【我們為什麼關注這則新聞】
一銀盜領案告訴了我們一個系統漏洞所可能帶來的後果。但現在高手都在民間,企業卻未必能吸納成為資安戰力。如何營造一個報酬合理且制度完整的漏洞平台,將是台灣資安未來的一大重點。
(責任編輯:曾華銳)
國內最大資安及駭客技術研討會台灣駭客年會 (Hacks In Taiwan Conference,HITCON) 社群場於 7 月 23 日在中央研究院圓滿閉幕。
去年物聯網 (Internet of Things,IoT) 大行其道,HITCON 便將活動主題設定為”Security of Things”,提醒大家留意身週的物件可能造成的資安問題。而今年資安事件頻傳,一銀盜領案更是引起軒然大波,於是 HITCON 便將主題擴及至 “Security or Nothing”,也就是在這個網路世代如果不注重資訊安全,後果可能就是一無所有。
與惡意攻擊遽增的現象相對應地,企業對資安人才需求也年年上升,但資安高手卻仍被埋沒。有鑑於此,今年 HITCON CMT 扮演媒合平台,提供廠商與資安人才溝通接觸的機會,希望能讓台灣的資安領域更加蓬勃發展。
過去,企業面對熱愛四處挖掘系統漏洞的駭客,往往如臨大敵;但近年企業對此事態度逐漸轉為積極正面,希望能藉由與駭客的合作,使系統更加安全可靠。而在國外也有安全漏洞獎金 (bug bounty) 機制,鼓勵駭客協助找出系統弱點,facebook、Uber 與 Google 等大企業均提供這樣的獎勵。
HITCON 第二天 Keynote 議程「Bug Bounty 獎金獵人甘苦談」,便是由曾經挖掘出 Facebook、Google 漏洞的資安研究員 Orange 來分享舉報國外大型網站漏洞的心得。
Orange 表示,漏洞通報已經逐漸走向制度化,國外也有漏洞平台像是 Hackerone、Bugcrowd,專門為企業媒合資安研究員。不過,Orange 也感慨企業面對漏洞的態度頗為極端:部分企業收到漏洞通報不願修補弱點,而是立刻把機器下線;有些企業則是建立了完整的獎金和流程,以尊重回報者的態度,讓研究人員未來更願意回報弱點資訊。他也期待日後台灣漏洞平台能更趨成熟,企業能夠以正確的態度更快速地處理資安問題。
今年勒索軟體 (Ransomware) 災情頻傳,許多企業遭受攻擊,業務上的檔案被加密,只能交付贖款或放棄被加密的檔案,除了要求使用者主動頻繁備分資料以外,講者 Henry 也發表了偵測預防勒索軟體攻擊的技術,希望能降低企業損失。
部分講者透過節奏明快的閃電秀 (lightning talk),利用五分鐘的短講分享資安研究成果,風趣幽默地陳述生活周遭的安全議題,包括如何在不越獄 (Jailbreaking) 的情況下繞過驗證機制安裝熱門的手機遊戲、使用特殊技巧取得虛擬貨幣等。
為了鼓勵資安領域人士互動交流,較之於往年活動擴增了攤位類型,參展攤位包括企業人才招募、社群及個人攤位,社群提供了各式有趣的 Wargame 與實體開鎖練習,模擬駭客攻防的環境,讓初探資安領域的參與者能從中獲取破解系統漏洞的成就感。
駭客年會期待能扮演政府、企業、資安人才之間的橋樑,經由每年的年會活動,讓與會人員可以盡情地聽議程、學技術、交朋友。年會活動提供演講簡報下載,請至 HITCON 網站查詢。
(本文訊息由HITCON駭客年會提供,內文與標題經 TechOrange 修訂後刊登。新聞稿 / 產品訊息提供,可寄至:[email protected],經編輯檯審核評估合宜性後再行刊登。本文提供合作夥伴轉載。)
