自由財經

HITCON年會 未上市產品先抓漏

2020/09/12 21:37

「2020 HITCON 漏洞挖掘競賽」聯網設備組冠軍「H1dra Security Team 」。(台灣駭客協會提供)

〔記者陳炳宏/台北報導〕台灣駭客協會主辦HITCON 2020年會今日圓滿落幕,其中與經濟部工業局共同舉辦的漏洞挖掘競賽(Bug Bounty Challenge),其中參賽隊伍從8項產品中,找出60個漏洞,最後由「H1dra Security Team 」與「夜梟x鴿鴿x與牠們的飼料」分別摘下聯網設備組與行動支付組后座,各獲新台幣5萬元獎金,主辦單位表示,參賽隊伍挖掘出的漏洞,將提供參與業者進行產品資安補強參考。

台灣駭客協會表示,此次競賽創下國內以廠商,以未上市物聯網產品做為駭客攻擊標的之創舉,希望借重白帽駭客的絕佳技術能力與思維,挖掘出各種潛在的漏洞,而非在漏洞被犯罪份子發現後,才進行緩不濟急的補破網工作。

本次競賽參與產品以行動支付與聯網設備( Router、IP Cam )為主,在各團隊挖掘出漏洞並向評審陳述漏洞發現手法後,由具多年資歷的資安專家評審評定成績。而透過資安攻防場域進行滲透測試,可檢視設備、應用系統的資訊安全等級與防護能力,藉此可以強化產品安全性,並提供選手實際練兵的機會,並培育產品漏洞檢測人才。

工研院資通所資料中心技術副理王子夏博士表示,台灣常見的資安漏洞以無效的存取控管與跨網站指令碼(XSS)攻擊為大宗,此次競賽也是首次以設備端為標的,進行漏洞挖掘,由廠商提供8項產品參與測試,經由選手的努力測試,共計找出60 個漏洞,已通報企業進行修補。

HITCON CTF 領隊暨CTF競賽負責人,同時也是評審之一的李倫銓表示,這次參賽的團隊皆擁有厚實的技術實力,有許多令人驚艷的論述與發現。這是台灣近年來培育資安人才的成果。但籌備過程中,也明顯感受到人才斷層的危機,缺乏具吸引力的獎勵機制、人口負成長等,須積極面對,才能讓之前累積的資安能量發揮長尾效應。

李倫銓強調,隨著5G與物聯網應用逐漸普及,資安威脅模式也隨之演變進化,許多物聯網裝置可能直接利用網路,連線到伺服器,而繞過現有的層層防護,在無意間成為攻擊目標。對企業來說,產品的推陳出新固然重要,但加速落實物聯網隱私與消弭潛在安全漏洞亦刻不容緩。

李倫銓說,打造台灣資安漏洞通報生態圈,必須先建立企業與社群通報者之間的互信機制。藉由透明暢通的管道,讓社群協助企業盡快修補不足,不僅能降低漏洞帶來的傷害,還能形塑企業「重視資安」的形象,讓社群樂於貢獻,促成正向資安環境發展的契機。