台湾黑客年会：黑客入侵手法从主机端转成Web

由台湾白帽黑客团体举办的第三届台湾黑客年会（Hacks In Taiwan）刚落幕，虽然不像去年公布各种商用系统平台可能造成零时差攻击的漏洞，此次会场主讲的议题除了攻击手法，随着客户端的系统防护逐渐缜密，转由应用系统越来越多的Web外，更有SNORT创办人之一的主讲者Fyodor，讲解目前常见的自动化黑客工具等Web攻击手法。

报名人数暴增，军方单位参与人数变多
第三届台湾黑客年会与去年相比，报名人数增加了将近90名，包含工作人员、学员及讲师等大约270人左右。主办者徐千洋（TimHsu）表示，增加的人数来自于报名首度举行教育训练课程的免费赠票。其中，报名教育训练课程的更有2/3来自军方等单位。

徐千洋指出，此次效法美国Black Hat黑客年会，首度在黑客年会活动进行前举行教育训练课程。原订举行的7堂训练课程中，学员选课比重呈现相当偏颇的现象，包括垃圾邮件、微软系统安全课程等，选课学员兴趣缺缺。反倒是有3堂课大爆满，分别是由邱铭彰（Birdman）讲解的进阶间谍程序侦测与分析，李伦铨（Alan）讲解的白帽黑客入侵手法，和近期备受多方重视，由刘俊雄（OuTian）主讲的如何保护自家网站。李伦铨表示，从这次学员报名的开课内容中也可以看出，目前企业与IT人员看重的相关防护技巧内容，多与企业网站安全以及有效杜绝恶意间谍程序泛滥有关。

课程偏重Web攻击手法
从黑客年会的讲师主讲的内容方向，多数可以作为观察黑客入侵手法的指标。此次有两名外国讲者谈论黑客所使用的工具，包括SNORT创办人、现在就读台大电机博士班的Fyodor，便以自动化的黑客工具做为讲解主题；另外便是来自泰国的grugq，也同样以黑客所使用的工具链为主题。

对于黑客而言，自己写攻击程序、尝试入侵有漏洞的系统，乱枪打鸟成效总是不彰。但若有自动化的工具，效果总是好上几倍。根据Fyodor的研究，包括Yawatt、HttpBee以及Pbounce则是目前几款常见的黑客自动化攻击工具。其中，Yawatt是一款可以实时分类、测试与自动学习的Web应用程序黑客工具，而HttpBee则是一把Web应用程序的万用瑞士刀，可以透过API与各种应用程序（包含Yawatt）或其它程序模块整合。

随着网络应用数量越来越多，也促使许多黑客初学者，纷纷以模仿方式，入侵已经出现漏洞的Web应用程序。此时，具有自动学习功能的黑客工具，成为最好的黑客帮手。

台湾恶意网页泛滥
自动化黑客工具节省黑客入侵时尝试错误的时间，但在台湾，网络应用系统的漏洞，让黑客更轻易入侵企业网站服务器，取得重要的机密资料。台湾最常见透过浏览器漏洞，企业网站被植入iFrame重新引导到其它恶意连结，带动台湾企业对于Web安全的重视。

阿码科技开发1套自动化恶意网页与恶意程序分析系统，该公司首席安全研究员邱铭彰说，全台150万个台湾网域名称网站的主要网页，有效的大约12,000个。目前所有检查的网页中，「有400多个网站的主要网页，被植入恶意连结，」邱铭彰指出，其中被植入的恶意连结数量有200多个，透过这些恶意连结下载的恶意程序大约有40多个。


网站信息全都露
当多数的服务提供来自Web，也意味着提供服务的网站本身，已经具备有相当程度的重要讯息，不论是顾客名单、会员名册等。多数人可能会想到杜绝外来的黑客攻击，但此次黑客年会讲者丁丁大站站长XDite表示，许多人对于提供服务的网站少了很多戒心，有高达许多8成的会员资料填写是真实的。也就是说，只要有心人士可以趁机入侵网站服务器，相关会员数据等，都将成为黑客的囊中之物。

XDite表示，随着各种网络开发工具，例如使用Ajax或者是ROR的比例增加，好用的架构，让使用者照本宣科，反而容易使开发者陷入一种惯性，例如网站ID等于个人账号等。XDite指出，这样的作法让黑客更容易透过XSS（跨站脚本攻击）的手法，入侵各种网站服务器，取得重要的个人与企业信息。

客户端系统安全仍是基本
虽然各种网站服务器提供越来越多的服务，客户端计算机系统的安全防护，仍是所有防护措施的基本。

此次黑客年会上讲者Nanika表示，「只要能够忍受Vista带来的各种限制，系统的安全性将更为提高，对于系统安全与数据保护，有正面帮助。」

迄今举办3届台湾黑客年会，在规模与知名度上仍有努力空间，中华软协安全促进会会长陈振楠直言，「目前台湾安全驱动力，来自于这群参加黑客年会的热情成员们。」阿码科技执行长黄耀文则说，「台湾黑客年会的出现，更是一个国家安全产业的成熟度指标。」

现任台湾安全公司高阶主管的资深白帽黑客OX，以及知名部落格大炮开讲格主邱春树（Roger）皆表示，台湾软件人才的缺乏，让相关产业缺乏研究能量。「所有的软件高手都被硬件厂商延揽去写韧体，使得软件研发后继无人，」OX说道。「这对于台湾安全能量的累积，有很大的杀伤力，」邱春树指出

從WarGame看臺灣資安技術能力不足之處

孫子兵法有云：「知己知彼、百戰不殆。」對於擅長入侵技巧的駭客（Hacker）而言，哪一種系統、有哪些弱點適合入侵攻擊，駭客們最清楚。因此，每次舉辦駭客集會時，測試駭客技術的連線比賽WarGame，往往是最受注目的焦點之一。

WarGame關主NewBug表示，今年連線比賽除了以往測試駭客入侵技巧外，也效法DefCon的WarGame作法，題目類別不局限入侵技巧，更偏重綜合應用與分析能力。例如，圖片中隱含GPS訊息，如何透過Google Map找到金鑰等。至於國外盛行的對戰式WarGame大賽，有機會在第四屆駭客年會上推出。

Windows和Linux平臺關卡，是測試駭客能力的基本。此次，在微軟平臺設計的題目，包括透過逆向分析，從檔案中找出金鑰、電腦鑑識、病毒寫作、弱點分析等題目類型；在Linux平臺上，則包含無線網路安全、資訊隱藏、數學題、密碼題、圖片題、計算題等。NewBug表示，此次破關題目中，微軟平臺的題目破關人數較少，除了工具不足之外，如同此次奪得WarGame大賽第一名、任職訊連科技的kcWu所言，「所破關卡多是Linux關卡，對微軟所設關卡較不熟悉，」顯見多數駭客仍較為專精Linux平臺。

在微軟平臺的題目中，由目前任職公家單位PK所出的電腦鑑識題，如何從記憶體的ISO檔中，找出特定程序（Process）的ID；以及任職資安公司Zha0所出的題目：如何利用逆向工程，避免系統掛點的風險題目，無人闖關成功。NewBug不諱言的指出，對於WarGame參賽者而言，不論是電腦鑑識或者是避免系統當機的風險題目，需具備比一般駭客更高層次的技術能力。他認為，這也是未來臺灣駭客們可以進一步鑽研的重點資安領域。

此次也首度有跨平臺的闖關題目，設計關主Kuon利用Python程式開發語言，實作可跨Windows XP、Linux （Mandriva 2007.1）、Mac OS X（10.3.9）平臺的WarGame：PyWarGame。他指出，WarGame大賽闖關者往往受限於能力與硬體系統，不同平臺的題目很難得分。透過這種跨平臺的題目設計，更可以測出駭客真正功力。「未來，這種跨平臺的闖關題目也可望增加，」NewBug說。文⊙黃彥棻

各大重要駭客集會彙整

駭客集會名稱 2007年活動日期 新加坡Sy'scan 正式集會：07/05～07/06 第三屆臺灣駭客年會HIT 教育訓練：07/20
正式集會：07/21～07/22 美國Black Hat 2007 教育訓練：07/28～07/31
正式集會：08/01～08/02 美國DefCon 正式集會：08/03～08/05 中國XCon 2007 正式集會：08/28～08/29 馬來西亞HITB SecConf 2007 正式集會：09/03～09/06 奧地利維也納VB 2007（Virus Bulletin） 正式集會：09/19～09/21 日本Black Hat 2007 教育訓練：10/23～10/24
正式集會：10/25～10/26 資料來源：各駭客集會網站，2007年7月