HITCON
第15届台湾骇客年会(HITCON)社群场于23、24日登场,连续两天活动于周五、周六举行,现场带来多个议程与各式大会活动,吸引近千名对资安有兴趣的研究人员和学生参与。
近年来,全球各国积极推动资安人才培育,台湾最大最具资安技术能量的台湾骇客年会,也期望与国内产、官、学、研领域,共同提升国内的资安人才与能量。
在这次大会活动上,例如,现场有安资安研究人员Orange与Meh,道出他们找出企业SSL VPN漏洞的宝贵经验,其实在8月初的美国Black Hat大会上,他们已经发表演说,不过这次是他们首次以中文演讲,让国内与会者能够更近距离接触与理解。
而在多项议程之外,现场还有各式活动,包过历年来都持续有的绵羊墙、骇客算命摊与奇葩奖等,以及一番赏、狩猎者行动、焊接电路板等各式活动。在周六的大会现场,他们还颁布了今年HITCON密室逃脱竞赛活动的前三名。
关于骇客密室脱逃的活动,这其实是去年新推出的项目,结合了解谜、教学与竞赛,不过甫推出就获得热烈响应。负责骇客密室活动的Melody表示,这个密室其时是他们打造一个拟真的办公室空间,里面有常见办公设备,像是打印机、打卡系统、监控系统与机房设备,而里面的题目涵盖范围,包含物联网安全、网站安全、服务器安全等,希望让玩家在体验密室后,可以快速知道自己的强项与不足,激发参赛者学习资安的渴望。
今年HITCON将这项活动扩大举行,因此活动不只短短两天,而是从今年7月即开始接受组队参加,至今活动已举行一个月,他们也针对前三名给予鼓励,其中第一名的“CSCS”团队,更是以比其他队伍快一半的时间破关。而这项活动还将持续到9月28日。
帮助训练IT人员实战的Mini Hardening新登场
特别的是,在周六一整天的活动中,现场还举行了一个称之为Mini Hardening的大型活动,这是大会今年特别邀请的项目。本届HITCON CMT总召邱柏森表示,这是日本资安社群 WAS Forum打造的攻防竞赛,已经在日本举办很多场,这次首度将整个活动搬到海外。
基本上,这项活动对于企业IT人员将很有意义。参与的人都将能以亲身体验的方式,要在3小时内,找出与修复特定环境中的漏洞,以保护系统免受重复的网络攻击。
图片来源/HITCON
邱柏森指出,这对于企业负责IT管理维运,又要处理资安事情的人,会很有帮助。他解释,很多IT人员知道Windows update、Patch修补,但可能不知道上完Patch可能要做一些系统调整,才真的做到保护,而这项活动将让IT人员能更清楚知道,如何修补与防御设定,以及检查那些资料去处理这样的漏洞,并透过团队合作来执行资安事件处理。
由于传统IT人员的产业中,很少有这样的训练,可是实务上,IT里面真的需要有懂资安的人,才能让IT维运与架构变得更好,并希望能在活动后的交流与分享,可以从别人身上学习到更多,并把经验带回去给自己的企业,或是自己未来的工作,让自己的环境、服务器可以更安全。
其实,去年底HITCON也举行过HITCON Defense企业资安攻防大赛,精神都是让参赛者扮演蓝队的角色,来找出防御的不足,以及遭受攻击时发现弱点与修复。
另外值得一提的是,在Mini Hardening之外,现场还有一个大型活动也很特别。这是来自香港的VXCON带来的VX(Variety eXpliotation) Village,将带领大家将USB上面的芯片解焊下来,并用专门的芯片读取器,劫持无线的灯号控制器,挑战硬件破解实作。目前,这个VX Village的活动,在各大资安研讨会上也都在进行。
图片来源/HITCON
台湾造型电路板Badge吸睛,并提醒大家注意使用TrustZone时,实作不当仍有资安问题
另外,近几年大会发起电路板Badge的挑战,也让与会者认识不同的知识与技术。像是去年推出区块链硬件电路板,今年更是带领大家认识与挑战硬件安全TrustZone。
在这块以台湾为造型的电路板上,由24颗LED,以及3个传输灯号开关灯号组成,并有六个操作按键,当中并设计了Turstzone挑战关卡让大家来破解。
负责电路板设计的李伦铨,在大会第二天现场再次强调硬件安全的重要性,并说明TurstZone的概念。对于这次电路板上的TrustZone挑战关卡,不只是要认识TrustZone的意义,同时也希望能借由这次经验,让大家注意到使用Trustzone时,如果实作有问题,一样会有资安的问题资安的缺陷。
图片来源/HITCON
在这次的电路板Badge上,他们使用了新唐M2351的MCU芯片,这也让大家认识在MCU上也能跑TrustZone。负责固件与大会题目的Yuawn表示,这颗MCU芯片并不复杂,主要就是不安全(Non-secure)与安全(Secure)的区域,当中包含一个环节,是从不安全把东西往安全区域送,而安全区域完成运算后,又是如何把权限转回去。
摄影/罗正汉
简单来说,在Badge上Non-secure的部分,包含LED与简单的命令列等,另外,他们并将Bagde上很重要的部分放到Secure区域,像是解锁的东西,当中用了一些简单的Bit当作Lock,需要对他做读取修改,一定要透过预先部署的方式来执行修改与存取。而在这项TrustZone挑战中,包含了三道题目可以破解,他们希望传达一个理念是,就算开发程式是丢进TrustZone,可是也要注意开发上的安全。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09