CTF (Capture the Flag) 是一種學習攻擊與防禦的駭客競賽,CTF 賽制分為 Jeopardy 、 Attack & Defense 及 King of Hill 三種,參賽隊伍依據競賽規則,利用各種駭客技術力,藉由解密或漏洞利用方式取得隱藏的 Flag。 2014 年起我們針對業界的資安從業人員、主管、資安廠商與政府單位舉辦了廣為人知的企業場 HITCON Enterprise ,議題著重於資安政策、資安趨勢發展、國家人才培育議題及企業之相互交流學習,驚豔四座,佳評如潮。 為促進社群力量的傳承,大會也特別設立社群專屬議程,鼓勵各社群站上 HITCON 舞台展現研究成果及推廣自身精神,讓 HITCON 不僅是 HITCON,而是一場全民的資安盛會。 本次演講邀請到台灣多位頂尖資安專家,現場展示 OpenSSL HeartBleed 破壞力,並提供各大廠牌正確修補方式。
近年來關鍵基礎設施領域 (煉油、電力及智慧製造等) 的資安事件層出不窮,世界各國的關鍵基礎設施均有遭受攻擊的案例。 然而大多的關鍵基礎設施中使用著工業控制系統維運著各項基礎設施的運行,因此其資安問題也日漸受到重視。 然而工業控制系統與資訊安全從業人員的背景知識存在著相當大的隔閡,往往工控領域從業人員不懂資安,而資安從業人員對工控領域也一竅不通。 王仁甫研究員自2006年起投入資安政策與科技前瞻研究、駭客行為研究、行動安全研究、雲安全研究及主動式資安防禦等研究,以協助政府調查資安產業與指標、草擬資安白皮書及資安即國安戰略等重要規劃,並致力推動資安產業發展及推廣駭客資安活動,於2020年起接任資訊工業策進會資安科技研究所總監。 從資安歷史上來看,軟體元件置換攻擊已經不是新鮮事,透過這場分享,資安專家將面對面與您一同探討此次入侵事件的始末與技術分析,以及企業與政府單位到底要如何對付這種有正式數位簽章的"合法"軟體的安全性。 今年為讓來參加 HITCON 2011 的會眾更顯活潑,特別舉辦駭客創意變裝大賽,會眾可以藉此機會展現心目中駭客的形象。
台灣駭客協會: HITCON PEACE 2022 台灣駭客年會
發票開立及領取方式: 本活動將由社團法人台灣駭客協會開立發票 ,需統一編號者請務必填寫統編等資訊,發票統一於學員報到時提供。 HITCON 台灣駭客協會 持續致力於辦理高品質的資訊安全與駭客技術研討會,十多年來邀請無數來自國內與國際專家,走在世界的前端,掌握資訊安全的脈動。 HITCON Community 不僅是國內最具含量的純技術資安研討會,更是一場多元豐富的嘉年華會,除了精彩絕倫的技術議程外,亦規劃一系列資安相關活動,使每一位對資安有興趣的朋友,無論是專家駭客或入門者,都得以在這場盛會中有所收穫、盡興而歸。
金管會保險局副局長林志憲指出,產險公司資安險保費收入從2018年8,908萬元,穩定成長至2022年的4.02億元,顯示近年企業透過資安險移轉資安風險意識提高。 金管會指出,除了針對大型企業資安需求提供的客製化保單,產險業者近年也推出3類險種較適合中小企業投保的險種,讓資安保險投保門檻降低,分別是資訊系統不法行為險、資料保護責任險、資訊安全綜合險。 無論是提升權限、建立遠端存取的管道,或是在受害組織的內部網路進行橫向移動,這些駭客大部分都利用Windows作業系統內建元件來進行,使得資安人員難以察覺異狀。 本課程將由攻擊者角度出發,由淺入深介紹過去常用的 Web 攻擊概念以及近年新興的進階利用手法,包含前端、後端以及架構層面的攻擊技巧以及對應防禦方式。 並於課程章節中,帶入講者自身在 CTF, Bug Bounty, 滲透測試中數年的實戰經驗以及奇技淫巧,輔以精心設計的練習題, 讓學員能快速掌握這幾年 Web Security 的趨勢,期盼學員在聽完本課程後,能夠有所收穫。
台灣駭客協會: CYBERSEC 2021 臺灣資安大會
國家政府投入的資源、企業的心態轉換、教育的縝密規劃、社群的蓬勃發展,都代表著台灣資安邁向進步的過程。 台灣駭客年會(Hacks In Taiwan 台灣駭客協會 Conference, HITCON)於 2005 年起成立,期間除舉辦每年一度的研討會外,亦成立「社團法人台灣駭客協會」(HIT),希望能替臺灣的資訊安全盡一份心力。 自第一屆開始加入 HITCON,並積極參與並籌組各種社群,深信凝聚社群的力量可以改變台灣。 目前擔任台灣駭客協會 (HIT) 理事長、戴夫寇爾 DEVCORE 執行長,曾任 HITCON Community 總召、HITCON ZeroDay 負責人。 微軟在官網發文說,他們觀察到的活動顯示「發出威脅的駭客打算進行間諜活動,並盡可能長期保持對(台灣)各種機構的存取權限」。
我們期待以駭客的力量幫助社會、改變台灣,而安全的達成並非一蹴可及,需要長時間不斷的奮鬥及改革,透過各項計畫能夠把真正的駭客精神帶給所有人,是我們的核心價值,也是不變的目標。 8月24日金融監督管理委員會公布2022年企業投保資安保險的情況,全年投保件數累計達到604件,較去年增加6.15%;簽章保費達到4.02億元,年增68.96%,無論簽單保費或投保件數,皆創下統計新高。 而對於今年上半的部分,簽單保費為2.05億元,較去年同期增加36.67%,金管會認為,若下半年維持上半年的投保意願,今年有望再創資安險簽單保費新紀錄。 Kroll也在8月25日發出聲明證實此事,並指出是19日有人對其中一名員工的T-Mobile帳號發動攻擊所致,導致該電信業者依照這位假裝是用戶本人的駭客指示,將該手機門號移轉到駭客名下,過程中並未獲得員工的授權。 駭客疑似藉此存取部分BlockFi、FTX、Genesis債權人的資料,該公司已針對3個受到影響的帳號採取保護行動,並寄送電子郵件通知受影響的人士。
台灣駭客協會: 什麼是 CTF 駭客競賽?
第 三十二 條 本會每年於會計年度開始前二個月由理事會編造年度工作計畫、收支預算表、員工待遇表,提會員大會通過(會員大會因故未能如期召開者,先提理監事聯席會議通過),於會計年度開始前報主管機關核備。 並於會計年度終了後二個月內由理事會編造年度工作報告、收支決算表、現金出納表、資產負債表、財產目錄及基金收支表,送監事會審核後,造具審核意見書送還理事會,提會員大會通過,於三月底前報主管機關核備(會員大會未能如期召開者,先報主管機關)。 第 三十三 條 本會於解散後,剩餘財產歸屬所在地之地方自治團體或主管機關指定之機關團體所有。
微軟也指出,不僅台灣,在東南亞、北美洲與非洲也都有部分「亞麻颱風」的受害者,微軟上個月表示,該組織已駭入美國數個政府機關的電子郵件帳戶,目的為進行間諜活動、資料竊取與憑證取得。 馬聖豪(aka aaaddress1)- 目前於 TXOne Networks 擔任資安威脅研究員,專研 Windows 逆向工程分析超過十年經驗,熱愛 C/C++、x86、漏洞技巧、編譯器實務、與作業系統原理。 首先簡介 Kubernetes 資安功能、以及進階的 Kubernetes 系統架構。 根據威脅分析的項目來建構防禦策略,藉由 Kubernetes 資安工具、服務網格(Service Mesh)技術等,來建構出我們的 Kubernetes 防禦系統。 台灣駭客協會 本課程將介紹如何使用開源軟體 (Ghidra, Qiling Framework 等)以增進 IoT binary 相關的韌體分析、漏洞挖掘、模糊測試等分析技巧。 比較傳統與具 Qiling-style 方式的分析方法之利與弊,提供 IoT security 相關的研究員、業餘愛好者或是想入門的初心者一個全新的選擇與體驗。
台灣駭客協會: 全球軍力榜美國排第一 和第二名只差0.0002 台灣排在這名次 有一項贏中國
他曾參與許多不同 APT 攻擊的事件調查,同時也具有 Windows 台灣駭客協會2023 伺服器管理與網路管理的經驗,因此對於 Windows 內網與 Active Directory 相關的安全議題十分熟悉。 台灣駭客協會理事長翁浩正表示,今年算是疫情之後的第一次年會,大會以技術本質、駭客攻防技術與思維等為主題,不帶商業色彩的安全研究,為資安領域帶來最新與最深入技術與實踐,不但促進全球駭客社群面對面交換經驗、也讓在地社群更加蓬勃發展。 因此本課程將會深入淺出的對 AD 各項功能與服務進行深度剖析,探討相關的攻擊與防禦偵測技術,並提供相對應的後續修補策略。
此外,大會期間也設置「My ShowTime! 秀自己」展演空間,提供給參加者舉辦自己的活動! 我們期望台灣駭客年會(HITCON)是駭客們一年一度聚在一起的 Party,除了技術的分享,也可體驗到真正的駭客文化,在駭客與駭客社群的交流下,討論最新最有趣也最敏感的議題。 今年 HITCON Community 的主軸我們設定為「Trust in the Untrusted World」。 近幾年來,從使用竊取來的憑證來加密的 APT 惡意程式到目前逐漸廣泛的假新聞議題,有無數的事件表明了信任所扮演的重要角色。 隨著信任這個核心概念跟資安產業近年的演進,我們有必要重新檢視關於「信任」這主題。 我們被迫要在充滿不可信任事物的網路世界中去信任,我們誠摯的歡迎您在 HITCON Community 2019 中與我們一起探討信任這個議題。
台灣駭客協會: 台灣駭客年會落幕 發表逾20篇AI相關資安研究
Dexter Chen 目前於TXOne Networks擔任資安威脅研究員,是一個整天專注於漏洞研究、各種攻擊手法分析及CTF的資安愛好者。 此外,Dexter 曾多次擔任資安課程講師,包含 HITCON Training , 資安卓越中心(CCoE)計畫及國防部等單位。 微軟揭露中國駭客組織Flax Typhoon約自2021年中發起的攻擊行動,其主要目標是臺灣的政府機關、教育機構、重要製造商、資訊科技組織等數十個單位,但研究人員也有看到東南亞、北美、非洲的組織受害。 美國科技巨擘微軟公司(Microsoft)24日透露,來自中國的駭客組織「亞麻颱風」(Flax Typhoon)已鎖定台灣數十個政府機關,目的可能為進行間諜活動。 HITCON Pacific 2017 的主題是 Cyber Force Awakens。 我們將呼籲政府、企業乃至於公民等各界取得數位資產的主動權,建立網路力量與資安產業生態系。
課程中會有許多實作的部分,也會針對實務上的滲透測試進行分享與案例分析,對學習滲透測試與練習駭客攻擊手法有興趣的人都很適合參與。 Hitcon FreeTalk 是一個資安公益性質的免費技術座談會,與會的資安專家來自台灣各個領域,包含產官學等界資安精英。 我們針對各時期最熱門資安事件進行深度的技術探討,透過還原資安事件的技術細節,挖掘出第一手的攻擊內幕,讓與會的各界了解新聞背後的意義與應變措施。 以往許多的媒體對於資安技術並不深入,時常報導方式也有所偏頗,因此台灣駭客協會特別從 2014 年起,每年都不定期地舉辦這樣的免費技術講座,也希望各界對於資安技術與駭客攻擊能有健全的觀點與交流空間。 HITCON 團隊針對近期重大資安事件進行研究,深入探討 GNU Bash 漏洞 ,包含漏洞原理剖析、受影響的主機統計數據、防治與攻擊實例展示。
台灣駭客協會: 學生票驗證資格說明:
近年我們更成立了公益漏洞通報平台(ZeroDay)、舉辦 CTF 競賽、駭客版密室逃脫(HackDoor)以及企業資安攻防大賽(DEFENSE),也支持了國內各資安社群、與國家一起培育台灣未來的資安人才。 更進一步,針對 台灣駭客協會2023 Viasat KA-SAT 的攻擊導致許多基於高速衛星通訊網路的系統無法正常運作; deepfake 也被應用來進行更擬真的資訊操作,這些手法顯示最新的駭客技術已逐漸被應用於廣泛的網路戰中。 由於烏俄兩國網路建設及經濟體系相對健全,與全球多有接軌,此次事件不僅限於地緣關係,隨著網路的連結,影響了全世界的人們。 從各種事件中,我們可以看到從國際資安聯盟、供應鏈、社交平台、企業、民眾乃至於黑產組織及駭客文化都受到影響,無人可置身事外。 因此,同為網路戰最前線的台灣,也應關注了解其變化,並向駭客學習如何在危險的虛擬世界存活指南。 姜尚德 - 目前於奧義智慧擔任資安研究員,以 Incident Response 及 Endpoint Security 為主要研究領域,並曾在 Black Hat USA、HITCON、HITB 等國際知名資安研討會發表其研究。
・凡國內外從事資安教育工作者,或實務卓有成就和貢獻,或曾擔任本會理監事乙職,應由本會會員十人以上連署,列明其功績,再經理監事會議投票通過後,為榮譽會員,並享有免繳會費之權利。 目前任職於知名外商負責作業系統相關的資訊安全,熟悉的領域包含硬體安全,密碼學以及作業系統的安全機制。 台灣駭客年會18日落幕,吸引近2,000位駭客及資安技術人員參加,以「AI在資安領域的進化」為題、駭客攻防技術與思維為本,共發表超過20篇最新資安研究。 大台中診所協會連續多年發起醫師團隊前往家扶台中發展學園義診,不只省去家長帶幼童奔波辛勞,若發現任何異常,也能及早轉介治療資源,共同守護慢飛天使健康長大。
台灣駭客協會: 會議
此外,他致力於資安教育,在交大創立交大網路安全策進會,鼓勵並培訓學生參與國際型 CTF 比賽,並有兩次參與世界資安大賽 DEFCON CTF 決賽經驗。 他為台灣資安社群相當活躍的成員,現為 Chroot 成員之一,並擔任 HITCON / 荷蘭 HITB 資安會議的審查委員。 於漏動挖掘方面,他帶領 BambooFox 團隊挖掘了 5 個 CVE漏 洞以及數十個交大網路系統的資安漏洞。
- 他曾參與許多不同 APT 攻擊的事件調查,同時也具有 Windows 伺服器管理與網路管理的經驗,因此對於 Windows 內網與 Active Directory 相關的安全議題十分熟悉。
- 台灣資安圈最大盛事,備受國際屬目,HITCON 首次結合政府單位及各家企業,一同以資安的角度分享防禦對策,HITCON 希望能夠藉由本場研討會,提醒國家與企業應以嚴正的態度來建構資安環境,培育資安人才,以因應未來各種不可預測的挑戰。
- 據《法新社》報導,微軟昨日表示,駭客組織「亞麻颱風」總部位於中國,自2021年中以來,持續鎖定台灣的政府機構,以及教育、關鍵製造業與資訊技術組織,並盡可能保持對這些機構的存取權限,打算進行長期的間諜活動。
- 首次邀請國內資安廠商與系統整合業者參與,與世界各地頂尖的資安菁英分享資安戰略與趨勢,從企業的觀點探討可能面臨的各種狀況,將視野國際化,更特地規劃交流酒會,與會嘉賓齊聚在此,相互學習與提升更多可能性。
- 台灣駭客協會一直以來都專注於資安推廣教育,包含舉辦 #HITCON 研討會、競賽、平台等等。
- 期望學員們經過本課程的訓練,得以更加理解攻擊手法的生成原因,並且對於 Active Directory 背後的運作原理,達到更深一層的認識,以利於制定出讓網域更加安全、且同時保持穩定性的良好計畫。
這堂課會針對 Kubernetes 資安的兩大面向:基礎建設資安問題、與應用層的資安問題,課程中實際操作改善 Kubernetes 的環境,讓大家建構出安全的 Kubernetes Cluster。 本次課程會從介紹 DevSecOps 的概念、威脅模型分析、資安測試自動化,到掃描結果的弱點管理,讓你可以建構出一條整合 Security 的 CI/CD Pipeline,實際感受將資安測試「左移」的體驗。 聯絡信箱: 團體報名或對於本活動有任何問題,歡迎寫信至:,我們有專人與您聯繫。 榮幸再次獲得 DEFCON 首肯,舉辦 HITCON CTF 國際級資安競賽,全球好手齊聚一刻戮力爭奪 DEFCON CTF 種子隊伍資格。 今年度主軸為「Security of Things」,推出特製設備 Wargame、 Hack2Own 競賽、奇葩獎等,更設立社群專屬議程,鼓勵各社群站上 HITCON 舞台展現研究成果及推廣自身精神,希望維持 HITCON 傳統,與國內外資安社群共同成長,期盼能培育更多資安人才。
台灣駭客協會: 換取收購過關 微軟將售動視暴雪遊戲歐洲以外串流權
美國科技巨擘微軟公司(Microsoft Corp.)透露,中國駭客組織「亞麻颱風」(Flax Typhoon)已鎖定數十個台灣政府機關,目的可能是為了暗中進行監控。 法新社報導,微軟昨天表示,亞麻颱風是「來自中國的國家行動者」,自2021年中以來主要「鎖定台灣的政府機構和教育、關鍵製造業與資訊技術組織」。 (中央社台北25日綜合外電報導)美國科技巨擘微軟公司(Microsoft Corp.)透露,中國駭客組織「亞麻颱風」(Flax Typhoon)已鎖定數十個台灣政府機關,目的可能是為了暗中進行監控。 本課程非常適合有程式基礎,且有心想要學習資安入門,卻又苦於不知該從何著手的學員,課程內容濃縮自講者自身的資安學習經驗,透過詼諧有趣的遊戲修改實戰過程,從零開始一步步的學習系統底層知識與駭客記憶體攻擊手法,期望能培養出讓學員有獨立逆向分析 & 撰寫底層攻防程式的能力。
位於台中市西屯區的家扶台中發展學園,以照顧學齡前身障、發展遲緩幼童為主,提供早期治療,目前照顧近60名學童,透過每個月更換不同的主題課程,達到「治療」及「教育」目標。 在本課程中我們將介紹最新版 Office 365 防禦策略與查殺鏈,並從最典型的 VBA 後門開始撰寫起。 並以知名的近年攻擊行動與開源套件、新型態 Excel Macro 4.0(XL4)攻擊技巧,並以手工撰寫 Excel BIFF8 結構來由深度探索 Office 文件規格。
台灣駭客協會: 微軟:中駭客組織亞麻颱風 鎖定台灣政府機關
Mars Cheng 目前為 TXOne Networks 產品資安事件應變暨威脅研究團隊經理,負責協調產品安全與威脅研究事宜。 過去曾於行政院國家資通安全會報技術服務中心(NCCST)擔任資安工程師,負責物聯網設備與工業控制環境之安全研析,強化政府機關與關鍵基礎設施資安防護能量。 並致力於分享各類型資安知識,於資安卓越中心(CCoE)計畫、國防部、經濟部、教育部、HITCON Training 及多間民間企業均有授課經驗。 同時專注於 ICS/SCADA、IoT 及企業網絡安全的相關資安議題研究,至今提交了10多個 CVE 編號,並於三本 SCI 期刊中(JCR Ranking Top 20%)發表與應用密碼學相關之論文。 此外,Mars也曾擔任台灣駭客年會HITCON PEACE 2022 、HITCON 台灣駭客協會2023 2021 的總召集人及HITCON 2020 的副總召集人。 HITCON 致力於推廣資訊安全,成立以來舉辦各式大型研討會與中小型座談會,結合時事探討全世界熱門的資安議題,從而引入國內外專業講者的教育訓練課程,協助政府、企業、民間建立友善的溝通管道與培訓資源,引領世界資安技術的脈動。
台灣第二屆駭客年會首場演講從創新角度探討 Security Ecosystem ,分析資安圈現狀及未來發展,年會議程包括資安研究成果及最新技術趨勢,並延續去年舉辦 Wargame 競賽,期待技術交流的同時,能提昇國人對網路安全、資訊安全的了解程度及重視。 HITCON 十年來默默耕耘,致力於提升社會大眾對於資訊安全的重視,今年更擴大舉辦成為期四天的研討會,從生活各個層面探討可能會碰觸到的資安問題,也期望透過這場會議,讓更多人學會如何適應並與威脅共存。 王仁甫(5566)博士自2006年投入資安政策與科技前瞻研究、駭客行為研究、行動安全研究、雲安全研究、主動式資安防禦等研究及草擬資安白皮書,並於2016年借調國安會四年,草擬資安即國安戰略等重要規劃。 同時,他於2018年獲選為美國國務院國際領袖人才訪問計畫訪問學人,致力於推動台美資安合作。 上週微軟揭露的新駭客組織Flax Typhoon,就鎖定臺灣數十個企業組織下手,進行長時間的網路間諜行動,值得一提的是,駭客為了隱匿攻擊行動,大量就地取材,運用寄生攻擊(LOLBins)手法,儘可能使用最少的惡意軟體來達成目的。 網站攻擊向量千奇百種,這門課程我們排除了大家已經很熟悉的 SQL Injection 與 XSS(Cross-Site Script),帶大家來認識其他風險,介紹這些風險可能導致的危害,還有可能的入侵點與利用方式,清楚幾種網站風險的成因與原理,並搭配實作來進行風險的檢測與利用。