2017台灣駭客年會盛大展開

圖:吳宗成教授帶來的演講點出台灣資安人才培育的盲點與改進方向
數位網路記者陳漢墀/台北報導/ 2017,8,26

在資訊安全領域備受矚目的第十三屆「台灣駭客年會社群場 (HITCON CMT) 」昨日 (8/25) 正式在中央研究院揭開序幕,本屆年會為期兩日 (8/25~8/26),與會者從駭客社群、研究人員、專家學者、企業、政府單位到學生,逾千名關心資訊安全的參與者前來交流,可說是亞洲資安界最大的年度盛會。
 
上午由教育部資訊安全人才培育計畫主持人,同時也是臺灣科技大學資訊管理系特聘的吳宗成教授分享他對「臺灣資安人才教育」的心得。吳教授從「人才學」的角度探討資安人才的培育,思索「教育的本質」是什麼,應該在滿足個人需求的同時回應社會對他們的期待。「在學教育」、「在職教育」到「社群教育」三種情境必須互補融通才能成為有效的教育,HITCON 雖肩負了「社群教育」的功能,但學校教育應該更有系統地帶給學生理論技術的實務能力及跨域應用的管理能力,而如何填補這中間的斷層就是教育的目標。目前教育部計畫利用 mentor 計畫讓有實務者帶領學生,獲得優良成效,期待未來能與韓國與日本的資安教育比肩,擁有國家級資安試驗場域,且女性參與資安學習的比例也能更加提昇。
 
是資安社群 217 成員亦是 CTF 選手的 david942j,在大型比賽時會以 HITCON 戰隊成員名義出賽,今天帶來「一發入魂:One Gadget RCE」這個議程,示範如何利用 DeASLR 這個漏洞,搭配 “One Gadget” 自動化的小工具,在 GNU C Library 上成功進行遠端程式碼執行 (Remote Code Execution, RCE)。原理是「One Gadget」利用簡易的 symbolic execution ,自動執行直到成功呼叫 execve('/bin/sh', NULL, NULL),再來檢查 argv 與 envp 這兩個參數是否合法,達成跳上去就 RCE,不需手動操控參數。唯有一點限制是要先有 Information Leakage 的漏洞、要能 Control PC,且要已知函式庫的版本,但由於主流的函式庫範圍不大,即便以列舉方式也能很輕易猜中。
 
今年的主題為「Mission Code: IVZNDAMOVDADMDNMDQV」,神秘的任務代號本身就是一道謎題,經由解讀其中的含意,體驗運用知識與創意解開挑戰的駭客精神。內藏電路板的特製 Badge 能發揮許多的功能,運用它的 BLE 功能設計了「HITCON GO」的活動,玩法是經過戴著相同 Badge 的「駭客寶貝」時會觸發比分抓寶的機制,會眾紛紛聚集在工作人員附近進行挑戰,現場就像 Pokemon Go 的頭目戰一般熱鬧。另一個有趣的「狩獵者行動」,則是散落在會場各處的資安謎題,除了聽取議程外,也能藉由該活動了解資訊安全第一線的訊息及必知的資訊安全小常識。會眾不但要運用資安的知識與技術進行解題,更要眼觀四方才能發現題目,也體現了駭客思維中時時留心細節的高度觀察力。近百題的題目區分成三種難度,目前已有五成被回答出來,但也有些題目尚未被發現或難度較高,還在等待高手前來挑戰、抱走答題獎品。
 
著重在動手與挑戰的 HITCON CMT 遇到人才招募廠商時,一改傳統制式的填表投履歷,和人才媒合網站 Debut 合作推出遊戲 app,共有翻牌猜謎、心理測驗以及快問快答三種不同遊戲,藉著分析個人特質及能力了解自己的需求與定位,並進一步建議適合的職涯發展,找工作原來也可以很有趣。人才招募閃電秀則有六個贊助商前來進行十分鐘的短講,紛紛絞盡腦汁在最短地時間讓聽眾留下深刻的印象並展現公司的技術與文化,開出開出 IoT 資安工程、韌體研發、資安顧問、數據分析…等等職缺。
 
本日壓軸議程之一,則是今年首次在 HITCON CMT 舉辦的舉辦首次的 Panel Discussion 類型活動,以「資安從業人員」為主題,邀請第一線從業人員分享工作的見聞與經驗,與正在從事資安工作的會眾或有志從事資安工作的會眾進行交流,現場討論氣氛熱烈,前輩的工作經驗分享能讓聽眾能有效掌握資安工作的眉眉角角,少走許多冤枉路。
 
神秘的任務代號、互動性高的活動、有趣複雜的挑戰還有更多更精彩的議程,都在今明兩天的 HITCON CMT,期待這樣的交流能一起為臺灣的資安技術激盪出不同的火花,並提昇大眾對資訊安全的重視。
 
更多精彩內容,敬請密切注意 Hacks In Taiwan Conference 台灣駭客年會 (HITCON) 粉絲團。議程資訊請見官方網站:https://hitcon.org/2017/CMT/agenda

留言

這個網誌中的熱門文章

花旗証券徐恭穎,罰停業3個月

立委離婚,妻愛兩子

數學老師製作的謎語