創意駭客訓練:為提升IoT安全意識而設的真人密室逃脫遊戲

一直以來,駭客的訓練都需要通過模擬器又或者尋找真實的目標來進行,不過最近於台灣舉行的 HITCON CMT 便針對資安防禦而推出多種解迷活動,其中最令人眼前一亮的就是駭客實境解密遊戲,名為 HITCON Hackdoor,目標是希望參加者能加強對物聯網 (IoT) 的安全意識。

駭客逃脫遊戲
Hackdoor 的故事發生在一間公司之中,這家公司本身正在從事不法活動,然而由於手法太過厲害,因此一直以來都無法破案!而為了將不法份子繩之於法,調查人員不得不委派具備專業駭客技術的臥底作調查,而參加者作為臥底的角色,在遊戲之中需要通過採用不同的駭客技術破解並獲取線索,最終完成挑戰!

遊戲需要八位參加者共同參與,參加者需要破解六大謎團,遊戲在7月順利舉行,我們找來親身參與了此遊戲的朋友了解當中有趣的地方。參加遊戲的朋友團隊在遊戲中成功破解其中兩個謎團,而第一個謎團隱藏在一張小紙條之中。要破解第一個謎團,首先要夠細心!

第一個謎團的線索隱藏在一個擁有四張並排辦公桌的公司之中,而在辦公桌上則分別放置了一個紫外光燈、一些空白的紙條,驟看之下,這只不過是一個平凡的辦公室,但細心查看後,最終發現紙條之中原來載有以隱形墨水隱藏的文字,在使用紫外光燈掃描後便發現了一個 rainbow 的字眼,這是一個重要的線索,而最終隊友通過線索找尋手機應用並成功 Hack 出所需的答案。

關閉監控繼續遊戲
找出了所需答案後,下一步需要關閉監控系統,由於監控系統啟動將嚴重阻礎調查,因此需要急切的處理並關閉現場的 IP Cam。第二個謎團最主要圍繞著 IP Cam、電腦熒幕以及鍵盤。剛到達現場時,IP Cam 是直接對著熒幕進行實時錄影的,而當我們嘗試以鍵盤關閉 IP Cam 時,更發現鍵盤原來是鎖死的,因此在關閉 IP Cam 前,需要破解以取得鍵盤控制權。

最終調查後發現,原來整個系統是採用了 MD5 加密的密碼進行鎖定,因此第一步先以 JSON 找出以 MD5 加密的管理員密碼,接著再利用網上的 MD5 工具以破解 MD5,如是者便可以直接以管理員身份登入系統並最終成功關閉 IP Cam。

除了這兩個場境之外,還有門禁系統破解、入侵無線連網設備、手機密碼檔破解、破解無線網路 WiFi,而最終參加朋友的隊伍取得了第三名。

提升物聯網安全意識
看過了上述的介紹後,是否覺得十分吸引呢!其實台灣在 IT 技術上一直在亞洲都處於相對領先位置,就以今次極具創意的駭客解謎為例,短期內都應該無法在香港發生。其實有關方面希望透過是次活動,增加資安人員對於日常物聯網裝置安全性的關注,同時亦希望帶領資安人員接觸物聯網,從中增加他們對物聯網安全的意識。