iThome報導【頂尖駭客攻防交流，培養多元防護新觀點】

2018/01/05

根據統計，駭客喜歡挑重大節日來行動，面對難以預測且層出不窮的資安事件，雲力橘子舉辦Merry Hackmas 2017資安社群論壇，透過交流分享、相互精進彼此的資安防護能力。

時序進入年末，聖誕節、新年等重大節慶接連不斷，而這些盛大的節慶不僅對許多人充滿意義，對駭客而言也是一個發動攻擊的好時機，要如何享受佳節免受駭客侵擾，就得了解駭客的入侵手法，進一步建立有效的防護機制。

為了幫助資安同好不斷更新最新情報，雲力橘子固定每季舉辦資訊安全交流社群活動，邀請許多如白帽駭客、資安業者等重量級講師，定期為大家分享多元資安攻防的相關資料，本次Merry Hackmas 2017資安社群論壇於遊戲橘子的品牌博物館中舉辦，為大家帶來了資安創業心路歷程、企業資安合作計畫，以及黑帽搜尋技術解析等精彩內容分享，讓與會來賓的安全知識滿載而歸。

以蛛絲馬跡還原入侵始末，修補防護拒絕駭客再光臨

根據羅卡交換定理：「凡兩個物體接觸，必會產生轉移現象」，這個應用在犯罪現場調查的觀念同樣也適用於資安事件，也是資訊安全工作很重要的一環，當發生資安事件要亡羊補牢的重要關鍵，就是透過資安鑑識還原入侵始末，找出受影響的設備與檔案，同時修補駭客入侵的漏洞。之前任職於法務部調查局電腦犯罪科擔任專業顧問的Jack Chou指出，資安事件回應(Incident Response，IR)就是要盡可能找出這些蛛絲馬跡，例如調查電腦在資安事件時有無異常行為，例如CPU、網路頻寬使用量特別高，或是在Log紀錄中可追查出駭客行動的軌跡。

「網站受到駭客入侵的調查方式，就是透過駭客的攻擊思維，整理出入侵點、跳板、目標主機等網站依序被打的過程，若有Log或相關紀錄等，越詳細的資料越有助於還原始末、以利後續將漏洞順利補強。」Jack Chou在會中分享許多實際案例，表示有許多企業或機關的網站依然會遭到許多陳年手法攻陷，特別是關鍵學術、國安，以及外交等擁有珍貴資訊的單位，應該適時跟上、不斷修補，才能有效阻絕入侵行動。

避免破壞資安現場，有助提升安全防護新價值

談到資安鑑識，同樣在IR領域經驗豐富的艾克索夫實驗室創辦人Birdman亦在會中透過案例分享，表示白名單在資安鑑識流程的重要性，因多數鑑識系統會跳過白名單的審核機制，而過去的案例就曾發現惡意軟體偽造知名軟體業者的數位簽章，藉此企圖欺瞞防護系統，增加反查難度。「若結合機器學習技術與資安經驗來建立模型，就能強化鑑識效率與效果，也能降低人員分析誤判的可能。」

在案例分享時，Birdman表示企業或機關的IT人員經常會因為主機遭到攻擊後，因擔心懲處並想快速恢復電腦運作時，會將電腦格式化、重灌，但這樣反而破壞駭客的足跡、不利後續防護，最好能將機器離線、原封不動才有助於鑑識工作分析，真正解決資安事件的問題癥結。

本次研討會上，除了有豐富的技術與案例分享外，Birdman也介紹了自身精彩的創業歷程，包含創業後被美國前20大企業相中、收購，並在資安重鎮以色列任職的成功故事，藉此鼓勵大家精進自己的資安攻防能力，並透過技術、創新的方式來提升自己的價值。「與國際上其他資安業者相較，台灣對中國端的攻擊防護手法更加熟悉，向全球行銷技術時也是個很好的切入點。」

建立獎金制度，結眾人之力固強資安防護網

「擔任白帽駭客除了能幫助企業健全資安環境，透過Bug Bounty的獎金制度也能有實質上的補貼，是許多資安好手一展長才的地方。」資安研究員Orange分享自己擔任白帽駭客的經驗，指出Bug Bounty獎金制度相對於任意攻擊他人網站，或是竊取資料圖利等方式更加穩定，而且也能幫助許多企業，同時獲得他們的肯定，且在Bug Bounty社群也有很多攻防資源可以參考，對於有志於安全防護的高手是個很棒的管道。

站在企業的角度，加入Bug Bounty計畫，不僅有助於提升內部的資安品質，也能強化安全的公信力，就好比第三方機構認證一般，效益也是非常可觀。Orange以FB、Google等大型企業為例，點出這種有龐大資安團隊的頂級企業，也是經常被發掘出各種資安缺陷，代表著資安防護的複雜與多樣化，必須仰賴大家集思廣益，用不同的角度來檢驗網站，才能讓資訊安全的品質不斷進化。「企業面對網站漏洞被找到時的心態應該更開放，畢竟白帽駭客的善意告知相較惡意駭客的竊取行動損失更少，大家應共同合作才能讓防護效益持續提升。」

洞悉惡意SEO手法，確保網站閱覽正常化

搜尋引擎是大家前往各種網站的主要工具，為了讓自己的網站能曝光，搜尋引擎優化技術SEO也就應運而生。專研SEO技術的AZ郭璟塘指出，SEO的正當手法是利用內容、關鍵字連結強化等方式逐漸提升網站的加權排名，但有些網站會以作弊、惡意操作等方式來影響搜尋引擎的結果，這就屬於黑帽SEO手法，這和黑帽駭客是不相同的，但的確有許多黑帽SEO會利用黑帽駭客的手段來達成目標。

「採用黑帽SEO手法的網站，若發現是違法行為來影響結果，將會被搜尋引擎永久剔除。」AZ指出，常見的黑帽SEO技巧，包含透過綁架主機來提升點閱率，或綁架高權值的網站來提升自己的排名；也有些網站是以鏡像技巧竊取別人的內容，讓點閱率匯集到自身網站上；另外，也有竄改網頁內容，讓搜尋引擎將惡意植入的廣告內容呈現在快取資料中的手法，這些都會對正當經營的網站帶來許多影響，也是網管人員要多留意的部分。「有些點閱劫持只針對海外 IP下手，黑帽 SEO 會讓台灣連線存取正常的內容，因此網管人員以台灣IP登入查閱時就難以發現異常，若能了解這些惡意手法，也有助於自家網站營運正常。」

享受便捷網路生活，又要避免駭客來搗亂，就要仰賴大家培養充足的資安知識，會場當天講師分享的案例中，不僅有的讓大家驚呼連連的精采，也有令人莞爾的趣事，誠如本屆講師Orange提到的團隊合作與多元分享，是提升防護能力的不二法門，而這也是雲力橘子舉辦交流活動的目標，也歡迎各界資安好手、學校師生共襄盛舉，透過專業的資訊流通，一起打造友善安全的網路生活環境。

報導連結: https://www.ithome.com.tw/pr/120156