失衡的數位軍火發展

1. 面對不可預期，您一定
要知道的秘密
李倫銓
HITCON CTF 領隊
失衡的數位軍火發展

2. • HITCON CTF領隊與競賽負責人
• 交大資工所，台大電機博士候選人，目前任職聯
發科技IT部門。
• 專長：網路安全相關技術、惡意程式與流量分
析、雲端服務規劃與研究。

5. 2014年
2015年
~至7月
25個
15個
最近兩年好像常聽到 0day ?
你沒有搞錯，真的比以前多
Data from Secunia
2013年 14個
??個，預計會超過2014

6. 第一個故事

7. 從前,從前，有一群善良的駭客，
他們都是專研技術的好孩子

8. 有一天，他們發現了漏洞，他們寫了信
好孩子A: 「你好，我發現xxx上面有yyy問題
喔，我覺得這問題蠻嚴重的，可以竄改金
額，提醒您們一下，不然影響很多用戶」
- (企業服務漏洞)
好孩子B: 「您好，學校留言板的管理頁面有SQL
injection耶」
-(學校系統漏洞)
好孩子C: 「這個遊戲server side沒有做好檢
查，完全相信用戶端送過來的資訊這樣不對
吧? 」
-(遊戲外掛漏洞)

9. 「先生，就是你改的吧? 」
「我們是遊戲代理商，你
的問題我只能轉給原廠問
問」
「你沒事幹嘛亂Try啊? 」
知識不對稱

11. 下次你自己收起來就好了!
所以，這會形成什麼後果??

12. 是誰讓一個原本可以成為白帽
駭客的孩子，變成真正的黑
客 ?

13. 沒有獎金，為什麼要回報?
回報又不理
如果可以賣呢?

14. 第二個故事

15. Hacking Team 遭駭：
洩漏超過 400 GB 資料，包含客戶名單、
核武級 Exploit 應用及後門技術。

16. • 以前調查犯罪，用實體線路掛線監聽
• 現在智慧型手機和APP流行，該怎麼做?
– RCS (Remote Control System)

17. RCS (Remote Control System)

18. 該怎麼植入?
• 靠0day啊!!!
• 你能想像Android瀏覽一個網頁就種後門嗎?
這真的不是什麼匪夷所思的事情，而是非常多!
– 天才駭客Geohot的Towelroot計畫一鍵通殺2014年
6月以前的android手機
-----用的都是0day!

19. 出來混，遲早是要還的。

20. Stuxnet讓公眾知道: 「原來真有這種事」
而Hacking team事件讓大家知道: 「原來這種事都當正
經買賣幹了!」
Snowden讓大家知道: 「靠!原來這種事這麼多! 」
某知名駭客給了個評論

21. 從 HACKING TEAM、
BOUNTY PROGRAM、
PWN2OWN
談失衡的數位軍火發展

22. Bounty Program
HackerOne offers a platform to give companies an organized
way to set up bug tracking programs.

23. Pwn2Own
• Pwn2Own (OS, Browser…)

24. 黑產

25. • 『撞庫』，起因為用戶習慣不良，在不同網站使用相同帳密，黑客若打下其中一
個網站資料庫(稱作『拖庫』)，拿這些帳密至其他網站嘗試登入，往往有部分能
成功登入。
• 黑產經濟鏈中，黑客透過『拖庫』取得用戶帳密，透過『撞庫』來擴大範圍，最
後通過一連串的手段和黑色產業鏈將有價值的用戶帳戶變現，則稱為『洗庫』
撞庫、脫庫、洗庫

26. 大量收購日本肉雞
大量收購台灣網遊帳密

27. 遊戲外掛產業鏈
外掛寫手
工作室
$50,000
打怪、賺錢、經驗值
虛擬貨幣、寶物
拍賣網站交易
$5,000
$8,000
$1,0000
獲利約數百萬

28. 開賣場簡訊認證? 完全沒問題
• 大量代接台灣簡訊驗證碼
• 台灣收貨地址
• 奇摩

29. 直接上台灣論壇徵求電話解鎖。不用駭客，
你家小朋友也會出賣自己的電話號碼
手機認證? 也 完全沒問題

30. 客製化工具
視功能由數百美元至數萬美元不等

31. 雇用境外駭客進行網站入侵
依難易度由數萬至數十萬台幣不等

32. HACKING TEAM 行情

33. 蘇丹政府購買 Hacking Team 監控系統收據
預付款（50%）即高達 48 萬歐元，相當1666萬台幣

34. 衣索比亞政府購買 Hacking Team 監控服務收據
軟硬體總金額高達 100 萬歐元，相當於
台幣3472萬台幣
購買漏洞成本僅利潤的 1/10

35. 漏洞收購
Pwn2Own
原廠漏洞獎金
0
10000 20000 30000 40000 50000 60000
70000
80000
90000
100000
產值

36. 原廠獎金制度
程式設計師
的理解範疇
駭客的
知識
不
對
稱
的
安
全
知
識
• 黑產
• 合法漏洞收購
不
對
稱
的
產
業
價
值
您該如何面對
這些威脅?

37. 面
對
他
接
受
他
處
理
他
放
下
他

38. 如果做不到給金錢，至少能有順暢的通報管
道和獎勵機制
多少讓這樣的孩子的研究能量，不要流到黑
色產業去，否則不管你怎麼加班修補，怎麼
累死安全工程師，都是永遠追不完的。

39. 每個企業或原廠，都應該有
一個Bounty Program制度

40. 雅虎自從送T-shirt被酸之後(原本沒有制度，因此收
到bug回報的同仁好心送了一件Tshirt)
開始重視bug bounty，至2015已經付出1百萬美金

42. 美國聯邦貿易委員會(FTC)藉美國最大駭客會議DEF
CON舉辦競賽尋求解決惱人的廣告語音電話問題

43. HITCON Hack2Own 競賽

44. 建立企業漏洞回報機制或獎
勵制度，不僅是救自己的系
統，更是保護用戶，
您們正在提升層次，
可以從源頭來解決問題

45. 面對不可預期技術細節
剩下的就來HITCON 研討會聽吧