Dexter Chen 目前於 TXOne Networks 擔任資安威脅研究員,擅長橫向移動和找出常被忽略的組態錯誤,另外也專注在紅隊的 Operation Security。 是一個整天沈溺於滲透測試、漏洞研究及 CTF 的資安愛好者,目前持有 OSCP 和 OSWE,同時也是 HITCON Training 的講師。 鄭仲倫在年會開幕式表示,HITCON舉辦18年來,參與人數從50人、數百人到破千人,影響力從台灣擴展到日本及亞太地區。 18年對HITCON也是一種蛻變,相信資安領域在各方面成長都具有爆發性,包含人才需求和技術能量。
在產業方面,政府會持續落實對資安及智慧財產權的保護,未來,臺灣會和共享民主價值的國際盟友,一起打造更具有韌性,也更安全的供應鏈。 總統指出,今年年會的核心精神,是「HITCON PEACE(Protect Enterprise And Citizens Ever-after)」,也呼應了這個重要的期待。 台灣駭客年會 她非常期待,透過駭客社群的文化及能量,再加上產官學界不同領域的激盪和對話,可以共同針對當下的挑戰,思索出更有效率、更完整的攻防因應模式。 總統致詞時表示,今年的「台灣駭客年會(HITCON)」已經邁入第18屆,經過這些年的努力和累積,現在不只是臺灣最大的駭客社群及資安技術的研討會,也已經成為亞洲地區知名的駭客年度盛會。
台灣駭客年會: HITCON PEACE 2022 第二日:微軟 IIS 漏洞議程、首創的「明日之星」議程
紫隊往往在企業中扮演相對動態的角色,並融合紅隊發動攻擊時所產生的資訊量及藍隊對於企業內防禦面向的知識,在各個事件發生的前、中、後時序彈性地反應對應的監控、管制,甚至於阻擋措施。 因此,企業若能讓藍隊人員適時地具備紅隊演練時的攻擊手段、慢慢轉紫,在制定相關防禦或主動式阻擋政策時將能更得心應手。 台灣資安新創及社群代表指出,人才是目前整個資安產業最欠缺的,希望數位部的成立能吸引更多人關注資安。 HITCON CTF 戰隊領隊李倫銓分享,隨著駭客攻防日新月異,各國近年都投入了更大量的資源來培育年輕戰隊成員,也期盼政府能更加重視、共同參與新一代的資安戰隊培育。
專為雲端小白量身打造的課程架構,加上資深講師深入淺出的示範,相信不管你是否擁有雲端基礎,結訓後都能獲得適當的基礎雲端能力,並擁有對 AWS 旗下 200 多種服務的初步認識,了解如何活用雲端、掌握 AI 。 除此之外,課程結束後參與者還會獲得 AWS 提供的培訓證書,為個人求職或是部門競爭帶來正面的影響。 為促進社群力量的傳承,大會也特別設立社群專屬議程,鼓勵各社群站上 HITCON 舞台展現研究成果及推廣自身精神,讓 HITCON 不僅是 HITCON,而是一場全民的資安盛會。 這一次,透過這次的會議,我們期望在不碰觸法律的底線下,能讓台灣擁有高超技術的駭客們站出來,發表安全技術的論文,面對面的交換經驗,以及自由的聊天。 在台灣,由於網路入侵事件與駭客的神秘所製造的新聞效果,使得駭客一詞被長期誤導,讓人以為駭客即為入侵者,使得真正具技術及正義感的駭客紛紛轉入地下組織或參與國外活動,甚至不敢在網路上討論及發表技術。 企業在導入系統後,最怕的就是人員的反彈,畢竟在已經熟悉上手的工作環境中,突然多了全新的系統要學習及適應,難免會引來抱怨。
台灣駭客年會: 台灣駭客年會第二日:加強資安培育,培養相關人才並提升資安素養
在19 日登場的 HITCON PEACE 2022(台灣駭客年會),是由社團法人台灣駭客協會、經濟部工業局共同主辦。 微軟人員警告,「亞麻颱風」的駭客企圖對台灣各行各業進行間諜活動,並儘可能長時間維持訪問權限,但他們尚未看到該組織在行動中的最終目標。 (台灣英文新聞 / 知微 綜合報導)微軟(Microsoft)24日在部落格中示警,來自中國的「國家級」駭客組織,兩年多來不斷對台灣政府機關和資訊組織進行網攻,從事間諜活動。 微軟也指出,不僅台灣,在東南亞、北美洲與非洲也都有部分「亞麻颱風」的受害者,微軟上個月表示,該組織已駭入美國數個政府機關的電子郵件帳戶,目的為進行間諜活動、資料竊取與憑證取得。 這堂課程希望藉由過往發生過的安全事件,教導初心者應該如何保護自身資產安全;同時,課程會帶入相關檢測手法、工具,並搭配相關練習,讓學員具備基礎的審計能力。
Mars Cheng 目前為 TXOne Networks 產品資安事件應變暨威脅研究團隊經理,負責協調產品安全與威脅研究事宜。 過去曾於行政院國家資通安全會報技術服務中心(NCCST)擔任資安工程師,負責物聯網設備與工業控制環境之安全研析,強化政府機關與關鍵基礎設施資安防護能量。 並致力於分享各類型資安知識,於資安卓越中心(CCoE)計畫、國防部、經濟部、教育部、HITCON Training 及多間民間企業均有授課經驗。 同時專注於 ICS/SCADA、IoT 及企業網絡安全的相關資安議題研究,至今提交了10多個 CVE 編號,並於三本 SCI 期刊中(JCR Ranking Top 20%)發表與應用密碼學相關之論文。
台灣駭客年會: HITCON FreeTalk 2022 - 烏俄網路戰 & CTF 經驗分享
DevOps 及 DevSecOps 的逐漸盛行,諸多因素是仰賴於容器的成熟使用,現今許多企業組織都會使用容器來部署服務與應用程式。 如果不能真正認識容器的本質,更遑論要去熟悉容器安全,去保護企業當中的容器安全。 課程概述 在這堂《資安這條路:系統化學習滲透測試》, 深入了解滲透測試的目的與價值,探討企業為何選擇滲透測試以及如何讓滲透測試發揮最大效果。 因此本課程將會深入淺出的對 AD 各項功能與服務進行深度剖析,探討相關的進階攻擊技術,並提供相對應的後續修補策略。
Dexter Chen 台灣駭客年會2023 目前於TXOne Networks擔任資安威脅研究員,是一個整天專注於漏洞研究、各種攻擊手法分析及CTF的資安愛好者。 此外,Dexter 曾多次擔任資安課程講師,包含 HITCON Training , 資安卓越中心(CCoE)計畫及國防部等單位。 王仁甫(5566)博士自2006年投入資安政策與科技前瞻研究、駭客行為研究、行動安全研究、雲安全研究、主動式資安防禦等研究及草擬資安白皮書,並於2016年借調國安會四年,草擬資安即國安戰略等重要規劃。 同時,他於2018年獲選為美國國務院國際領袖人才訪問計畫訪問學人,致力於推動台美資安合作。
台灣駭客年會: 美國西雅圖亞裔女大生護母 遭繼父狂刺107刀當場死亡
今年 HITCON 2022 首度增設「明日之星」議程,希望能夠鼓勵學生投入資安研究,並提供發表的舞台。 學生族群帶來了資安研究發表,內容包括挖掘出健保卡元件的漏洞,以及關於攻擊者如何在 Windows 中癱瘓防毒軟體的功能、甚至是讓防毒軟體自身來執行惡意程式等。 HITCON Pacific 2017 的主題是 Cyber Force Awakens。 我們將呼籲政府、企業乃至於公民等各界取得數位資產的主動權,建立網路力量與資安產業生態系。 並邀請國內外專家從資安技術、政策與法規面,探討「數位國土」所面臨的威脅與防禦,為聽眾帶來國際最新的資安觀點及因應對策。
微軟今年也警告,中國國家級駭客已滲透到美國多個關鍵基礎建設網路,目的可能是為了在衝突發生時妨礙美國。 法新社報導,微軟昨天表示,亞麻颱風是「來自中國的國家行動者」,自2021年中以來主要「鎖定台灣的政府機構和教育、關鍵製造業與資訊技術組織」。 美國科技巨擘微軟公司(Microsoft Corp.)透露,中國駭客組織「亞麻颱風」(Flax Typhoon)已鎖定數十個台灣政府機關,目的可能是為了暗中進行監控。 微軟警告,近期中國的駭客行動已滲透到美國多個關鍵基礎設施網路,包含太平洋重要軍事基地關島,目的為在衝突發生時藉此妨礙美國。 另外,包含澳洲、加拿大、紐西蘭與英國當局也警告,中國的駭客行為可能正在全球發生,為影響廣泛的基礎設施。 台灣駭客年會2023 這門課程特別適合想要深入了解Active Directory攻擊手法、想要能夠自行驗證 Active Directory 安全的從業人員和學生,以及對於攻擊和防禦都感興趣的人士。
台灣駭客年會: 數位部成立週年卻看不出成效 ! 李忠憲批唐鳳:辜負大家的期望
「資安教育」應從小開始,也籲政府正視學齡孩童的安全意識,如於課綱內導入相關網路陷阱或詐騙的課題、加強對基本知識的理解,將資安教育向下扎根。 增加全民的資安素養,除能使國人避免受騙或受駭之外,也能更自主地思考什麼是應該注意的駭客攻擊或資安事件,若未來遇網路認知戰時,已具備基本的防護能力。 HITCON 團隊針對近期重大資安事件進行研究,深入探討 GNU Bash 漏洞 ,包含漏洞原理剖析、受影響的主機統計數據、防治與攻擊實例展示。 近期銀行或是公部門提供的 APP 引起了不少手機安全議題討論,我們也將探討 Android 面臨的資安問題與漏洞,還有 APP 軟體的安全性檢測方式與重點。 近期爆發的處理器 台灣駭客年會 Meltdown & Spectre 漏洞影響範圍廣泛,遍及幾乎所有 CPU 廠商平台,自 2005 生產的處理器都可能有風險,雖然此漏洞能影響到一般使用者電腦的嚴重性較低,但對於雲端業者衝擊相當大。
由於金融業掌握許多敏感個資,金融業未來如果要讓資料備份上公有雲,除了資料去識別、資料備份外,也要在資料主權(Data Sovereignty)等議題上多進行討論。 製造業所面臨的一大困難,數位化的提倡生產也藉 IT 來改善生產效率,進而導致 IT、OT 之間的權責模糊。 大多企業主認定,須考量公司 OT 場域的數位化程度,分階段整合 IT 及OT。 勤業眾信風險諮詢服務部的副總經理簡宏偉也在今日演講中,分享企業可秉持著「零信任的框架,」將OT 與 IT 的跨領域整合,以達到在公司的每個環節都能注意資安維護 。
台灣駭客年會: 社群
近期資安環境險惡無比,從伺服器到端點危機四伏,精采絕倫的 HITCON FreeTalk 更不可錯過。 從去年開始發生國家層級的網路間諜資訊戰,演進至近期極具破壞性的網路攻擊,向我們展示當網路戰來臨時會發生的狀況。 更別提近期出現了許多核彈等級的漏洞,像是 ProxyLogon、Log4shell 及 Spring4Shell 等武器都成為網路戰的一環。 今年 2022 年我們結合社群場、企業場在嶄新的場地舉行,並以 HITCON PEACE 之名舉辦,PEACE 為 Protect Enterprise And Citizens Ever-after 的簡稱,期待駭客社群的能量及文化,可以持續保護社會和企業。
- 課程中會有許多實作的部分,最後也會針對實務上的滲透測試進行分享與案例分析,對學習滲透測試與練習駭客攻擊手法有興趣的人都很適合參與。
- 紅隊演練是一種使用駭客心法,在企業允許的前置條件下,攻陷企業並拿下特定目標的資安完整性測試。
- 在HITCON 2022中,將有超過30篇頂尖資安研究及最新的資安技術於年會中發表,包含多場呼應「網路戰」主題,與各個威脅族群相關的研究揭露,例如俄烏戰爭與台灣威脅現況的分析,以及針對微軟網路服務(IIS)的漏洞挖掘、與生活息息相關的印表機漏洞、物聯網及工控系統漏洞等。
- 大多企業主認定,須考量公司 OT 場域的數位化程度,分階段整合 IT 及OT。
- 從資安歷史上來看,軟體元件置換攻擊已經不是新鮮事,透過這場分享,資安專家將面對面與您一同探討此次入侵事件的始末與技術分析,以及企業與政府單位到底要如何對付這種有正式數位簽章的"合法"軟體的安全性。
不只企業紛紛導入相關技術人才,整合各式 AI 服務、開啟新一波的商業競賽,甚至海外也出現了名為「AI 溝通師」的新興職缺,年薪上看百萬台幣。 駭客攻擊越來越猖獗,日前知名的系統清理程式 "CCleaner" 遭植入後門程式,深入分析調查後發現攻擊者鎖定科技廠商進行針對式的攻擊。 此次會議同時為了促進社群與技術交流,後半場為 HITCON 投稿生存指南,作為資安人才職涯及研究指導。
台灣駭客年會: ・Kubernetes 安全實戰
微軟也警告,中國國家級駭客多次滲透美國關鍵基礎建設網絡,目的是為了在美中爆發衝突時能對美國造成破壞。 上個月,微軟才揭露,中國國家級駭客團體「風暴0558」(Storm-0558)試圖侵入美國政府機關的郵件帳戶以取得情資。 本課程將由淺入深,介紹紅隊演練及現實世界中攻擊者取得 Initial Access 的常見打點手法、思路與技巧,包含事前偵搜、Web 漏洞挖掘利用、社交工程以及後續權限維持等主題,並輔以真實案例與練習題,帶領學員探索現實駭客攻與防的未知迷霧。 本課程除了教授滲透測試工具和基本攻擊介紹外,主要提供滲透測試思路,讓學員即使碰到自身不熟悉或是沒利用過的漏洞時,依然可以有效的做到漏洞利用、尋找答案。
去年以來的網路間諜資訊戰,告訴人們資安的重要性,台灣位於網路戰前線,應關注戰況變化,向駭客學習危險虛擬世界的生存指南。 (中央社記者吳家豪台北19日電)台灣駭客年會(HITCON 2022)今天在南港登場,總召集人鄭仲倫說,俄烏戰爭影響全世界,台灣位於網路間諜資訊戰前線,應關注戰況變化,向駭客學習危險虛擬世界的生存指南。 台灣駭客年會(Hacks In Taiwan Conference, HITCON)於 2005 年起成立,期間除舉辦每年一度的研討會外,亦成立「社團法人台灣駭客協會」(HIT),希望能替臺灣的資訊安全盡一份心力。 李倫銓是 HITCON CTF 領隊與競賽負責人,曾服務於中華電信資訊安全及雲端服務部門。 餐飲業缺工是業內共同的困境,但也顯示出「留才」的重要性,藉由導入 NUEIP 人易科技的人資管理系統,健全企業的人資管理,不僅能有效提升員工心中對公司的認同,還能強化整體外部的品牌力。 在以人為主的餐飲業服務中,每一個環節都可能對企業帶來幫助,迷客夏攜手人易科技由內而外的強化人資管理能量,落實集團的經營理念,打造透明友善的職場環境。
台灣駭客年會: 學員先修技能(Prerequisite Skills for the Course)
倪協理也會先邀請內部較精通科技產品的同仁進行測試,在全面落實前提前預知可能的問題,並結合人易科技提供的操作說明撰寫內部的 SOP 手冊。 如此一來,便能大幅降低導入系統後的磨合時間,同仁也會更願意接受新的系統。 除了在硬體上大幅地下降了學習的成本及時間,倪協理也分享人資部門如何透過漸進式的推動,讓迷客夏的同仁們感受到使用系統的便利與好處。 近期烏俄戰爭的爆發,再次顯現關鍵基礎建設在戰爭中的重要性,如能源電網、水庫、高科技業等八大領域。
總統指出,從近期的國際情勢發展來觀察,我們可以看到,網路攻擊及資訊戰爭,已經是國際衝突當中,最關鍵的攻防領域之一,而且持續不斷進行。 Windows 系統為最廣為使用的作業系統而有著最豐沛應用且複雜的設計架構、使得完整掌握 Windows 逆向工程技巧相當困難,本課程也為此規劃了完整逆向技藝將帶領學員探索 Windows 各項系統實現原理與對應的實務分析技巧。 本課程包含 30+ 個使研究人員頭痛樣本與當前正在野外肆虐的惡意程式 (如 REVil、加殼、反調試、dotNet、Shellcode等)使學員能在一道道關卡做中學得能在業界實戰的分析成就感,無論在分析系統漏洞或者惡意程式能成為獨當一面的即戰力。 此課程會透過以分析過去發生在真實世界中的弱點,帶領學員以真實世界的角度來分析並找出如何用 Fuzzing 來找到此等弱點。
台灣駭客年會: 學員自備工具(Equipments & Tools Need to Bring)
在此課程中,除了介紹如何分析過去的數個重大 台灣駭客年會 CVE、以 Fuzzing 的手段重現、以藍隊的角度分析哪些程式適合 Fuzzing 外、今年更會著重於 Fuzz 的原理與如何和合併持續整合 (CI) 的概念來做 Fuzz。 隨著混合雲、API 伺服器、微架構等新興技術崛起,Kubernetes (K8s) 這類整合性、協調性工具也愈來愈受重視。 然而,這類需細部調教的工具就如同我們在使用雲端資源的時候一樣,不易根據實際需求調整。 也因此為了營運及方便使用,開發人員往往趨向設定高權限以一勞永逸,但延伸而來的資安風險卻會在往後的日子裡反咬一口。 自第一屆開始加入 HITCON,並積極參與並籌組各種社群,深信凝聚社群的力量可以改變台灣。 目前擔任台灣駭客協會 (HIT) 理事長、戴夫寇爾 DEVCORE 執行長,曾任 HITCON Community 總召、HITCON ZeroDay 負責人。
- HITCON 持續致力於辦理高品質的資訊安全與駭客技術研討會,十多年來邀請無數來自國內與國際專家,走在世界的前端,掌握資訊安全的脈動。
- 首次邀請國內資安廠商與系統整合業者參與,與世界各地頂尖的資安菁英分享資安戰略與趨勢,從企業的觀點探討可能面臨的各種狀況,將視野國際化,更特地規劃交流酒會,與會嘉賓齊聚在此,相互學習與提升更多可能性。
- 這門課程特別適合想要深入了解Active Directory攻擊手法、想要能夠自行驗證 Active Directory 安全的從業人員和學生,以及對於攻擊和防禦都感興趣的人士。
- 這堂課程除了帶你認識紅隊攻擊手法,也將一步步剖析其中用到的攻擊原理、工具、技巧等眉角,並根據萃取出來的資訊帶你利用藍隊知識、設備、工具等幫手擋住紅隊的強烈攻勢。
- HITCON Community 2023 現場包含了大量的全球資安社群,從政府到學生,都各自在攤位上透過不同主題展示、分享駭客精神,亦有各種實戰工作坊及精彩的攤位活動、大地遊戲,讓學生們以及所有有興趣的會眾,都能有機會參與駭客社群、體驗各種資安技術的實際操作。
據《法新社》報導,微軟昨日表示,駭客組織「亞麻颱風」總部位於中國,自2021年中以來,持續鎖定台灣的政府機構,以及教育、關鍵製造業與資訊技術組織,並盡可能保持對這些機構的存取權限,打算進行長期的間諜活動。 HITCON 致力於推廣資訊安全,成立以來舉辦各式大型研討會與中小型座談會,結合時事探討全世界熱門的資安議題,從而引入國內外專業講者的教育訓練課程,協助政府、企業、民間建立友善的溝通管道與培訓資源,引領世界資安技術的脈動。 近年我們更成立了公益漏洞通報平台(ZeroDay)、舉辦 CTF 競賽、駭客版密室逃脫(HackDoor)以及企業資安攻防大賽(DEFENSE),也支持了國內各資安社群、與國家一起培育台灣未來的資安人才。 本課程非常適合有程式基礎,且有心想要學習資安入門,卻又苦於不知該從何著手的學員,課程內容濃縮自講者自身的資安學習經驗,透過詼諧有趣的軟體修改實戰過程,從零開始一步步的學習系統底層知識與駭客記憶體攻擊手法,期望能培養出讓學員有獨立逆向分析 & 撰寫底層攻防程式的能力。 本課程將會側重於防禦方人員應瞭解的知識,帶領學員進行討論與實作,並提供控制項以作為學員未來防禦的參考。
台灣駭客年會: 課程介紹(Course Description)
另外,「nuHRM 人資管理系統的介面十分好懂,功能也一應俱全,許多欄位還能根據內部需求彈性調整,通常照著介面操作都不會有什麼問題,即使真的遇到操作問題,也會有專人詳細地服務解說,對於管理者來說十分便捷。」倪協理補充道。 迷客夏以往是採取 ERP 結合人資系統的方式,然而隨著企業版圖的快速擴張,在人資管理上出現了新的需求。 台灣駭客年會 包括國安會秘書長顧立雄、行政院政務委員兼國家科學及技術委員會主任委員吳政忠、中研院院士李德財、經濟部長王美花、國安會諮詢委員李漢銘、國家發展委員會副主任委員高仙桂、台灣駭客協會理事長翁浩正等亦出席是項活動。 總統說,從烏俄戰爭以來,我們看到威權勢力的擴張,除了實體軍事行動,更會結合錯假訊息,以「混合戰」的方式,混淆民眾視聽,藉此進行認知作戰。
今年為讓來參加 HITCON 2011 的會眾更顯活潑,特別舉辦駭客創意變裝大賽,會眾可以藉此機會展現心目中駭客的形象。 此外,大會期間也設置「My ShowTime! 秀自己」展演空間,提供給參加者舉辦自己的活動! 我們期望台灣駭客年會(HITCON)是駭客們一年一度聚在一起的 台灣駭客年會 Party,除了技術的分享,也可體驗到真正的駭客文化,在駭客與駭客社群的交流下,討論最新最有趣也最敏感的議題。 政府在與民間企業的合作中,所扮演角色在於建立有利資安發展的環境,包含法規政策的建立,全民資安意識的教育,同時,在人才教育面,需從策略與管理、技術與法遵為核心,發展攻守資安人才培育計劃;而 CISO 也需從組織文化、組織結構,加強企業的資安意識。 台灣駭客年會2023 政府及企業提升資安意識後,得以實際掌握資安風險,並在受到攻擊的當下以及後續處理上適當的應對。 無論是國外俄烏戰爭中的網路戰,到國內政府受駭客騷擾,可以看出國家層級的網路威脅正持續延燒,如何在「網路戰」之下生存,也成為資安近期最熱議的課題之一。
