2008 OWASP 亞洲年會 議程公布，共兩天！

（轉貼自http://owasp.org.tw/blog，請大家幫忙告訴大家，請盡量幫忙轉貼，感謝！）
首先感謝大家對於去年的「第一屆 OWASP 亞洲官方年會」的支持，讓我們全場 650 個位子座無虛席！


2008 OWASP 亞洲年會今年議程終於出爐了，由一天改成兩天（10/27~28），先簡單公布如下：

( 2008/10/27 ) - Day 1 第一天
Time	Topic	Speaker
09:15~09:30	主席致詞：今年大會內容簡介	Wayne 黃耀文 OWASP 台灣分會主席
09:30~09:45	資策會長官致詞	TBD
09:45~10:00	中華軟體協會資安促進會長官致詞	陳振楠 會長
10:00~11:00	我在 Foundstone 的日子：Web 威脅與防禦實例	YM Chen 陳彥銘 McAfee Foundstone
11:10~12:00	網站掛馬研究：Web 惡意程式寫法與偵測技術大公開	Wayne 黃耀文 Jeremy 邱銘彰 阿碼科技
12:00~13:00	午餐休息，請多彼此認識並與講師互動！
13:00~13:50	修改密碼無效！駭客還是在收取您的電子郵件！	林佳明
14:00~14:50	網路犯罪研究與五千萬筆個資外洩事件調查建議	叢培侃 PK 余俊賢 Jack
14:50~15:10	Coffee Break 中場點心休息，請多彼此認識並與講師互動！
15:10~16:00	網站被駭的真實故事集（英文） Real Stories of Website 0wnage	Fyodor Guard-Info
16:10~16:40	Web proxy 造成的資安威脅：以近日 Google Docs 0-day 為例（英文） Proxy Caches and Web Application Security--using the recent Google Docs 0-day as an example	Tim Bass OWASP 泰國分會主席
16:40~17:10	Web 滲透測試與風險評估（英文）	Dhruv Soi OWASP 印度年會主席 OWASP 印度分會主席

( 2008/10/28 ) - Day 2 第二天 （全天英文）
Time	Topic	Speaker
09:30~09:45	長官致詞	TBD
09:45~10:00	長官致詞	TBD
10:00~11:00	Web 0day 大威脅：Clickjacking（九月OWASP美國年會禁講）(全球首播) New 0-Day Browser Exploits: Clickjacking - yea, this is bad...	Robert "RSnake" Hansen SecTheory
11:10~12:00	Web 2.0時代各種資安技術比較與市場分析（今年 OWASP 美國年會演講） Web 2.0, Consumerization, and Application Security	Chenxi Wang, Ph.D. Forrester Research
12:00~13:00	Lunch Break 午餐休息，請多彼此認識並與講師互動！
13:00~13:50	如何做好商業滲透測試（今年 OWASP 印度年會演講） Good Business Penetration Testing	KK Mookhey OWASP 孟買分會 NII
14:00~14:50	Web 防火牆（WAF）最佳實務指引（今年 OWASP 美國年會與歐洲年會演講） Best Practices Guide: Web Application Firewalls	Alexander Meisel OWASP 德國分會 art of defence
14:50~15:10	Coffee Break 中場點心休息，請多彼此認識並與講師互動！
15:10~16:00	Web 上之僵屍網路與 DDoS 研究（今年 OWASP 美國年會演講） The HTTP Botnet Research: Focusing on HTTP based DDoS Botnets	Steven Adair ShadowServer Foundation
16:10~17:00	論壇：黑箱、白箱、還是 WAF 防火牆？工具好還是顧問好？ Chenxi、Robert、YM、Fyodor、KK、Dhruv、Alex、Tim Bass	主席：Wayne

★ 主辦單位保留變更活動內容及相關事項之權利。

大會場地與交通資訊

跟去年一樣，本次大會於舒適寬敞之劇院型階梯演講聽--「台大醫院國際會議中心201室」舉辦，地址為：100台北市中正區徐州路2號。交通資訊請見：http://www.thcc.net.tw/othstraffic.html

今在籌辦第二屆 OWASP 官方亞洲年會時，心中感觸特別多。OWASP 亞洲年會，都是由我們向贊助單位籌資金，然後想辦法邀到好的講師來演講。亞洲距離歐美很遠，飛來一趟要花很多時間，使得整個活動的籌辦，不但籌資金困難，邀頂尖的講師更是難上加難。同時，我們希望今年能夠達到：

1. 對於最新的 Web 攻擊手法，有深入的技術性探討，讓使用者也讓廠商能了解新的攻擊趨勢。
2. 對於防守的策略，能找到在技術上有深度，並且不帶廠商色彩的講師，對於各方面的技術，如滲透測試、黑箱或 WAF 等，都能涵蓋。
3. 站在廠商的角度，對於整個資安產業的趨勢，站在使用者的角度，對於各種技術的比較，能有具公信力的資深產業分析師來探討。
4. 對於透過 Web 的網路犯罪，能有資深的檢調單位代表來分享經驗。
5. 講師方面，希望仍有一半是外籍講師，並希望盡量是在 OWASP 其他年會演講過之講師，因為 OWASP 亞洲年會在建立的初期，需要他們來帶入 OWASP 應有的文化。

要達到以上五點，真的非常不容易，也感謝全體工作人員的努力。今年，第二屆OWASP官方亞洲年會「OWASP AppSec Asia 2008」日期與講師已經確定，會有專業同步翻譯（口譯），會有 T-shirt，也會對政府單位發正式的公文，但是由於時間緊迫，先跟各位告知。我們很感謝資策會與中華民國資訊軟體協會能贊助我們，也感謝資安人雜誌能當我們的協辦媒體，讓活動能成行。大會目前還缺贊助單位，如有興趣可與我聯絡，另外只有 650 個位子，報名從速，我們這麼辛苦的準備，希望在會場能見到您！這只是一個初步的快速通知，之後會有正式的網頁，請各位隨時留意 OWASP 台灣分會官網 以及訂閱 OWASP 台灣分會部落格。今年的外籍講師共有九位（美國四位，歐洲一位，印度兩位，泰國一位，俄國一位），其中為剛結束的 2008 OWASP 美國年會 的講師有四位，2008 OWASP 歐洲年會講師有兩位，2008 OWASP 印度年會講師有一位，有幾位同時為美國駭客年會 Black Hat / DEFCON 講師，其中也包括了 OWASP印度分會主席，OWASP孟買分會代表，OWASP德國分會代表，OWASP泰國分會主席。

今年的重頭戲，當然是 Robert 在今年 2008 OWASP 美國年會的演講被禁講（ITHome 報導、阿碼報導）的演講，會在台北做全球首度的公開演說。英國最大 IT 媒體The Register 以「Adobe 禁止 Clickjacking 弱點的公開」大幅報導此事，RSnake 則說，原本他們覺得是一場很好的演講，但是因為漏洞像滾雪球一樣，一個漏洞導致另一個漏洞，牽涉到一個接一個廠商，導致整個弱點的嚴重性不只是嚴重，而是超級嚴重所以兩個講師決定必須等所有牽涉其中的廠商都有一定的時間反映後，才適合做揭露。我覺得這一場的重點並不光在於他要探討的 0-day 漏洞，而更在於大家對於目前 Web 的基本運作原理，以攻擊手法的了解。這些知識如果基礎打穩，在檢視自己或客戶的網站安全時，便能很容易的運用有限的時間，找到重點問題，並予以修復。駭客找漏洞，其實有很規則的思路可尋，了解這種思路後，我們一樣能一眼看出漏洞所在。

在其他種威脅方面，來自亞洲區的研究，OWASP 泰國分會主席 Tim Bass 將會講一場「Web proxy 造成的資安威脅：以近日Google Docs 0-day 為例」，台灣方面林佳明將講一場：「修改密碼無效！駭客還是在收取您的電子郵件！」

資安挑戰的整體敘述，將由 Forrester 的首席分析師 Chenxi Wang 博士來擔綱。Chenxi 曾在卡內基美隆大學（Carnegie Mellon University）擔任助理教授，為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。目前 Forrester 出版的跟 Web 資安相關市場調查報告，都是出自她的研究。Chenxi 並會探討黑箱、白箱、WAF在技術上以及在資安投資報酬率上的差別。Chenxi 寫的幾篇對於黑箱、白箱與 WAF 的產業報告，是目前全球業界引用的重點。至少在 WAF 的市場規模方面，我只記得他的報告有確切的數字，Gartner 與 IDC 似乎都沒有，所以至少我自己參考以及我碰到的諸多廠商與投資人參考的，都是她的那篇。如果您是資安市場分析師或投資人，那您一定要撥空來！如果您是資安廠商而希望能對她公布的資料、數據與論點有意見，也歡迎前來與她當面交換！

滲透測試手法方面，有 RSnake、KK、Dhruv、YM 以及 Fyodor 五位講師，其中 KK 與 Dhruv 來自印度，KK是印度最有名的滲透測試公司 NII Consulting 的創辦人兼總經理，曾經擔任 Black Hat、Interop、IT Underground 等研討會講師，並為 Google、聯合國等大型客戶執行滲透測試專案。滲透測試的發展已經由技術導向轉變為商業導向，在預算緊縮的今天，如何有效運用時間，以最低的成本，找到最重要的漏洞？這就需要以客戶在商業營運上的風險面向為基礎，來建立相對應的滲透測試項目，例如現今企業面對的商業間諜（corporate espionage）、金融詐騙（financial fraud）等威脅嚴重，因此就需要有對應的滲透測試情境，如社交工程攻擊（social engineering)、實體安全演練等，才能提供更有價值的商業導向滲透測試服務。

為何我選了兩位來自印度的講師來講滲透測試？我在印度聽過 KK 的課，也看過印度大大小小的滲透測試團隊實際上執行專案的情形。我的看法是，印度以軟體產業立國，但是並不是一開始就能從專業的軟體開發案獲利。就如同我們以電子製造業起飛，但是我們是慢慢由做勞力密集的聖誕燈泡，到做收音機，到做 PC 、筆電、手機，慢慢從勞力密集轉而能獨立研發。印度也一樣，軟體產業發展的初期，很依賴勞力密集的軟體測試。所以對於軟體測試的方法論，流程，執行，測試環境的設計，測試資料的建立，到與客戶的溝通，專案的執行等，非常的有經驗，因為這是他們的本行！滲透測試的技術研究，不計成本，目的在找到漏洞，這個歐美的研究員做得很好。可是商業滲透測試，講的是如何有效運用預算，了解客戶需求，達到最大效果，在這方面，印度的軟體測試產業行之有年，商業模式很成熟，我相信他們的經驗會對各位有幫助。

滲透測試與其他顧問服務，在美國又是如何進行的呢？McAfee Foundstone 是美國前幾大專門的資安顧問公司，陳彥銘自 CMU 畢業之後，就加入了 Foundstone 至今，以經是資深的 Director，帶領 Foundstone 團對於美國各地進行滲透測試、顧問服務與教育訓練。他將以「我在 Foundstone 的日子：Web 威脅與防禦實例」，與各位分享他的經驗。

在台灣的滲透測試方面，來自俄羅斯的 Fyodor 長期於台灣進行滲透測試，他將以一場「網站被駭的真實故事集」，探討這許多年來，他在台灣看到的種種真實故事，讓各位直接接觸這些造成嚴重損失的 Web 漏洞--很多漏洞看了會心一笑，原來這樣設計也會有漏洞。攻擊方法並不難，但是簡單的錯誤卻會造成嚴重的損失。

Web 防火牆 WAF 方面，我選擇跟跟今年美國年會、歐洲年會一樣，由德國 OWASP 分會的 Alex Meisel 來負責。Alex Meisel 上個月在美國年會，以及之前在今年歐洲年會，以德國分會的名義，發表了一篇 whitepaper：「Web 防火牆（WAF）最佳實務指引」（Best Practices Guide: Web Application Firewalls），很受大家肯定，如果您目前正困擾 WAF 該如何選擇，歡迎來與 Alex 探討！

網站掛馬方面，全球最有權威性的組織之一，就是 ShadowServer Foundation 了。ShadowServer Foundation 長期監控全球僵屍網路（botnet）與網站掛馬，擁有豐富資料，堪稱美國此方面研究最深入之組織之一。今年的美國年會，找了 ShadowServer Foundation 的重要成員 Steven Adair 來擔任這方面的講師，我也非常努力的邀到他來台灣與各位互動。如果有需要與 ShadowServer Foundation 交換情報與研究資料的單位，請與我聯絡！

對於亞洲區網站掛馬的研究，邱銘彰一向是大家很肯定的研究員之一，他也是各會議爭相邀請的講師。我跟他從不認識到認識到變成朋友到變成同事，也從他身上學到不少寶貴的知識。我們將一起公開一份我們最新的掛馬研究，是我們先用英文寫完，然後也翻成中文的，努力了半年，留在 OWASP 亞洲年會發表。我們將探討目前掛馬的工具與手法，仔細研究各種惡意 javascript 的寫法以及變形、加殼與資料隱藏的技術，並與各位討論為何惡意 javascript 這麼難偵測。由於我長期研究動態與靜態分析技術，我也會探討這兩種技術應用於網站掛馬偵測時的優劣。

對於亞洲利用 Web 攻擊的犯罪手法與事件分析，則由 PK 與 Jack 來負責講「網路犯罪研究與五千萬筆個資外洩事件調查建議」。很多圈內朋友稱 PK 為「台灣鑑識一哥」，Jack 則也多年研究網路攻擊於軍事上之應用，希望他們一起的演講，能讓各位對於層出不窮的 Web 網路犯罪，有更深入的了解。

最後，基本上，各地的 OWASP年會希望達到以下目的：
1. 由年會選出來的頂尖講師，對於最新的攻擊方法，防禦技術，以及客戶的成功案例，提供最新資訊與經驗分享。
2. 對於各界資安人士，包含各國OWASP成員，業界資安主管及IT從業人員，各國政府、軍方及情治單位，以及投入資安市場之廠商、代理商、系統整合商以及顧問公司，提供一個交流的機會，讓大家相互認識，分享經驗以及交流技術。

OWASP 每年有兩次官方會議，一次在歐洲，一次在美國。由於 OWASP 為 Web 資安之最大國際組織，其所定義之標準被五大信用卡公司之 PCI 標準、美國聯邦貿易委員會、FBI、美國國土安全部，以及各國政府所採用，故OWASP每年之官方年會，除了為年度世界資安頂尖人物必到之大會，更為各國政府，企業以及資安產業必定派人參加之國際盛會。我國行政院研考會之「Web應用程式安全參考指引」，亦將 OWASP Top 10 列為重要參考標準。

我想會議能夠在台北舉行，一方面證明了台灣資安之能量，展現了台灣各指導機關多年致力於資安意識之提升，各學術單位致力於資安基礎與應用之研究，產業界致力資安產品之研發與整合，以及媒體致力於各領域資安訊息之分析等之成果；一方面也證明了，台灣在資安有其獨特之政治與軍事意義，由於對資安有高於他國之需求，也造就了我們資安實力與經驗之累積，能夠在多年努力後，開始與他國分享我們的成果。最後最主要的，是大家踴躍的報名。您對於 OWASP活動的支持，是這次會議能夠在台北舉行之關鍵。因為這表示台灣有足夠的人士，在關心資安的議題，在投入資安的研究，您上次的出席，也讓我們有動力，再次募款並邀請最頂尖的講師前來。看到了這次講的的陣容，不難想像我們要在工作的空餘時間，募集資金，負責所有講師的機票與住宿，行程安排，簽證取得，大家真是把命賣了在做，希望您能把握這次機會，準時來參加活動，一方面從最頂尖的講師接觸最新的資安訊息，一方面也與大家認識。

去年超過1000人報名，卻因場地席次限制，許多欲與會者無法順利出席去年年會，座位有限，今年請早報名。
報名請直接回給我或 email 給：info@owasp.org.tw

1. 姓名：
2. 單位（或學校）：
3. 職稱：
4. 電話：
5. Email：
6. 是否需要同步翻譯耳機？ 如果是，是否用 200 元加購？還是放棄 T-shirt？
7. 中餐是否需素食？
8. 統一編號？公司 title？
9. 是否是學生票？學生票是否加購中餐（一天？兩天？）？加購 tshirt？

報名後三個工作天會收到匯款方式，匯款後三個工作天會收到序號，請用序號入場，如果沒有收到可以來電詢問：(02) 6616-0100 ext 111 林先生。
時間：97年10月27至28日(星期一至二) 09:00-17:00<
地點：台大醫院國際會議中心 201 室 (台北市中正區徐州路二號)
費用：
1. 全票 NTD 1000 元整（幫忙負擔午餐、點心、場地、T-shirt與機票費用等、不含耳機）
2. 學生票 NTD 300 元整（不含便當、如需便當一天 100 NTD， T-shirt 要另購，一件 300 NTD）
同步翻譯：會有專人同步翻譯（不是我們自己的工作人員，是外聘的同步口譯人員），同步翻譯耳機 200 元外加，或是放棄 T-shirt
T-Shirt：會有
公家單位公文： 會由最大贊助單位資策會發公文，以利請假作業

講師簡歷 (中文版)
Robert Hansen (aka“RSnake”)--SecTheory
CISSP、SecTheory 的 CEO，曾四次演講於 Black Hat，今年並為 Black Hat 與 DEFCON 雙講師（這裡有報導）。與 Jeremiah Grossman 著有知名之「XSS」一書（Syngress出版），今年 2008 OWASP 美國年會 的演講被禁講（ITHome 報導、阿碼報導），為今年大會最轟動之事。他將在台灣首次公開此次禁講之內容。RSnake之部落格 ha.ckers.org 與論壇 sla.ckers.org 為駭客界被訂閱最多之部落格/論壇之一。負責 O'Reilly 與 Dark Reading 線上專欄（Snake Bytes @ Dark Reading），除了 Black Hat / DEFCON 之外，也在各大研討會中擔任講師，包含OWASP年會、微軟 Bluehat、WASC 各會議、Networld+Interop、SourceBoston、 Secure360、GFIRST/US-CERT、Toorcon、APWG、ISSA以及TRISC等會議。

RSnake曾任 eBay 資深全球產品資安經理、通訊網路公司資安架構師，工作內容是 anti-phishing、anti-DHTML malware，也曾擔任 Realtor.com 的產品管理總監。參與 NIST.gov 的 Software Assurance Metrics and Tool Evaluation 及 Web Application Security Scanners Evaluation Criteria (WASC-WASSEC)專家群組，也是
Infragard 、WASC、IACSP、 APWG、ISECOM 成員。

Steven Adair—ShadowServer Foundation
Steven Adair 是 ShadowServer Foundation 的重要成員之一，也是這次 2008 OWASP 美國年會的講師。ShadowServer Foundation 長期監控全球僵屍網路（botnet）與網站掛馬，擁有豐富資料，堪稱美國此方面研究最深入之組織之一。

Alexander Meisel—OWASP 德國分會、art of defence
Alexander Meisel 是德國 art of defence 公司技術長，負責該公司之 Web應用程式防火牆（Web application firewall、WAF）之研發。之前在歐洲最大的ISP-LINX擔任網路安全首席，曾負責大規模的網站安全稽核與流量管理，專長為Web Security。他的安全專業可以追朔到在學階段所提出的預防與追蹤DDoS攻擊研究。Alex 是今年 2008 OWASP 美國年會與 2008 OWASP 歐洲年會的講師。

K. K. Mookhey—OWASP孟買分會、NII Consulting
印度最有名的滲透測試公司 NII Consulting 創辦人兼總經理，專長為滲透測試、資安鑑識、風險評估、資安相關規範（PCI、ISO 27001、BS 25999、ISO 20000）、IT基礎架構管理等。擁有CISSP、CISA、CISM、CEH等證照。是印度最知名的資安專家之一，著作有Linux Security And Control（ISACA 出版）與 Metasploit Toolkit（Syngress出版）兩本專業書籍。KK 為今年 2008 OWASP 印度年會講師，並曾經擔任 Black Hat、Interop、IT Underground 等研討會講師，並為 Google、聯合國等大型客戶執行滲透測試專案。

Chenxi Wang, Ph.D.—Forrester Research
Dr. Chenxi Wang 是全球前三大市場調查研究機構 Forrester Research 的首席分析師，Forrester 出版的跟 Web 資安相關市場調查報告，都是出自她的研究。在加入 Forrester 之前，Dr. Wang 在卡內基美隆大學（Carnegie Mellon University）擔任助理教授，為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。在 CMU 期間，Chenxi 負責執行了上百萬美元預算的研究專案，包過與美國國防部以及美國國家科學基金會（National Science Foundation、NSF）的共同研究專案。Chenxi 也曾擔任美國聯邦貿易委員會（Federal Trade Comission、FTC）、HP、Emerson、Lucent 等單位的資安顧問。

Chenxi 為今年 2008 OWASP 美國年會的講師，並定期在各大資安會議演講，其言論與發表常被美國主流媒體引述，包含 New York Times / InfoWorld 等媒體。

Wayne Huang（黃耀文）—OWASP台灣分會主席、Armorize 阿碼科技（大會主席）
Wayne 為 OWASP 台灣分會會長，也是阿碼科技的創辦人兼執行長，對於推動台灣的資安社群，不遺餘力，在台灣舉辦 SySCAN、OWASP 亞洲年會等資安會議。

Wayne 是一位豐富經驗的資訊安全專家，專長領域包括，網路、系統及應用程式安全。Wayne 最為人所熟知的專長領域在網頁應用程式安全，並在全世界發表了許多相關主題的期刊論文。除此之外，Wayne 也時常受邀擔任全球安全會議的演講者，包含 RSA、OWASP、SySCAN、WWW、PHP 與 DSN 等。Wayne 同時也是阿碼科技在推動技術創新的重要推手。

Wayne 是第一位連續二年在國際全球資訊網路會議（WWW Conference）獲獎的作者，並且是 《 Web Application Security-Past，Present，and Future 》一書的共同作者。

Yen-ming Chen (YM Chen) —McAfee Foundstone
Yen-Ming 於 2000 年加入 Foundstone 顧問團隊，現職為 McAfee Foundstone 的 Director，帶領 Foundstone 團隊於美國各地執行各種資安專案。Yen-Ming並為 Foundstone「Ultimate Hacking」、「Ultimate Hacking Expert」、「Ultimate Web Hacking」、以及「Ultimate Hacking: Incident Response」等四門課的首席講師。在加入Foundstone之前，他在CMU網路安全中心，曾參與Snort開發，製造出第一個在磁片上的Snort sensor(PicoBSD)。是Hacking Exposed、Hacking Exposed for Web Application、Windows XP Professional Security及HackNotes: Web Application Security的四本書的共同作者。Yen-Ming 曾被 BBC 採訪，並經常於國際大型研討會擔任主要講師，其中包含 PacSec、HITB、HACK.LU、台灣駭客年會、CSI、MISTI、APAC 等會議。

Fyodor Yarochki—GuardInfo
Fyodor經常擔任各國際駭客年會之講師，包含Black Hat 2001 HK、Black Hat 2001 Singapore、Black Hat 2002、Ruxcon 2003、XCon 2003 / 2006、HITB 2004 / 2005、SyScan 2005 / 2008、Bellua 2005、VNSecurity 2007、DeepSec 2008等。他於頂尖資安學術會議與地下雜誌皆有重要文章發表，包含Usenix Conference與Phrack
Magazine（最具影響力之地下駭客雜誌）。Fyodor並為Snort最早的開發者之一，目前仍為Snort FAQ的維護者。Fyodor並為XProbe的創辦人。

PK
台灣鑑識一哥，論鑑識現場之經驗，屬台灣最具經驗之前輩之一。對於逆向工程、作業系統核心、活體鑑識技術等，皆有深入之研究；長期使用Soft Ice等鑑識工具，頗具心得。在中央警察大學資管所就讀期間，主攻電腦鑑識方面之研究，爾後於台灣電腦網路危機處理暨協調中心(TWCERT/CC)擔任電腦鑑識實務班講師，授課內容包含惡意軟體的靜態與動態分析、數位資料於法律上之證據力、事件處理時數位證據之取得與保存等。目前研究興趣包含數位鑑識工具與惡意程式偵測工具之開發。今年為SySCAN前瞻資安年會、HITCon講師。

邱銘彰 (aka "Birdman") —Armorize
阿碼科技X-Solve實驗室首席研究員。Birdman利用其所研發之Archon與HackAlert技術，長期監控亞洲所有網站被掛馬之情況，專長各種惡意程式分析，日中一食，堪稱是節能環保省碳型多才多藝的後現代資安人才。經常於OWASP Asia、SyScan 2008 TW、HITCon與其他研討會擔任講師。

余俊賢 （Jack）—Armorize
現任阿碼科技資安顧問與ASF專家團隊講師，曾擔任資安人雜誌主編。Jack對於亞洲之特殊攻擊型態，長期投入研究，專長為資安事件處理與電腦鑑識，擁有CISSP、BS 7799 LA、CEH 等資安證照。曾於OWASP Asia、SyScan 2008 TW、HIT Con 與其他研討會擔任講師。

林佳明 （Charmi Lin） —ICST
現任行政院國家資通安全會報技術服務中心(簡稱技服中心)工程師。Charmi主要的工作為協助政府機關處理各種資安事件，charmi經常參與政府機關受駭後的資安事件調查與進行電腦鑑識工作，對於目前台灣正面臨的組織型駭客攻擊有深刻的體會。擁有GCFA與 BS 7799 LA 證照。經常於資安人雜誌投稿相關資安技術文章。

Tim Bass—OWASP 泰國分會主席
前首席網路資安顧問，美國空軍總部。前首席網路顧問，美國國防部。前首席網路資安顧問，美國能源部。前 SWIFT 資安顧問。Tim 常擔任各資安會議 keynote。Tim 是 Unix Forums 的 Director。Blog：www.thecepblog.com。

Dhruv Soi—OWASP 印度年會主席、OWASP 印度分會主席
Dhruv 在多家公司任職弱點研究員與資安首席，包括 FCS Software Solutions、Momentum Technologies、iPolicy Networks、Fidelity Investments、Sopra Group等。

-- Wayne 敬上（email: wayne@owasp.org.tw）
OWASP 台灣分會會長

英國捷運卡又被破了

我不是 RFID 專家，我是做 Web security 的，有沒有 RFID 專家給些意見啊？我記得會議現場有很熟這方面的...

前幾天（18號）的新聞，看來英國捷運卡又被駭了，細節十月才會公布：


http://technology.newscientist.com/channel/tech/dn14358-academics-hack-londons-transport-payment-system.html?feedId=online-news_rss20

倫敦捷運的Oyster卡跟我們的捷運一樣，都是用荷蘭NXP的Mifare晶片的RFID卡（有興趣可以找Fyodor）。這次的研究是荷蘭Radboud University的教授Bart Jacobs做的；他們其實從年初就一直有這方面的發表：

http://www.myusbonly.com/cht/news_read.php?id=84

另外早在去年年底，Dave Evans的博班學生Karsten Nohl就公布過他破解Mifare的細節，最後當成論文發表在Usenix Security'08（論文接受了，會議還沒舉行，Jul 28-Aug 1）：

http://www.jeffersonswheel.org/?p=59

Usenix Security會真是越來越有看頭了，Google讓惡意程式一炮而紅的鬼魂論文也是投到這裡，可惜我都沒時間去，台灣每年不少人去，今年有去的blog一下吧！

題外話，Dave Evans是security源碼檢測始祖工具splint（開放源碼）的發明人，因為他們2004年時做PHP的動態弱點防護，測試資料是我們給的，所以去年原本我有意思邀他來演講，但是他說最近比較沒有在做Web方面的了 :(

回到主題，我覺得有意思的是，NXP從一開始不承認，到承認但否定嚴重性，到這則新聞裡，談到這樣將細節公開對社會的負面影響，讓我想到最近各地駭客年會上，vulnerability disclosure的模式仍是很熱門的題目：

http://www.ee.oulu.fi/research/ouspg/sage/disclosure-tracking/index.html

如果去年有來OWASP的朋友，上面link裡頭也有收錄Jeremiah的文章：

http://jeremiahgrossman.blogspot.com/2007/01/disclosure-ready-or-not.html

漏洞找到後該如何公開？有什麼法律責任？像我們做源碼檢測的廠商，因為用大量的開放源碼當作測試資料，公司裡可說是0day滿天飛，但是想到要如何公布，就是令人頭痛的問題。

就這次的新聞來說，NXP質疑這樣直接並詳細的公開會「傷害NXP的客戶並讓駭客更容易盜用大眾捷運系統」，但是法院是認定Karsten的公開是合理合法的：

"But the court ruled that the university's right to publish was part of the freedom of speech and that the publication of scientific research on the chip's faults could help to take appropriate countermeasures."

最酷的是下面這句：

"Damage to NXP is not the result of the publication of the article, but of the production and sale of a chip that appears to have shortcomings," the court said.

「NXP的損失是起因於製造並販賣有漏洞的產品，不是起因於此論文之發表」
;-)

大會照片

直接前往相簿

前往相簿

SyScan所有工作同仁感謝各位對大會的支持！

各位好，

SyScan全體工作同仁感謝每一位來參加SyScan的黑白帽朋友，感謝你們對於大會的支持！

之前有跟我聊過的朋友都知道，由於會議內容很專業，原先我們估計不會有超過一百人參加。結果我們在350人時喊停，當天看到一些朋友希望現場報名，我們讓出工作人員的十個位子，使大會總共有360人參與，這是我們完全沒想到的。

我們拍了一些高解析度照片在：

http://picasaweb.google.com/wayne.armorize/SyScanTaiwan

也謝謝大家都幫我們填問卷為我們與講師打成績，這對我們實在太重要了。

講師講義的部分，我們會盡量在下星期追齊，並email帳號密碼給各位。如果有什麼需要，歡迎直接email我：wayne在armorize點com。

再次感謝各位，我們明年見！

SyScan08 Photos

講師的訪問 第二回：世界越來越安全，還是不安全？

我立志不論多忙每天都要翻一些，呼！昨天竟然跟美國conference call到一半睡著，可憐！

原始問題：With so many experiences and years in security research, where do you see security, in general, is heading today? Are we getting more secure, or insecure?

Adam Laurie:

很遺憾的，我必須說我們越來越不安全。這一方面是單純從量來看，現在我們接觸的科技（technology）太多了，每一種新的科技都會帶來新的資安問題；另一方面則是這些科技被商業上採用的速度。由於需要很快在商場上使用，每每資安的環節變成是最不重要的考量，常常是最後時刻才加上去的，也常常沒有經過仔細的思考，而事實上，資安機制應該是設計私人資訊系統（personal information systems）或付費系統時最重要的考量。

Internet上執法困難，每天高量的攻擊，數不完的弱點，跨管轄區域的不法行為，政府贊助的駭客團體，botnets以及靠botnets所支撐的地下經濟，SPAM，病毒，惡意程式，身份竊盜，釣魚，信用卡偽造，以及電子恐怖（cyber terrorism）對於基礎建設所帶來的威脅，再再都顯示，未來的危險重重。

除非我們目前偵測與防範資安問題的作法有超大幅的改變，我看不出情勢會有好轉的可能。

另一個嚴重的問題是，法律目前被扭曲以便讓有爛資安產品（poor security products）的廠商能夠獲利。另外，用法律禁止「逆向工程」（reverse-engineering）、駭客（hacking）、以及弱點的公布（disclosure）等，最後只會讓情勢惡化，而不會有任和幫助。因為這些法律，只會讓合法的資安研究員害怕去研究目前科技的漏洞，也害怕去公開這些漏洞，這樣的結果，就是這些漏洞會一直存在，讓那些台面下的不法份子持續利用。


Matt Conover (shok):

哈，這是一個很棒的問題。這個世界現在比以前都依賴電腦和Internet了。當然這確保我們資安研究員都會有飯吃（資安研究永遠需要），但是其實這有很負面的影響。今天我看到兩個極端負面的現象：

一、越來越多的駭客行為的動機是源自於利益。Internet已經變成一個非常恐怖的世界了。一般的Internet使用者，隨時都被釣魚或其他詐騙手法轟炸，要偷他們的銀行、eBay、或PayPal帳號。同樣嚴重的事，使用者被暴露在充滿惡意網站的環境，惡意的網站，惡意的廣告，或者原本合法善意的網站，但是被駭入並植入了惡意的網馬（掛馬）。

這些被植入的網站，會悄悄地設法在訪客的系統中安裝惡意程式，偷竊個人資料或把訪客的電腦變成僵屍網路的成員。駭客越來越先進了，有錢能使鬼推磨，所以我覺得資安界還有很長的路要走。

二、資安研究越來越被泛政治化。我們這行的一些行為現在竟然被認為是違法的了（美國的DMCA，在德國攜帶攻擊程式屬犯法，在法國使用加密軟體犯法...）。國與國之間常常控告對方國家執行駭客攻擊行為（俄羅斯 vs. 愛沙尼亞，中國 vs. 美國/德國...）。我擔心在網路世界（cyberspace）裡會開始發展出冷戰效應。對於我這個從青少年就因為純興趣而開始入行的資安研究員來說，這些改變讓我心寒。

Rich Smith:

資安範圍很大，這個問題不容易做整體性的回答。但是隨著我們日益依賴科技，科技濫用所導致的危險也隨之提升。無可置疑的，對於科技所帶來的危險，今天我們比往前要了解得多。只要我們保有開放的資安議題討論環境可以讓我們很公開的、真實的討論資安的種種議題（例如SyScan），那我覺得我們就會一直有進步。科技進步多快速，相對的資安問題的產生也就會有多快速，因為資安問題與新的科技是結合在一起的。所以我們越快知道一個科技的弱點，我們就能夠越早停止向現在這樣，把資安當作是事後彌補的事情，而在設計階段就加入資安的考量。

這是我看到目前我們面臨的最大挑戰，我們必須認識，資安是發展科技所必須付出的代價，資安不是我們事後靠一些解決方案就可以很便宜的彌補的。

Fyodor Yarochkin:

我對於整個資安大環境並不是很樂觀。隨著越來越多新的科技產生，而越來越少人真的懂資安，整個情勢一定是越來越糟的。尤其是大公司的目的不見得是「讓明天會更好」，加上龐大（龐...
大！！）的地下經濟的起飛：攻擊程式的買賣，惡意程式植入服務，僵屍網路的租賃服務...等等。

我個人意見，目前資安世界很有趣，可是說是兩個極端的面向。一方面，我們有光鮮亮麗的資安產業，有著好多漂亮的防火牆，入侵偵測系統，生物識別系統等等，但是另一方面，我們有著黑暗的地下面--使用者都是僵屍網路的一員，在他們的電腦上執行著僵屍或惡意程式；市場上什麼都可以用錢買到，政府的監控，非法的資安研究...；被入侵的企業打死不會承認...

講師的訪問 第一回：亞洲與歐美的資安會議比較

各位好！

因為大家對於本次外籍的講師很陌生，會議前訪問了他們，我挑一些他們的回答翻譯出來，跟各位分享。

大概會有六回左右，我有空時慢慢翻。

問：今年SyScan來到了台灣跟香港，你的看法如何？你覺得什麼樣的會是最酷的會？亞洲的會議，如SyScan、VNSECon、HITB等，你覺得如何？好的資安會議要有什麼樣的要素？

Adam Laurie：

亞洲的會議中，SyScan一直是我的最愛，因為他讓我可以離開歐洲跟美國，我大部分會議的時間都花在這兩個地方。SyScan也是照顧講師照顧得最好的會議。什麼要素構成好的資安會議？當然是內容，因為大家終究還是因為內容才來的...SyScan一直有最好的講師陣容，所以我能夠看到很多東西，學到很多，也認識到很多來自世界各地的頂尖資安專家。這一切讓我覺得參與SyScan是值得的。

但是我當然永遠會更喜歡 DEFCON 跟 BlckHat，因為我創立並參與這兩個會的工作至今超過十年了。另外這兩個會議的規模也比較大。

Matt Conover (Shok):

SyScan擴大了我很高興，SyScan是很好的會議，我已經參加了三次還是四次了。Thomas很好的主辦人，他會安排得很好讓講師很省事。至於其他亞洲的會議如POC、VNSECon、HITB、以及PacSec...我也希望以後能參加到。但是我如果全部都參加了我大概會因為正事都沒做而被公司開除吧！ :)

無論如何，亞洲各國都有這些好的資安會議真的很棒，這些會議會培育下一代的資安專家，幫助他們永遠都有最新的資安知識與點子，並建立一個全球性的社群，我們大家可以隨時彼此聯絡並交換意見。這一點是我很喜歡的。我希望世界不要有冷戰的觀念，大家能多交流。

Rick Smith:

我覺得資安會議的擴張是非常好的，這樣更多的人能夠獲得最新的資安知識。我一直認為最好的防禦是從了解攻擊開始的，不懂得攻擊方法，要如何防禦？直於最酷的資安會議，這題很難！我在世界各地的資安會議都有演講，我覺得他們每個都有不同的好處。他們在世界各地舉辦，這表示我能接觸到世界各地的資安社群，大家成為一個全球的社群，這對我是無價的，也幫助我在 HP 的研究。小的會議，例如在維也納的 DeppSec 或者在英國的 BrumCon，可以跟小群人有很深入的討論；大型的會議如 BlackHat 跟 DEFCON 很有價值因為規模很大，同時有很多不同的主題可以選擇。這次參加SyScan，使我第一次來到亞洲，我很期待聽到亞洲講師的演講，並學到新的東西。

Fyodor Yarochkin:

我覺得台灣的資安社群似乎不是很國際化（non-internations），對於跟國外的資安社群交流似乎不是很有興趣。我不知道這是語言的或心裡障礙。還有這邊似乎大家比較不願意分享自己的研究，大家都想要有自己的團體，自己的project，自己的技術...但是分享是駭客文化中很重要的元素。

講師Fyodor：我將公開適合台灣使用的RFID駭客工具

BlackHat / DefCon 創辦人之一的Adam Laurie將擔任本會講師，公開他的RFID駭客工具。來自俄羅斯的Fydor，也將在本會上公開的他最近研發的私房RFID駭客工具。

Adam所用的RFID讀卡機（reader）是在歐洲買的，走PC/SC規格，但是這種讀卡機在台灣比較難買到。Fyodor所使用的是我們台灣本地製造的讀卡機，走的是GIGA-TMS規格。這種讀卡機跟PC通訊所用的是GNetPlus協定。Fyodor寫了自己的工具可以暴力法解MIFARE卡的key--台灣很多卡都是用MIFARE，例如我們的捷運就是。很多購物中心/百貨公司的集點卡也都是。

Fyodor會當場用台灣的某某卡做示範。

最後報告到場的長官們，這種示範在 BlackHat/DEFCON 很常見，沒有像 Adam 那樣拿護照來直接試，已經非常乖了 :)

在 Adam 前面講 RFID，如果沒帶點實際的 demo，豈不遜爆了？

至於Adam 的工具請參考：

http://eecue.com/log_archive/eecue-log-726-Black_Hat_2007___Day_2___Adam_Laurie.html

http://rfidiot.org

CNET: 亞洲資安大會將首度來台 揭最新攻擊手法

http://www.zdnet.com.tw/news/software/0,2000085678,20130365,00.htm

ZDNet記者馬培治／台北報導 2008/07/02 20:10:04

以亞洲地區資訊安全議題為核心的資安大會SyScan，下週(7/7)將首次來台舉辦兩天，來自歐美等地的資安專家將齊聚，介紹最新的攻擊手法。
過去只在新加坡舉辦的亞洲前瞻資安技術年會(Symposium on Security for Asia Network)，今年將首度來台舉辦分會，會中將有來自賽門鐵克、HP、COSEINC等國際知名資安公司派出的資深研究員發表最新攻擊手法與漏洞，與本地資安研究社群進行交流。

曾因利用飯店電視駭入客房資訊系統而聞名的專業駭客Adam Laurie便將首次造訪台灣，發表他近年來關注的RFID安全漏洞。Laurie在電子郵件專訪中表示，廣受歡迎的RFID應用雖然方便，但採用者卻未正視其安全問題。他舉例道，許多RFID方案被用在錯誤的方法上，例如門禁管理，便是誤把作為身份辨識功能的標籤拿來當作認證標籤，「多數標籤很容易複製，若沒有密碼等第二層認證系統來把關，把RFID用在認證上其實並不安全，」Laurie說。

而台灣眾多的硬體設備廠商可能會相當關心HP系統安全實驗室研究員Richard Smith將發表的、針對嵌入式系統發動的永久性阻斷服務攻擊(Permanent Denial of Service, PDOS)。

Smith在電子郵件訪問中表示，可透過連網進行flash記憶體上的軔體遠端更新的嵌入式設備，都可能存在PDOS漏洞，讓駭客利用遠端更新機制來破壞其flash記憶體，造成設備無法使用。

而賽門鐵克研究實驗室首席工程師Matthew Conover則將介紹該公司最新研發、用來觀察rootkit行為的沙盒(sandbox)技術，可限制惡意程式的行為僅在sandbox環境中執行，他並將在大會上首次展示該技術。

負責籌辦本次台灣SyScan的阿碼科技執行長黃耀文表示，台灣地區有相當活躍的資安研究社群，但一直以來缺乏與國際級資安專家互動的機會，透過引進SyScan至台灣舉辦，將有助於促進跨國資安研究社群的對話，「台灣的研究人員或許沒辦法去歐美參加BlackHat、DefCon等盛會，但也有機會聽到同等級講者的經驗，」他說。

場地坐不下，從401換到201

大家好！
感謝各界這麼踴躍的報名，目前已經超過三百人，401坐不下，我們換到更好更大的會議室201，煩請大家幫忙轉告。

201就是OWASP使用的那間，但是我們這次會限制在350人以內，故每個人都會有桌子，會比OWASP舒服很多，OWASP那時坐了650人，太多了一些。

當初我們決定辦SyScan，是因為真的有太多朋友表達希望我們辦這樣的活動，但是由於內容非常專業，內部當初估計不會有超過一百人。

沒想到大家這麼支持我們，工作人員都非常開心，在這邊感謝大家！我們一定盡全力把活動辦好！

2008/06/30 資安人雜誌專訪 Matt Conover (shok)

我覺得參加會議前，先認識講師很重要。台灣的講師大家都比較熟，國外的大家比較陌生些，感謝資安人雜誌的專訪！

「過去一年以來 在個人研究領域上的轉變有很大的原因是，惡意軟體每年的增長速率已經快要趕上天文數字，以病毒碼或特徵值作為依據的廠商感受到很大的壓力，...」

「對我個人而言，目前研究如何偵測及移除rootkit是一個很現實的問題，像是之前Peacomm、Rustock、 Mebroot這些有rootkit功能的惡意程式，Mebroot是隱藏在MBR開機區的rootkit，...」

「所以，亞洲的資安問題肯定與全世界是有所差異的。而且在資安社群(info-security community)應該是有存在沒有經常交流溝通的事實，在亞洲很有名的資安專家或駭客，到了西方國家似乎就沒這麼有名，...」

「雖然亞洲與東歐地區在資安"黑市" 似乎發展蓬勃，許多複雜的惡意程式及rootkit都是出自亞洲地區，原因可能是因為沒有足夠的法律約束以及合法的資安企業來雇用這些高手，讓他在正確的地方發揮...」

http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=4480

新增「SQL注入紀念版」桌布下載

各種解析度都有：

http://picasaweb.google.co.uk/wayne.armorize/SyScan08_Goodies2


Thanks Fyodor for your hand drawing and Joe for the designs!

TShirt決定了！

各位好，

我終於從印度回來了，感謝各位踴躍的投票！由於票數實在太接近了，如果把武士的黑白加起來，是31票，台灣駭客則是24票，故大會決定，還是不顧預算考量，印兩面好了！

所以最終大會的Tshirt就是前面是台灣駭客的設計，後面則是武士設計，又稱大規模SQL注入紀念衫：

http://picasaweb.google.co.uk/wayne.armorize/SyScan08_Tshirt

希望大家會喜歡，這邊也再次敘述設計概念：

前面是台灣駭客的設計，畢竟大會比較像駭客的會議。由於深處戰場中心，長年出生入死，台灣的駭客跟資安專家都很厲害的，可惜大都臥虎藏龍，只出沒於特殊場合與cyber space中。

後面是「大規模SQL注入紀念衫」。此設計文字部分是今年發生的大規模sql injection事件，由於是有史以來第一次如此大規模且持久之事件，加上戰場主要以亞洲為主，故為今年至目前為止最具「紀念性」之事件。

武士則代表此次前所未有之大規模攻擊，在台灣眾多在各行各業工做的資安高手的努力下，終於還是被控制住，沒有造成太大的傷亡。重高手在經過此次事件之洗禮後，功力再上一層，以後西方得要到東方取經了，可惜舞林密籍，似乎都是私房獨傳，還好有本年會，可以吸引高手現身！

最後感謝幫我們手繪Tshirt的講師，俄國來的大駭客Fyodor，以及幫我們後製作的Joe！

請幫忙投票 tshirt！

Hi！
請各位幫忙投票一下 tshirt！
都是Fyodor和工作團隊一起設計出來的，其中劍客的那兩個設計（TShirt A/B），文字部分是今年發生的大規模sql injection事件，由於是有史以來第一次如此大規模且持久之事件，加上戰場主要以亞洲為主，故為今年至目前為止最具「紀念性」之事件 :)

台灣的設計（Tshirt C）則是比較像hacking tshirt啦！

至於為何不兩個都印，印兩面，因為成本考量，會場只有220個位子，全部做滿大會還有35萬資金缺口 :P

Tshirt 高解析度設計圖：
http://picasaweb.google.co.uk/wayne.armorize/SyScan08_Tshirt

ps: 事件連結：
http://www.pcworld.com/businesscenter/article/146048/mass_sql_injection_attack_targets_chinese_web_sites.html
http://www.ithome.com.tw/itadm/article.php?c=49121

新增會議桌布下載

新增高解析度會議桌布下載，請見右側或至：

http://picasaweb.google.com/wayne.armorize/Syscan08_goodies

手繪為此次講師Fyodor的作品，希望大家喜歡！後製作為Armorize Joe，thanks Joe！

你希望邀到哪些講師？

台灣的、中國的、外國的、外星的....？誰是你的偶像？