電影字幕也是漏洞? 台灣駭客年會揭露多項資安議題

HITCON針對資安議題進行多項討論(擷取自台灣駭客協會臉書)
〔記者譚偉晟/台北報導〕邁入第十三屆的台灣駭客年會(HITCON)今年針對資安議題再次進行特別探討,除了像是Mirai這類惡意程式的問題再次被討論,暗藏在生活種的各種漏洞,也成為HITCON上的重要議題。
今年HITCON社群場的大會標題為「regain the initiative 化被動為主動」,希望強調駭客面對資安狀況時,能夠以強大的行動力去解決。而這格主題也延伸到大會門票的設計上,採用電路板識別證的方式,讓參加的每一個人都可以親自參與駭客的世界,透過破解電路板來取得內部的資訊。此外在HITCON上也有眾多講者針對資安議題發表了演說,於現場和大家進行技術交流。
其中講者Herscovici與Gull,介紹介紹了暗藏於影片字幕中的監控攻擊,由於目前字幕格式缺乏統一規範,因此字幕已經成為部分惡意攻擊的管道之一。一旦民眾透過下載影片字幕的方式,來替影片增加文字敘述,就有可能會因為隱藏在字幕中的惡意代碼,導致觀看影片的同時也被人監視,甚至是被人惡意在遠端執行多種程式,因此民眾在透過網路下載字幕檔案時,務必留意這類資安上的問題。
此外在去年引起軒然大波的Mirai病毒,也在HITCON上成為技術交流的熱門項目。講者Tan Kean Siong分享了他透過Honeypot攔截Mirai等惡意軟體的紀錄,結果發現幾乎是無時無刻都會有惡意程式來向他的裝置「問安」,不斷發出權限要求、密碼顯示等指令,一但有裝置滿足了該病毒的要求,就會成為下一個裝置的感染跳點。Tan Kean Siong特別指出,多數物聯網裝置缺乏韌體與軟體上的更新,因此很難在病毒不斷升級的過程中維持抵禦能力,他希望透過這次的分享讓更多人注意到物聯網資安的重要性。
而善於挖掘各大網路企業漏洞的資安研究員Orange,則是帶來了繞過SSRF (Server Side Request Forgery) 保護攻擊手法。他指出SSRF雖然是基礎攻擊技術,然而其破壞力不容小覷,只要企業內網越大、該攻擊的攻擊力就能越強。他也提到由於多數服務商沒有即時提供更新,因此讓這種基礎的攻擊方式至今依舊相當有效。
另一方面,HITCON也展示了去年成立的HITCON ZeroDay成果,希望讓該漏洞通報平台,成為駭客與企業間互信的橋樑,藉此展現駭客在資安領域中的重要性。主辦單位社團法人台灣駭客協會指出,希望可以藉由HITCON活動提供政府、企業、資安社群三方的溝通交流,並持續培育更多台灣資安的人才。

HITCON上講者展示了Mirai病毒的對話內容(記者譚偉晟攝)