我抓 bug 你出钱 ─ 安全漏洞奖金猎人:骇客与企业可以是

  • 编辑时间: 2020-07-10
  • 浏览量: 952
  • 作者:

我抓 bug 你出钱 ─ 安全漏洞奖金猎人:骇客与企业可以是

国内最大资安及骇客技术研讨会台湾骇客年会 (Hacks In Taiwan Conference,HITCON) 社群场于 7 月 23 日在中央研究院圆满闭幕。

去年物联网 (Internet of Things,IoT) 大行其道,HITCON 便将活动主题设定为”Security of Things”,提醒大家留意身週的物件可能造成的资安问题。而今年资安事件频传,一银盗领案更是引起轩然大波,于是 HITCON 便将主题扩及至 “Security or Nothing”,也就是在这个网路世代如果不注重资讯安全,后果可能就是一无所有。

与恶意攻击遽增的现象相对应地,企业对资安人才需求也年年上升,但资安高手却仍被埋没。有鉴于此,今年 HITCON CMT 扮演媒合平台,提供厂商与资安人才沟通接触的机会,希望能让台湾的资安领域更加蓬勃发展。

过去,企业面对热爱四处挖掘系统漏洞的骇客,往往如临大敌;但近年企业对此事态度逐渐转为积极正面,希望能藉由与骇客的合作,使系统更加安全可靠。而在国外也有安全漏洞奖金 (bug bounty) 机制,鼓励骇客协助找出系统弱点,facebook、Uber 与 Google 等大企业均提供这样的奖励。

HITCON 第二天 Keynote 议程「Bug Bounty 奖金猎人甘苦谈」,便是由曾经挖掘出 Facebook、Google 漏洞的资安研究员 Orange 来分享举报国外大型网站漏洞的心得。

Orange 表示,漏洞通报已经逐渐走向制度化,国外也有漏洞平台像是 Hackerone、Bugcrowd,专门为企业媒合资安研究员。不过,Orange 也感慨 企业面对漏洞的态度颇为极端:部分企业收到漏洞通报不愿修补弱点,而是立刻把机器下线;有些企业则是建立了完整的奖金和流程,以尊重回报者的态度,让研究人员未来更愿意回报弱点资讯。他也期待日后台湾漏洞平台能更趋成熟,企业能够以正确的态度更快速地处理资安问题。

我抓 bug 你出钱 ─ 安全漏洞奖金猎人:骇客与企业可以是

今年勒索软体 (Ransomware) 灾情频传,许多企业遭受攻击,业务上的档案被加密,只能交付赎款或放弃被加密的档案,除了要求使用者主动频繁备分资料以外,讲者 Henry 也发表了侦测预防勒索软体攻击的技术,希望能降低企业损失。

部分讲者透过节奏明快的闪电秀 (lightning talk),利用五分钟的短讲分享资安研究成果,风趣幽默地陈述生活周遭的安全议题,包括如何在不越狱 (Jailbreaking) 的情况下绕过验证机制安装热门的手机游戏、使用特殊技巧取得虚拟货币等。

为了鼓励资安领域人士互动交流,较之于往年活动扩增了摊位类型,参展摊位包括企业人才招募、社群及个人摊位,社群提供了各式有趣的 Wargame 与实体开锁练习,模拟骇客攻防的环境,让初探资安领域的参与者能从中获取破解系统漏洞的成就感。

骇客年会期待能扮演政府、企业、资安人才之间的桥樑,经由每年的年会活动,让与会人员可以尽情地听议程、学技术、交朋友。年会活动提供演讲简报下载,请至HITCON 网站查询。