-
-
[转载][HITCON年会] 亲爱的,问题不一定是骇客造成的
-
发表于: 2015-9-1 07:43
-
新闻链接:
http://www.bnext.com.tw/article/view/id/37227
新闻时间:
2015/08/29
新闻正文:
近年来,因为网际网路服务与产品已经透过行动科技普及到一般人的生活之中,许多服务在发生问题的第一时间,主办单位通常都会用资讯安全发生问题的理由来搪塞或辅以事实上没有根据的资讯安全防御手段作为建议。好比因为某商家的某项商品过于热门,导致许多人在门口排队、甚至发生推挤,让原本可以正常进入商家的客人没有办法正常进入。商家却以受到他人大量不当访问(数量庞大的骇客攻击)为借口,来推托自身事实上暂时没有扩大架构的设计,以致于没有处理大量客人访问的能力。这些搪塞的理由或建议往往成为资讯安全专业研究者眼中的笑话,「出事就先把问题推给骇客攻击就对了」的公关方式,仿佛成为现代资讯服务发生问题的「第一选择」。
(图说:台湾骇客年会「奇葩奖」颁奖典礼于今日下午举行,数位时代摄影)
台湾骇客年会「奇葩奖」今年已经迈入第三届,这个奖项用于表彰资安界所公认过去一年中台湾社会对资安事件的各种「奇特」关注。提名者提名出过去一年内出现在新闻媒体上奇特的资讯安全资讯或事件,透过资讯安全专业研究者的眼光,去检讨这些事实上在观念不完全正确的新闻背后的被采访者或事件背后的荒诞与笑话,并讨论其所遗留下来的资讯安全观点,是否会对社会造成不当的影响。进一步提升社会对资讯安全的理解,并促进各相关单位与媒体对资讯安全技术的认识。
以下是本届台湾骇客年会「奇葩奖」入围与得奖名单:
最佳名言奖
国税局:「不要存,不要存,直接存到财税中心云端就好了」(得奖)
华梵大学资讯管理系教授朱惠中:「要安全,主机一定要在自己手上」
陆客:「撕破了好几个女兵的裤子,才能够入侵中华电信的机房」
宝物失窃奖
阿伯实体入侵台北市刑大,窃走电脑与监视器(得奖)
卡巴斯基发现,鸿海数位认证被以色列间谍盗用,入侵伊朗核子计画谈判者
宏碁签章遗失,被用来联合Flash Player 漏洞进行攻击
英雄联盟官方游戏档案被恶意程式入侵,以合法方式透过官方更新递送
一击必杀奖
甲骨文安全长:不准抓我们产品的漏洞(不属台湾范围,不入围)
匿名者瘫痪网站,国民党团:「再入侵,就报警」
绿危机总动员,改采纸本面交(得奖)
(图说:国民党团的反应,遭到资讯安全专家以周星驰电影名言:「你再胡说八道的话我要报警了」揶揄。数位时代摄影)
年度骇客研究奖
独立开发者暨业余资安研究人员蔡姓网友:「PChome IM 设计遭爆资讯安全问题」
独立开发者暨业余资安研究人员蔡姓网友:「露天拍卖到底多不安全」
独立开发者暨业余资安研究人员蔡姓网友:「悠游卡APP实作不安全」(得奖)
徐姓网友:「宽宏售票提供全民免费的直接资料库存取」
遗珠之憾奖
Ashiley Madison 最佳泄漏资料奖
(图说:在目前公布的Ashley Madison 成人网站资料里,台湾的注册使用者比英国还多,为第七大国。数位时代摄影)
(图说:在目前公布的Ashley Madison 成人网站资料里,注册的email 包含许多立法院人物,数位时代摄影)
在颁奖的过程里,台湾骇客年会的专业资讯安全研究者表示,透过这些资讯安全新闻让人感觉到,有许多单位在受到资讯安全威胁时的反应令人匪夷所思。例如得奖者「绿营使用纸本作业」的行为并不一定能够保证安全,事实上你还要确保你的文件在递送的过程中,邮差或宅急便不会被中间人攻击。 (在递送过程中间文件被窃走窜改或加料)档案的安全也不因为你是存在本地端硬碟或云端,不因为你是否握有主机才能够保障,重要的是你有没有把相关的档案进行加密,你的资讯安全机制里有没有适当地保护档案。年度资讯安全研究者得奖人蔡姓网友也表示:
「不确定的程式不太敢用,所以都会把它拆开。」
这些他拆开的程式都是因为他自己想要使用的服务才进行检查,也因此发现许多问题。
另外,台湾骇客年会也在今日发表新专案HITCON KB (台湾骇客年会知识库Knowledge Base) 。这个专案的起源,主要是因为许多资讯安全研究新进者发现,平时资安技术文章四散各地,资讯安全社群或课程成果分享不容易,许多高手乐意分享讨论却苦无平台,台湾欠缺本地的资讯安全讨论平台。 HITCON KB 的建立目的主要为累积知识、技术交流、让学习更容易。 HITCON KB的内容方向,主要将包含有目前台湾骇客战队CTF大战的经验谈与攻略,漏洞分析、逆向工程与资安事件研讨等。内容来源则主要透过编辑与骇客年会社群的原创征稿、翻译、邀稿与活动心得分享与转载。欢迎台湾的资讯安全研究者都能积极参与平台,对台湾资安做出贡献
http://www.bnext.com.tw/article/view/id/37227
新闻时间:
2015/08/29
新闻正文:
近年来,因为网际网路服务与产品已经透过行动科技普及到一般人的生活之中,许多服务在发生问题的第一时间,主办单位通常都会用资讯安全发生问题的理由来搪塞或辅以事实上没有根据的资讯安全防御手段作为建议。好比因为某商家的某项商品过于热门,导致许多人在门口排队、甚至发生推挤,让原本可以正常进入商家的客人没有办法正常进入。商家却以受到他人大量不当访问(数量庞大的骇客攻击)为借口,来推托自身事实上暂时没有扩大架构的设计,以致于没有处理大量客人访问的能力。这些搪塞的理由或建议往往成为资讯安全专业研究者眼中的笑话,「出事就先把问题推给骇客攻击就对了」的公关方式,仿佛成为现代资讯服务发生问题的「第一选择」。
(图说:台湾骇客年会「奇葩奖」颁奖典礼于今日下午举行,数位时代摄影)
台湾骇客年会「奇葩奖」今年已经迈入第三届,这个奖项用于表彰资安界所公认过去一年中台湾社会对资安事件的各种「奇特」关注。提名者提名出过去一年内出现在新闻媒体上奇特的资讯安全资讯或事件,透过资讯安全专业研究者的眼光,去检讨这些事实上在观念不完全正确的新闻背后的被采访者或事件背后的荒诞与笑话,并讨论其所遗留下来的资讯安全观点,是否会对社会造成不当的影响。进一步提升社会对资讯安全的理解,并促进各相关单位与媒体对资讯安全技术的认识。
以下是本届台湾骇客年会「奇葩奖」入围与得奖名单:
最佳名言奖
国税局:「不要存,不要存,直接存到财税中心云端就好了」(得奖)
华梵大学资讯管理系教授朱惠中:「要安全,主机一定要在自己手上」
陆客:「撕破了好几个女兵的裤子,才能够入侵中华电信的机房」
宝物失窃奖
阿伯实体入侵台北市刑大,窃走电脑与监视器(得奖)
卡巴斯基发现,鸿海数位认证被以色列间谍盗用,入侵伊朗核子计画谈判者
宏碁签章遗失,被用来联合Flash Player 漏洞进行攻击
英雄联盟官方游戏档案被恶意程式入侵,以合法方式透过官方更新递送
一击必杀奖
甲骨文安全长:不准抓我们产品的漏洞(不属台湾范围,不入围)
匿名者瘫痪网站,国民党团:「再入侵,就报警」
绿危机总动员,改采纸本面交(得奖)
(图说:国民党团的反应,遭到资讯安全专家以周星驰电影名言:「你再胡说八道的话我要报警了」揶揄。数位时代摄影)
年度骇客研究奖
独立开发者暨业余资安研究人员蔡姓网友:「PChome IM 设计遭爆资讯安全问题」
独立开发者暨业余资安研究人员蔡姓网友:「露天拍卖到底多不安全」
独立开发者暨业余资安研究人员蔡姓网友:「悠游卡APP实作不安全」(得奖)
徐姓网友:「宽宏售票提供全民免费的直接资料库存取」
遗珠之憾奖
Ashiley Madison 最佳泄漏资料奖
(图说:在目前公布的Ashley Madison 成人网站资料里,台湾的注册使用者比英国还多,为第七大国。数位时代摄影)
(图说:在目前公布的Ashley Madison 成人网站资料里,注册的email 包含许多立法院人物,数位时代摄影)
在颁奖的过程里,台湾骇客年会的专业资讯安全研究者表示,透过这些资讯安全新闻让人感觉到,有许多单位在受到资讯安全威胁时的反应令人匪夷所思。例如得奖者「绿营使用纸本作业」的行为并不一定能够保证安全,事实上你还要确保你的文件在递送的过程中,邮差或宅急便不会被中间人攻击。 (在递送过程中间文件被窃走窜改或加料)档案的安全也不因为你是存在本地端硬碟或云端,不因为你是否握有主机才能够保障,重要的是你有没有把相关的档案进行加密,你的资讯安全机制里有没有适当地保护档案。年度资讯安全研究者得奖人蔡姓网友也表示:
「不确定的程式不太敢用,所以都会把它拆开。」
这些他拆开的程式都是因为他自己想要使用的服务才进行检查,也因此发现许多问题。
另外,台湾骇客年会也在今日发表新专案HITCON KB (台湾骇客年会知识库Knowledge Base) 。这个专案的起源,主要是因为许多资讯安全研究新进者发现,平时资安技术文章四散各地,资讯安全社群或课程成果分享不容易,许多高手乐意分享讨论却苦无平台,台湾欠缺本地的资讯安全讨论平台。 HITCON KB 的建立目的主要为累积知识、技术交流、让学习更容易。 HITCON KB的内容方向,主要将包含有目前台湾骇客战队CTF大战的经验谈与攻略,漏洞分析、逆向工程与资安事件研讨等。内容来源则主要透过编辑与骇客年会社群的原创征稿、翻译、邀稿与活动心得分享与转载。欢迎台湾的资讯安全研究者都能积极参与平台,对台湾资安做出贡献
|
|
|---|---|
