[HITCON年會] 親愛的,問題不一定是駭客造成的

2015.08.29 by
James Huang
近年來,因為網際網路服務與產品已經透過行動科技普及到一般人的生活之中,許多服務在發生問題的第一時間,主辦單位通常都會用資訊安全發生問題的理由...

近年來,因為網際網路服務與產品已經透過行動科技普及到一般人的生活之中,許多服務在發生問題的第一時間,主辦單位通常都會用資訊安全發生問題的理由來搪塞或輔以事實上沒有根據的資訊安全防禦手段作為建議。好比因為某商家的某項商品過於熱門,導致許多人在門口排隊、甚至發生推擠,讓原本可以正常進入商家的客人沒有辦法正常進入。商家卻以受到他人大量不當訪問(數量龐大的駭客攻擊)為藉口,來推託自身事實上暫時沒有擴大架構的設計,以致於沒有處理大量客人訪問的能力。這些搪塞的理由或建議往往成為資訊安全專業研究者眼中的笑話,「出事就先把問題推給駭客攻擊就對了」的公關方式,彷彿成為現代資訊服務發生問題的「第一選擇」

台灣駭客年會「奇葩獎」頒獎典禮於今日下午舉行,數位時代攝影
(圖說:台灣駭客年會「奇葩獎」頒獎典禮於今日下午舉行,數位時代攝影)

台灣駭客年會「奇葩獎」今年已經邁入第三屆,這個獎項用於表彰資安界所公認過去一年中台灣社會對資安事件的各種「奇特」關注。提名者提名出過去一年內出現在新聞媒體上奇特的資訊安全資訊或事件,透過資訊安全專業研究者的眼光,去檢討這些事實上在觀念不完全正確的新聞背後的被採訪者或事件背後的荒誕與笑話,並討論其所遺留下來的資訊安全觀點,是否會對社會造成不當的影響。進一步提升社會對資訊安全的理解,並促進各相關單位與媒體對資訊安全技術的認識。

以下是本屆台灣駭客年會「奇葩獎」入圍與得獎名單:

最佳名言獎

國稅局:「不要存,不要存,直接存到財稅中心雲端就好了」(得獎)
華梵大學資訊管理系教授朱惠中:「要安全,主機一定要在自己手上」
陸客:「撕破了好幾個女兵的褲子,才能夠入侵中華電信的機房」

寶物失竊獎

阿伯實體入侵台北市刑大,竊走電腦與監視器(得獎)
卡巴斯基發現,鴻海數位認證被以色列間諜盜用,入侵伊朗核子計畫談判者
宏碁簽章遺失,被用來聯合 Flash Player 漏洞進行攻擊
英雄聯盟官方遊戲檔案被惡意程式入侵,以合法方式透過官方更新遞送

一擊必殺獎

甲骨文安全長:不准抓我們產品的漏洞(不屬台灣範圍,不入圍)
匿名者癱瘓網站,國民黨團:「再入侵,就報警」
綠危機總動員,改採紙本面交(得獎)

國民黨團的反應,遭到資訊安全專家以周星馳電影名言:「你再胡說八道的話我要報警了」揶揄。數位時代攝影
(圖說:國民黨團的反應,遭到資訊安全專家以周星馳電影名言:「你再胡說八道的話我要報警了」揶揄。數位時代攝影)

年度駭客研究獎

獨立開發者暨業餘資安研究人員蔡姓網友:「PChome IM 設計遭爆資訊安全問題」
獨立開發者暨業餘資安研究人員蔡姓網友:「露天拍賣到底多不安全」
獨立開發者暨業餘資安研究人員蔡姓網友:「悠遊卡APP實作不安全」(得獎)
徐姓網友:「寬宏售票提供全民免費的直接資料庫存取」

遺珠之憾獎

Ashiley Madison 最佳洩漏資料獎

在目前公布的 Ashley Madison 成人網站資料裡,台灣的註冊使用者比英國還多,為第七大國。數位時代攝影
(圖說:在目前公布的 Ashley Madison 成人網站資料裡,台灣的註冊使用者比英國還多,為第七大國。數位時代攝影)

在目前公布的 Ashley Madison 成人網站資料裡,註冊的 email 包含許多立法院人物
(圖說:在目前公布的 Ashley Madison 成人網站資料裡,註冊的 email 包含許多立法院人物,數位時代攝影)

在頒獎的過程裡,台灣駭客年會的專業資訊安全研究者表示,透過這些資訊安全新聞讓人感覺到,有許多單位在受到資訊安全威脅時的反應令人匪夷所思。例如得獎者「綠營使用紙本作業」的行為並不一定能夠保證安全,事實上你還要確保你的文件在遞送的過程中,郵差或宅急便不會被中間人攻擊。(在遞送過程中間文件被竊走竄改或加料)檔案的安全也不因為你是存在本地端硬碟或雲端,不因為你是否握有主機才能夠保障,重要的是你有沒有把相關的檔案進行加密,你的資訊安全機制裡有沒有適當地保護檔案。年度資訊安全研究者得獎人蔡姓網友也表示:

「不確定的程式不太敢用,所以都會把它拆開。」

這些他拆開的程式都是因為他自己想要使用的服務才進行檢查,也因此發現許多問題。

另外,台灣駭客年會也在今日發表新專案 HITCON KB (台灣駭客年會知識庫 Knowledge Base) 。這個專案的起源,主要是因為許多資訊安全研究新進者發現,平時資安技術文章四散各地,資訊安全社群或課程成果分享不容易,許多高手樂意分享討論卻苦無平台,台灣欠缺本地的資訊安全討論平台。HITCON KB 的建立目的主要為累積知識、技術交流、讓學習更容易。HITCON KB的內容方向,主要將包含有目前台灣駭客戰隊CTF大戰的經驗談與攻略,漏洞分析、逆向工程與資安事件研討等。內容來源則主要透過編輯與駭客年會社群的原創徵稿、翻譯、邀稿與活動心得分享與轉載。歡迎台灣的資訊安全研究者都能積極參與平台,對台灣資安做出貢獻

每日精選科技圈重要消息