账号:
密码:
最新动态
产业快讯
CTIMES/SmartAuto / 新闻 /
设备端成物联网资安重点 HITCON漏洞挖掘竞赛首以未上市产品为标的
 

【CTIMES / SMARTAUTO ABC_1 报导】    2020年09月14日 星期一

浏览人次:【3333】

由台湾骇客协会所主办HITCON2020活动,今年特别与经济部工业局联合举行漏洞挖掘竞赛(Bug Bounty Challenge),本次竞赛创下国内以厂商未上市物联网产品为标的之创举,借重资安社群白帽骇客技术能力与思维,挖掘出各种潜在的漏洞,在漏洞被犯罪份子利用之前,透过资安攻防场域进行渗透测试,检视物联网设备、应用系统之资讯安全等级和防护能力,以强化产品安全性,并提供选手实际练兵的机会,藉此培育产品漏洞检测人才。

「2020 IDB X HITCON 漏洞挖掘竞赛」行动支付组冠军
「2020 IDB X HITCON 漏洞挖掘竞赛」行动支付组冠军

本次竞赛叁与产品以行动支付与联网设备(Router、IP Cam)为主,在各团队挖掘出漏洞并向评审陈述漏洞发现手法後,由「H1dra Security Team」与「夜枭x鸽鸽x与它们的饲料」分别夺得联网设备组与行动支付组冠军,各获得新台币5万元奖金。由团队挖掘出的漏洞,亦同时提供国内叁与业者进行漏洞修补。

工研院王子夏博士表示,台湾常见的资安漏洞以无效的存取控管与跨网站指令码(XSS)攻击为大宗,所以先前漏洞挖掘竞赛以网路攻击为主。但有监於近来万物皆可骇,愈来愈多联网产品成为攻击目标,所以主办单位首次以设备端为标的进行漏洞挖掘竞赛。本次竞赛由厂商提供8项产品叁与测试,经由选手的努力测试,共计找出60个漏洞,已通报企业进行修补。

对於这次竞赛的团队,HITCON CTF领队暨CTF竞赛负责人,同时也是评审之一的李伦铨表示:「这次叁赛的团队皆拥有厚实的技术实力,有许多令人眼睛为之一亮的论述与发现。这是台湾近年来培育资安人才的成果,弥足珍贵。但在筹备的过程中,我们也明显感受到人才断层的危机,缺乏具吸引力的奖励机制、人囗负成长等等,皆是必须积极面对的问题,才能让之前累积的资安能量持续升温。」

由於近年来金融科技(Fintech)的发展迅速,行动商务及电子支付提供较传统支付更快速便捷。但如何兼顾便捷与交易安全,是电子支付产业所要面对的严肃课题。不论是资料安全、交易安全、或是行动装置安全等面向,企业均须在便利与安全间权衡取舍,建立并维护完善的风险管理机制。随着5G与物联网的持续升温,带动资安威胁模式的演变,许多物联网装置可能直接利用网路,连线到伺服器,而绕过现有的层层防护,在无意间成为攻击目标。

许多跨国企业为了让产品及本身的服务更安全,透过漏洞回报奖励计画(Bug Bounty),希??藉由全球的白帽骇客一起协助,找出系统未知的漏洞或弱点,减少遭受骇客攻击的机会。工研院提出的2020年资通讯安全全球发展趋势中指出「白帽骇客协防」亦是其中重要的一环,可预见未来利用外部资源的漏洞举报,减少网路犯罪与资料泄漏与盗窃的机会,已成为厂商强化产品安全的重要工作。

台湾骇客协会所属的HITCON ZeroDay漏洞通报平台,提供资安专家通报组织漏洞,营运至今已协助全台数百家企业执行逾千件的漏洞通报与修复,有效降低产品发生资安风险的内部成本。

李伦铨表示:「打造台湾资安漏洞通报生态圈,必须先建立企业与社群通报者之间的互信机制。藉由透明畅通的管道,让社群协助企业尽快修补不足,不仅能降低漏洞带来的伤害,还能形塑企业『重视资安』的形象,让社群乐於贡献,是企业化危机为转机,促成正向资安环境发展的契机。」

關鍵字: 资安漏洞  物联网 
相关新闻
沙仑科学城前进人工智慧暨物联网展 展示AI跨域应用实力
恩智浦整合UWB雷达与安全测距晶片 推动自动化工业物联网应用
贸泽即日起供货英飞凌OPTIGA Trust M MTR安全解决方案
将物联网平台整合於电梯 奥的斯型塑智慧建筑生态系统核心
[COMPUTEX] InnoVEX:物联网创新技术降低功耗和提升资安效能
相关讨论
  相关文章
» 以马达控制器ROS1驱动程式实现机器人作业系统
» 推动未来车用技术发展
» 节流:电源管理的便利效能
» 开源:再生能源与永续经营
» 「冷融合」技术:无污染核能的新希???


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8CK8D9FBYSTACUKO
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw