cloudsec 2015 keynote 失衡的數位軍火發展
TRANSCRIPT
面對不可預期,您一定要知道的秘密
李倫銓
HITCON CTF 領隊
失衡的數位軍火發展
• HITCON CTF領隊與競賽負責人• 交大資工所,台大電機博士候選人,目前任職聯
發科技IT部門。• 專長:網路安全相關技術、惡意程式與流量分
析、雲端服務規劃與研究。
2014年
2015年~至7月
25個
15個
最近兩年好像常聽到 0day ?你沒有搞錯,真的比以前多
Data from Secunia
2013年 14個
??個,預計會超過2014
第一個故事
從前,從前,有一群善良的駭客,他們都是專研技術的好孩子
有一天,他們發現了漏洞,他們寫了信
好孩子A: 「你好,我發現xxx上面有yyy問題喔,我覺得這問題蠻嚴重的,可以竄改金額,提醒您們一下,不然影響很多用戶」- (企業服務漏洞)
好孩子B: 「您好,學校留言板的管理頁面有SQL injection耶」-(學校系統漏洞)
好孩子C: 「這個遊戲server side沒有做好檢查,完全相信用戶端送過來的資訊這樣不對吧? 」-(遊戲外掛漏洞)
「先生,就是你改的吧? 」
「我們是遊戲代理商,你的問題我只能轉給原廠問問」
「你沒事幹嘛亂Try啊? 」
知識不對稱
下次你自己收起來就好了!
所以,這會形成什麼後果??
是誰讓一個原本可以成為白帽駭客的孩子,變成真正的黑客 ?
沒有獎金,為什麼要回報?回報又不理
如果可以賣呢?
第二個故事
Hacking Team 遭駭:洩漏超過 400 GB 資料,包含客戶名單、
核武級 Exploit 應用及後門技術。
• 以前調查犯罪,用實體線路掛線監聽
• 現在智慧型手機和APP流行,該怎麼做?
– RCS (Remote Control System)
RCS (Remote Control System)
該怎麼植入?
• 靠0day啊!!!
• 你能想像Android瀏覽一個網頁就種後門嗎?
這真的不是什麼匪夷所思的事情,而是非常多!
–天才駭客Geohot的Towelroot計畫一鍵通殺2014年6月以前的android手機
-----用的都是0day!
出來混,遲早是要還的。
Stuxnet讓公眾知道: 「原來真有這種事」
而Hacking team事件讓大家知道: 「原來這種事都當正經買賣幹了!」
Snowden讓大家知道: 「靠!原來這種事這麼多! 」
某知名駭客給了個評論
從 HACKING TEAM、BOUNTY PROGRAM、PWN2OWN談失衡的數位軍火發展
Bounty Program
HackerOne offers a platform to give companies an organized way to set up bug tracking programs.
Pwn2Own
• Pwn2Own (OS, Browser…)
黑產
• 『撞庫』,起因為用戶習慣不良,在不同網站使用相同帳密,黑客若打下其中一個網站資料庫(稱作『拖庫』),拿這些帳密至其他網站嘗試登入,往往有部分能成功登入。
• 黑產經濟鏈中,黑客透過『拖庫』取得用戶帳密,透過『撞庫』來擴大範圍,最後通過一連串的手段和黑色產業鏈將有價值的用戶帳戶變現,則稱為『洗庫』
撞庫、脫庫、洗庫
大量收購日本肉雞大量收購台灣網遊帳密
遊戲外掛產業鏈
外掛寫手
工作室
$50,000
打怪、賺錢、經驗值
虛擬貨幣、寶物拍賣網站交易
$5,000$8,000
$1,0000
獲利約數百萬
開賣場簡訊認證? 完全沒問題
• 大量代接台灣簡訊驗證碼• 台灣收貨地址• 奇摩
直接上台灣論壇徵求電話解鎖。不用駭客,你家小朋友也會出賣自己的電話號碼
手機認證? 也完全沒問題
客製化工具視功能由數百美元至數萬美元不等
雇用境外駭客進行網站入侵依難易度由數萬至數十萬台幣不等
HACKING TEAM 行情
蘇丹政府購買 Hacking Team 監控系統收據
預付款(50%)即高達 48 萬歐元,相當1666萬台幣
衣索比亞政府購買 Hacking Team 監控服務收據
軟硬體總金額高達 100 萬歐元,相當於台幣3472萬台幣
購買漏洞成本僅利潤的 1/10
漏洞收購
Pwn2Own
原廠漏洞獎金
010000 20000 30000 40000 50000 60000
7000080000
90000100000
產值
原廠獎金制度
程式設計師的理解範疇
駭客的知識
不對稱的安全知識
• 黑產
• 合法漏洞收購
不對稱的產業價值
您該如何面對這些威脅?
面對他
接受他
處理他
放下他
如果做不到給金錢,至少能有順暢的通報管道和獎勵機制
多少讓這樣的孩子的研究能量,不要流到黑色產業去,否則不管你怎麼加班修補,怎麼累死安全工程師,都是永遠追不完的。
每個企業或原廠,都應該有一個Bounty Program制度
雅虎自從送T-shirt被酸之後(原本沒有制度,因此收到bug回報的同仁好心送了一件Tshirt)開始重視bug bounty,至2015已經付出1百萬美金
美國聯邦貿易委員會(FTC)藉美國最大駭客會議DEF CON舉辦競賽尋求解決惱人的廣告語音電話問題
HITCON Hack2Own 競賽
建立企業漏洞回報機制或獎勵制度,不僅是救自己的系統,更是保護用戶,您們正在提升層次,可以從源頭來解決問題
面對不可預期技術細節剩下的就來HITCON 研討會聽吧