2017年9月7日 星期四

【活動紀錄】 APNIC Blog 採訪

首先感謝 APNIC Blog 邀訪,並且在文字上極富耐心,願意多次溝通並協助修改文章!

採訪原文

https://blog.apnic.net/2017/09/07/twseries-hitcon-girls-cultivating-cybersecurity-talent/

節錄部分採訪內容

“HITCON GIRLS has two purposes: to make more women aware of the cybersecurity field as a career, and to create opportunities for more women to join the field,” explains Hazel, who is a co-founder and active member and of the growing community.

HITCON GIRLS 有兩個目標
1. 讓更多的女生意識到資安可以是一個工作
2. 並製造機會讓更多女生加入這個領域

“Through our events, training and online forums, participants learn from and network with females working in the industry in an environment where they are not a minority and are encouraged to interact.”

“通過我們的活動,讀書會和線上互動,讓參與者和資安產業裡的女性意識到他們並不是少數,並鼓勵大家交流和互動。”

“In its three years, more than 500 people have attended HITCON GIRLS training workshops and meetups, and its Facebook page has attracted over 3,000 followers. The HITCON GIRLS blog has also been an important tool for the group to share knowledge about fundamental cybersecurity concepts like APT, CTF and malware.”

“三年來有將近五百人參加過 HITCON GIRLS 各式活動,Facebook 也有 3000 多名追隨者,並在 Blog 分享有關於資安的知識,例如 APT, CTF 和惡意程式。“

“Like other community groups, we have a duty to increase awareness of the importance of information and cybersecurity in Taiwan,” explains Hazel. “Whatever we do, we are always conscious of making our content as clear, concise, and relevant as we can so that participants and readers can understand it and, most importantly, take action.” 

“像其他社群一樣,我們有責任提高台灣對資安的重視。在我們的作為裡(不論是辦活動或者是Blog),會盡量讓內容清楚、簡潔,使參加者或讀者都能閱讀,最重要的是行動起來!”

Hazel and the rest of the HITCON GIRLS committee recognize that it will take several years of “hard work and outreach” before they start to see a change in the number of women working in the industry. However, they are continually buoyed when workshop participants and group members contact them to say how the group had given them the motivation to pursue a career in cybersecurity.

Hazel 和 HITCON GIRLS 成員意識到,在開始看到資安產業中的女性人數成長前,需要幾年的“努力工作和對外推廣”。 然而,活動的參加者或是內部成員回饋表示「該活動如何給予他們動力讓他們可以往資安方面求職」總是讓人提振精神


“In the future, we hope that women in information security are no longer a minority.”

“今後,我們希望女性關注資安不再是少數。“



在此感謝創始團隊成員 Hazel Yen, Awon, Ashley Shen, Belinda Lai, Shirley Kuo and Turkey Li 提供回憶,並感謝小蘇協助大量文字處理!


最後打個廣告:P

第一屆亞洲地區研討會,FIRST Asia Regional Symposium 即將在台中舉行!https://www.first.org/events/symposium/taichung2017/

歡迎有興趣的朋友參與!

【演講】社群網路滲透生活,我們如何保護個資不外洩

謝謝大家當天到場的支持,謝謝關鍵時刻的工作坊邀約,本次的投影片釋出囉!
本次演講主題為:社群網路滲透生活,我們如何保護個資不外洩

演講日期:2017/9/4(一)
地點:圓山花博爭艷館
會議名稱:2017 未來大人物 - 世「待」溝嘉年華
活動網址:https://aces2017.thenewslens.com/workshops 

簡介

你的個人資料安全嗎?看似平靜的網路世界裡面,你知道有多少危險嗎?讓我們來告訴你,從資安人員的角度可以看到多少東西!

本議程將會教導在享受網際網路便利的同時,如何提高個人的帳號、資料的安全性,從真實案例中分享保護個人資訊,最後也會介紹資安圈裡的社團、競賽和國內外研討會。

投影片




額外的展場發聲區

雖然時間有限,不過在活動最後一天仍看到許多民眾,就連攤位都仍然陸陸續續有活動,這裡附上幾個看到有趣或富含創意的攤位!

如果想要看總覽的話 https://aces2017.thenewslens.com/exhibition/description

通常每個攤位都有自己的理念、目標,想要為特定的群體發聲,希望大家可以多多支持!
偶爾走出自己的領域,跟世界上不同的人互動,讓自己保持在客觀、謙虛的狀態:)


當我們成為移工: 走進 60 萬個東南亞移工故事

單位策展人:One-Forty


有「敢」擇學:勇敢選擇你想學習的
單位策展人:城市浪人、雜學校




當「歷史」與「數學」走出教室
單位策展人:故事、數感實驗室

技能如何與社會對話

單位策展人:技職3.0



2017年7月13日 星期四

【活動紀錄】HITCON GIRLS 資安萌芽推廣 - 青少年資安暑期營

暑假悄悄開始的夏日, HITCON GIRLS 第一次抵達台中!希望能將資訊安全的幼苗擴散到每個人心中,正確的學習方向以及法律道德觀念,讓資訊安全知識普及以及茁壯。

今年暑假 HITCON GIRLS 前往台中舉辦給青少年的資安夏令營,我們不斷以自身經歷鼓勵女性學資安其實沒有那麼困難,在去性別化的過程中也希望突破垂直侷限,將正確的資安觀念傳遞給青少年,不僅是為了讓女孩更容易踏入資安領域,也希望讓年輕的種子感受到「其實女性在資安領域不該被當成弱勢,而有一群女性正在為了鼓勵人人都能學資訊安全,不斷努力著!」


活動紀錄

HITCON GIRLS 希望能將資安的知識、入門方法帶到更多地方,讓人人都能學習資訊安全,因此有了這次萌芽活動,在 2017/07/08 高達 144/150 整整 96% 的報到率!有不少學生懷抱著熱情和憧憬而來,這次的聽眾從高中應屆生到小學生,希望大家未來都能找到自己的目標、學到自己想要學的東西!


致謝

這次要特別感謝辛苦的 HITCON GIRLS 工作人員:Turkey、珣珣、Shirley、Belinda、圓圓、阿毛、Martian、虎虎、牙牙、凱西、Melody、毛毛,除了解決各種狀況外,有不少人還要兼顧議程助理、講師、文宣等,感謝夥伴們互相幫忙我們才能一起成長ヾ(*´∀`*)



今日投影片:

  • 駭客世界的探索 李尚韋 Turkey - 現任社團法人台灣駭客協會秘書長





  • 還能不能好好玩遊戲了 虎虎/劉家如 - 敦陽科技資安專業服務處資安顧問 HITCON GIRLS WebPT 組長





  • 密碼學深入淺出 阿毛 - 台科資管碩士生&圓圓 - 台科資管碩士生




  • 從研究生轉職資安工程師 蜘子珣 Hazel Yen - 資安工程師🛠





  • 你知道你連線的網站黑黑的嗎? Shirley - 某電信公司的資安研究員


  • 從 CVE 挖材料 Martian - 毫無反應,就是個火星人




  • 資安工作很酷嗎?當然! Belinda Lai - 某網通設備軟體工程師




感謝社群分享

  • UCCU https://www.facebook.com/UCCU.Hacker/
  • 中科大資訊研究社​
  • 逢甲黑客社 https://hackersir.org

Q&A 收集

密碼學圓圓輸入的cmd指令是什麼?
「openssl aes-256-cbc -in file -out file.aes」

為什麼駭客/滲透測試都用 Kali?
「因為 Kali 本身就是滲透測試工具整合環境,真的會在滲透測試時用到喔!」

什麼是組合語言?
「低階程式語言,通常被應用來做底層的硬體操作,人類難以閱讀,但是機器處理起來(比高階程式語言)相對快速許多」

資安證照有哪些?
「建議他先選擇一個喜歡的方向,再去鑽研相關證照的研究,如果對資安控管有興趣 ISO、BS系列,對事件調查,駭客技術有興趣 CEH、CHFI系列,分析鑑識系列 ACE、CCE、ENCE,網路安全系列 CCNA、CCNP、CCIE」

若是還有疑問,歡迎私訊我們的粉絲團喲!





2017年7月2日 星期日

【行前通知】HITCON GIRLS 資安萌芽推廣 - 青少年資安暑期營

同學您好,
感謝您報名本次活動,活動剩下一個禮拜囉,就讓我們帶著期待的心,一起來認識資安領域吧!
在開始踏入資安探索大門前,以下有幾個注意事項,需要各位同學仔細閱讀: 
  • [重要] 本活動結束後,將會頒發研習證書,請確保您報名時的姓名學校是否正確,請於 7/3(一)前確認完成。
    1. 確認及修改報名資料的方式:售票網站(網址)----> 登入帳號 ----> 左上角 『我的票卷』---> 『報名資料』---> 『修改表單內容』
  • [重要] 本次活動結束時間,因豐富了議程內容,將延長至 17:20(加減 10 分鐘)結束。

本次活動時間地點:
  1. 日期:2017/7/8(六)08:50 開始報到
  2. 地  點:國立中興大學農業暨自然資源學院-國際會議廳 (台中市南區興大路 145 號 10 樓)

其他注意事項:
  1. 本次議程皆不需要電腦實作,同學可視需求自行評估是否攜帶電腦查資料。
  2. 為共同響應環保,請自行攜帶環保筷、杯子。

若有任何問題,歡迎來信:hgservice@hitcon.org,或是至 HITCON GIRLS 臉書(連結)私訊留言,我們將儘速回應您。

#持續關注 HITCON GIRLS 粉絲專頁,了解本次議程詳細介紹吧!


HITCON GIRLS 籌備團隊


2017年5月14日 星期日

【速報】WanaCrypt0r Ransomware 緊急快問快答

作者:Ashley、Belinda、Turkey
發布時間:2017.05.15

發生了什麼事 ? 


大約於 2017/5/10 開始,全球開始遭受到一波嚴重的 WanaCrypt0r 勒索軟體攻擊,世界各地陸續傳出受到 WanaCrypt0r 影響的案例,包含了英國的 NHS(National Health Service)旗下大量醫院、西班牙 Telefonica 電信公司、法國雷諾汽車等都遭受到攻擊,台灣也有不少受害案例傳出,此勒索病毒傳播速度非常的快,短短兩天內就已經影響至少 74 個國家,而台灣也在卡巴斯基的報告中被列為重災地區。

下圖為目前已知回報之被感染地區:

資料來源:MalwareInt

台灣相關受災新聞:


勒索病毒攻擊恩主公醫院 醫療推車電腦中鏢(連結
遭勒索病毒攻擊 桃園一高中生報案(連結
勒索病毒席捲內地多家高校 台灣成全球第二大重災區(連結

各地受災新聞 :


NHS hit by huge cyber attack (連結)

WanaCrypt0r 是什麼?


WanaCrypt0r 是一隻以攻擊 Windows 系統為主的勒索軟體程式,此勒索軟體結合在上個月 TheShadowBroker 駭客組織外洩的來自美國 NSA(美國國安局)攻擊武器 EternalBlue 與 DOUBLEPUSLAR。主要為感染具有漏洞之 Windows 系統,並在感染後將特定檔案進行加密,加密過後的檔案會被改為 .WNCRY 副檔名,若是受害者想要復原則需要支付 300 美金價值的 bitcoin 的贖金給攻擊者。 


所有檔案被加密成 .WNCRY 檔名,勒索金額:300 價值美金的 bitcoin,如果在三天內無支付完成,贖金將加倍成 600 價值美金的 bitcoin,超過七天未付贖金將會自動刪除解密金鑰,受害者將很難將檔案復原。

會被加密的附檔名包含:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

WanaCrypt0r 的執行流程可以參考 ENDGAME 發表的圖示:
資料來源:連結

為什麼 WanaCrypt0r 的這波攻擊會這麼嚴重?


傳統勒索軟體常使用點擊惡意連結、惡意郵件、FlashPlayer傳播方式, WanaCrypt0r 除了以上方式之外,還利用了 Windows 系統的 SMB v1 漏洞(有研究人員指出 WanaCrypt0r 可以利用已建立的 RDP Session 進行攻擊,但目前尚無證據證明)來進行蠕蟲式的主動散播,在感染一台電腦後,會主動對主機的內網 (LAN) 進行掃描,搜尋開啟 445 Port 的機器,並使用(2017/04/14 TheShadowBroker 攻擊組織外洩的)美國 NSA 攻擊程式 EternalBlue 來對掃描到的弱點機器進行滲透。
除了掃描內網外,WanaCrypt0r 還會隨機產生幾組外網的 IP 地址,針對那些 IP 地址同樣的進行掃描,若是掃到開啟的 445 Port,則會對其 IP 下的整個 /24 網段進行掃描,一發現可進行攻擊的目標就會馬上主動進行攻擊,根據分析指出,這樣的嘗試動作在植入後的一小時內都會持續進行。
在這種主動式的感染模式下,感染規模在短短幾天內就迅速擴大。

#此影片 Demo WanaCrypt0r 迅速感染內網電腦的過程:


哪些系統會受到影響 ?


目前已知受影響作業系統包含:
Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016
Windows XP
詳細影響狀況參考: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx


如果我不瀏覽網站、不點擊連結應該就不會受到攻擊了吧?


很遺憾的,你還是可能遭受攻擊!

如上述所說,本次 WanaCrypt0r 之所以能造成如此大的災難原因為勒索軟體使用了 Windows 系統的 SMB 漏洞來進行主動的蠕蟲式散播,因此只要漏洞存在系統即可受到感染,也就是說什麼都沒做躺著也能中槍(應該說中槍就是因為什麼都沒做)。

我該怎麼做才能防止被 WanaCrypt0r 感染?


- Windows Update

其實此次利用的漏洞微軟已在 2017/3/14 發佈了 MS17-010 Patch 更新程式,若是系統沒有開啟自動 Windows Update 的功能,請馬上將你的系統進行 Windows Update,建議直接由系統操作,勿隨意到網路上尋找更新包連結。(Windows XP 系統雖已停止維護,但因此事件影響範圍廣大,微軟也佛心的出了 Patch,故 XP 系統的用戶也可以上官網下載更新程式)。

請選擇”自動安裝更新”,讓系統自動去下載及更新最新版本 :

- 關閉SMB v1 :

除了進行 Windows Update,若是你沒有使用 SMB 的需求,建議也將史上已被證明漏洞百出的 SMB v1 關閉,關閉方法:

1、搜尋 Windows features 打開設定畫面,把 SMB 選項取消打勾,並重新開機。

2、打開 Windows PowerShell,並輸入「Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol」(需要管理者權限。)



不同作業系統的關閉方式不太相同,詳細方式可以參考下方連結:
https://support.microsoft.com/zh-tw/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

更新了之後我就不會被感染了嗎?


勒索軟體之所以如此猖獗主要還是由於一般使用者缺乏資安概念而有的不良使用習慣, 就算更新了系統如果使用習慣不佳不提高警覺的話還是有可能會從其他感染管道受到攻擊,建議使用者平時要養成良好的習慣不開來路不明的連結,瀏覽網站前注意網站連結是否正常,最重要的是需要要養成備份資料的習慣。

如果中了這隻 WanaCrypt0r 怎麼辦?


  1. 拔網路線&斷網
  2. 透過硬碟拔除備份
  3. 可先將被感染之電腦留著,"說不定"會有廠商釋出解法...請耐心等待奇蹟...
不過通常一般使用者發現時已經太慢了.. 只能說預防重於治療...

是否有 IOC 可以進行阻擋?


目前世界各地的資安研究人員都在努力的搜集 WanaCrypt0r 使用的中繼站架構想進行偵測或阻擋,文末我們有整理出了目前被發現的一些中繼站位置與樣本。

但請特別注意!!! 請勿阻擋 WanaCrypt0r 的 Kill-switch Domain

第一版的 WannaCrypt0r 為了防止 Sandbox 的分析(anti-analysis),在運作機制中加入一組不存在的(未被註冊的) C2 Domain 。此運作原理在於,某些 Sandbox 在分析樣本時為了讓惡意程式能持續運作,會對所有的 URL Request 產生回應, WanaCrypt0r 利用了這種特性,設計了一個隨意產生的不存在 Domain,在加密前會先對此 Domain 進行請求,當程式收到此 Domain 的回應時(表示在 Sandbox中)則不會繼續運作,借此躲避分析。簡單來說就是此 Domain 如不存在就會進行加密,存在則會停止。

而此 Kill-switch Domain 目前已被研究人員註冊(Sinkhole),也就是說此 Domain 目前為真實存在的,故舊版的 WanaCrypt0r 已經無法正常運作。若是阻擋此 Kill-switch Domain ,反而會讓勒索軟體以為 Domain 不存在而造成程式繼續運作。

另外,需特別注意,有研究人員指出 Kill-switch domains 不影響設有 Proxy 網路設定的環境,故若是企業內部有使用 Proxy 進行對外連線,勒索軟體並不會因為 Kill-switch domain 而停止。

Kill-switch Domains:[Update time: 2017.5.17]


www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergweb.com
www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com

(關於 Kill-Switch 被發現的過程與詳細解釋可參考 "場外趣事" 中該研究人員自述的內容)


更完整的資料請看:WannaCry Infos

目前戰況 : WannaCrypt V2 已出現


根據最新的消息,卡巴斯基研究員 Raiu 表示他們已經觀察到了沒有 Kill-Switch 版本的 WanaCrypt0r,但研究員指出,他們發現的此樣本為已經損毀的檔案,並且認為此新版本的 WannaCrypt0r 的作者與最初發動攻擊的原始作者不同。這個發現表示目前正有其他的網路犯罪者試圖以 WanaCrypt0r 為原形來修改初期他的變種勒索軟體,呼籲大家千萬不要對於 WanaCrypt0r 的攻擊行動掉以輕心,未來預計可能將有更多變種程式的攻擊出現。
(詳見參考資料:WannaCry Kill-Switch(ed)? It’s Not Over! WannaCry 2.0 Ransomware Arrives)

已知的中繼站:


(這些中繼站並無法阻止加密,只能用於偵測可能感染端點,且皆為 TOR domain)

gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
Xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
sqjolphimrr7jqw6.onion

188[.]166[.]23[.]127:443
193[.]23[.]244[.]244:443
2[.]3[.]69[.]209:9001
146[.]0[.]32[.]144:9001
50[.]7[.]161[.]218:9001
217.79.179[.]77
128.31.0[.]39
213.61.66[.]116
212.47.232[.]237
81.30.158[.]223
79.172.193[.]32
89.45.235[.]21
38.229.72[.]16
188.138.33[.]220

除了上述中繼站外你也可以在下方連結找到更多 IP 與 偵測 WanaCrypt0r 的 SIEM Rule。
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi

樣本 Hash:

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參考資料:


# 場外趣事:MalwareTech花 8.29 英鎊拯救世界,強迫WannaCrypt 勒索病毒中場休息
https://twitter.com/MalwareTechBlog/status/863618193583198208

# MalwareTech寫的自述經過
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

# WanaCrypt0r 程式分析
http://blog.talosintelligence.com/2017/05/wannacry.html

# Kaspersky 對於此波攻擊的報告
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

# Microsoft 對於此波攻擊的報告
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

# Freebuf 中文版程式分析
http://www.freebuf.com/articles/system/134578.html

# 程式分析佳文 (圖文好讀版)
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

# Endgame - The WCry Execution Flow
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

# WCry/WanaCry Ransomware Technical Analysis
https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis#.WRkXxlvdj5I.twitter

# WannaCry Kill-Switch(ed)? It’s Not Over! WannaCry 2.0 Ransomware Arrives
http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

2017年4月15日 星期六

【活動紀錄】HITCON GIRLS 讀書會 3rd 任意 Q&A

讀書會 3rd 即將有新成員了,在營運讀書會兩年後,我們發現願意提出問題是製造討論的第一步,也是交流的好現象,所以我們歡迎對 HITCON GIRLS 的發問,我們也會盡力解答!

00. HITCON GIRLS 相關

「有什麼辦法可以更了解 HITCON GIRLS ?」

Answer:我們有 FB 粉絲團專人回應,或者是 FB 交流區,或是近期我們會更新歷史起源跟經歷過的故事整理出來公佈在 Blog ,就敬請期待囉:)

「HG 有年齡限制嗎?」

Answer:才不會有這種東西XDDD

「加入社群後有得到什麼樣的收獲,對生活或是未來有什麼改變?」

Answer:我們曾經有成員轉職找到相關資安工作,或是在這裡確認了對資訊安全的熱情,也有人在這裡遇到研究夥伴開始設立研究目標,每個人情況都不同,不過能獲得多少東西就要看個人了 :P


01. HITCON GIRLS 籌備團

「推動 HG 上面遇到最大的阻礙是什麼?」

Answer:對內的話是答案可能是溝通、時間,每個人都有自己的經驗、主張和原則,在合作上這些都可能成為優點,也有可能成為溝通的阻礙,但是身為社群就需要大量的溝通與配合,不論是讀書會或者是籌備團上,歸類出“決策無法舉行”的情況通常可能是:時間無法搭配、沒有達成共識、規劃沒有完善。

「HITCON GIRLS 建立以來有什麼沮喪的事」

Answer:進步取捨在個人,在讀書會裡不能保證進步,只能盡力提供完整的資源和動力,但是每個人都有適合自己的讀書方式,在撞牆期往往是最讓人感到沮喪的(組長肺腑之言XD)至於籌備團的話,希望每個活動、決策都能盡善盡美,但是時間有限,往往在心有餘力不足的情況下,會讓人感到惋惜。


02. HITCON GIRLS 讀書會

「組別之分,若都有興趣,會都涉略到嗎?」

Answer:讀書會是一個自主性很高的地方,只要你有心、有毅力,全部都可以涉獵到喔!

「平常是怎麼交流的?」、「讀書會是怎麼運作的」

Answer:每個月會有一次所有組別的讀書會,輪流分享每組所研究的內容,各組內部就會有各自的讀書會時間,通常都會在交流平台上分享資料、討論。

「希望讀書會走上一條什麼樣的路」

Answer:我們無法確定未來的路,但是有個遠程的目標,希望大家可以擁有真正的技術和道德,從讀書會出發成為抬頭挺胸的資安研究員!

「讀書會有沒有固定時間?除了讀書會以外是否有額外工作?」

Answer:讀書會通常是每個月第二或第三週的星期天(第二屆的情況),會以當月要分享的組別能出席的時間為優先。讀書會也有一些設備、行政事務需要處理,但是這些都是自願制!活動的部分跟讀書會不衝突,若有辦對外的活動如 Workshop、演講等,會詢問成員幫忙的意願哦~

「需要先具備何種資訊或專業能力嗎?」

Answer:快速吸收技術文的能力吧,要先想往哪個方向,才能知道所需的先備能力。統整下來,確定自己有吸收新知的動力是最重要的,另外閱讀中英文件也是必備的唷!


03. 學習類型

「對於初學者,HG 可以提供什麼樣的協助」

Answer:關於不同領域有不同的建議,雖然我們也都是正在學習的人,建議你可以用「組別」來詢問這題,會比較好回答:)各組都會以前幾屆留下來的學習資源,通常會建議新生可以從這方面著手。

「初學者應該從哪裡下手」

Answer:一切都要從決定要做哪方面的資安研究開始哦,畢竟不同的領域用到的東西會差很多,以程式語言舉例:走 Web 就要對 PHP/Rails/Python 熟悉、逆向工程則是要會 C、組語等,不過如果說要通用的話,請務必把 Linux 學好!

「遇到挫折的時候會怎麼面對呢」

Answer:做能讓自己放鬆的事去調適心情囉~在資安研究上遇到挫折是一定且經常發生的,如果沒有足夠的毅力去面對並進步的話永遠都不會成功的。


04. 知識類型

「如何成為一名駭客」

Answer:首先要先了解駭客的定義,妳所提到的匿名者比較像是激進駭客(Hacktivist),他們主要是為了表達抗議而入侵電腦網路和系統,出發點是政治動機而非金錢。白帽的話,除了攻防技術也要了解並善用回報問題的管道!

「若樣本消失,無法使用防毒/掃毒軟體偵測出來,有什麼方法?」

Answer:首先收集資訊、觀察是很重要的基本功,有可能蛛絲馬跡就在疏忽下溜走了,再來是判斷狀況,惡意程式有些會在執行完後消失行蹤,不外乎就是將自己刪除,此時就可以使用 Memory Dunp 技術,由於正在執行的程式勢必會被 Load 進 Memory ,在觸發、消失的過程中將此段 Memory Dump 下來分析,說不定就能發現樣本的蛛絲馬跡了~





希望有回答到妳/你的問題,也歡迎此處留言、找 FB 粉絲團留言,或提出新問題,要是想針對不夠清楚的部分繼續發問也沒問題喲!

2017年4月12日 星期三

【演講】逃避可恥還沒有用- 你不可不知的物聯網安全問題與挑戰

主講者:Ashley Shen & Belinda Lai

從智慧手機、穿戴裝置、智慧居家到智慧城市,近年來物聯網 (Internet of Things, IoT) 無庸置疑已經變成了科技業最火紅的名詞之一。根據 CISCO 預測,2020 年全球將會有 500 億個裝置連網,然而,在這股排山倒海而來的物聯網潮流下,你是否忽略了存在其中的資安威脅呢?
本議程內容將帶大家瞭解物聯網的架構、以及物聯網對於個人、企業與國家的安全存在的威脅是什麼?我們將從 2016 年發生的重大資安事件中來探討物聯網被攻擊的層面與其造成的影響。隨著物聯網逐漸廣泛,駭客的攻擊目標已經逐漸擴大到了我們身邊的各種裝置,物聯網安全與你我息息相關,逃避不只可恥還沒有用,一起來瞭解你不可不知的物聯網安全吧。
轉載自 iThome 台灣資安大會
https://cyber.ithome.com.tw/2017/agenda