台灣網路技術雖然成熟,但是資安人才的培養和訓練,卻仍然沒有跟上時代的腳步。為了培養台灣學生有更多的網路資安實戰經驗,芬安全舉辦了在台灣的第一屆「獵駭行動」資安競賽,獲勝隊伍將會送到外國,和其他外國團隊一決高下。
現在資訊化的時代,所有的東西都靠著網路連接在一起:個人電腦連網路、行動裝置連上網路,未來的物連網時代,所以的東西幾乎也都會透過網路彼此相連,而資安的風險,也會比以往任何時候都高。
因應未來大數據和物連網的時代,資安也需要更多的人才投入。翔偉資安移植芬蘭F-secure在芬蘭以馬來西亞培養資安人才的經驗,和台北醫藥大學醫學資訊研究所共同舉辦「獵駭行動」的資安競賽,希望能夠推廣台灣學生累積實戰的經驗,提升台灣的資安能力。這次比賽也特别請F-secure(芬安全)首席研究長米戈.希伯能(Mikko Hyppönen)到場參加評審。
Mikko Hyppönen是全球知名的資安專家,2003發現知名病毒Sobig.F worm會利用電子郵件夾帶病毒,警告電信業者要封鎖此郵件,減少了病毒的危害。2004年是全球首位提出Sasser疫情警告者,2007年為風暴蠕蟲(Storm Worm)命名者,2011年與歐巴馬並列為全球百大教育思想家,美國《浮華世界》(Vanity Fair)2004年專訪Mikko時,以「The Code Warrior 」(解碼鬥士)來形容這位知名的病毒獵人。
這次比賽所使用的電腦,全部都是架構在Windows 7 64bit下的同型號的筆電,以及預先安裝的Notepad++、Notepad (included in XP)、Hiew demo、Ollydbg 1.10、IDAFree等工具。由於不是使用參賽者自己的電腦及習慣的工具及設定參數,對參賽者會更困難一些。而且比賽的閱讀和對話是在全英文的環境下進行。
參賽的隊伍有10隊,分別是has_NOTHING_todo(中山大學)、USC(實踐大學)、NISRA-YUN(輔仁大學)、睡到自然醒(國立成功大學)、德田automata(台灣大學)、你說的對不(虎尾科技大學)、DSNSLab(交通大學)、admin'--(中央大學)、CRAX(交通大學)、為了10萬元(台北醫藥大學),每隊3人。
比賽分為三個階段進行,第一階段的比賽,需要破解登入密碼2,然後破解壓縮密碼,將程式解壓縮,再透過逆向工程解出所需提供的內容。第二階段的QA,則是在投影片上投影題目及選擇題答案,參賽隊伍將正確答案寫在白板上;第三階段則是參賽隊伍抽籤答題,題目的範圍包括資安的時事、破解的思路....再由Mikko Hyppönen給分。
▲第一階段的比賽,著重在逆向工程。
▲最後階段的問答,其實很考驗各隊用英文表達想法和觀點的能力。
▲在第一階段實作的比賽中,Mikko Hyppönen抽空接受了記者的聯訪,討論關於大數據和物連網的安全議題。
早期的病毒大多以破壞裝置為主,像台灣本土自製最有威力的CIH病毒,不僅會破壞使用者電腦裡的全部資料,甚至會改寫系統的BIOS,在當年造成了全球電腦極大的災害。但是現在的惡意程式,已經不會單純的只是為了破壞資料,駭客植入惡意程式的背後通常有經濟上的目的。
有的是在你的電腦中植入木馬,伺機等待買主的指令,攻擊某一部伺服器;有的木馬則潛伏在你的電腦中,搜集個資和習慣,再販賣給廣告主,有的則盗竊金融資料,或是前陣子很有名的勒索軟體,一旦電腦被綁架,除非你匯錢到歹徒指定的戶頭,不然時間一到,電腦中的資料就刪除一空。甚至偷偷的使用你的電腦運算資源去「挖礦」,再將之變現,成為自己的收入。
這些惡意程式不再破壞你的電腦,相反的,有的惡意程式還會幫你偵測你的電腦中有無其他的惡意程式,然後幫你刪除,讓自己可以獨佔你的電腦。不管是像Goolge那樣仔細分析你的所有的行為及資料,或是使用者自己授權app使用個人資料,這些都早已改變網路世代的隱私及安全議題,如果沒有辦法培養正確的資安觀念,不管是個人還是企業,都會成為駭客吸金的對象。雖然台灣算是全世界的資訊大國,但國人的資安意識並不強,2014年台灣的殭屍電腦數目在全球排名第4名,說來還真有點令人慚愧。
整個比賽歷時在2.5小時,加總了三個階段的分數後,由中央大學資工所和軟工所組成的團隊獲得冠軍,得到10萬元台幣的獎金。第二、三名分別為交通大學網路安全實驗室組成的「DSNSLab」和輔仁大學資工系所組成的「NISRA-YUN」。
▲冠軍隊伍「admin'--」從Mikko Hyppönen和翔偉資安營軍長杜世鵬手中接過10萬元的獎金。(左起:Mikko Hyppönen、林書緯、楊安傑、蔡維泰、杜世鵬)
▲交通大學DSNSLab團隊獲得第2名。(左起:王嘉偉、陳祐任、陳仲寬)
▲獲得第3名的輔仁大學「NISRA-YUN」團隊。(左起鄭尚仁、楊皇毅、陳允禎)
普遍來說,台灣的資安觀念很薄弱,不管是企業還是個人,都鮮少投資在資安上面;直到出了問題,才會開始補破網,常常還補得不太周到。以韓國來說,大大小小的資安競賽不計其數,能夠得獎的人,都能為自己的履歷加分,被企業優先錄用。人口是台灣兩倍的韓國,資安公司卻是台灣的百倍。許多國家,只要資安出了問題損及消費者的權益,罰金都是天文數字。與其事後被處罰大量的金錢,只要拿出百分之一來投資資訊安全,就可以減少許多的損失。但是台灣的罰則太輕,對企業沒有嚇阻的作用。
芬安全的資安競賽在亞洲已經舉辦了5年,這是首次在台灣舉辦,也希望透過這樣的方式,讓學生在學校所學的東西可以和企業的需求做一點結合。得獎的團隊,也會送到芬安全馬來西亞的實驗室,和其他國家的得獎者一較高下,因為網路的管理是國際化的,所面對的攻擊都是全球性的,如果我們的想法太Local,是無法因應未來網路的資安風險。
▲所有競賽隊伍和Mikko Hyppönen的大合照
留言列表