如果要談到每年最大的資訊安全會議,或稱得上是駭客的聚會,DEFCon可說是當之而無愧,今年還號稱參加人數超過10,000人,在當今還沒有一個國際資訊安全會議能夠與DEFCon相比。
去年,DEFCon曾發生過新聞媒體因為報導未切合實際,而被主辦單位趕出會場一事,而聲名大噪了一陣子。今年主辦單位也適度開放了與會人員可以在會場拍照,筆者也才有機會能夠與讀者分享精彩的議程。今年的DEFCon已邁入第18屆,舉辦此次會議的Riviera Conference Center被擠得水洩不通。
DEFCon比起Blackhat的歷史還來得悠久,、
|
▲DEFCon 18會場的指標。 |
每年同樣有許多系統應用軟體、硬體等弱點被揭露,而且與Blackhat會議相比,在整體的風格上就有很大的差異,不再是中規中矩的會議,而是充滿另類思維的會議型態,例如駭客競賽、開鎖競賽、搶旗比賽、駭客市集,或是會場上到處可見龐克頭等奇裝異服裝扮的駭客。許多資安界的大內高手,大多也會出現在這個會議上。
電路板識別證 獨樹一幟
DEFCon從幾年前開始使用的
|
▲電路板設計的識別證。 |
「電路板」識別證,也成為這個會議的特色,電路板上的訊息可以自行使用電腦連線進行設定,但設定時須先了解硬體的設計才行。不過,在會場也有「山寨版」的識別證,使用更複雜的電路設計,提供更多樣化的顯示方式。
這次的議程仍然少不了DEFCon獨有的安排方式,密密麻麻的大會手冊,條列了相當多的議程,不過這個會議的特色在於主辦單位有隨時更新或調整議程的權力,因此有時候會突然發生議程被調整,或是某一場的議程在未被告知的情況下被刪除。
行程隨時會變 惟有緊盯新公告
要掌握整個會議的現況,只有一個管道,那就是隨時盯著會議訊息的網站,才能知道目前會議的行程。而參加會議的人也能夠隨時到Twitter上發布訊息,不論是好或壞的評價,只要是跟這個會議相關的訊息,都可以在會場上看到。
如果有講者的內容不如預期,甚至出現不雅的文字,偶爾也會直接出現在訊息欄中,對於講者所造成的壓力也是不小。不過,換個角度來看,這也是一個讓講者能夠自我提升以及了解與會人員意見的管道。
針對今年幾個重要的議題,例如基礎設施的安全、系統安全、應用程式的安全以及目前最熱門的雲端服務安全等,都有許多資訊安全的專家發布了潛存的弱點或研究的成果分享,主要分成五個場地舉行。不過,DEFCon會議與前幾天剛舉辦過的Blackhat 2010年會最大的不同在於議程的規劃上。每位講者能夠發表的時間,從15分鐘到50分鐘不等,依議程的規劃而定,希望在發表最新安全問題的同時能夠配合實際的展示,在有限的時間內必須完整地表達講者所要傳達的訊息,並且驗證所提出的弱點。
DEFCon的參與者組成較為複雜,可能有來自資訊安全相關的領域的技術人員,也有可能是真實世界中的駭客,因此如果講者的內容不夠精彩,是很有可能出現一群人起身轉頭就走的情況。
安全議題仍是關注焦點
關鍵基礎設施的安全議題,在這次的會議中仍然是關注的焦點。對於廣泛以SCADA架構來建置的基礎設施,Jeremy Brown在實際以SCADA架構的安全弱點進行的分析中,揭露了因為架構上的安全弱點,可能引起的資訊安全攻擊。關鍵基礎設施往往擔負著維持我們日常生活基本所需要的環境,因此一旦遭到惡意的攻擊,所造成的的影響是相當重大的,電影中的場景有可能會出現在真實的世界中。
另外針對雲端安全的議題,也有多位講者包括David M.、N. Bryan及Christopher Soghoian等人針對虛擬化後的雲端服務環境,提出多個可能引發安全問題的弱點,例如虛擬主機的安全性、作業系統與應用程式的弱點、基礎架構的安全等。
國內目前針對雲端
|
▲DEFCon 18會議訊息公告。 |
的議題相當熱衷,面對雲端服務的資訊安全問題,須要特別地留意,尤其未來個人資料保護法施行細則制定後,將會直接衝擊透過網路提供服務的業界,面對資料的保護將刻不容緩。如果雲端服務存在安全的疑慮,將無法順利取得使用者的信賴,更遑論雲端服務所帶來的效益有多大,一切都將淪為空談。
作業系統或是應用程式的安全議題,依然是每年會議的重點之一,針對目前幾個主流的作業系統,有許多的議程皆發表了系統的安全弱點,可以運用Exploit Code進行攻擊,輕者可以避免系統本身的驗證機制,嚴重者可讓攻擊者取得系統管理員的權限,或是進行惡意程式的植入。
另外,每年針對各種不同的應用程式,也都有許多尚未被公開的弱點,會直接在會議上揭露,因此許多應用軟體的開發廠商,莫不每年緊盯著些許最新的弱點所造成的威脅,以及如何在最短的時間進行弱點的修補,這個才是大家最關心的。許多透過逆向工程的解析技術,能夠讓我們知道許多不為人知的應用軟體弱點。
當網路化的程度越完整,則須要留意的資訊安全威脅,就越不能夠輕忽,好比以往使用作為實體環境安全監測的攝影機(CCTV)。目前較新的發展趨勢都已整合網路接取的功能,透過網路的連線,在遠端就可以直接觀看影像。
在此次的會議中,亦有許多針對這類型透過網路提供服務的設備,被揭露了可能存在的安全威脅,例如網路攝影機大多因為不提供加密傳輸的機制,僅靠著管理介面所提供的帳號與密碼驗證功能來保護資料的存取,但這樣的機制目前已能夠輕易地破解,甚至已有自動化的工具出現。
因此,面對資訊安全的議題時,除了傳統的資訊系統外,對於此類型因為網路的出現,而延伸原本功能與應用的資訊系統,也須要納入資訊安全的範疇中,才能夠建立完整的資訊安全架構。(更多精彩文章詳見網管人第57期﹚