阿碼科技舉辦SySCAN 前瞻資安技術年會觀察報告

今年的 OWASP 美國年會，阿碼科技跟去年一樣，又派了九個同事參加。大家因為工作分散各地，這次從三個國家飛到紐約會合。行前我跟 YM 聊，我說其實我非常不喜歡旅行，除了自己家，我哪都不太想去。YM 說，哈，那我可真是入錯行了。唉！資安這行，到處跑是必須的，去幫客戶解決問題，去訓練代理商，去展覽，去演講，去聽演講…一年到頭，資安顧問總是得跑來跑去。我跟 YM 說，也許是吧，但是我希望阿碼科技的各位同事能快快成長，能挑大樑，就能幫我分擔了。

工作非常忙，每天都睡不夠，每天都在想，我怎麼還能擠出一兩個小時來，每天總有好多事做不完。在飛機上如果不能工作，我會覺得時間真是太浪費了，所以我都帶很多電池。我是從台北飛紐約，要十六個小時，所以我帶了兩台筆電加上五顆電池，絕對夠我好好工作。飛機一升空，一可以用電腦，馬上開工。

做了一陣子，抬頭一看，哇，飛機上阿碼的同事只有兩種，一種呼呼大睡，一種埋頭打字。現在台北下午六點，能這樣睡，真的表示平常大家都太累了。我問 Benson，哇，原來他也帶了三顆電池！「我跟 QA 借的！」他得意的說。我做他正後方，從此他一口氣做到電池用完，然後火速倒頭就睡。連續放兩場電影了，沒人看，不是工作就是睡覺。只有 Walter 盯著他的 iPod 看，我走過去看看是什麼好片，看得這麼專心，結果是從 Google Video 跟 Youtube 抓下來的最近一些重要的資安演講。WOW！看來阿碼的文化，非常統一，大家辛苦了！

想一想，我們跑了這麼多國外的資安會議，而且我回來還寫報導，這次 OWASP 年會也是一樣，我也會寫觀察記錄，可是對於在台灣舉辦的 SySCAN 前瞻資安技術年會以及 OWASP 亞洲年會，我卻都沒有紀錄，這些會議的品質，一點也不輸國外的年會，沒有紀錄實在說不過去，於是我決定利用現在，幫幾個月前我們與 COSEINC 合辦的 2008 SySCAN 前瞻資安技術年會，做一個記錄。


（我的開場演講：「亞洲在全球資訊安全之特殊地位」）

講到 SySCAN，當初真是沒想到會舉辦。我們在台灣有研發大本營，也認識了不少客戶，社群與朋友。我們常常分享我們在各地駭客年會或資安年會的心得，或給演講分享我們的研究。這一年來，很多人都跟我們說，不是大家都有經費，有時間出國聽演講，加上台灣也有很多好的研究，希望我們如果有能力有時間，能多在台灣幫忙舉辦高技術水準的資安年會。

恩，台灣純技術性，具前瞻性，具國際性的資安年會，真的不多。雖然大家一直提，但是我們的考量也很多。我們當然有東西可以講，也有能力辦，但是究竟有多少人對這種會議的內容有興趣呢？講一般水平的技術，我們沒有興趣，可是講很深很難的東西，會有「票房」嗎？大家會不會聽的懂呢？另外，台灣太多以推銷產品為目的會議了，多到什麼地步呢？多到很多人已經不習慣什麼是純技術的會議了。

譬如去年 OWASP 辦完，有一些代理商的 PM 跟我們反應，他們邀客戶去希望對業務有幫助，可是客戶反應聽完了卻搞不清楚「產品有哪些」？喂喂拜託一下，我們辦這些技術年會，是以探討深入技術，或技術趨勢，或管理層面的經驗，或產業的走向等議題為主，不是在賣產品，要講產品，辦「Armorize Solution Day」就可以了，甚至不用，我們家業務到各位府上做個簡報更快，為何需要大費周章辦這種會議？各位知道，辦一場這種會，開銷多大，我們多累，籌經費就夠難了，邀講師來更難，美國歐洲飛亞洲，來回花很多時間，好的講師自己都很忙，要他們沒有任何商業目的而來給一場演講，誰願意？這些都靠我們的努力，還有私下跟講師的關係，只希望回饋給資安圈一些東西。這些 PM 這樣的反應，代表台灣純技術的會之的太少了，少到很多人只熟悉「產品說明會」，認為技術的會議都是「產品說明會」了。

好了，話說多了，重點是會議的內容。SySCAN 這次為期兩天，共有12場演講，演講內容與講師介紹在這裡有，另外媒體也又報導（報導一、報導二、報導三、報導四）。


（這次講師排出來超棒）


（很多人問可愛會說中文的老外哪來的？他們都是阿碼的工程師啦！）


（Tshirt 背面是大規模 SQL injection 紀念衫，前面是台灣駭客）

第一天都是老外講師，第一場由 Black Hat / DEFCON 資深成員 Adam Laurie 開場，講 RFID 的諸多弱點，以及他的 RFIDIot，讀 RFID 的工具。Adam 的這個演講非常熱門，他願意來，我們非常感謝他。Adam 講了許多 RFID 的弱點，包含護照可以拷貝，信用卡可以被無線盜讀，捷運卡可以修改等等。（今年在 DEFCON 上最轟動的事之一，就是 MIT 的學生要講美國捷運系統的弱點，結果被法院禁講一事）。Adam 不愧是老 DEFCON 成員，我覺得他在內容，技術性，以及演講技巧方面，都做得很好，沒話說。


（Adam 示範門禁卡的盜考）


（Adam：護照的 key 原來就印在內頁啊！）





緊接著 Adam Laurie 的，是我多年的好友 Fyodor。Fyodor 一方面講如何用 Jabber（XMPP） 這種 P2P 架構來建構僵屍網路（botnet），一方面也提了他獨立做的 RFID 研究，利用台灣本土產的讀卡機，可以改大賣場的記點卡，或讀捷運的儲值卡等等。Adam 的 RFIDIot 基本上只有歐系的 RFID 讀卡機能用，台灣的讀卡機都不適用。但是 Fyodor 做的工具，則是支援我們本土產的讀卡機。XMPP 用來做 botnet 我覺得是很大的威脅，因為 protocol 本身非常適合，追蹤的難度又高。最近 Jabber 被 Cisco 買了，我跟 Fyodor 說的時候，他眼淚都快掉下來了。別這樣嘛！不是所有東西被併購以後都會爛掉的！另外很多人建議 Fyodor 中文講這麼好，應該乾脆用中文講，Fyodor 你可以考慮考慮！


（Fyodor 展示台灣 MIFARE 卡的破解）





Petr 介紹了手機上 rootkit 的設計，以 Windows CE 6 為平台。Petr 講得非常的詳細，另外我覺得課程設計得好的地方是，他有詳細說明在 CE 6 上設計 rootkit 跟 Win32 上有什麼不同，跟 CE 5 上又有什麼不同。我覺得這很實用，很多人很熟 Win32 上的方法，用這樣引導可以很快切入主題。不過 Petr 演講的技巧還可以加強，雖然技術講得很清楚，可是語調有些平淡，個人看法啦！


（Petr 把 Window Mobile 6 上的 rootkit 手法講得很清楚）





Matt Conover（shok）是讓這次我很感動的一位講師，外國講師裡頭我給他最高分。Matt 講之前我有跟他溝通，大家英文程度不一樣，雖然有部分與會者英文非常好，聽老外演講完全沒有問題，但是也有一大部分比較吃力，所以希望他能盡量放慢，講不完的話，寧可放棄一些太深的東西不要講，也要求有講到的大家當場能聽懂。結果 shok 在台上刻意把英文放慢，有特別咬字清楚，加上他本身的演講技巧就很好，整場演場下來非常成功，也讓我很感動。我一年跑太多演講了，不是每個講師都願意這樣的，很多講師只顧把自己想講的講完，或顯示自己的研究很強，而不會去管觀眾的吸收度，因為畢竟是 talk 不是 training。不過 Matt 在這邊是出名的好講師，各地的年會，對他的評價都很高。

Matt 講的題目很有意思，是 Matt 最近在 Symantec Research Labs 研發出的一個雛形系統，可以把 kernel-mode 的驅動程式在 user-mode 下執行。這種技術主要用來在 user-mode 下觀察 kernel-mode 之 rootkit 的行為，並能有效控制其行為。有別於傳統利用模擬器之作法，此技術是直接將 rootkit 利用真實硬體執行起來，但是是在 ring 3 而非 ring 0。當此 rootkit 開始利用特殊指令，或開始讀取 / 修改 / 執行 kernel-mode 之記憶體時，我們將 faults 攔截下來並送入 kernel 內。這樣一方面可以使此 rootkit 得以正常執行，一方面又得將其行為限制於 sandbox 內。




（外國講師裡面，這次我最感謝 shok）

Rich Smith 講的「新型攻擊 -- PDOS：利用 flash update 對於嵌入式系統造成永久破壞之攻法」也很勁爆，主要針對嵌入式系統之設備，利用韌體之 flash update 機制，達成 PDOS 之目的。Rich 將針對各嵌入式系統之 flash update 機制與韌體本身的結構做深入的分析，並介紹一個通用的模糊暴力式探測平台（generic fuzzing framework）-- PhlashDance。PhlashDance能自動在各式各樣不同的嵌入式系統中找出 PDOS 漏洞。


（「永久性 DOS --（Permanent Denial Of Service (PDOS)」）





我們家 Jack 講的題目是「反恐與國家基礎建設保護」，這方面的研究是 Jack 的專長，但是也比較敏感些，不適合公開在這探討 :)


（Food, food, not enough food!）

第二天的開場重擔，交給大砲兄 Roger，講的是如何活逮惡意程式。Roger 不論在他的 blog 「大砲開講」或是在他的演講上，都有他非常獨特的風格。


（大砲兄很有自己的風格）







接下來是 Sean，講的是「嵌入式 script 攻擊」。script 語言一直被認為只有在 Web 上被運用，但是實際上，在今天，許許多多的應用中都會使用嵌入式 scripts（embedded scripts），而我們也觀察到，惡意程式的製造者越來越懂得利用嵌入式 script 來達成攻擊。加上 script 的變形非常容易，要偵測惡意的 script 真是非常困難。







Sean 講了很多 shell code 的基本技巧，我覺得應該對入門者蠻適用的。有些與會者反應講得太「基本」，題目有具前瞻性，但是內容講太多基本的東西。我是覺得也不錯，一個會議各種聽眾都有，有些講師講難一些的，有些講基礎些的，這樣剛好。Sean 不算是有經驗的講師，但是我覺得很有潛力，多加訓練，以後會一場比一場好。要做好的講師，各地的駭客年會 / 資安年會可以多跑一些，比較能抓的住那種「感覺」:)

接下來換我們家 Birdman，這次講的是「犯罪軟體的鑑識與工具痕分析」，問卷調查回來分數非常高，很高興大家喜歡，謝謝各位，Birdman 也辛苦了！Birdman 這次公開的研究，是以惡意程式鑑識角度（Malware Forensics）分析駭客所使用的攻擊工具與後門，透過工具痕以了解作者的來源、意圖目的與威脅衝擊，藉此區分類出不同駭客的活動，並加以追蹤。


（Birdman 的演講）








Birdman 講完後，換超強的 PK，講的是「犯罪現場: Windows 記憶體內容擷取與鑑識」，做了很多精彩的現場 DEMO，不論是透過 1394 漏洞無密碼登入 Windows，或記憶體的解析，PK 都獲得大家熱烈的掌聲。PK 在 Windows 記憶體內容擷取與鑑識上，真不是蓋的，大家不需要飛到美國聽 Sandman 在 DEFCON 2008 的演講，聽 PK 絕對就夠啦！


（PK 是這次問卷調查出來最受歡迎的講師之一，謝謝 PK！）





接下來我們家 Kuon 講的是 針對 Python 的逆向工程。Python 已經在 TIOBE 程式語言調查結果中，位於前十名且不斷爬升；Google App Engine（應用程式代管服務）最先支援的程式語言就是 Python。Python 近年來大放異彩，多數應用面的安全基礎卻未見其發芽，Kuon 希望藉由探討 Python Internals 來為 Python 安全研究播下種子。


（Kuon 講針對 python 的逆向工程技術）

最後是 Nanika 講的「手機上的強大邪惡」，就如同他自己說的，Nanika 可說是大會「好酒陳甕底」，講得很好，他跟 Petr 兩個人可以說把 Windows CE 5/6 的 rootkit 手法涵蓋得很完整了。


（Nanika 講手機上的強大邪惡，幾乎把 CE 上的 rootkit 手法都 cover 了）





最後，謹代表 SyScan 全體工作同仁感謝每一位來參加 SyScan 的黑白帽朋友，感謝你們對於大會的支持！

之前有跟我聊過的朋友都知道，由於會議內容很專業，原先我們估計不會有超過一百人參加（Jack 當初名言：Wayne，你如果堅持要辦 SySCAN，保證台灣不超過 80 人來）。結果我們在 350 人時喊停，當天看到一些朋友希望現場報名，我們讓出工作人員的十個位子，使大會總共有 360 人參與，這是我們完全沒想到的。

我們拍了一些高解析度照片在：

http://picasaweb.google.com/wayne.armorize/SyScanTaiwan

也謝謝大家都幫我們填問卷為我們與講師打成績，這對我們實在太重要了。

再次感謝各位！

作者 Wayne Huang 為阿碼科技 CEO

繼續閱讀全文...