HITCON社群场迈向第15届，电路板解迷活动及适合IT人员的蓝队竞赛最吸睛最新消息

图片来源:

HITCON

第15届台湾骇客年会（HITCON）社群场于23、24日登场，连续两天活动于周五、周六举行，现场带来多个议程与各式大会活动，吸引近千名对资安有兴趣的研究人员和学生参与。

近年来，全球各国积极推动资安人才培育，台湾最大最具资安技术能量的台湾骇客年会，也期望与国内产、官、学、研领域，共同提升国内的资安人才与能量。

在这次大会活动上，例如，现场有安资安研究人员Orange与Meh，道出他们找出企业SSL VPN漏洞的宝贵经验，其实在8月初的美国Black Hat大会上，他们已经发表演说，不过这次是他们首次以中文演讲，让国内与会者能够更近距离接触与理解。

而在多项议程之外，现场还有各式活动，包过历年来都持续有的绵羊墙、骇客算命摊与奇葩奖等，以及一番赏、狩猎者行动、焊接电路板等各式活动。在周六的大会现场，他们还颁布了今年HITCON密室逃脱竞赛活动的前三名。

关于骇客密室脱逃的活动，这其实是去年新推出的项目，结合了解谜、教学与竞赛，不过甫推出就获得热烈响应。负责骇客密室活动的Melody表示，这个密室其时是他们打造一个拟真的办公室空间，里面有常见办公设备，像是打印机、打卡系统、监控系统与机房设备，而里面的题目涵盖范围，包含物联网安全、网站安全、服务器安全等，希望让玩家在体验密室后，可以快速知道自己的强项与不足，激发参赛者学习资安的渴望。

今年HITCON将这项活动扩大举行，因此活动不只短短两天，而是从今年7月即开始接受组队参加，至今活动已举行一个月，他们也针对前三名给予鼓励，其中第一名的“CSCS”团队，更是以比其他队伍快一半的时间破关。而这项活动还将持续到9月28日。

帮助训练IT人员实战的Mini Hardening新登场

特别的是，在周六一整天的活动中，现场还举行了一个称之为Mini Hardening的大型活动，这是大会今年特别邀请的项目。本届HITCON CMT总召邱柏森表示，这是日本资安社群 WAS Forum打造的攻防竞赛，已经在日本举办很多场，这次首度将整个活动搬到海外。

基本上，这项活动对于企业IT人员将很有意义。参与的人都将能以亲身体验的方式，要在3小时内，找出与修复特定环境中的漏洞，以保护系统免受重复的网络攻击。

图片来源／HITCON

邱柏森指出，这对于企业负责IT管理维运，又要处理资安事情的人，会很有帮助。他解释，很多IT人员知道Windows update、Patch修补，但可能不知道上完Patch可能要做一些系统调整，才真的做到保护，而这项活动将让IT人员能更清楚知道，如何修补与防御设定，以及检查那些资料去处理这样的漏洞，并透过团队合作来执行资安事件处理。

由于传统IT人员的产业中，很少有这样的训练，可是实务上，IT里面真的需要有懂资安的人，才能让IT维运与架构变得更好，并希望能在活动后的交流与分享，可以从别人身上学习到更多，并把经验带回去给自己的企业，或是自己未来的工作，让自己的环境、服务器可以更安全。

其实，去年底HITCON也举行过HITCON Defense企业资安攻防大赛，精神都是让参赛者扮演蓝队的角色，来找出防御的不足，以及遭受攻击时发现弱点与修复。

另外值得一提的是，在Mini Hardening之外，现场还有一个大型活动也很特别。这是来自香港的VXCON带来的VX（Variety eXpliotation) Village，将带领大家将USB上面的芯片解焊下来，并用专门的芯片读取器，劫持无线的灯号控制器，挑战硬件破解实作。目前，这个VX Village的活动，在各大资安研讨会上也都在进行。

图片来源／HITCON

台湾造型电路板Badge吸睛，并提醒大家注意使用TrustZone时，实作不当仍有资安问题

另外，近几年大会发起电路板Badge的挑战，也让与会者认识不同的知识与技术。像是去年推出区块链硬件电路板，今年更是带领大家认识与挑战硬件安全TrustZone。

在这块以台湾为造型的电路板上，由24颗LED，以及3个传输灯号开关灯号组成，并有六个操作按键，当中并设计了Turstzone挑战关卡让大家来破解。

负责电路板设计的李伦铨，在大会第二天现场再次强调硬件安全的重要性，并说明TurstZone的概念。对于这次电路板上的TrustZone挑战关卡，不只是要认识TrustZone的意义，同时也希望能借由这次经验，让大家注意到使用Trustzone时，如果实作有问题，一样会有资安的问题资安的缺陷。

图片来源／HITCON

在这次的电路板Badge上，他们使用了新唐M2351的MCU芯片，这也让大家认识在MCU上也能跑TrustZone。负责固件与大会题目的Yuawn表示，这颗MCU芯片并不复杂，主要就是不安全（Non-secure）与安全（Secure）的区域，当中包含一个环节，是从不安全把东西往安全区域送，而安全区域完成运算后，又是如何把权限转回去。

摄影／罗正汉

简单来说，在Badge上Non-secure的部分，包含LED与简单的命令列等，另外，他们并将Bagde上很重要的部分放到Secure区域，像是解锁的东西，当中用了一些简单的Bit当作Lock，需要对他做读取修改，一定要透过预先部署的方式来执行修改与存取。而在这项TrustZone挑战中，包含了三道题目可以破解，他们希望传达一个理念是，就算开发程式是丢进TrustZone，可是也要注意开发上的安全。