[撰文/Leaf]
嗨各位好啊!距離上次發文好像有一段時日了,這段期間因緣際會看了這部電影,我就在想,似乎要替這部電影平反,電影評論區的某些人對這部電影的感想就是……
因為他們覺得整部電影的劇情就是天方夜譚,有許多地方根本不合理,用術語來講就是讓他們"出戲"了,踏入資安領域的我,非但沒有感到出戲,反而有些沉浸過頭,有些感到後怕,是不是有些浮誇過頭了呢?到底是在可怕什麼???
這部電影不是恐怖片啦,所以各位看官不要緊張,但是就像一般災難片或寫實電影一樣,未來是有無限的可能,任何人也不會知道這種事情到底有沒有可能發生,甚至它發生的機率有到底多高,就像是前一陣子關於史諾登事件的電影,有興趣的人可以先Google一下,過些時日會列入撰寫目標。
我要介紹的這部電影,到底演了些什麼,竟讓人如此後怕呢?讓我們繼續看下去...
前情提要:正當美國還在搖著第一強國的大旗,肆意妄為地自認誰也對他們無可奈何,一雙魔爪早已悄悄地潛伏在美國各個角落,就等待著將強國的咽喉掐在掌心中。 這一天來臨了,一瞬間美國各處所有電力產品紛紛停止運轉,五千多...
More
2019亞洲黑帽安全技術大會
「Blackhat黑帽駭客」與「ISDA白帽菁英」的一場邂逅,網路安全是我們共通的語言
會議名稱:Blackhat Asia 2019 (2019亞洲黑帽安全技術大會)
會議日期:2019-03-26 ~ 2019-03-29
會議地點:Marina Bay Sands/Singapore (新加坡濱海灣金沙會展中心)
※ 如何取得 Blackhat Asia ft. ISDA 專屬折扣碼 ※
Blackhat ASIA – 為亞洲量身訂做議題 跨多國講者 最新技術與議題Blackhat Asia為網路安全(Cyber Security)專業會議暨展會,提供最新資安教育訓練、產業趨勢論壇暨產品,吸引多國政府機構、企業資安人員、系統整合代理商、經銷商等專業人員與會。Ø 為亞洲資安發展量身訂做專業議題,邀集”亞洲區資安委員會”,收集最新議題技術Ø 新加坡為國際政治中立國家,順利邀集歐、美、中東、中國等重要講者。Ø 亞洲市場資安...
More
隱藏在細節的駭客彩蛋 – 氣象戰Geostorm
[撰文/Leaf]
前情提要:氣象變遷劇烈,無人能倖免於難,氣溫驟升,颶風、海洋宛如野獸般朝著城市狂擁而來,失去了城鎮、良田,就在人類幾乎快滅亡之際,人們開始團結一心,在美國的帶領下,終於找到了如何抵禦氣候的方法,並發明了荷蘭男孩來控制氣候,偉大的研究始終遮掩邪惡的陰影,背後蘊藏著足以毀天滅地的陰謀,在緩緩萌芽中...
哈囉大家好!最近我們才剛辦完一場「白帽菁英萌芽計劃」,藉由Wargame的方式來推廣資安教育,讓學員從中學習駭客技術,確實...學習駭客技術這的確是一個很好的方式,但一定得跟現實連結,要一步一步引導,而這也是我們ISDA一直堅持的。
這次的看電影學資安比較特別,找了CSI Cyber以外的電影來撰寫,只要片中有資安橋段我們都可以拿來討論和學習,當然如果有人想看我們寫哪部電影的資安情節,非常歡迎你告訴我們。
那我們開始來看看,氣象戰中有哪些資安情節,以及資訊人才會注意到的彩蛋吧,Let's get it!
1.網路連線背後的原理
在香港經歷了一場地下天然氣管連環爆炸事件後,麥斯發現他竟...
More
白帽菁英巡迴計畫下半年的行程表出來了!!!
這次我們將會來到嘉義(仁義湖岸大酒店)、南投(南開科技大學)、花蓮(東華大學),請有興趣的朋友們踴躍報名參加。有任何最新的消息我們也會張貼於ISDA臉書專頁 (https://www.facebook.com/ISDA.tw/) 上喔!
白帽菁英計畫是一個由趨勢科技贊助的資訊安全教育計畫,已推動第三年。計畫宗旨是透過WarGame及講師搭配助教的模式,讓一般初學者也有機會接觸資訊安全,了解其中的奧秘。在活動的過程中有任何問題,都會有專業的助教給予直接的幫助,並且除教學外,我們也將提供學員們資訊安全諮詢及對於未來方向發展之建議。
更重要的是:這個活動針對學生、學生家長、教育人士完全免費!
更重要的是:這個活動針對學生、學生家長、教育人士完全免費!
更重要的是:這個活動針對學生、學生家長、教育人士完全免費!
很重要所以說三次
希望大家可以把握這次機會,並且可以的話幫我們把這個訊息分享出去。
活動資訊頁面:https://reg.isda.org.tw
PS. 此次特別感謝長榮大學資工系於嘉義地區的大力協助與支持
More
廣告?假的!眼睛業障重 – CSI Cyber S01E10
[撰文/Leaf]
前情提要:
故事發生在俄亥俄州的一間小咖啡店,一位中年男子買完咖啡過馬路時,神智開始有點不清,霎那間被急駛而過的車子撞上。警方調查後發現,死者在醫療網站購買到偽藥,同時網站上也發現被嵌入了假廣告,這些疑點讓FBI推測,某個犯罪組織利用惡意廣告,讓民眾點擊進入釣魚網站購買他們製造的偽藥。
哈囉!大家好...首先小編在這裡先跟大家道歉,過那麼久時間才將這篇文章生出來,這段時間我在幹嘛呢?
CSI Cyber影片中的確有許多地方為了劇情和張力,填充了大量的戲劇效果,有些科技...小弟我真的孤陋寡聞沒有看過,不過影片中這個先進技術我可是常常看到。
......在鋼鐵人系列電影中XD
(圖/鋼鐵人)
撇開這些電影效果來看,裡頭還是有許多技術細節和情境值得學習及思考,挺有趣的!
大家聽過ClickJacking(點擊劫持)嗎?我先帶大家了解一下瀏覽器的原理吧!
1. 探索網頁的嬰兒模樣
首先網頁架構分為前端跟後端,瀏覽器能看到的地方就叫前端,負責將後端程式傳過來的網頁原始碼,形成漂亮華麗的介面,大家可以按右鍵點選...
More
我只是充電,就被入侵了 – CSI Cyber S01E09
[撰文 Leaf]
準備過年圍爐了,大家應該都準備好好放鬆了吧!過年期間,放鬆之餘看個電影學個資安,病毒、網路釣魚、木馬再猖獗,我也不怕。
(圖/倚天屠龍記)
本篇將會跳過第八集,有看過的人應該會明白我為啥會跳過吧XD不過影片內容還是非常值得警惕的,畢竟現在各種社群網站、打卡拍照,自身的位置很輕易的被有意圖謀的歹徒得知。
(圖/網路)
除此之外,手機擁有的定位服務及網路,如果有心人想藉此監控一個人的位置,也是有辦法辦到的,至於要如何做,就等到下次影片有相關內容再來跟大家介紹XD
接下來就進入正題吧!這次的資安專有名詞是「Juice-Jacking」,中文名叫充電陷阱,看起來蠻有趣的名字,但實際上是很危險的。
1. 披著羊皮的充電站
資訊安全的危害有很大一部分發生於使用者的疏忽跟不了解,除了影片中的Juice-Jacking,還有各種釣魚手法也是類似的原理。這種被動式攻擊,利用人類僥倖及無知的心理,當有人把手機插上惡意的充電站時,他們的資料悄悄地就被盜了。
始作俑者就是充電站背後的設備,有可能是一台電腦,也有可能是如明信片大小一般...
More
打我呀笨蛋,反正你打回去也打不通 – CSI Cyber S01E07
[撰文 Leaf]
哈囉大家好!有人被詐騙集團騷擾過嗎?我們這集要教大家怎麼當一個合格的詐騙集團xD
(圖/網路)
當然是假的啊...
這集的重點在於電子詐欺,那就讓我們直接來看看影片中有哪些資安點和詐欺手法吧:
1. 眼睛業障重,電話號碼也是假的?!
有接過詐騙電話的經驗嗎?小編就接過類似下面的電話號碼,打回去根本打不通,見鬼了!這到底是怎麼回事?
(圖/0931181940騙1168次!「10大詐騙電話號碼」封鎖了沒?)
提到詐騙電話就一定要先了解的專業技術 - VoIP,它是一種網際網路的語音通話技術,也就是大家常講的網路電話啦!以下將介紹下方VoIP架構圖中的各個組件。
(圖/架設SIP Proxy打造免費專屬VoIP系統- 專題報導- 網管人NetAdmin)
Voice Gateway
它是網路與傳統電話系統(也就是圖中的PSTN)的一道橋樑,負責網路語音訊號與傳統電話語音訊號之間的轉換。
SIP Proxy
SIP Proxy的作用是管理下面所有網路電話,然後紀錄這些設備電話號碼跟IP位址,當對方撥打電話時,就透過...
More
全部都自動,到處都是洞 – CSI Cyber S01E06
[撰文 Siao Ha/Leaf]
哈囉大家好!相信大家在近幾年,不斷地在各種報章雜誌新聞媒體上都有看過IoT這個詞,也必定對於物聯網這詞彙並不陌生,但大家真的都清楚IoT到底是什麼嗎?而在IoT崛起的世代,對於資訊安全又是怎樣的一個衝擊呢?首先我們先來聊聊什麼是物聯網好了!(如果你已經對物聯網十分了解請1.5倍跳過)
講到”物聯網”,一定要提到的一個的東西就是”互聯網”,還記得曾經小編跟一個朋友聊到物聯網的時候,他很開心的說:「喔!你說那個互聯網喔!」,小編一整個表情比原味內褲還原汁原味的呈現給大家看。
在這邊簡單為大家介紹一下,其實以上兩個聽起來貌似好像感覺很厲害,但是變回英文後就其實也沒什麼。
<互聯網-Internet>
簡單來說就是網路跟網路串起來的網路,對啦就是網路!互聯網的重要性其實除了訊息即時共享以外,最重要的大概就是它的興盛已經完全顛覆了很多傳統的商業模式。
<物聯網-Internet of Things> (IoT的o是小寫該不會是因為這樣吧XD)
物聯網就是物物相連的網路,把所有物品通過互聯網連接起來,...
More
抓到炸彈魔了 – CSI Cyber S01E05
[撰文 Leaf]
哈囉大家好!又到了令人期待的看電影學資安了,每一集我們都會帶給大家不同的新知識和驚喜,希望大家會喜歡。
這次影片的專業名詞叫眾包。
有時候自己都會覺得學習資安是一件非常有趣的事情,各種攻擊方式和專業名詞,就好像是在上演武俠連續劇一般,光聽招數的名字就一整個熱血沸騰啊!
但是...眾包?我只聽過草包跟肉包耶!阿不好意思,原來是小編肚子餓了...
但這並非只有在資安才能看到的專業名詞(在這之前我甚至連聽都沒聽過QQ),這邊要跟大家介紹另一個很相似的資安小知識,叫「邏輯炸彈」。這種髒東西通常隱身於正常程式當中,當某些條件或情況發生時,才會被觸發來對目標發動攻擊。
譬如原本一個普通的小程式,到了某年某月某日某時某分時,突然就把電腦內重要資料全部刪除乾淨,據不負責任的謠言指出,這種東西似乎常現身於公司中xDDD
接下來我們來看看影片中有哪些有趣的資安點吧:
1.藍芽 + 炸彈 = BlueBorne?
劇情一開始就在電影院發生了一則爆炸事件,兇手利用平板來連接周遭民眾的手...
More
逆向AIS3的奧秘 pre-exam reverse 1
[撰文 Leaf]
感謝ISDA協會裡的樂大,除了AIS3課程教導的解題辦法之外,我們討論出了另外一種解法,藉此機會來跟大家介紹逆向工程實際操作。
題目
題目是這樣的,一打開是這樣一個視窗,開啟的過程中做了什麼事我不曉得,在畫面上點一下,跑出了Please don't click me!,如果之後再點一下整個視窗就會關閉。
看到I've printed out the flag這段,我有幾個想法:
1.是在開玩笑嗎?看不到半點東西!
2.可能是字串print出來了,只是被顏色擋住了。
想法就是分析的開始,如果是這種可能,那搜尋binary的字串應該就有解了,當然事實上沒這麼簡單,在字串堆中找不到半點可能性。
那接下來要做什麼事呢?如果只是單看執行畫面,是一輩子也看不出來的,那只能透過反組譯來分析程式的執行流程及可疑的地方,這也是逆向的目標所在。
發現一個可疑的東西:_print_flag的函式,點擊IDA-View中左邊函式視窗中的_print_flag。
如果看不懂組語沒...
More