今年台湾骇客年会(HITCON)社群场于8月23、24日连续两日举行,现场重头戏不仅包括多场技术资安议程,还带来一系列资安相关活动与挑战,吸引近千名对资安有兴趣的研究人员与学生参与。特别的是,今年已是HITCON第20周年,象征著该活动在台湾资安社群中的深厚历史与影响力,
综观这20年的发展,台湾骇客协会理事长翁浩正于今年活动开场时指出,现在的资安环境与早期相比,有著显著不同。
例如,现在这几年HITCON已经达到千人规模,而当时HITCON就像是一个30、40人的技术同好会。
不止是国内HITCON社群人数的变化,回顾20年前,资安的重要性鲜少受到关注,如今无人质疑其关键性,现在更值得讨论的是,我们该如何进一步提升并做得更好。
毕竟,全世界在这20年间不断在改变,不只是技术在改变,资安事件、骇客组织、APT组织也都全部在演变,像是云端、生成式AI,还有网路战争等,这或许是20年前我们完全想像不到的未来,因此,我们需要不断探索科技的变化,找出资安议题与骇客议题。
翁浩正强调,HITCON不再是少数技术同好交流的一个场合,而是产官学研与国际伙伴们一起讨论、参与,不仅活络台湾资安社群发展,也让台湾的资安能够变得更好。
事实上,现在HITCON系列活动是越来越多元,例如,这两日举办的活动就是针对骇客技术的社群场,聚焦研究人员与学生在技术上的交流与成长。之后10月,还有针对企业防御实务技术及资安管理的企业场,以及CTF竞赛、Cyber Range 2024企业蓝队竞赛,还有CISO Summit资安长高峰会等。
丰富大会活动激励骇客挑战精神,电路板识别证与游戏程序错误吸睛
今年HITCON社群场中,在多项最新技术分享的议程之外,各种丰富的大会活动也是一直以来的重点,是促进国内资安社群、新血交流与学习的重要平台。
例如,一系列针对资安入门到初阶课程的Hacking 101,以及激发大家对韧体挑战热情的电路板识别证(PCB Badege),还有社群、Village与业者设计的各式小活动等,促进彼此间的学习与交流。
本届HITCON 2024社群场总召游毓堂(阿特)表示,今年Hacking 101课程相当热门,参与会众相当踊跃,因为课程中可以手把手带大家认识攻击与防范,本届规画了3种主题,涵盖涵盖面向包括去中心化方面的DeFi Expolit、AD CS安全,以及蓝队综合培训恶意程式侦测技术。
在激发骇客精神方面,有两大亮点受到我们关注,一是20周年纪念版的PCB Badge(电路板识别证)的主要挑战活动,另一是有关萨尔达传说(The Legend of Zelda)游戏程序错误的演说议程。
以今年的PCB识别证而言,这款Badge不仅具备独特的设计,内含LED跑马灯显示、红外线、PIN脚、跨版沟通等多种功能,不仅让会众可以自行编辑名字,并内建多种小游戏,包括贪食蛇、小恐龙、俄罗斯方块,可以在大会活动两天内累积分数并获得大会奖励。
以游戏程序错误挖掘而言,虽然这不是典型的资安议题,但却与骇客精神一致。
这是由一位知名游戏程序错误(Glitch)的兼职型YT创作者YUDA所分享,他在演说中介绍了游戏世界中除了正规玩法、Speed Run,还有挖掘Glitch、Bug的领域。
他分享了在任天堂Switch游戏《萨尔达传说:旷野之息》与《萨尔达传说:王国之泪》中挖掘程序错误的经验,同时介绍这方面的研究社群,是如何一步步探索出新的成果,并阐释从意外发现、刻意发现、逻辑确认的反推方法。
半导体之所以是一大焦点,这是因为我们难得在HITCON社群现场,看到有半导体业者设摊并提供现场游戏活动。
这家业者就是在半导体封测领域相当知名的「日月光半导体」(ASE Global),他们资安团队设计了一个SOC事件调查的情境解题游戏,让会众可在现场检视SSLVPN、Server、防火墙这3个仪表版,并给出5个问题让玩家一一回答,包括攻击者从那个IP位址登入指定一台主机等。
事实上,这次日月光半导体的参与,也引起了现场众多与会者的关注。可以想见的是,此举展现了企业方对资安人才的需求,而且还是相当知名的半导体业者,突显出资安专业对企业的重要性,不亚于普遍资安业者。
另一个Car Haking活动也相当特别,因为这个领域的Village活动在国外已发展一阵子,近年此风潮才吹向台湾。如今HITCON也增加这方面的元素,邀请海外的Car Hacking Village,现场展示了车用资讯娱乐装置,以及针对车用系统的小工具,透过一些独特的实作让大家了解Car Haking的不同之处。