「2020 IDB X HITCON 漏洞挖掘競賽」首次以未上市產品為標的 透過白帽駭客協防 消弭潛在資安漏洞

由台灣駭客協會所主辦HITCON2020活動,今年特別與經濟部工業局聯合舉行漏洞挖掘競賽(Bug Bounty Challenge),本次競賽創下國內以廠商未上市物聯網產品為標的之創舉,借重資安社群白帽駭客技術能力與思維,挖掘出各種潛在的漏洞,在漏洞被犯罪份子利用之前,透過資安攻防場域進行滲透測試,檢視物聯網設備、應用系統之資訊安全等級和防護能力,以強化產品安全性,並提供選手實際練兵的機會,藉此培育產品漏洞檢測人才。本次競賽參與產品以行動支付與聯網設備( Router、IP Cam )為主,在各團隊挖掘出漏洞並向評審陳述漏洞發現手法後,由「H1dra Security Team 」與「夜梟x鴿鴿x與牠們的飼料」分別奪得聯網設備組與行動支付組冠軍,各獲得新台幣5萬元獎金。由團隊挖掘出的漏洞,亦同時提供國內參與業者進行漏洞修補。

 

工研院王子夏博士表示,台灣常見的資安漏洞以無效的存取控管與跨網站指令碼(XSS)攻擊為大宗,所以先前漏洞挖掘競賽以網路攻擊為主。但有鑑於近來萬物皆可駭,愈來愈多聯網產品成為攻擊目標,所以主辦單位首次以設備端為標的進行漏洞挖掘競賽。本次競賽由廠商提供8項產品參與測試,經由選手的努力測試,共計找出60 個漏洞,已通報企業進行修補。

 

對於這次競賽的團隊,HITCON CTF 領隊暨CTF競賽負責人,同時也是評審之一的李倫銓表示:「這次參賽的團隊皆擁有厚實的技術實力,有許多令人眼睛為之一亮的論述與發現。這是台灣近年來培育資安人才的成果,彌足珍貴。但在籌備的過程中,我們也明顯感受到人才斷層的危機,缺乏具吸引力的獎勵機制、人口負成長等等,皆是必須積極面對的問題,才能讓之前累積的資安能量持續升溫。」

 

由於近年來金融科技 Fintech 的發展迅速,行動商務及電子支付提供較傳統支付更快速便捷。但如何兼顧便捷與交易安全,是電子支付產業所要面對的嚴肅課題。不論是資料安全、交易安全、或是行動裝置安全等面向,企業均須在便利與安全間權衡取捨,建立並維護完善的風險管理機制。而隨著5G與物聯網的持續升溫,帶動資安威脅模式的演變,許多物聯網裝置可能直接利用網路,連線到伺服器,而繞過現有的層層防護,在無意間成為攻擊目標。對企業來說,產品的推陳出新固然重要,但加速落實物聯網隱私與消弭潛在安全漏洞亦刻不容緩。

 

許多跨國企業為了讓產品及本身的服務更安全,透過漏洞回報獎勵計畫(Bug Bounty),希望藉由全球的白帽駭客一起協助,找出系統未知的漏洞或弱點,減少遭受駭客攻擊的機會。工研院提出的2020年資通訊安全全球發展趨勢中指出「白帽駭客協防」亦是其中重要的一環,可預見未來利用外部資源的漏洞舉報,減少網路犯罪與資料洩漏與盜竊的機會,已成為廠商強化產品安全的重要工作。台灣駭客協會所屬的HITCON ZeroDay 漏洞通報平台,提供資安專家通報組織漏洞,營運至今已協助全臺數百家企業執行逾千件的漏洞通報與修復,有效降低產品發生資安風險的內部成本。李倫銓表示:「打造台灣資安漏洞通報生態圈,必須先建立企業與社群通報者之間的互信機制。藉由透明暢通的管道,讓社群協助企業盡快修補不足,不僅能降低漏洞帶來的傷害,還能形塑企業『重視資安』的形象,讓社群樂於貢獻,是企業化危機為轉機,促成正向資安環境發展的契機。」