# 資安大會筆記整理 [TOC] ###### tags: `演講心得` [照片總整理](https://photos.app.goo.gl/bNYzFiQHZ36p6Br78) ## 20200811 ### Securing the Digital Now >連網技術已滲透至人類生活中的重要環節，同時也逐漸普及到社會的各種層面。高度連網已是大勢所趨，帶來了前所未有的便利與功能，但也使得網路資安成為每一個連網環境不可或缺且必須能夠足以應付該環境所面臨的潛在廣泛攻擊之要素。 於此同時，伴隨數位世界而來的是更多潛在風險以及得以危及社會安全與穩定的攻擊，值得信賴的基礎架構至關重要。它不僅要能具備關鍵網路防禦能力，更要能讓威脅情報自由流通分享，以便讓資訊能化為行動的方針。 >本議題主要重點： 1. 了解高度連網的世界所帶來的全面衝擊，以及對當前的威脅情勢發展有何影響。 2. 掌握高度連網的環境中主要的技術環節，尤其是強大的雲端環境。 3. 了解威脅情報分享的影響及重要性、網路資安專家共同合作的模式藉此強化對網路威脅情勢的掌握，共同守護一個安全的聯網世界。 >講者資訊:張裕敏 趨勢科技全球核心技術部 資深協理 1. Ot/it攻擊，因以往不會聯網，並沒有安全設計，但近年開始聯網，造成漏洞 2. Target ransom 3. Dmz zone 4. Rdp 5. 加密 刪除資料 駭客自我備份 公布在暗網 6. Data leak blog 駭客部落格 7. Ragnar locker 舊手法 新規範 8. Emotet 9. Meow bot 資料庫攻擊 10. Devops 注意組態設定 11. 5g上網安全 ### 化被動為主動，打造內網資安智慧平台 >內網資安的威脅日增，企業資安的防護不能靠少數的資安人力及單一技術產品，面對層出不窮的資安事件及漏洞通報，如何快速因應是企業目前面臨的最重要課題。 現今資安防護著重於未知威脅的防禦，但忽略企業內部既存的資安管理風險，如何能事先掌握內部資安管理風險，有效的落實既有管理機制，就必須建構一套良好的自動化資安管理機制，本議程內容包含： -各產業的自動化資安管理情境應用之實際案例經驗分享 -透過資料數據的整合分析了解企業既有資安的風險之所在 -建構自動化矯正程序減化資安人力作業 -資安防禦協同作戰縮短資安事件反應時間 >講者資訊 黃士滄 曜祥網技技術經理 **主要講解內網安全，內網檢測加自動防護**  ### 化被動防禦為主動偵測，阻斷可疑活動 >現代風險情資轉動快速，往往過了分析時效就造成許多無法彌補的損失。將內部威脅防護推向 EDR，讓 IT、資安或稽核快速察覺微量高風險使用行為。X-FORT 將與企業協同作戰，快速發現內部異常風險活動。 >透過戰情資訊儀表板與 LINE 警示來發現風險外，更進一步針對風險事件施行自動管控手段，視情況搭配手動命令防止災害擴散。將警示的處置分權設定管理；一來讓高階管理者看到企業內部特別關注事件，二讓 IT 明確回應（Response）與處置（Action）風險，來大幅減輕各角色每日繁重工作。此外企業可依自身特殊需求，彈性設計製作符合內部威脅的 EDR 機制。 >講者資訊 陳伯榆 Po-Yu Chen 精品科技資訊安全部 經理兼資安顧問 1. Network trust 1. public ip 2. private ip -unauthorized vm. Device. Tunnel. Nat. 2. Command trust 指令的安全性 lolbas指令 ### 加油吧！勒索軟體 >從近期影響全台灣的勒索軟體事件中，首次曝光駭客的攻擊案情、到探討現今企業需要的防禦策略，與建構新一代高效 AI-SOC 。 >講者資訊 邱銘彰 奧義智慧科技共同創辦人 **主要講解近期的台灣企業被攻擊(如加油站、台積電等等)的安全分析，找出駭客跳板伺服器，利用中華電信或調查局給出得公開資料做分析，加上其客戶也有遭受相關的攻擊，利用以上的資料並使用其自家的技術做分析，預測駭客攻擊的時間跟手段以及流程** ### New Privacy in Android 11 與 OWASP 行動開發安全 >Android 11 即將問世，它會為開發人員與使用者帶來什麼樣的隱私與資安新功能? 行動 APP 已成為現今資訊環境中黏著度極高的應用，透過 GPS、鏡頭、麥克風、網路等功能，提供使用者導航、視訊、通話、健康控管、遊戲甚至交易等服務，我們的生活已與行動 APP 密不可分。在越來越嚴峻的資安威脅下，我們如何提供使用者更具安全韌性的行動 APP? 透過 OWASP 免費提供的開發安全文件與工具，讓開發人員了解行動 APP 安全的全貌。 >講者資訊 謝佳龍 永豐金證券資訊安全部 協理 1. Owasp 1. 有top 10注意的資料 2. Flagship 固定開發的專案 3. Top10. Asvs. Hacking playground. stg. Security checklist. 2. Android 11 privacy特點介紹 1. 有 one time access 2. 位置資訊，新增背景抓取 3. Permission auto reset 4. 相機 麥克風使用需要使用者許可 3. Ssdlc 安全生命週期開發 4. Asvs 分為三個level的層級 1最低，3最高 >裡面有r為特殊規範 為韌性 5. 手電筒的許可要求，有統計資料，其許可高達70幾個，安卓約200多個許可 6. 在開發流程中，提早發現資訊問題 ### 私有區塊鏈應用安全規範之建議 >隨著數位貨幣熱潮的衰退，群眾現在開始檢視區塊鏈應用的意義。特別是針對基於私有鏈的應用。當企業因為預算或是效能的考量，而建立私有區塊鏈應用時，常會被人質疑是為了區塊鏈而區塊鏈。本團隊提出了一個區塊鏈的信賴框架，透過這樣的框架，企業可以檢視自身應用是否能夠發揮區塊鏈技術的特色，一方面可以讓使用者信賴該區塊鏈應用，而因為這些信賴因素是來自於區塊鏈技術的特色，也可以避免使用者覺得所使用的區塊鏈應用，是企業是為了要使用區塊鏈技術而建立的區塊鏈應用。 >講者資訊 查士朝 國立臺灣科技大學教授 1. 資料不易竄改 2. 多方驗證資料 3. 不因單一節點終止而停止服務 4. 滿足以上三點以及使人信賴 5. 講者用特徵值取代hash值 6. 私有鏈許多不挖礦，但仍要達到需求 7. 安全運算節點，使用安全晶片與特殊節點做運算 ### 輕量級的企業用 PostgreSQL 安全管理策略 >PostgreSQL 近兩年在國內大量竄紅，開始進行 PostgreSQL 移轉甚至上線的企業也不斷增加。但多數都僅由工程師層級的社群軟體思維引入企業，具體進入長期營運階段，將會開始遭遇系統安全及稽核的相關問題。本段議程將提供 PostgreSQL 專用的企業等級資安思維，包含有具體的設定架構建議。但考慮到多數企業為初期引進，所以優先提供較輕量級的自我防護機制，以控制導入成本。 >講者資訊 古永忠 PostgreSQL台灣使用者社群 召集人 1. 有臉書，會有投影片，可以關注社群 2. 講者主要講解一些基礎使用PostgreSQL時應該要注意的事情，以及如果不注意的話可能會發生什麼問題 3. PostgreSQL有中文說明書，由社群做翻譯 ### 唉唷，你的簽章根本沒在驗啦。 >對於許多有資安意識的使用者而言，下載一個網路上知名的軟體（如：CClearner）通常會先右鍵檢視是否有被數位簽章簽署來確定一個程式的可信任度；而每天在網路上攻擊惡意程式如此之多，防毒軟體更是需要仰賴數位簽章來避免誤判而使用戶困擾。 >本議程將先簡介 Windows 上數位簽章、程式裝載器、連結器的愛恨情仇三角關係，並帶以實例檢視使用者與防毒軟體檢測數位簽章的時間點、分析出用戶與防毒軟體間對數位簽章理解不同而引發的各種濫用手段。 >講者資訊 馬聖豪 CHROOT 成員 1. 微軟 pe的區塊資料組成 2. 主要使用windows驗證簽章的漏洞做攻擊 3. Pkcs#7 4. Signthief 簽章小偷白皮書 5. Steganography在blackhat 2016提出過 6. Path attack 在hitcom 中有影片 youtube 7. 作者講解了一些windows在驗證簽章時會出現的問題，並且實作了簡單的demo，也實際展現給大家觀看結果  ## 20200812 ### 起飛的 5G 網路與資安挑戰 >隨著中美貿易大戰及華為議題，5G 網路、5G 手機、5G 資費的報導幾乎天天都可以站上新聞版面，全世界已經有多個國家 5G 服務上路，我國也在今年上半年完成 5G 頻譜釋照，目前已有 3 家行動網路業者推出 5G 服務，其他兩家業者也正加速進行，為我國邁向數位國家行動臺灣與智慧化萬物聯網的世代踏出重要的一大步。有鑒於 5G 網路攸關未來我國在數位時代的國家安全與經濟繁榮，NCC 領先全世界在 2019 年當全世界還在檢視討論 5G 資安是否為國安議題時，就以率先部署的視野，將 5G 資安入法，要求所有 5G 行動網路業者在提出 5G 事業計畫書的同時必須同時提交第五代行動通信系統資通安全維護計畫，也就是說業者在建置 5G 網路的同時，就必須確保所建設的 5G 網路是安全、可靠且具韌性，維護計畫必須提出具體的 5G 資安政策、目標、專責組織與人力，對 5G 資安風險與威脅進行審慎評估，在政策面、管理面與技術面提出建置與執行方案， 這是我國 5G 網路 security by design 理念的具體實踐。此外，如何確保安全可信賴的軟硬體與供應鏈管理更是關係 5G 網路未來在支援各產業應用與創新服務的成功。 >不同於傳統 3G 及 4G 行動通訊網路的封閉架構與以硬體為基礎的網路建置，5G 改採以服務為本的開放式架構，期能具備彈性擴充網路功能的能力，以快速回應未來各種可能的創新應用服務的推出。而這個能力仰賴軟體的實作與部署，這對行動網路業者將帶來相當大的變革，尤其是網路功能與服務相關軟體之安全性、軟體更新之安全管理，及 5G 軟體與系統的供應鏈管理等可能的風險與威脅，必須一一正視與解決，才能讓 5G 網路與其帶來的創新服務能真正達到目標與成功。NCC 做為我國國家通訊領域的獨立監管機構，國家資安鐵三角的一角，確保八大關鍵基礎設施裡重要的生命線的通訊基礎設施與服務之堅實、安全、可靠與穩定是我們的政策。在這個演講，我將簡要說明 NCC 為協助 5G 行動網路業者在擬定第五代行動通信系統資通安全維護計畫的參考框架以及重要的資安議題，確保我國 5G 網路之安全、可靠、具韌性及可信賴。 >講者資訊 孫雅麗 國家通訊傳播委員會 委員 1. Embb應用著重，r15，主要是消費者市場 2. R16，著重在urllc，高可靠低延遲，垂直場域的應用 3. 布拉格宣言 the prague proposals 4. 5g資通安全維護計畫 5. 5g專網 2021-2022開放          ### 數位身分證 New eID 風險座談 >旨揭數位身分證 New eID 風險座談，探討數位身分證的科技風險、隱私與法律政策等議題 >講者資訊 李德財 中央研究院院士、李育杰 中研院資訊科技創新研究中心研究員、王仁甫 HITCON理事、何明諠 台灣人權促進會副秘書長 1. 讀卡機可能有問題，並沒有規範 2. 主要有4個講者，其觀看的角度都不太一樣，我主要拍照記錄我覺得重要的部分        ### 如何讓你的 Open API 更安全? >Open API 已逐漸成為企業各類應用系統的主要對外接口標準，其安全議題自然常重要。本次講座將介紹如何從 Open API Specification (OAS) 的角度出發，在源頭就以積極安全模式，設計與制定安全的企業 Open API 規格。 >講者資訊 陳恭 國立政治大學教授         ### 【大大們的Free Talk】比特幣 x 勒索 x 駭客 >講者資訊 徐千洋 (Tim Hsu) HITCON創辦人 1. 講者主要說明勒索病毒與比特幣的關聯，因為比特幣有匿名性等特性，所以導致了駭客再要求受害人付贖金時使用比特幣付款。 2. 每年遭受到勒索病毒的公司很多，圖為講者的資料來源  ### 社群網路輿論操作現況 >近幾年，社群網路輿論操作的議題不斷被提起，但是所謂「網軍」的面貌為何？有沒有任何可供辨識的特徵呢？去年反送中運動時，Twitter 公布了一份資料，公開說明這些資料是跟散布香港反送中不實資訊有關。我們嘗試透過資料分析，去看這份被刪除的資料到底有什麼不同。而輿論操作的技術日新月異，未來還有什麼可能的方式，來對於資訊戰進行攻防呢？ >講者資訊 簡信昌 鏡傳媒CTO **主要講解推特twitter最近的封鎖帳號(有公布帳號以及其貼文)，以及臉書facebook刪除的粉絲頁與帳號 分析了這些帳號在特定時間突然發布關於香港反送中的訊息，許多皆為是不實的訊息，講者先使用人工判讀並做簡單的資料處理，接著使用人工智慧找出簡單的相關性以得出結論** ### 使用 Android 虛擬化技術在原廠 ROM 且免 Root 環境下進行一場脫殼秀 >在前一年（2019）的議程中，我們透過「打造一個安全與便利性兼具的 App 安全防護產品」分享了實作加殼產品的方法。時至今日，越來越多 Android 開發者使用加殼產品來保護原始碼，避免 App 遭受逆向工程或二次打包等攻擊；然而，加殼技術也常被惡意程式用以避免被防毒軟體偵測或分析，雖然目前已有許多脫殼方法，但皆需要在 Root 或自行刷機的環境下進行，或者，許多加殼的 App 為了避免遭脫殼，在 Root 或自行刷機的裝置上往往無法正常啟動。 >今年的議程將介紹一種全新的脫殼方式，在原廠 ROM 且免 Root 的環境下實作一個具有脫殼功能的虛擬空間，並以市場上的商業加殼產品為樣本，在此虛擬空間中啟動樣本 App。最後，此虛擬空間會進行脫殼並還原被加密的 Dex 檔。 >講者資訊 王羿廷 Fourdesire 資深資安工程師 **講者先講解android的運作原理，接著講解android中的虛擬化(多開應用程式)的原理，接著講解android中加殼以及脫殼的定義，並說明一般的脫殼技術(均需要root之後方能使用)，最後使用虛擬化技術來進脫殼，且不需要root就可以執行，也可以看到程式的原始碼**