阿碼外傳-阿碼科技非官方中文 Blog: 2008年9月24日

2008年9月24日

阿碼科技舉辦SySCAN 前瞻資安技術年會觀察報告

今年的 OWASP 美國年會,阿碼科技跟去年一樣,又派了九個同事參加。大家因為工作分散各地,這次從三個國家飛到紐約會合。行前我跟 YM 聊,我說其實我非常不喜歡旅行,除了自己家,我哪都不太想去。YM 說,哈,那我可真是入錯行了。唉!資安這行,到處跑是必須的,去幫客戶解決問題,去訓練代理商,去展覽,去演講,去聽演講…一年到頭,資安顧問總是得跑來跑去。我跟 YM 說,也許是吧,但是我希望阿碼科技的各位同事能快快成長,能挑大樑,就能幫我分擔了。

工作非常忙,每天都睡不夠,每天都在想,我怎麼還能擠出一兩個小時來,每天總有好多事做不完。在飛機上如果不能工作,我會覺得時間真是太浪費了,所以我都帶很多電池。我是從台北飛紐約,要十六個小時,所以我帶了兩台筆電加上五顆電池,絕對夠我好好工作。飛機一升空,一可以用電腦,馬上開工。

做了一陣子,抬頭一看,哇,飛機上阿碼的同事只有兩種,一種呼呼大睡,一種埋頭打字。現在台北下午六點,能這樣睡,真的表示平常大家都太累了。我問 Benson,哇,原來他也帶了三顆電池!「我跟 QA 借的!」他得意的說。我做他正後方,從此他一口氣做到電池用完,然後火速倒頭就睡。連續放兩場電影了,沒人看,不是工作就是睡覺。只有 Walter 盯著他的 iPod 看,我走過去看看是什麼好片,看得這麼專心,結果是從 Google Video 跟 Youtube 抓下來的最近一些重要的資安演講。WOW!看來阿碼的文化,非常統一,大家辛苦了!

想一想,我們跑了這麼多國外的資安會議,而且我回來還寫報導,這次 OWASP 年會也是一樣,我也會寫觀察記錄,可是對於在台灣舉辦的 SySCAN 前瞻資安技術年會以及 OWASP 亞洲年會,我卻都沒有紀錄,這些會議的品質,一點也不輸國外的年會,沒有紀錄實在說不過去,於是我決定利用現在,幫幾個月前我們與 COSEINC 合辦的 2008 SySCAN 前瞻資安技術年會,做一個記錄。


(我的開場演講:「亞洲在全球資訊安全之特殊地位」)


講到 SySCAN,當初真是沒想到會舉辦。我們在台灣有研發大本營,也認識了不少客戶,社群與朋友。我們常常分享我們在各地駭客年會或資安年會的心得,或給演講分享我們的研究。這一年來,很多人都跟我們說,不是大家都有經費,有時間出國聽演講,加上台灣也有很多好的研究,希望我們如果有能力有時間,能多在台灣幫忙舉辦高技術水準的資安年會。

恩,台灣純技術性,具前瞻性,具國際性的資安年會,真的不多。雖然大家一直提,但是我們的考量也很多。我們當然有東西可以講,也有能力辦,但是究竟有多少人對這種會議的內容有興趣呢?講一般水平的技術,我們沒有興趣,可是講很深很難的東西,會有「票房」嗎?大家會不會聽的懂呢?另外,台灣太多以推銷產品為目的會議了,多到什麼地步呢?多到很多人已經不習慣什麼是純技術的會議了。

譬如去年 OWASP 辦完,有一些代理商的 PM 跟我們反應,他們邀客戶去希望對業務有幫助,可是客戶反應聽完了卻搞不清楚「產品有哪些」?喂喂拜託一下,我們辦這些技術年會,是以探討深入技術,或技術趨勢,或管理層面的經驗,或產業的走向等議題為主,不是在賣產品,要講產品,辦「Armorize Solution Day」就可以了,甚至不用,我們家業務到各位府上做個簡報更快,為何需要大費周章辦這種會議?各位知道,辦一場這種會,開銷多大,我們多累,籌經費就夠難了,邀講師來更難,美國歐洲飛亞洲,來回花很多時間,好的講師自己都很忙,要他們沒有任何商業目的而來給一場演講,誰願意?這些都靠我們的努力,還有私下跟講師的關係,只希望回饋給資安圈一些東西。這些 PM 這樣的反應,代表台灣純技術的會之的太少了,少到很多人只熟悉「產品說明會」,認為技術的會議都是「產品說明會」了。

好了,話說多了,重點是會議的內容。SySCAN 這次為期兩天,共有12場演講,演講內容與講師介紹在這裡有,另外媒體也又報導(報導一報導二報導三報導四)。


(這次講師排出來超棒)



(很多人問可愛會說中文的老外哪來的?他們都是阿碼的工程師啦!)



(Tshirt 背面是大規模 SQL injection 紀念衫,前面是台灣駭客)


第一天都是老外講師,第一場由 Black Hat / DEFCON 資深成員 Adam Laurie 開場,講 RFID 的諸多弱點,以及他的 RFIDIot,讀 RFID 的工具。Adam 的這個演講非常熱門,他願意來,我們非常感謝他。Adam 講了許多 RFID 的弱點,包含護照可以拷貝,信用卡可以被無線盜讀,捷運卡可以修改等等。(今年在 DEFCON 上最轟動的事之一,就是 MIT 的學生要講美國捷運系統的弱點,結果被法院禁講一事)。Adam 不愧是老 DEFCON 成員,我覺得他在內容,技術性,以及演講技巧方面,都做得很好,沒話說。


(Adam 示範門禁卡的盜考)



(Adam:護照的 key 原來就印在內頁啊!)






緊接著 Adam Laurie 的,是我多年的好友 Fyodor。Fyodor 一方面講如何用 Jabber(XMPP) 這種 P2P 架構來建構僵屍網路(botnet),一方面也提了他獨立做的 RFID 研究,利用台灣本土產的讀卡機,可以改大賣場的記點卡,或讀捷運的儲值卡等等。Adam 的 RFIDIot 基本上只有歐系的 RFID 讀卡機能用,台灣的讀卡機都不適用。但是 Fyodor 做的工具,則是支援我們本土產的讀卡機。XMPP 用來做 botnet 我覺得是很大的威脅,因為 protocol 本身非常適合,追蹤的難度又高。最近 Jabber 被 Cisco 買了,我跟 Fyodor 說的時候,他眼淚都快掉下來了。別這樣嘛!不是所有東西被併購以後都會爛掉的!另外很多人建議 Fyodor 中文講這麼好,應該乾脆用中文講,Fyodor 你可以考慮考慮!


(Fyodor 展示台灣 MIFARE 卡的破解)






Petr 介紹了手機上 rootkit 的設計,以 Windows CE 6 為平台。Petr 講得非常的詳細,另外我覺得課程設計得好的地方是,他有詳細說明在 CE 6 上設計 rootkit 跟 Win32 上有什麼不同,跟 CE 5 上又有什麼不同。我覺得這很實用,很多人很熟 Win32 上的方法,用這樣引導可以很快切入主題。不過 Petr 演講的技巧還可以加強,雖然技術講得很清楚,可是語調有些平淡,個人看法啦!


(Petr 把 Window Mobile 6 上的 rootkit 手法講得很清楚)






Matt Conover(shok)是讓這次我很感動的一位講師,外國講師裡頭我給他最高分。Matt 講之前我有跟他溝通,大家英文程度不一樣,雖然有部分與會者英文非常好,聽老外演講完全沒有問題,但是也有一大部分比較吃力,所以希望他能盡量放慢,講不完的話,寧可放棄一些太深的東西不要講,也要求有講到的大家當場能聽懂。結果 shok 在台上刻意把英文放慢,有特別咬字清楚,加上他本身的演講技巧就很好,整場演場下來非常成功,也讓我很感動。我一年跑太多演講了,不是每個講師都願意這樣的,很多講師只顧把自己想講的講完,或顯示自己的研究很強,而不會去管觀眾的吸收度,因為畢竟是 talk 不是 training。不過 Matt 在這邊是出名的好講師,各地的年會,對他的評價都很高。

Matt 講的題目很有意思,是 Matt 最近在 Symantec Research Labs 研發出的一個雛形系統,可以把 kernel-mode 的驅動程式在 user-mode 下執行。這種技術主要用來在 user-mode 下觀察 kernel-mode 之 rootkit 的行為,並能有效控制其行為。有別於傳統利用模擬器之作法,此技術是直接將 rootkit 利用真實硬體執行起來,但是是在 ring 3 而非 ring 0。當此 rootkit 開始利用特殊指令,或開始讀取 / 修改 / 執行 kernel-mode 之記憶體時,我們將 faults 攔截下來並送入 kernel 內。這樣一方面可以使此 rootkit 得以正常執行,一方面又得將其行為限制於 sandbox 內。




(外國講師裡面,這次我最感謝 shok)


Rich Smith 講的「新型攻擊 -- PDOS:利用 flash update 對於嵌入式系統造成永久破壞之攻法」也很勁爆,主要針對嵌入式系統之設備,利用韌體之 flash update 機制,達成 PDOS 之目的。Rich 將針對各嵌入式系統之 flash update 機制與韌體本身的結構做深入的分析,並介紹一個通用的模糊暴力式探測平台(generic fuzzing framework)-- PhlashDance。PhlashDance能自動在各式各樣不同的嵌入式系統中找出 PDOS 漏洞。


(「永久性 DOS --(Permanent Denial Of Service (PDOS)」)






我們家 Jack 講的題目是「反恐與國家基礎建設保護」,這方面的研究是 Jack 的專長,但是也比較敏感些,不適合公開在這探討 :)


(Food, food, not enough food!)


第二天的開場重擔,交給大砲兄 Roger,講的是如何活逮惡意程式。Roger 不論在他的 blog 「大砲開講」或是在他的演講上,都有他非常獨特的風格。


(大砲兄很有自己的風格)








接下來是 Sean,講的是「嵌入式 script 攻擊」。script 語言一直被認為只有在 Web 上被運用,但是實際上,在今天,許許多多的應用中都會使用嵌入式 scripts(embedded scripts),而我們也觀察到,惡意程式的製造者越來越懂得利用嵌入式 script 來達成攻擊。加上 script 的變形非常容易,要偵測惡意的 script 真是非常困難。







Sean 講了很多 shell code 的基本技巧,我覺得應該對入門者蠻適用的。有些與會者反應講得太「基本」,題目有具前瞻性,但是內容講太多基本的東西。我是覺得也不錯,一個會議各種聽眾都有,有些講師講難一些的,有些講基礎些的,這樣剛好。Sean 不算是有經驗的講師,但是我覺得很有潛力,多加訓練,以後會一場比一場好。要做好的講師,各地的駭客年會 / 資安年會可以多跑一些,比較能抓的住那種「感覺」:)

接下來換我們家 Birdman,這次講的是「犯罪軟體的鑑識與工具痕分析」,問卷調查回來分數非常高,很高興大家喜歡,謝謝各位,Birdman 也辛苦了!Birdman 這次公開的研究,是以惡意程式鑑識角度(Malware Forensics)分析駭客所使用的攻擊工具與後門,透過工具痕以了解作者的來源、意圖目的與威脅衝擊,藉此區分類出不同駭客的活動,並加以追蹤。


(Birdman 的演講)









Birdman 講完後,換超強的 PK,講的是「犯罪現場: Windows 記憶體內容擷取與鑑識」,做了很多精彩的現場 DEMO,不論是透過 1394 漏洞無密碼登入 Windows,或記憶體的解析,PK 都獲得大家熱烈的掌聲。PK 在 Windows 記憶體內容擷取與鑑識上,真不是蓋的,大家不需要飛到美國聽 Sandman 在 DEFCON 2008 的演講,聽 PK 絕對就夠啦!


(PK 是這次問卷調查出來最受歡迎的講師之一,謝謝 PK!)






接下來我們家 Kuon 講的是 針對 Python 的逆向工程。Python 已經在 TIOBE 程式語言調查結果中,位於前十名且不斷爬升;Google App Engine(應用程式代管服務)最先支援的程式語言就是 Python。Python 近年來大放異彩,多數應用面的安全基礎卻未見其發芽,Kuon 希望藉由探討 Python Internals 來為 Python 安全研究播下種子。


(Kuon 講針對 python 的逆向工程技術)


最後是 Nanika 講的「手機上的強大邪惡」,就如同他自己說的,Nanika 可說是大會「好酒陳甕底」,講得很好,他跟 Petr 兩個人可以說把 Windows CE 5/6 的 rootkit 手法涵蓋得很完整了。


(Nanika 講手機上的強大邪惡,幾乎把 CE 上的 rootkit 手法都 cover 了)






最後,謹代表 SyScan 全體工作同仁感謝每一位來參加 SyScan 的黑白帽朋友,感謝你們對於大會的支持!

之前有跟我聊過的朋友都知道,由於會議內容很專業,原先我們估計不會有超過一百人參加(Jack 當初名言:Wayne,你如果堅持要辦 SySCAN,保證台灣不超過 80 人來)。結果我們在 350 人時喊停,當天看到一些朋友希望現場報名,我們讓出工作人員的十個位子,使大會總共有 360 人參與,這是我們完全沒想到的。

我們拍了一些高解析度照片在:

http://picasaweb.google.com/wayne.armorize/SyScanTaiwan

也謝謝大家都幫我們填問卷為我們與講師打成績,這對我們實在太重要了。

再次感謝各位!

作者 Wayne Huang 為阿碼科技 CEO

繼續閱讀全文...