2017 Hicon 駭客年會心得
官網:https://hitcon.org/2017/CMT/agenda
共筆:https://hackmd.io/KbCMGYBYBME4CYC0wDG4BsjIAZzUQIawCswi4w0k84pA7NvHUA==#hitcon-community-2017-共同筆記-collaborative-notes
總結:
今年是我第二次參加駭客年會,在2017年八月25和26兩天,第一天都在講解資安的現況與未來,從教育到產業生態都有討論到,第二天對於資安技術有精彩的議程,收穫良多,這兩天聽下來發現很多新視野,有些議程聽不懂,有些則很有感受,對於自己未來的技能專業,有更近一步精進.
第一天
Keynote:臺灣資安人才教育 Cybersecurity Education in Taiwan
講師:吳宗成教授
第一天的議程從台灣的資安人才問題講起,台灣的資安團隊在國際賽事上都有很亮眼的成績,每次去比賽CTF[註]都取得世界前五名的成績,吳宗成教授提到應該把資安教育在高中職上面落實,讓有這方面天賦的學生可以提早挖掘發現,並且讓資安在高中職教育時就可以生根,還有提到韓國BOB計畫的DEFKOR,如何去培訓資安人才,台灣的也有AIS3[注]的教育計畫,讓我了解資安教育的未來與現況.
第二場:一發入魂 One Gadget RCE
講師: david942j
講者細細說明如何達到Symbolic Execution攻擊,講解非常的詳細,但是對於這方面的知識累積太少,聽不太懂講者在說什麼東西,使用一些技術來達到Symbolic Execution符號執行的攻擊.
第三場:資安從業人員座談會
資安人員座談會,邀請一些資安專家來談談資安的心酸血淚,在台灣資安從業人員主要是三種,甲方:資安設備商、乙方:資安產品買方、原廠:資安設備原廠,這三個主要的資安人員工作的現況,對於乙方來說,資安幾乎都是花錢而非賺錢所以在企業中較弱勢,而且做資安,有最高主管的支持超級重要,否則會很台在企業內推行,也有討論到除了這三個主要的方向,可以自行創業,研發產品,但是這是一條很難的一條路,但是在台灣有三個優勢1.工程師多、2.工程師便宜、3.忠誠度高等優點,相對來說是合適研發產品的,還有分享到創業的辛酸和一些技巧,最後提到台灣的資安法規等事項,這場座談會讓我覺得資安好像是一條不歸路啊.
第二天
Keynote - A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages!
講者:Orange
這場非常的有收穫,講者是在台灣資安界非常有名的駭客,他分享了SSRF[注]服務端請求偽裝攻擊,繞過防火牆直接對於內部網路攻擊,目前大部分的防毒軟體都有做到防護,但是講者透過研究網路架構和底層的資源檔,找出各種輕微漏洞,並且串連這些漏洞來達到攻擊,由於自己平常也在寫網頁程式,所以對於這篇演講有比較了解的認識,聽完之後有種開眼界的感覺,從完全不同的角度(駭客角度)來解析網路技術,如何繞過防護機制達到攻擊竊取資料,這場演講對我衝擊量非常的大,也讓我知道自己的不足,熟話說得好要先知道怎麼攻擊,才能了解怎麼防禦,了解這些資安攻擊,才有辦法防禦和架構出更安全的程式.
第二場:Triton and Symbolic excution on GDB
講者:陳威伯
這一場又是講解Symbolic excution攻擊,聽不太懂的一場議程.
第三場:Hacking IoT to control your life
講者:LionBug
這場演講很有趣,講者有提到自己的親人被駭客攻擊進而影響生活,現在的家庭裡面多多少少都會有電子設備,攝影機、電腦、智能開關、智能家控等等,這些家電如果被有心人士利用進而影響自己的生活,講者分析這些家電內隱含的攻擊事件和手法, 並且抽絲剝繭的展示追蹤手否給我們看,讓我們有清楚的概念和理解.
第四場:Automating vulnerability scanning with Vuls
講者:Kota KANBE & Teppei FUKUDA
講者是兩位日本人,其中一位是Vuls這個開源軟體的作者,Vuls是一套漏洞掃描軟體,解決跨平台跨軟體之間軟體漏洞的掃描問題,非常方便使用,對於完全沒有聽過這套軟體的我來說,引起我很大的興趣研究這套軟體.
第五場:看我如何搭配黑帽 SEO 玩轉網站排名流量
講者:郭璟塘 AZ
這是最後一場議程,講解公司最近在做的SEO方式,但是講者是用比較駭客的方式來提升SEO,讓我有一種驚艷的一場演講,這場演講讓我對於SEO的正反面做法有一些基礎理解,不管未來是否會使用到,但是都是直得我們參考的方式.
註解:
CTF: Capture The Flag 搶旗攻防賽,資安電腦攻防的比賽.
AIS3: 新型態資安暑期課程是由教育部資訊安全人才培育計畫推動辦公室所主辦.
Symbolic Execution:符號執行是一種程序分析技術。其可以通過分析程序來得到讓特定代碼區域執行的輸入。
SSRF: Server-Side Request Forgery 服務端請求偽裝攻擊
沒有留言:
張貼留言