我不是 RFID 專家,我是做 Web security 的,有沒有 RFID 專家給些意見啊?我記得會議現場有很熟這方面的...
前幾天(18號)的新聞,看來英國捷運卡又被駭了,細節十月才會公布:
http://technology.newscientist.com/channel/tech/dn14358-academics-hack-londons-transport-payment-system.html?feedId=online-news_rss20
倫敦捷運的Oyster卡跟我們的捷運一樣,都是用荷蘭NXP的Mifare晶片的RFID卡(有興趣可以找Fyodor)。這次的研究是荷蘭Radboud University的教授Bart Jacobs做的;他們其實從年初就一直有這方面的發表:
http://www.myusbonly.com/cht/news_read.php?id=84
另外早在去年年底,Dave Evans的博班學生Karsten Nohl就公布過他破解Mifare的細節,最後當成論文發表在Usenix Security'08(論文接受了,會議還沒舉行,Jul 28-Aug 1):
http://www.jeffersonswheel.org/?p=59
Usenix Security會真是越來越有看頭了,Google讓惡意程式一炮而紅的鬼魂論文也是投到這裡,可惜我都沒時間去,台灣每年不少人去,今年有去的blog一下吧!
題外話,Dave Evans是security源碼檢測始祖工具splint(開放源碼)的發明人,因為他們2004年時做PHP的動態弱點防護,測試資料是我們給的,所以去年原本我有意思邀他來演講,但是他說最近比較沒有在做Web方面的了 :(
回到主題,我覺得有意思的是,NXP從一開始不承認,到承認但否定嚴重性,到這則新聞裡,談到這樣將細節公開對社會的負面影響,讓我想到最近各地駭客年會上,vulnerability disclosure的模式仍是很熱門的題目:
http://www.ee.oulu.fi/research/ouspg/sage/disclosure-tracking/index.html
如果去年有來OWASP的朋友,上面link裡頭也有收錄Jeremiah的文章:
http://jeremiahgrossman.blogspot.com/2007/01/disclosure-ready-or-not.html
漏洞找到後該如何公開?有什麼法律責任?像我們做源碼檢測的廠商,因為用大量的開放源碼當作測試資料,公司裡可說是0day滿天飛,但是想到要如何公布,就是令人頭痛的問題。
就這次的新聞來說,NXP質疑這樣直接並詳細的公開會「傷害NXP的客戶並讓駭客更容易盜用大眾捷運系統」,但是法院是認定Karsten的公開是合理合法的:
"But the court ruled that the university's right to publish was part of the freedom of speech and that the publication of scientific research on the chip's faults could help to take appropriate countermeasures."
最酷的是下面這句:
"Damage to NXP is not the result of the publication of the article, but of the production and sale of a chip that appears to have shortcomings," the court said.
「NXP的損失是起因於製造並販賣有漏洞的產品,不是起因於此論文之發表」
;-)
2008年7月11日 星期五
SyScan所有工作同仁感謝各位對大會的支持!
各位好,
SyScan全體工作同仁感謝每一位來參加SyScan的黑白帽朋友,感謝你們對於大會的支持!
之前有跟我聊過的朋友都知道,由於會議內容很專業,原先我們估計不會有超過一百人參加。結果我們在350人時喊停,當天看到一些朋友希望現場報名,我們讓出工作人員的十個位子,使大會總共有360人參與,這是我們完全沒想到的。
我們拍了一些高解析度照片在:
http://picasaweb.google.com/wayne.armorize/SyScanTaiwan
也謝謝大家都幫我們填問卷為我們與講師打成績,這對我們實在太重要了。
講師講義的部分,我們會盡量在下星期追齊,並email帳號密碼給各位。如果有什麼需要,歡迎直接email我:wayne在armorize點com。
再次感謝各位,我們明年見!
SyScan全體工作同仁感謝每一位來參加SyScan的黑白帽朋友,感謝你們對於大會的支持!
之前有跟我聊過的朋友都知道,由於會議內容很專業,原先我們估計不會有超過一百人參加。結果我們在350人時喊停,當天看到一些朋友希望現場報名,我們讓出工作人員的十個位子,使大會總共有360人參與,這是我們完全沒想到的。
我們拍了一些高解析度照片在:
http://picasaweb.google.com/wayne.armorize/SyScanTaiwan
也謝謝大家都幫我們填問卷為我們與講師打成績,這對我們實在太重要了。
講師講義的部分,我們會盡量在下星期追齊,並email帳號密碼給各位。如果有什麼需要,歡迎直接email我:wayne在armorize點com。
再次感謝各位,我們明年見!
2008年7月4日 星期五
講師的訪問 第二回:世界越來越安全,還是不安全?
我立志不論多忙每天都要翻一些,呼!昨天竟然跟美國conference call到一半睡著,可憐!
原始問題:With so many experiences and years in security research, where do you see security, in general, is heading today? Are we getting more secure, or insecure?
Adam Laurie:
很遺憾的,我必須說我們越來越不安全。這一方面是單純從量來看,現在我們接觸的科技(technology)太多了,每一種新的科技都會帶來新的資安問題;另一方面則是這些科技被商業上採用的速度。由於需要很快在商場上使用,每每資安的環節變成是最不重要的考量,常常是最後時刻才加上去的,也常常沒有經過仔細的思考,而事實上,資安機制應該是設計私人資訊系統(personal information systems)或付費系統時最重要的考量。
Internet上執法困難,每天高量的攻擊,數不完的弱點,跨管轄區域的不法行為,政府贊助的駭客團體,botnets以及靠botnets所支撐的地下經濟,SPAM,病毒,惡意程式,身份竊盜,釣魚,信用卡偽造,以及電子恐怖(cyber terrorism)對於基礎建設所帶來的威脅,再再都顯示,未來的危險重重。
除非我們目前偵測與防範資安問題的作法有超大幅的改變,我看不出情勢會有好轉的可能。
另一個嚴重的問題是,法律目前被扭曲以便讓有爛資安產品(poor security products)的廠商能夠獲利。另外,用法律禁止「逆向工程」(reverse-engineering)、駭客(hacking)、以及弱點的公布(disclosure)等,最後只會讓情勢惡化,而不會有任和幫助。因為這些法律,只會讓合法的資安研究員害怕去研究目前科技的漏洞,也害怕去公開這些漏洞,這樣的結果,就是這些漏洞會一直存在,讓那些台面下的不法份子持續利用。
Matt Conover (shok):
哈,這是一個很棒的問題。這個世界現在比以前都依賴電腦和Internet了。當然這確保我們資安研究員都會有飯吃(資安研究永遠需要),但是其實這有很負面的影響。今天我看到兩個極端負面的現象:
一、越來越多的駭客行為的動機是源自於利益。Internet已經變成一個非常恐怖的世界了。一般的Internet使用者,隨時都被釣魚或其他詐騙手法轟炸,要偷他們的銀行、eBay、或PayPal帳號。同樣嚴重的事,使用者被暴露在充滿惡意網站的環境,惡意的網站,惡意的廣告,或者原本合法善意的網站,但是被駭入並植入了惡意的網馬(掛馬)。
這些被植入的網站,會悄悄地設法在訪客的系統中安裝惡意程式,偷竊個人資料或把訪客的電腦變成僵屍網路的成員。駭客越來越先進了,有錢能使鬼推磨,所以我覺得資安界還有很長的路要走。
二、資安研究越來越被泛政治化。我們這行的一些行為現在竟然被認為是違法的了(美國的DMCA,在德國攜帶攻擊程式屬犯法,在法國使用加密軟體犯法...)。國與國之間常常控告對方國家執行駭客攻擊行為(俄羅斯 vs. 愛沙尼亞,中國 vs. 美國/德國...)。我擔心在網路世界(cyberspace)裡會開始發展出冷戰效應。對於我這個從青少年就因為純興趣而開始入行的資安研究員來說,這些改變讓我心寒。
Rich Smith:
資安範圍很大,這個問題不容易做整體性的回答。但是隨著我們日益依賴科技,科技濫用所導致的危險也隨之提升。無可置疑的,對於科技所帶來的危險,今天我們比往前要了解得多。只要我們保有開放的資安議題討論環境可以讓我們很公開的、真實的討論資安的種種議題(例如SyScan),那我覺得我們就會一直有進步。科技進步多快速,相對的資安問題的產生也就會有多快速,因為資安問題與新的科技是結合在一起的。所以我們越快知道一個科技的弱點,我們就能夠越早停止向現在這樣,把資安當作是事後彌補的事情,而在設計階段就加入資安的考量。
這是我看到目前我們面臨的最大挑戰,我們必須認識,資安是發展科技所必須付出的代價,資安不是我們事後靠一些解決方案就可以很便宜的彌補的。
Fyodor Yarochkin:
我對於整個資安大環境並不是很樂觀。隨著越來越多新的科技產生,而越來越少人真的懂資安,整個情勢一定是越來越糟的。尤其是大公司的目的不見得是「讓明天會更好」,加上龐大(龐...
大!!)的地下經濟的起飛:攻擊程式的買賣,惡意程式植入服務,僵屍網路的租賃服務...等等。
我個人意見,目前資安世界很有趣,可是說是兩個極端的面向。一方面,我們有光鮮亮麗的資安產業,有著好多漂亮的防火牆,入侵偵測系統,生物識別系統等等,但是另一方面,我們有著黑暗的地下面--使用者都是僵屍網路的一員,在他們的電腦上執行著僵屍或惡意程式;市場上什麼都可以用錢買到,政府的監控,非法的資安研究...;被入侵的企業打死不會承認...
原始問題:With so many experiences and years in security research, where do you see security, in general, is heading today? Are we getting more secure, or insecure?
Adam Laurie:
很遺憾的,我必須說我們越來越不安全。這一方面是單純從量來看,現在我們接觸的科技(technology)太多了,每一種新的科技都會帶來新的資安問題;另一方面則是這些科技被商業上採用的速度。由於需要很快在商場上使用,每每資安的環節變成是最不重要的考量,常常是最後時刻才加上去的,也常常沒有經過仔細的思考,而事實上,資安機制應該是設計私人資訊系統(personal information systems)或付費系統時最重要的考量。
Internet上執法困難,每天高量的攻擊,數不完的弱點,跨管轄區域的不法行為,政府贊助的駭客團體,botnets以及靠botnets所支撐的地下經濟,SPAM,病毒,惡意程式,身份竊盜,釣魚,信用卡偽造,以及電子恐怖(cyber terrorism)對於基礎建設所帶來的威脅,再再都顯示,未來的危險重重。
除非我們目前偵測與防範資安問題的作法有超大幅的改變,我看不出情勢會有好轉的可能。
另一個嚴重的問題是,法律目前被扭曲以便讓有爛資安產品(poor security products)的廠商能夠獲利。另外,用法律禁止「逆向工程」(reverse-engineering)、駭客(hacking)、以及弱點的公布(disclosure)等,最後只會讓情勢惡化,而不會有任和幫助。因為這些法律,只會讓合法的資安研究員害怕去研究目前科技的漏洞,也害怕去公開這些漏洞,這樣的結果,就是這些漏洞會一直存在,讓那些台面下的不法份子持續利用。
Matt Conover (shok):
哈,這是一個很棒的問題。這個世界現在比以前都依賴電腦和Internet了。當然這確保我們資安研究員都會有飯吃(資安研究永遠需要),但是其實這有很負面的影響。今天我看到兩個極端負面的現象:
一、越來越多的駭客行為的動機是源自於利益。Internet已經變成一個非常恐怖的世界了。一般的Internet使用者,隨時都被釣魚或其他詐騙手法轟炸,要偷他們的銀行、eBay、或PayPal帳號。同樣嚴重的事,使用者被暴露在充滿惡意網站的環境,惡意的網站,惡意的廣告,或者原本合法善意的網站,但是被駭入並植入了惡意的網馬(掛馬)。
這些被植入的網站,會悄悄地設法在訪客的系統中安裝惡意程式,偷竊個人資料或把訪客的電腦變成僵屍網路的成員。駭客越來越先進了,有錢能使鬼推磨,所以我覺得資安界還有很長的路要走。
二、資安研究越來越被泛政治化。我們這行的一些行為現在竟然被認為是違法的了(美國的DMCA,在德國攜帶攻擊程式屬犯法,在法國使用加密軟體犯法...)。國與國之間常常控告對方國家執行駭客攻擊行為(俄羅斯 vs. 愛沙尼亞,中國 vs. 美國/德國...)。我擔心在網路世界(cyberspace)裡會開始發展出冷戰效應。對於我這個從青少年就因為純興趣而開始入行的資安研究員來說,這些改變讓我心寒。
Rich Smith:
資安範圍很大,這個問題不容易做整體性的回答。但是隨著我們日益依賴科技,科技濫用所導致的危險也隨之提升。無可置疑的,對於科技所帶來的危險,今天我們比往前要了解得多。只要我們保有開放的資安議題討論環境可以讓我們很公開的、真實的討論資安的種種議題(例如SyScan),那我覺得我們就會一直有進步。科技進步多快速,相對的資安問題的產生也就會有多快速,因為資安問題與新的科技是結合在一起的。所以我們越快知道一個科技的弱點,我們就能夠越早停止向現在這樣,把資安當作是事後彌補的事情,而在設計階段就加入資安的考量。
這是我看到目前我們面臨的最大挑戰,我們必須認識,資安是發展科技所必須付出的代價,資安不是我們事後靠一些解決方案就可以很便宜的彌補的。
Fyodor Yarochkin:
我對於整個資安大環境並不是很樂觀。隨著越來越多新的科技產生,而越來越少人真的懂資安,整個情勢一定是越來越糟的。尤其是大公司的目的不見得是「讓明天會更好」,加上龐大(龐...
大!!)的地下經濟的起飛:攻擊程式的買賣,惡意程式植入服務,僵屍網路的租賃服務...等等。
我個人意見,目前資安世界很有趣,可是說是兩個極端的面向。一方面,我們有光鮮亮麗的資安產業,有著好多漂亮的防火牆,入侵偵測系統,生物識別系統等等,但是另一方面,我們有著黑暗的地下面--使用者都是僵屍網路的一員,在他們的電腦上執行著僵屍或惡意程式;市場上什麼都可以用錢買到,政府的監控,非法的資安研究...;被入侵的企業打死不會承認...
2008年7月3日 星期四
講師的訪問 第一回:亞洲與歐美的資安會議比較
各位好!
因為大家對於本次外籍的講師很陌生,會議前訪問了他們,我挑一些他們的回答翻譯出來,跟各位分享。
大概會有六回左右,我有空時慢慢翻。
問:今年SyScan來到了台灣跟香港,你的看法如何?你覺得什麼樣的會是最酷的會?亞洲的會議,如SyScan、VNSECon、HITB等,你覺得如何?好的資安會議要有什麼樣的要素?
Adam Laurie:
亞洲的會議中,SyScan一直是我的最愛,因為他讓我可以離開歐洲跟美國,我大部分會議的時間都花在這兩個地方。SyScan也是照顧講師照顧得最好的會議。什麼要素構成好的資安會議?當然是內容,因為大家終究還是因為內容才來的...SyScan一直有最好的講師陣容,所以我能夠看到很多東西,學到很多,也認識到很多來自世界各地的頂尖資安專家。這一切讓我覺得參與SyScan是值得的。
但是我當然永遠會更喜歡 DEFCON 跟 BlckHat,因為我創立並參與這兩個會的工作至今超過十年了。另外這兩個會議的規模也比較大。
Matt Conover (Shok):
SyScan擴大了我很高興,SyScan是很好的會議,我已經參加了三次還是四次了。Thomas很好的主辦人,他會安排得很好讓講師很省事。至於其他亞洲的會議如POC、VNSECon、HITB、以及PacSec...我也希望以後能參加到。但是我如果全部都參加了我大概會因為正事都沒做而被公司開除吧! :)
無論如何,亞洲各國都有這些好的資安會議真的很棒,這些會議會培育下一代的資安專家,幫助他們永遠都有最新的資安知識與點子,並建立一個全球性的社群,我們大家可以隨時彼此聯絡並交換意見。這一點是我很喜歡的。我希望世界不要有冷戰的觀念,大家能多交流。
Rick Smith:
我覺得資安會議的擴張是非常好的,這樣更多的人能夠獲得最新的資安知識。我一直認為最好的防禦是從了解攻擊開始的,不懂得攻擊方法,要如何防禦?直於最酷的資安會議,這題很難!我在世界各地的資安會議都有演講,我覺得他們每個都有不同的好處。他們在世界各地舉辦,這表示我能接觸到世界各地的資安社群,大家成為一個全球的社群,這對我是無價的,也幫助我在 HP 的研究。小的會議,例如在維也納的 DeppSec 或者在英國的 BrumCon,可以跟小群人有很深入的討論;大型的會議如 BlackHat 跟 DEFCON 很有價值因為規模很大,同時有很多不同的主題可以選擇。這次參加SyScan,使我第一次來到亞洲,我很期待聽到亞洲講師的演講,並學到新的東西。
Fyodor Yarochkin:
我覺得台灣的資安社群似乎不是很國際化(non-internations),對於跟國外的資安社群交流似乎不是很有興趣。我不知道這是語言的或心裡障礙。還有這邊似乎大家比較不願意分享自己的研究,大家都想要有自己的團體,自己的project,自己的技術...但是分享是駭客文化中很重要的元素。
因為大家對於本次外籍的講師很陌生,會議前訪問了他們,我挑一些他們的回答翻譯出來,跟各位分享。
大概會有六回左右,我有空時慢慢翻。
問:今年SyScan來到了台灣跟香港,你的看法如何?你覺得什麼樣的會是最酷的會?亞洲的會議,如SyScan、VNSECon、HITB等,你覺得如何?好的資安會議要有什麼樣的要素?
Adam Laurie:
亞洲的會議中,SyScan一直是我的最愛,因為他讓我可以離開歐洲跟美國,我大部分會議的時間都花在這兩個地方。SyScan也是照顧講師照顧得最好的會議。什麼要素構成好的資安會議?當然是內容,因為大家終究還是因為內容才來的...SyScan一直有最好的講師陣容,所以我能夠看到很多東西,學到很多,也認識到很多來自世界各地的頂尖資安專家。這一切讓我覺得參與SyScan是值得的。
但是我當然永遠會更喜歡 DEFCON 跟 BlckHat,因為我創立並參與這兩個會的工作至今超過十年了。另外這兩個會議的規模也比較大。
Matt Conover (Shok):
SyScan擴大了我很高興,SyScan是很好的會議,我已經參加了三次還是四次了。Thomas很好的主辦人,他會安排得很好讓講師很省事。至於其他亞洲的會議如POC、VNSECon、HITB、以及PacSec...我也希望以後能參加到。但是我如果全部都參加了我大概會因為正事都沒做而被公司開除吧! :)
無論如何,亞洲各國都有這些好的資安會議真的很棒,這些會議會培育下一代的資安專家,幫助他們永遠都有最新的資安知識與點子,並建立一個全球性的社群,我們大家可以隨時彼此聯絡並交換意見。這一點是我很喜歡的。我希望世界不要有冷戰的觀念,大家能多交流。
Rick Smith:
我覺得資安會議的擴張是非常好的,這樣更多的人能夠獲得最新的資安知識。我一直認為最好的防禦是從了解攻擊開始的,不懂得攻擊方法,要如何防禦?直於最酷的資安會議,這題很難!我在世界各地的資安會議都有演講,我覺得他們每個都有不同的好處。他們在世界各地舉辦,這表示我能接觸到世界各地的資安社群,大家成為一個全球的社群,這對我是無價的,也幫助我在 HP 的研究。小的會議,例如在維也納的 DeppSec 或者在英國的 BrumCon,可以跟小群人有很深入的討論;大型的會議如 BlackHat 跟 DEFCON 很有價值因為規模很大,同時有很多不同的主題可以選擇。這次參加SyScan,使我第一次來到亞洲,我很期待聽到亞洲講師的演講,並學到新的東西。
Fyodor Yarochkin:
我覺得台灣的資安社群似乎不是很國際化(non-internations),對於跟國外的資安社群交流似乎不是很有興趣。我不知道這是語言的或心裡障礙。還有這邊似乎大家比較不願意分享自己的研究,大家都想要有自己的團體,自己的project,自己的技術...但是分享是駭客文化中很重要的元素。
2008年7月2日 星期三
講師Fyodor:我將公開適合台灣使用的RFID駭客工具
BlackHat / DefCon 創辦人之一的Adam Laurie將擔任本會講師,公開他的RFID駭客工具。來自俄羅斯的Fydor,也將在本會上公開的他最近研發的私房RFID駭客工具。
Adam所用的RFID讀卡機(reader)是在歐洲買的,走PC/SC規格,但是這種讀卡機在台灣比較難買到。Fyodor所使用的是我們台灣本地製造的讀卡機,走的是GIGA-TMS規格。這種讀卡機跟PC通訊所用的是GNetPlus協定。Fyodor寫了自己的工具可以暴力法解MIFARE卡的key--台灣很多卡都是用MIFARE,例如我們的捷運就是。很多購物中心/百貨公司的集點卡也都是。
Fyodor會當場用台灣的某某卡做示範。
最後報告到場的長官們,這種示範在 BlackHat/DEFCON 很常見,沒有像 Adam 那樣拿護照來直接試,已經非常乖了 :)
在 Adam 前面講 RFID,如果沒帶點實際的 demo,豈不遜爆了?
至於Adam 的工具請參考:
http://eecue.com/log_archive/eecue-log-726-Black_Hat_2007___Day_2___Adam_Laurie.html
http://rfidiot.org
Adam所用的RFID讀卡機(reader)是在歐洲買的,走PC/SC規格,但是這種讀卡機在台灣比較難買到。Fyodor所使用的是我們台灣本地製造的讀卡機,走的是GIGA-TMS規格。這種讀卡機跟PC通訊所用的是GNetPlus協定。Fyodor寫了自己的工具可以暴力法解MIFARE卡的key--台灣很多卡都是用MIFARE,例如我們的捷運就是。很多購物中心/百貨公司的集點卡也都是。
Fyodor會當場用台灣的某某卡做示範。
最後報告到場的長官們,這種示範在 BlackHat/DEFCON 很常見,沒有像 Adam 那樣拿護照來直接試,已經非常乖了 :)
在 Adam 前面講 RFID,如果沒帶點實際的 demo,豈不遜爆了?
至於Adam 的工具請參考:
http://eecue.com/log_archive/eecue-log-726-Black_Hat_2007___Day_2___Adam_Laurie.html
http://rfidiot.org
CNET: 亞洲資安大會將首度來台 揭最新攻擊手法
http://www.zdnet.com.tw/news/software/0,2000085678,20130365,00.htm
ZDNet記者馬培治/台北報導 2008/07/02 20:10:04
以亞洲地區資訊安全議題為核心的資安大會SyScan,下週(7/7)將首次來台舉辦兩天,來自歐美等地的資安專家將齊聚,介紹最新的攻擊手法。
過去只在新加坡舉辦的亞洲前瞻資安技術年會(Symposium on Security for Asia Network),今年將首度來台舉辦分會,會中將有來自賽門鐵克、HP、COSEINC等國際知名資安公司派出的資深研究員發表最新攻擊手法與漏洞,與本地資安研究社群進行交流。
曾因利用飯店電視駭入客房資訊系統而聞名的專業駭客Adam Laurie便將首次造訪台灣,發表他近年來關注的RFID安全漏洞。Laurie在電子郵件專訪中表示,廣受歡迎的RFID應用雖然方便,但採用者卻未正視其安全問題。他舉例道,許多RFID方案被用在錯誤的方法上,例如門禁管理,便是誤把作為身份辨識功能的標籤拿來當作認證標籤,「多數標籤很容易複製,若沒有密碼等第二層認證系統來把關,把RFID用在認證上其實並不安全,」Laurie說。
而台灣眾多的硬體設備廠商可能會相當關心HP系統安全實驗室研究員Richard Smith將發表的、針對嵌入式系統發動的永久性阻斷服務攻擊(Permanent Denial of Service, PDOS)。
Smith在電子郵件訪問中表示,可透過連網進行flash記憶體上的軔體遠端更新的嵌入式設備,都可能存在PDOS漏洞,讓駭客利用遠端更新機制來破壞其flash記憶體,造成設備無法使用。
而賽門鐵克研究實驗室首席工程師Matthew Conover則將介紹該公司最新研發、用來觀察rootkit行為的沙盒(sandbox)技術,可限制惡意程式的行為僅在sandbox環境中執行,他並將在大會上首次展示該技術。
負責籌辦本次台灣SyScan的阿碼科技執行長黃耀文表示,台灣地區有相當活躍的資安研究社群,但一直以來缺乏與國際級資安專家互動的機會,透過引進SyScan至台灣舉辦,將有助於促進跨國資安研究社群的對話,「台灣的研究人員或許沒辦法去歐美參加BlackHat、DefCon等盛會,但也有機會聽到同等級講者的經驗,」他說。
ZDNet記者馬培治/台北報導 2008/07/02 20:10:04
以亞洲地區資訊安全議題為核心的資安大會SyScan,下週(7/7)將首次來台舉辦兩天,來自歐美等地的資安專家將齊聚,介紹最新的攻擊手法。
過去只在新加坡舉辦的亞洲前瞻資安技術年會(Symposium on Security for Asia Network),今年將首度來台舉辦分會,會中將有來自賽門鐵克、HP、COSEINC等國際知名資安公司派出的資深研究員發表最新攻擊手法與漏洞,與本地資安研究社群進行交流。
曾因利用飯店電視駭入客房資訊系統而聞名的專業駭客Adam Laurie便將首次造訪台灣,發表他近年來關注的RFID安全漏洞。Laurie在電子郵件專訪中表示,廣受歡迎的RFID應用雖然方便,但採用者卻未正視其安全問題。他舉例道,許多RFID方案被用在錯誤的方法上,例如門禁管理,便是誤把作為身份辨識功能的標籤拿來當作認證標籤,「多數標籤很容易複製,若沒有密碼等第二層認證系統來把關,把RFID用在認證上其實並不安全,」Laurie說。
而台灣眾多的硬體設備廠商可能會相當關心HP系統安全實驗室研究員Richard Smith將發表的、針對嵌入式系統發動的永久性阻斷服務攻擊(Permanent Denial of Service, PDOS)。
Smith在電子郵件訪問中表示,可透過連網進行flash記憶體上的軔體遠端更新的嵌入式設備,都可能存在PDOS漏洞,讓駭客利用遠端更新機制來破壞其flash記憶體,造成設備無法使用。
而賽門鐵克研究實驗室首席工程師Matthew Conover則將介紹該公司最新研發、用來觀察rootkit行為的沙盒(sandbox)技術,可限制惡意程式的行為僅在sandbox環境中執行,他並將在大會上首次展示該技術。
負責籌辦本次台灣SyScan的阿碼科技執行長黃耀文表示,台灣地區有相當活躍的資安研究社群,但一直以來缺乏與國際級資安專家互動的機會,透過引進SyScan至台灣舉辦,將有助於促進跨國資安研究社群的對話,「台灣的研究人員或許沒辦法去歐美參加BlackHat、DefCon等盛會,但也有機會聽到同等級講者的經驗,」他說。
場地坐不下,從401換到201
大家好!
感謝各界這麼踴躍的報名,目前已經超過三百人,401坐不下,我們換到更好更大的會議室201,煩請大家幫忙轉告。
201就是OWASP使用的那間,但是我們這次會限制在350人以內,故每個人都會有桌子,會比OWASP舒服很多,OWASP那時坐了650人,太多了一些。
當初我們決定辦SyScan,是因為真的有太多朋友表達希望我們辦這樣的活動,但是由於內容非常專業,內部當初估計不會有超過一百人。
沒想到大家這麼支持我們,工作人員都非常開心,在這邊感謝大家!我們一定盡全力把活動辦好!
感謝各界這麼踴躍的報名,目前已經超過三百人,401坐不下,我們換到更好更大的會議室201,煩請大家幫忙轉告。
201就是OWASP使用的那間,但是我們這次會限制在350人以內,故每個人都會有桌子,會比OWASP舒服很多,OWASP那時坐了650人,太多了一些。
當初我們決定辦SyScan,是因為真的有太多朋友表達希望我們辦這樣的活動,但是由於內容非常專業,內部當初估計不會有超過一百人。
沒想到大家這麼支持我們,工作人員都非常開心,在這邊感謝大家!我們一定盡全力把活動辦好!
2008年7月1日 星期二
2008/06/30 資安人雜誌專訪 Matt Conover (shok)
我覺得參加會議前,先認識講師很重要。台灣的講師大家都比較熟,國外的大家比較陌生些,感謝資安人雜誌的專訪!
「過去一年以來 在個人研究領域上的轉變有很大的原因是,惡意軟體每年的增長速率已經快要趕上天文數字,以病毒碼或特徵值作為依據的廠商感受到很大的壓力,...」
「對我個人而言,目前研究如何偵測及移除rootkit是一個很現實的問題,像是之前Peacomm、Rustock、 Mebroot這些有rootkit功能的惡意程式,Mebroot是隱藏在MBR開機區的rootkit,...」
「所以,亞洲的資安問題肯定與全世界是有所差異的。而且在資安社群(info-security community)應該是有存在沒有經常交流溝通的事實,在亞洲很有名的資安專家或駭客,到了西方國家似乎就沒這麼有名,...」
「雖然亞洲與東歐地區在資安"黑市" 似乎發展蓬勃,許多複雜的惡意程式及rootkit都是出自亞洲地區,原因可能是因為沒有足夠的法律約束以及合法的資安企業來雇用這些高手,讓他在正確的地方發揮...」
http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=4480
「過去一年以來 在個人研究領域上的轉變有很大的原因是,惡意軟體每年的增長速率已經快要趕上天文數字,以病毒碼或特徵值作為依據的廠商感受到很大的壓力,...」
「對我個人而言,目前研究如何偵測及移除rootkit是一個很現實的問題,像是之前Peacomm、Rustock、 Mebroot這些有rootkit功能的惡意程式,Mebroot是隱藏在MBR開機區的rootkit,...」
「所以,亞洲的資安問題肯定與全世界是有所差異的。而且在資安社群(info-security community)應該是有存在沒有經常交流溝通的事實,在亞洲很有名的資安專家或駭客,到了西方國家似乎就沒這麼有名,...」
「雖然亞洲與東歐地區在資安"黑市" 似乎發展蓬勃,許多複雜的惡意程式及rootkit都是出自亞洲地區,原因可能是因為沒有足夠的法律約束以及合法的資安企業來雇用這些高手,讓他在正確的地方發揮...」
http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=4480
訂閱:
文章 (Atom)
SyScan 前瞻資安技術年會 2010
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Copyright.
Armorize Technologies, Inc. 2008.
|
發表文章
