舌的門票，兩天課程下來報名費折合台幣1人就將近4萬元，參加人數卻多達400人，超乎主辦單位預期。這樣的盛況竟在馬來西亞出現，一個資訊工業稱不上最先進的國家。

邱月香坦言，位於馬來西亞的EC-Council亞太區總部曾多次邀請她參加Hacker Halted活動。這次親身參與後，讓她體會到馬來西亞儘管沒有蓬勃的IT產業，但大眾以及政府對於資訊安全卻出奇的重視。由副總理親自出席這場研討會，不難看出馬國政府對於資安的重視程度。邱月香還提到在中場休息時間，曾聽到一段學員之間的對話，內容是某法院人員電腦中毒卻不懂該如何處理，因此前來聽課學習。邱月香表示，馬來西亞政府人員這種敢於承認缺點、面對問題，並且積極學習的心態很令人敬佩。

2天的研討會下來，不只外國講者，包括馬來西亞的本國講者在內，全部都是以英語發表演說，在馬來西亞正式場合中大部分人使用英語交談。邱月香認為，可能因為馬來西亞民眾英文程度高，對資訊安全新聞訊息接收速度快，使他們較重視資訊安全問題。

看看馬來西亞經驗，想想在台灣推動資安的情形，陳振楠認為，與其不斷對企業呼籲重視資訊安全，對政府呼籲重視IT產業，不如直接向一般民眾也就是廣大的電腦使用者呼籲對個人資料隱私的重視。唯有大眾對個人資料的重視，運用消費者的選擇力量，才能促使擁有客戶資料的企業善盡資料保管責任。而邱月香也表示，台灣EC-Council將來也想籌辦以使用者認知推廣為目的的研討會，謝絕廠商與產品推廣，「只要費用能打平就願意做了！」她笑說。



越南資安社群向心力強，實力不容小覷
越南第一屆的資安研討會VNSECON''07於8/3~8/4緊接在美國Black Hat之後舉行，這使得部份國外講者來不及前來而更動部分議程，儘管如此演講者陣容仍十分有看頭。

2天的議程下來將近20場演說，內容涵蓋技術與管理層面。由於主辦單位VNSECURITY的創辦人Red Dragon，同時也是資安領域重要社群The Hacker's Choice（THC）的成員，因此邀請許多THC的重要成員前來發表演說，包括創辦人van Hauser談有關IPv6通訊協定的攻擊模式，Skyper談如何輕鬆破解GSM手機，由於GSM手機議題有趣、容易引起共鳴，Skyper還現場展示其修改Nokia手機後所能做到的竊聽「成果」，成為聽眾反應最熱烈的場次。

親臨參觀的阿碼科技資訊安全顧問丁性佃表示，VNSECON特別之處在於主辦單位利用社群的力量，除邀請國外講者外，更號召許多有越南國籍但目前在國外就業的資安專家回來發表研究心得，包括在日本產業技術總合研究所（AIST）的Nguyen Anh Quynh及新加坡的Nam T. Nguyen等人。丁性佃指出，80年代亞洲移民潮時，曾有一票越南人前往美國太空總署（NASA）工作；而如今的越南科技人才，則因為求學或工作的關係目前散佈在馬來西亞、中國、新加坡等地，他們的IT技術能力不容小覷。如今VNSECON能把他們召集回來，顯示越南的資安社群互動活躍，向心力強。

至於在活動規模方面，可能因為是第一次主辦，參與人數僅約100人，且以政府部門人員佔多數，其次社群成員約佔1/3。丁性佃表示，雖然是由民間主辦的活動，但所有演說主題還是須先經過政府部門的同意，官方色彩濃厚。這也許表示政府單位對於資訊安全的重視，第一天的開幕演說就是由胡志明市的郵政電信部部長所發表。

除了演講內容外，VNSECON也舉辦了競賽－Capture the Flag，題型有包括SQL Injection漏洞等關卡，難度不高。但丁性佃指出，由於會場沒有無線網路，學員只能利用中場休息時間到教室外闖關解題，算是美中不足之處。整體而言，越南目前仍在IT基礎建設剛起步階段，「就連飯店的網路連線也還不太穩，」他說。但以越南資安社群的力量，未來越南在資訊安全防護上將不落人後。