心得分享:HITCON 2016 台灣駭客年會

RojerChen.2016.09.28

去年聽到同事分享 HITCON 2015 的分享後,就覺得一定要來參加、朝聖一下,畢竟資訊安全是一個永遠無法迴避的問題,遲早一定要面對。雖然隔了兩個月才寫心得,當天會議講些甚麼東西我已經不太有印象了,畢竟領域差太多,不過還是有一些五四三的心得可以分享一下!



  • 常見弱點

非常推薦 Orange 的這篇演講,如果所有的弱點都看過也知道該怎樣解,就真的是超強的,實務上我也才遇到四個左右,右半部的弱點目前還沒有遇到過。


  • 尚方寶劍放久了也是會壞的

程式又不是食物,怎麼可能會壞掉?

那明朝的尚方寶劍可以在清朝用嗎?

朝代又不一樣....

所以尚方寶劍就壞掉了!

如何確保程式沒問題,最好的方式還是跑完單元測試,這樣才能確保程式是可以在這個平台上運作的。

尚方寶劍放久了是會壞掉的,程式也是。

  • 越來越重的業障

不管是作業系統、程式相關套件,該更新的還是要更新,該升版本的還是要升版本。放任老骨灰的 OS 和程式在那兒跑,只會讓系統的業障越來越重,至少也該讓系統下架吧?

口口聲聲說資安很重要,但是能給的金費卻很誠實,錢不是問題,問題是沒錢,可以相忍幫忙一下嗎?

我只能說我眼睛業障重,我甚麼都不知道,這一切都是假的,系統是很安全的!

  • 混淆器?有效嗎?

混淆器有沒有效?即便是知道沒有多大效用,還是要加減弄一下!

以前程式寫完之後,在要交付給客戶之前,我是有習慣弄混淆器,雖然知道這是弄心安的,不過能夠讓有心人士多花一點時間,讓對方知難而退那就值得了。

只不過你有每一版程式都弄嗎?要弄就要每一版都弄。

有心人士想要反組譯,一定會每個版本都測,畢竟開發人員不可能三天兩頭的回去改舊程式,整個命名規則應該都會差不多。

如果有一版剛好忘記弄了,那大概就等於後面的版本都是弄辛酸的!

有興趣可以參考一下黑大的文章 混淆器戰爭

爸爸頭腦比電腦好,人腦混淆或許比電腦混淆還來的好

最有效的方式,還是寫一個沒人會用的系統,這樣就不用擔心了!咦?那我是寫辛酸的嗎?

  • 最安全的地方也是最危險的地方,內部網路真的安全嗎?

我們這邊是內部網路,外面連不進來,內部也連不出去,所以不會有問題的。

那這是要怎樣維護啊?系統有定期做更新嗎?

想當然是沒有的阿,看似安全的環境不要哪一天貪圖一時方便開了後門

或是哪天來個間諜或是豬隊友,應該隨便走都會掉到洞裏面去。

聽說銀行都是內部網路、非常安全,疑?網路銀行也是內部網路嗎?

  • 厲害的 Hacker 也是厲害的 QA、PG

大腦除了內建各版號與弱點的索引之外,還具備了神之手,可以很輕易且快速地發現常人無法發現的 BUG,此外還略懂各種程式語言,可以很快地看出程式邏輯弱點並進行攻擊。

  • 工具包
身為一個工程師,撰寫自己的常用函式庫是很合理的。

身為一個 Hacker ,撰寫自己的弱點掃描工具包也是很合理的。

隨便掃一掃就發現弱點,好像也蠻合理的。
  • 預設與常見密碼
系統安裝完畢後的第一件事情就是改掉預設密碼,這雖然很蠢但是就是有人沒做,或是用一些常見密碼讓人很容易猜。

工程師就是懶,但是辛苦一次可以懶很久,何樂而不為!

  • 這裡有弱點,快點來
錯誤訊息一定要越詳細越好,這樣 RD 才知道哪裡錯了要怎麼做修正。

錯誤訊息一定要越詳細越好,這樣 Hacker 才知道哪裡洞,要怎樣做入侵。

該關閉的錯誤訊息還是要關,不該回應的錯誤訊息不要回應。

人家都打你的右臉了,你還把左臉轉過去給別人打嗎?

  • 耐性是唯一的武器
先前在修某個登入的弱點的時候,第一次弱點掃描建議延長回覆時間,隔了幾個月後新版的弱點掃描工具就建議再增加限制次數,如果超過幾次就鎖起來。

所以當你被打的時候,只能用消耗耐性這個招式,想辦法讓有心人士沒耐性而放棄就贏了!

所以機器也不用買太好的,用骨灰級的設備就好了,這樣有心人士打進來會因為回應很慢而放棄。這樣可能也會讓想要連進來的使用者也一起放棄了 XD

    Blogger Comment

0 意見: