TDOHacker 2014-09月 北區聚 聚會記錄

九月十四日,北區聚

在我們免費幫趨勢打廣告(X)播放微電影[1]後,由我們那無比熟悉的 hrj 白(X)黑(O)客開場[2]

本月,我們邀請到資安界老前輩 - OX 前輩來和我們分享他個人的成為駭客的經歷![3]

首先,適合唱伍佰的歌 OX 前輩簡略地介紹了一下自己的學歷以及工作,後來提到做惡意族群整理分析,因為惡意程式不分不分國界 24hr 的來,又因為各國得時差,隨時都會被叫起來,雖然很累但是當真正做到後期會很有成就感,還是會很累,但可以看到世界上許多正在發生的事情

後來提到了他那「古代小算盤成就」首先從隔壁學長下手,替換 Login 程式拿到密碼,再來拿下實驗室、系上電腦,到兩個系所 GG 最後全校搞定,再來又繼續向外擴散把附近的學校也拿下了(雖然有踢到鐵板)到把全台都拿下來了,後來開始攻陷美國,直到逛一逛不小心誤處地雷,就在收到論文口試通知的同時收到 FBI 傳票 XD

OX 大有一個夢想,一個駭客夢「希望大家都當駭客,不當害客」
所以接下來就來介紹要如何成為一個駭客!
要成為一個駭客「不是多點人來敲鍵盤就可以解決問題」駭客思維很重要

當然,也有些好的影片、電影可以學習到正確的資訊,更有很多好的網站[4]可以使用

更何況身為駭客,絕對不會去硬碰硬,就算密碼再怎麼複雜,有規則還是很好撰寫字典檔去破,更何況弱密碼。
至於想要的東西,網路上都有!不管是攻擊套件(Y)害客工具(Y)漏洞資訊(Y)肉雞分佈(Y)這年頭「按一個賤,就變害客了」!

最後 OX 大表示「只要有心,人人都是駭客」,網路上的資料很多, 保證看不完,但是不要只看,趕快自己架設練練,基礎也得學好,我們最大的優勢就在於「年輕就是本錢」

在結束之前,提到 heartbleed 危害,像是當初 clodflare 鐵齒慘賠 3000w、各大網站都中招等等
然後跟學員介紹一下駭客的出路有:進資安公司(其他公司拿錢捧者請你打他)、自己創業、跟黑幫結盟(極度不建議啊 XD)、進檢調單位、當大學教授

謝謝 OX 大大精彩絕倫的分享,接下來又到了大家期待的點心時間,我們休息一下來看看點心的照片吧!

現在大家看點新照片因該也飽了,我們趕快開始下半場,有請 OX 大大從 kernel bug 下手來分析目前手機裝置的安全性[5]

一開始先簡介一下手機的歷史,之後提到 Android 的 apk,因為是使用 Java 所以手機很好玩、後門很好寫,只要把 apk 拆開改一改再包回去就行了,並提到在一些開放源碼的專案裡面埋後門,因為一個大行專案,不可能一直有人去 review,所以說在 source code 裡埋後門乃未來趨勢

接下來介紹 Android 架構以及一些有趣值得研究常出現漏洞 bug 的地方像是:網路存取安全、電源管理模組,以及最容易出問題的 wake lock,以及在 bug 修復食會用到的 adb
也可以從 linux 核心層、系統執行階段層等地方下手

另外 OX 大也提醒看網站要小心,因為很多是轉載,所以有時候 Google 一下就可以找到原帖,如果是看書就比較沒關係,因為書要出版,都會有人去校稿所以錯誤就比較少

之後介紹系統開機程序以及如何分析手機 APP,因為是 Java 撰寫,所以可以直接逆回 Class 來看,也可以從轉換的 dex 文件下手,那就算是有混淆過也能從執行中間 dalvik 中間碼 smali code 來逆推,另外,查看 mainfest、分析字串也是可以下手的部分

由於投影片太過精彩,超過三百多頁,來不及講完,就請同學回去自己看看慢慢研究研囉!

下次北區聚,也歡迎沒來過的同學來參加看看喔![6]

註:
[1] 《2020》網路危機系列短片
[2] TDOH 2014-9月北區聚
[3] 我的駭客夢/駭客的出路
[4] Shodan
[5] Android 系統概論
[6] 10 月北區聚報名網址