2分pk拾

HITCON社群场迈向第15届,电路板解迷运动及合适IT职员的蓝队角逐最吸睛

2分pk拾宣布于2019-08-25 21:50:22

导读: 图片泉源: HITCON第15届台湾骇客年会(HITCON)社群场于23、24日退场,一连两天运动于周五、周六举行,现场带来多个议程与各式大会运动,吸引近千
图片泉源: 

HITCON

第15届台湾骇客年会(HITCON)社群场于23、24日退场,一连两天运动于周五、周六举行,现场带来多个议程与各式大会运动,吸引近千名对资安有兴趣的研究职员和师长教员加入。

近年来,全球各国起劲推动资安人才网网作育,台湾最大最具资安手艺能量的台湾骇客年会,也希冀与国际产、官、学、研领域,合营提升国际的资安人才网网与能量。

2分pk拾在此次大会运动上,例如,现场有安资安研究职员Orange与Meh,道出他们找出企业SSL VPN破绽的名贵履历,着实在8月初的美国Black Hat大会上,他们曾经发饰演说,不外此次是他们首次以中文演讲,让国际与会者能够更近距离接触与明确。

2分pk拾而在多项议程以外,现场尚有各式运动,包过历年来都一连有的绵羊墙、骇客算命摊与奇葩奖等,和一番赏、佃猎者行动、焊接电路板等各式运动。在周六的大会现场,他们还颁布了今年HITCON密室逃走角逐运动的前三名。

2分pk拾关于骇客密室脱逃的运动,这着实是去年新推出的项目,联络明确谜、教授修养与角逐,不外甫推出就取得热烈照顾。担负骇客密室运动的Melody体现,这个密室其时是他们打造一个拟真的办公室空间,外面有有数办公装备,像是打印机、打卡系统、监控系统与机房装备,而外面的效果涵盖规模,网罗物联网安然、网站安然、服务器安然等,欲望让玩家在体验密室后,可以快速知道自己的强项与缺乏,激起参赛者学习资安的欲望。

今年HITCON将这项运动扩放肆办,是以运动不只短短两天,而是从今年7月即泉源吸收组队加入,至今运动已举行一个月,他们也针对前三名给予勉励,其中第一名的“CSCS”团队,更是以比其他队伍快一半的时间破关。而这项运动还将一连到9月28日。

赞助训练IT职员实战的Mini Hardening新退场

特殊的是,在周六一整天的运动中,现场还举行了一个称之为Mini Hardening的大型运动,这是大会今年特殊约请的项目。本届HITCON CMT总召邱柏森体现,这是日本资安社群 WAS Forum打造的攻防角逐,曾经在日本举行许多场,此次首度将一切运动搬到国际。

2分pk拾基本上,这项运动关于企业IT职员将很居心义。加入的人都将能以亲自体验的要领,要在3小时内,找出与修复特定情形中的破绽,以掩护系统免受重复的群集进击。


图片泉源/HITCON

2分pk拾邱柏森指出,这关于企业担负IT治理维运,又要处置赏罚赏罚资安使命的人,会很有赞助。他诠释,许多IT职员知道Windows update、Patch修补,但能够不知道上完Patch能够要做一些系统调剂,才真的做到掩护,而这项运动将让IT职员能更清晰知道,若何修补与进攻设定,和检查那些质料行止置赏罚这样的破绽,并透过团队协作来推行资安事宜处置赏罚赏罚。

2分pk拾由于传统IT职员的家当中,很少有这样的训练,可是实务上,IT外面真的须要有懂资安的人,才干让IT维运与架构变得更好,并欲望能在运动后的交流与分享,可以从他人身上学习到更多,并把履历带回去给自己的企业,或是自己未来的使命,让自己的情形、服务器可以更安然。

着实,去岁尾HITCON也举行过HITCON Defense企业资安攻防大赛,精神都是让参赛者饰演蓝队的角色,来找出进攻的缺乏,和遭受进击时发现弱点与修复。

另外值得一提的是,在Mini Hardening以外,现场尚有一个大型运动也很特殊。这是来自喷喷鼻港的VXCON带来的VX(Variety eXpliotation) Village,将向导人人将USB下面的芯片解焊上去,并用专门的芯片读取器,挟制无线的暗记控制器,寻衅硬件破解实作。现在,这个VX Village的运动,在各大资安研究会上也都在阻拦。


图片泉源/HITCON

台湾外型电路板Badge吸睛,并提醒人人重视应用TrustZone时,实作欠妥仍有资安效果

另外,近几年大会提议电路板Badge的寻衅,也让与会者熟悉不合的知识与手艺。像是去年推出区块链硬件电路板,今年更是向导人人熟悉与寻衅硬件安然TrustZone。

在这块以台湾为外型的电路板上,由24颗LED,和3个传输暗记开关暗记组成,并有六个操作按键,当中并设计了Turstzone寻衅关卡让人人来破解。

2分pk拾担负电路板设计的李伦铨,在大会第二天现场再次强调硬件安然的主要性,并诠释TurstZone的看法。关于此次电路板上的TrustZone寻衅关卡,不只是要熟悉TrustZone的意义,同时也欲望能借由此次履历,让人人重视到应用Trustzone时,假照实作有用果,一样会有资安的效果资安的弱点。


图片泉源/HITCON

2分pk拾在此次的电路板Badge上,他们应用了新唐M2351的MCU芯片,这也让人人熟悉在MCU上也能跑TrustZone。担负固件与大会效果的Yuawn体现,这颗MCU芯片着实不严重,主要就是不安然(Non-secure)与安然(Secure)的区域,当中网罗一个环节,是从不安然把器械往安然区域送,而安然区域完成运算后,又是若何把权限转回去。


摄影/罗正汉

2分pk拾质朴来讲,在Badge上Non-secure的部门,网罗LED与质朴的敕令列等,另外,他们并将Bagde上很主要的部门放到Secure区域,像是解锁的器械,当中用了一些质朴的Bit算作Lock,须要对他做读取修改,一定要透过事后部署的要领来推行修改与存取。而在这项TrustZone寻衅中,网罗了三道效果可以破解,他们欲望转达一个理念是,就算开发程式是丢进TrustZone,可是也要重视开发上的安然。

相关文章