deephoe
2008-10-07, 06:08 PM
轉貼自:http://www.owasp.org.tw/blog
首先感謝大家對於去年的「第一屆 OWASP 亞洲官方年會」 (http://www.owasp.org/index.php/OWASP_AppSec_Asia_2007)的支持,讓我們全場 650 個位子座無虛席!
http://www.owasp.org/images/f/f3/MG_0476.jpg
2008 OWASP 亞洲年會今年議程終於出爐了,由一天改成兩天(10/27~28),先簡單公布如下:
http://openwaves.net/images/chinese_blog/OWASP_AppSec_2008/Chinese_Agenda.jpg
交通資訊請見:http://www.thcc.net.tw/othstraffic.html
今在籌辦第二屆 OWASP 官方亞洲年會時,心中感觸特別多。OWASP 亞洲年會,都是由我們向贊助單位籌資金,然後想辦法邀到好的講師來演講。亞洲距離歐美很遠,飛來一趟要花很多時間,使得整個活動的籌辦,不但籌資金困難,邀頂尖的講師更是難上加難。同時,我們希望今年能夠達到:
1. 對於最新的 Web 攻擊手法,有深入的技術性探討,讓使用者也讓廠商能了解新的攻擊趨勢。
2. 對於防守的策略,能找到在技術上有深度,並且不帶廠商色彩的講師,對於各方面的技術,如滲透測試、黑箱或 WAF 等,都能涵蓋。
3. 站在廠商的角度,對於整個資安產業的趨勢,站在使用者的角度,對於各種技術的比較,能有具公信力的資深產業分析師來探討。
4. 對於透過 Web 的網路犯罪,能有資深的檢調單位代表來分享經驗。
5. 講師方面,希望仍有一半是外籍講師,並希望盡量是在 OWASP 其他年會演講過之講師,因為 OWASP 亞洲年會在建立的初期,需要他們來帶入 OWASP 應有的文化。
要達到以上五點,真的非常不容易,也感謝全體工作人員的努力。今年,第二屆OWASP官方亞洲年會「OWASP AppSec Asia 2008」日期與講師已經確定,會有專業同步翻譯(口譯),會有 T-shirt,也會對政府單位發正式的公文,但是由於時間緊迫,先跟各位告知。我們很感謝資策會 (http://www.iii.org.tw)與中華民國資訊軟體協會 (http://web.cisanet.org.tw)能贊助我們,也感謝資安人雜誌 (http://www.informationsecurity.com.tw)能當我們的協辦媒體,讓活動能成行。大會目前還缺贊助單位,如有興趣可與我聯絡,另外只有 650 個位子,報名從速,我們這麼辛苦的準備,希望在會場能見到您!這只是一個初步的快速通知,之後會有正式的網頁,請各位隨時留意 OWASP 台灣分會官網 (http://www.owasp.org/index.php/Taiwan) 以及訂閱 OWASP 台灣分會部落格 (http://www.owasp.org.tw/blog)。今年的外籍講師共有九位(美國四位,歐洲一位,印度兩位,泰國一位,俄國一位),其中為剛結束的 2008 OWASP 美國年會 (http://www.owasp.org/index.php/OWASP_NYC_AppSec_2008_Conference) 的講師有四位,2008 OWASP 歐洲年會 (http://www.owasp.org/index.php/OWASP_EU_Summit_2008)講師有兩位,2008 OWASP 印度年會 (https://www.owasp.org/index.php/OWASP_AppSec_India_Conference_2008)講師有一位,有幾位同時為美國駭客年會 Black Hat / DEFCON 講師,其中也包括了 OWASP印度分會會長,OWASP孟買分會代表,OWASP德國分會代表,OWASP泰國分會會長。
今年的重頭戲,當然是 Robert 在今年 2008 OWASP 美國年會 (http://www.owasp.org/index.php/OWASP_NYC_AppSec_2008_Conference)的演講被禁講(ITHome 報導 (http://www.ithome.com.tw/itadm/article.php?c=51136)、阿碼報導 (http://armorize-cht.blogspot.com/2008/09/web-jeremiah-rsnake-owasp.html))的演講,會在台北做全球首度的公開演說。英國最大 IT 媒體The Register 以「Adobe 禁止 Clickjacking 弱點的公開 (http://www.theregister.co.uk/2008/09/16/critical_vulnerability_demo_pulled)」大幅報導此事,RSnake 則說,原本他們覺得是一場很好的演講,但是因為漏洞像滾雪球一樣,一個漏洞導致另一個漏洞,牽涉到一個接一個廠商,導致整個弱點的嚴重性不只是嚴重,而是超級嚴重所以兩個講師決定必須等所有牽涉其中的廠商都有一定的時間反映後,才適合做揭露。我覺得這一場的重點並不光在於他要探討的 0-day 漏洞,而更在於大家對於目前 Web 的基本運作原理,以攻擊手法的了解。這些知識如果基礎打穩,在檢視自己或客戶的網站安全時,便能很容易的運用有限的時間,找到重點問題,並予以修復。駭客找漏洞,其實有很規則的思路可尋,了解這種思路後,我們一樣能一眼看出漏洞所在。
在其他種威脅方面,來自亞洲區的研究,OWASP 泰國分會會長 Tim Bass 將會講一場「Web proxy 造成的資安威脅:以近日 Google Docs 0-day 為例」,台灣方面林佳明將講一場:「修改密碼無效!駭客還是在收取您的電子郵件!」
資安挑戰的整體敘述,將由 Forrester 的首席分析師 Chenxi Wang 博士 (http://www.forrester.com/rb/analyst/chenxi_wang)來擔綱。Chenxi 曾在卡內基美隆大學(Carnegie Mellon University)擔任助理教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。目前 Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。Chenxi 並會探討黑箱、白箱、WAF在技術上以及在資安投資報酬率上的差別。Chenxi 寫的幾篇對於黑箱、白箱與 WAF 的產業報告,是目前全球業界引用的重點。至少在 WAF 的市場規模方面,我只記得他的報告有確切的數字,Gartner 與 IDC 似乎都沒有,所以至少我自己參考以及我碰到的諸多廠商與投資人參考的,都是她的那篇。如果您是資安市場分析師或投資人,那您一定要撥空來!如果您是資安廠商而希望能對她公布的資料、數據與論點有意見,也歡迎前來與她當面交換!
滲透測試手法方面,有 RSnake、KK、Dhruv、YM 以及 Fyodor 五位講師,其中 KK 與 Dhruv 來自印度,KK是印度最有名的滲透測試公司 NII Consulting (http://www.niiconsulting.com) 的創辦人兼總經理,曾經擔任 Black Hat、Interop、IT Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。滲透測試的發展已經由技術導向轉變為商業導向,在預算緊縮的今天,如何有效運用時間,以最低的成本,找到最重要的漏洞?這就需要以客戶在商業營運上的風險面向為基礎,來建立相對應的滲透測試項目,例如現今企業面對的商業間諜(corporate espionage)、金融詐騙(financial fraud)等威脅嚴重,因此就需要有對應的滲透測試情境,如社交工程攻擊(social engineering)、實體安全演練等,才能提供更有價值的商業導向滲透測試服務。
為何我選了兩位來自印度的講師來講滲透測試?我在印度聽過 KK 的課,也看過印度大大小小的滲透測試團隊實際上執行專案的情形。我的看法是,印度以軟體產業立國,但是並不是一開始就能從專業的軟體開發案獲利。就如同我們以電子製造業起飛,但是我們是慢慢由做勞力密集的聖誕燈泡,到做收音機,到做 PC 、筆電、手機,慢慢從勞力密集轉而能獨立研發。印度也一樣,軟體產業發展的初期,很依賴勞力密集的軟體測試。所以對於軟體測試的方法論,流程,執行,測試環境的設計,測試資料的建立,到與客戶的溝通,專案的執行等,非常的有經驗,因為這是他們的本行!滲透測試的技術研究,不計成本,目的在找到漏洞,這個歐美的研究員做得很好。可是商業滲透測試,講的是如何有效運用預算,了解客戶需求,達到最大效果,在這方面,印度的軟體測試產業行之有年,商業模式很成熟,我相信他們的經驗會對各位有幫助。
滲透測試與其他顧問服務,在美國又是如何進行的呢?McAfee Foundstone 是美國前幾大專門的資安顧問公司,陳彥銘自 CMU 畢業之後,就加入了 Foundstone 至今,已經是資深的 Director,帶領 Foundstone 團對於美國各地進行滲透測試、顧問服務與教育訓練。他將以「我在 Foundstone 的日子:Web 威脅與防禦實例」,與各位分享他的經驗。
在台灣的滲透測試方面,來自俄羅斯的 Fyodor 長期於台灣進行滲透測試,他將以一場「網站被駭的真實故事集」,探討這許多年來,他在台灣看到的種種真實故事,讓各位直接接觸這些造成嚴重損失的 Web 漏洞--很多漏洞看了會心一笑,原來這樣設計也會有漏洞。攻擊方法並不難,但是簡單的錯誤卻會造成嚴重的損失。
Web 防火牆 WAF 方面,我選擇跟跟今年美國年會、歐洲年會一樣,由德國 OWASP 分會的 Alex Meisel 來負責。Alex Meisel 上個月在美國年會,以及之前在今年歐洲年會,以德國分會的名義,發表了一篇 whitepaper:「Web 防火牆(WAF)最佳實務指引」(Best Practices Guide: Web Application Firewalls (http://www.owasp.org/index.php/Best_Practices:_Web_Application_Firewalls)),很受大家肯定,如果您目前正困擾 WAF 該如何選擇,歡迎來與 Alex 探討!
網站掛馬方面,全球最有權威性的組織之一,就是 ShadowServer Foundation (http://www.shadowserver.org/wiki) 了。ShadowServer Foundation (http://www.shadowserver.org/wiki) 長期監控全球僵屍網路(botnet)與網站掛馬,擁有豐富資料,堪稱美國此方面研究最深入之組織之一。今年的美國年會,找了 ShadowServer Foundation (http://www.shadowserver.org/wiki) 的重要成員 Steven Adair 來擔任這方面的講師,我也非常努力的邀到他來台灣與各位互動。如果有需要與 ShadowServer Foundation 交換情報與研究資料的單位,請與我聯絡!
對於亞洲區網站掛馬的研究,邱銘彰一向是大家很肯定的研究員之一,他也是各會議爭相邀請的講師。我跟他從不認識到認識到變成朋友到變成同事,也從他身上學到不少寶貴的知識。我們將一起公開一份我們最新的掛馬研究,是我們先用英文寫完,然後也翻成中文的,努力了半年,留在 OWASP 亞洲年會發表。我們將探討目前掛馬的工具與手法,仔細研究各種惡意 javascript 的寫法以及變形、加殼與資料隱藏的技術,並與各位討論為何惡意 javascript 這麼難偵測。由於我長期研究動態與靜態分析技術,我也會探討這兩種技術應用於網站掛馬偵測時的優劣。
對於亞洲利用 Web 攻擊的犯罪手法與事件分析,則由 PK 與 Jack 來負責講「網路犯罪研究與五千萬筆個資外洩事件調查建議」。很多圈內朋友稱 PK 為「台灣鑑識一哥」,Jack 則也多年研究網路攻擊於軍事上之應用,希望他們一起的演講,能讓各位對於層出不窮的 Web 網路犯罪,有更深入的了解。
最後,基本上,各地的 OWASP年會希望達到以下目的:
1. 由年會選出來的頂尖講師,對於最新的攻擊方法,防禦技術,以及客戶的成功案例,提供最新資訊與經驗分享。
2. 對於各界資安人士,包含各國OWASP成員,業界資安主管及IT從業人員,各國政府、軍方及情治單位,以及投入資安市場之廠商、代理商、系統整合商以及顧問公司,提供一個交流的機會,讓大家相互認識,分享經驗以及交流技術。
OWASP 每年有兩次官方會議,一次在歐洲,一次在美國。由於 OWASP 為 Web 資安之最大國際組織,其所定義之標準被五大信用卡公司之 PCI 標準、美國聯邦貿易委員會、FBI、美國國土安全部,以及各國政府所採用,故OWASP每年之官方年會,除了為年度世界資安頂尖人物必到之大會,更為各國政府,企業以及資安產業必定派人參加之國際盛會。我國行政院研考會之 「Web應用程式安全參考指引」,亦將 OWASP Top 10 (http://owasp.org.tw/blog/2007/05/owasp2007webowasp.html) 列為重要參考標準。
我想會議能夠在台北舉行,一方面證明了台灣資安之能量,展現了台灣各指導機關多年致力於資安意識之提升,各學術單位致力於資安基礎與應用之研究,產業界致力資安產品之研發與整合,以及媒體致力於各領域資安訊息之分析等之成果;一方面也證明了,台灣在資安有其獨特之政治與軍事意義,由於對資安有高於他國之需求,也造就了我們資安實力與經驗之累積,能夠在多年努力後,開始與他國分享我們的成果。
最後最主要的,是大家踴躍的報名。您對於 OWASP活動的支持,是這次會議能夠在台北舉行之關鍵。因為這表示台灣有足夠的人士,在關心資安的議題,在投入資安的研究,您上次的出席,也讓我們有動力,再次募款並邀請最頂尖的講師前來。看到了這次講的的陣容,不難想像我們要在工作的空餘時間,募集資金,負責所有講師的機票與住宿,行程安排,簽證取得,大家真是把命賣了在做,希望您能把握這次機會,準時來參加活動,一方面從最頂尖的講師接觸最新的資安訊息,一方面也與大家認識。
去年超過1000人報名,卻因場地席次限制,許多欲與會者無法順利出席去年年會,座位有限,今年請早報名。
報名請直接回給我或 email 給:[email protected]
1. 主旨:OWASP AppSec Asia 2008 Registration
2. 姓名:
3. 單位(或學校):
4. 職稱:
5. 電話:
6. Email:
7. 是否需要同步翻譯耳機? 如果是,是否用 200 元加購?還是放棄 T-shirt?
8. 中餐是否需素食?
9. 統一編號?公司 title?
10. 是否是學生票?學生票是否加購中餐(一天?兩天?)?加購 tshirt?
報名後三個工作天會收到匯款方式,匯款後三個工作天會收到序號,請用序號入場,如果沒有收到可以來電詢問:(02) 6616-0100 ext 111 林先生。
時間:97年10月27至28日(星期一至二) 09:00-17:00
地點:台大醫院國際會議中心 201 室 (台北市中正區徐州路二號)
費用:
1. 全票 NTD 1000 元整(幫忙負擔午餐、點心、場地、T-shirt與機票費用等、不含耳機)
2. 學生票 NTD 300 元整(不含便當、如需便當一天 100 NTD, T-shirt 要另購,一件 300 NTD)
同步翻譯:會有專人同步翻譯(不是我們自己的工作人員,是外聘的同步口譯人員),同步翻譯耳機 200 元外加,或是放棄 T-shirt
T-Shirt:會有
公家單位公文: 會由最大贊助單位資策會發公文,以利請假作業
講師簡歷 (中文版)
Robert Hansen (aka“RSnake”)--SecTheory
CISSP、SecTheory 的 CEO,曾四次演講於 Black Hat,今年並為 Black Hat 與 DEFCON 雙講師(這裡有報導 (http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#RSNAKE))。與 Jeremiah Grossman 著有知名之「XSS (http://www.amazon.com/exec/obidos/tg/detail/-/1597491543)」一書(Syngress出版),今年2008 OWASP 美國年會 (http://www.owasp.org/index.php/OWASP_NYC_AppSec_2008_Conference) 的演講被禁講(ITHome 報導 (http://www.ithome.com.tw/itadm/article.php?c=51136)、阿碼報導 (http://armorize-cht.blogspot.com/2008/09/web-jeremiah-rsnake-owasp.html)),為今年大會最轟動之事。他將在台灣首次公開此次禁講之內容。RSnake之部落格ha.ckers.org (http://ha.ckers.org) 與論壇 sla.ckers.org (http://sla.ckers.org) 為駭客界被訂閱最多之部落格/論壇之一。負責O'Reilly (http://www.oreillynet.com/sysadmin) 與 Dark Reading 線上專欄(Snake Bytes @ Dark Reading (http://www.darkreading.com/blog.asp?blog_sectionid=403)),除了 Black Hat / DEFCON 之外,也在各大研討會中擔任講師,包含OWASP年會、微軟 Bluehat、WASC 各會議、Networld+Interop、SourceBoston、 Secure360、GFIRST/US-CERT、Toorcon、APWG、ISSA以及TRISC等會議。
RSnake曾任 eBay 資深全球產品資安經理、通訊網路公司資安架構師,工作內容是 anti-phishing、anti-DHTML malware,也曾擔任 Realtor.com 的產品管理總監。參與 NIST.gov 的 Software Assurance Metrics and Tool Evaluation 及 Web Application Security Scanners Evaluation Criteria (WASC-WASSEC)專家群組,也是 Infragard 、WASC、IACSP、 APWG、ISECOM 成員。
Steven Adair—ShadowServer Foundation
Steven Adair 是 ShadowServer Foundation (http://www.shadowserver.org/wiki) 的重要成員之一,也是這次 2008 OWASP 美國年會的講師。ShadowServer Foundation 長期監控全球僵屍網路(botnet)與網站掛馬,擁有豐富資料,堪稱美國此方面研究最深入之組織之一。
Alexander Meisel—OWASP 德國分會、art of defence
Alexander Meisel 是德國 art of defence (http://www.artofdefence.com/en) 公司技術長,負責該公司之 Web應用程式防火牆(Web application firewall、WAF)之研發。之前在歐洲最大的ISP-LINX擔任網路安全首席,曾負責大規模的網站安全稽核與流量管理,專長為Web Security。他的安全專業可以追朔到在學階段所提出的預防與追蹤DDoS攻擊研究。Alex 是今年 2008 OWASP 美國年會與 2008 OWASP 歐洲年會的講師。
K. K. Mookhey—OWASP孟買分會、NII Consulting
印度最有名的滲透測試公司 NII Consulting (http://www.niiconsulting.com) 創辦人兼總經理,專長為滲透測試、資安鑑識、風險評估、資安相關規範(PCI、ISO 27001、BS 25999、ISO 20000)、IT基礎架構管理等。擁有CISSP、CISA、CISM、CEH等證照。是印度最知名的資安專家之一,著作有Linux Security And Control (http://www.amazon.com/Linux-Security-Audit-Control-Features/dp/1893209784)(ISACA 出版)與 Metasploit Toolkit (http://www.computerboek.nl/boek/9781597490740/metasploit_toolkit_david_maynor)(Syngress出版)兩本專業書籍。KK 為今年 2008 OWASP 印度年會 (https://www.owasp.org/index.php/OWASP_AppSec_India_Conference_2008)講師,並曾經擔任 Black Hat、Interop、IT Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。
Chenxi Wang, Ph.D.—Forrester Research
Dr. Chenxi Wang (http://www.forrester.com/rb/analyst/chenxi_wang) 是全球前三大市場調查研究機構 Forrester Research 的首席分析師,Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。在加入 Forrester 之前,Dr. Wang 在卡內基美隆大學(Carnegie Mellon University)擔任助理教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。在 CMU 期間,Chenxi 負責執行了上百萬美元預算的研究專案,包過與美國國防部以及美國國家科學基金會(National Science Foundation、NSF)的共同研究專案。Chenxi 也曾擔任美國聯邦貿易委員會(Federal Trade Comission、FTC)、HP、Emerson、Lucent 等單位的資安顧問。
Wayne Huang(黃耀文)—OWASP台灣分會會長、Armorize 阿碼科技(大會主席)
Wayne 為 OWASP 台灣分會會長,也是阿碼科技 (http://www.armorize.com)的創辦人兼執行長,對於推動台灣的資安社群,不遺餘力,在台灣舉辦 SySCAN (http://syscantaiwan.blogspot.com)、OWASP 亞洲年會等資安會議,並盡量在有時間時接受演講的邀約。
Wayne 是一位豐富經驗的資訊安全專家,專長領域包括,網路、系統及應用程式安全。Wayne 最為人所熟知的專長領域在網頁應用程式安全,並在全世界發表了許多相關主題的期刊論文。除此之外,Wayne 也時常受邀擔任全球安全會議的演講者,包含 RSA、OWASP、SySCAN、WWW、PHP 與 DSN 等。Wayne 同時也是阿碼科技在推動技術創新的重要推手。
Wayne 是第一位連續二年在國際全球資訊網路會議(WWW Conference)獲獎的作者,並且是 《 Web Application Security - Past,Present,and Future 》一書的共同作者。
Yen-ming Chen (YM Chen) —McAfee Foundstone
Yen-Ming 於 2000 年加入 Foundstone 顧問團隊,現職為 McAfee Foundstone 的 Director,帶領 Foundstone 團隊於美國各地執行各種資安專案。Yen-Ming並為 Foundstone「Ultimate Hacking」、「Ultimate Hacking Expert」、「Ultimate Web Hacking」、以及「Ultimate Hacking: Incident Response」等四門課的首席講師。在加入Foundstone之前,他在CMU網路安全中心,曾參與Snort開發,製造出第一個在磁片上的Snort sensor(PicoBSD)。是Hacking Exposed、Hacking Exposed for Web Application、Windows XP Professional Security及HackNotes: Web Application Security的四本書的共同作者。Yen-Ming 曾被 BBC 採訪,並經常於國際大型研討會擔任主要講師,其中包含 PacSec、HITB、HACK.LU、台灣駭客年會、CSI、MISTI、APAC 等會議。
Fyodor Yarochki—GuardInfo
Fyodor經常擔任各國際駭客年會之講師,包含Black Hat 2001 HK、Black Hat 2001 Singapore、Black Hat 2002、Ruxcon 2003、XCon 2003 / 2006、HITB 2004 / 2005、SyScan 2005 / 2008、Bellua 2005、VNSecurity 2007、DeepSec 2008等。他於頂尖資安學術會議與地下雜誌皆有重要文章發表,包含Usenix Conference與Phrack Magazine(最具影響力之地下駭客雜誌)。Fyodor並為Snort最早的開發者之一,目前仍為Snort FAQ的維護者。Fyodor並為XProbe的創辦人。
PK
台灣鑑識一哥,論鑑識現場之經驗,屬台灣最具經驗之前輩之一。對於逆向工程、作業系統核心、活體鑑識技術等,皆有深入之研究;長期使用Soft Ice等鑑識工具,頗具心得。在中央警察大學資管所就讀期間,主攻電腦鑑識方面之研究,爾後於台灣電腦網路危機處理暨協調中心(TWCERT/CC)擔任電腦鑑識實務班講師,授課內容包含惡意軟體的靜態與動態分析、數位資料於法律上之證據力、事件處理時數位證據之取得與保存等。目前研究興趣包含數位鑑識工具與惡意程式偵測工具之開發。今年為SySCAN前瞻資安年會、HITCon講師。
邱銘彰 (aka "Birdman") —Armorize
阿碼科技 (http://www.armorize.com)X-Solve實驗室首席研究員。Birdman利用其所研發之Archon與HackAlert技術,長期監控亞洲所有網站被掛馬之情況,專長各種惡意程式分析,日中一食,堪稱是節能環保省碳型多才多藝的後現代資安人才。經常於OWASP Asia、SyScan 2008 TW、HITCon與其他研討會擔任講師。
余俊賢 (Jack)—Armorize
現任阿碼科技 (http://www.armorize.com)資安顧問與ASF專家團隊講師,曾擔任資安人雜誌主編。Jack對於亞洲之特殊攻擊型態,長期投入研究,專長為資安事件處理與電腦鑑識,擁有CISSP、 BS 7799 LA、CEH 等資安證照。曾於OWASP Asia、SyScan 2008 TW、HIT Con 與其他研討會擔任講師。
林佳明 (Charmi Lin) —ICST
現任行政院國家資通安全會報技術服務中心(簡稱技服中心)工程師。Charmi主要的工作為協助政府機關處理各種資安事件,charmi經常參與政府機關受駭後的資安事件調查與進行電腦鑑識工作,對於目前台灣正面臨的組織型駭客攻擊有深刻的體會。擁有GCFA與 BS 7799 LA證照。經常於資安人雜誌投稿相關資安技術文章。
Tim Bass—OWASP 泰國分會會長
前首席網路資安顧問,美國空軍總部。前首席網路顧問,美國國防部。前首席網路資安顧問,美國能源部。前 SWIFT 資安顧問。Tim 常擔任各資安會議 keynote。Tim 是 Unix Forums 的 Director。Blog:www.thecepblog.com (http://www.thecepblog.com)。
Dhruv Soi—OWASP 印度年會會長、OWASP 印度分會會長
Dhruv 在多家公司任職弱點研究員與資安首席,包括 FCS Software Solutions、Momentum Technologies、iPolicy Networks、Fidelity Investments、Sopra Group等。
Chenxi 為今年 2008 OWASP 美國年會的講師,並定期在各大資安會議演講,其言論與發表常被美國主流媒體引述,包含 New York Times / InfoWorld 等媒體。
-- Wayne 敬上(email: [email protected])
OWASP 台灣分會會長
轉貼自:http://www.owasp.org.tw/blog
首先感謝大家對於去年的「第一屆 OWASP 亞洲官方年會」 (http://www.owasp.org/index.php/OWASP_AppSec_Asia_2007)的支持,讓我們全場 650 個位子座無虛席!
http://www.owasp.org/images/f/f3/MG_0476.jpg
2008 OWASP 亞洲年會今年議程終於出爐了,由一天改成兩天(10/27~28),先簡單公布如下:
http://openwaves.net/images/chinese_blog/OWASP_AppSec_2008/Chinese_Agenda.jpg
交通資訊請見:http://www.thcc.net.tw/othstraffic.html
今在籌辦第二屆 OWASP 官方亞洲年會時,心中感觸特別多。OWASP 亞洲年會,都是由我們向贊助單位籌資金,然後想辦法邀到好的講師來演講。亞洲距離歐美很遠,飛來一趟要花很多時間,使得整個活動的籌辦,不但籌資金困難,邀頂尖的講師更是難上加難。同時,我們希望今年能夠達到:
1. 對於最新的 Web 攻擊手法,有深入的技術性探討,讓使用者也讓廠商能了解新的攻擊趨勢。
2. 對於防守的策略,能找到在技術上有深度,並且不帶廠商色彩的講師,對於各方面的技術,如滲透測試、黑箱或 WAF 等,都能涵蓋。
3. 站在廠商的角度,對於整個資安產業的趨勢,站在使用者的角度,對於各種技術的比較,能有具公信力的資深產業分析師來探討。
4. 對於透過 Web 的網路犯罪,能有資深的檢調單位代表來分享經驗。
5. 講師方面,希望仍有一半是外籍講師,並希望盡量是在 OWASP 其他年會演講過之講師,因為 OWASP 亞洲年會在建立的初期,需要他們來帶入 OWASP 應有的文化。
要達到以上五點,真的非常不容易,也感謝全體工作人員的努力。今年,第二屆OWASP官方亞洲年會「OWASP AppSec Asia 2008」日期與講師已經確定,會有專業同步翻譯(口譯),會有 T-shirt,也會對政府單位發正式的公文,但是由於時間緊迫,先跟各位告知。我們很感謝資策會 (http://www.iii.org.tw)與中華民國資訊軟體協會 (http://web.cisanet.org.tw)能贊助我們,也感謝資安人雜誌 (http://www.informationsecurity.com.tw)能當我們的協辦媒體,讓活動能成行。大會目前還缺贊助單位,如有興趣可與我聯絡,另外只有 650 個位子,報名從速,我們這麼辛苦的準備,希望在會場能見到您!這只是一個初步的快速通知,之後會有正式的網頁,請各位隨時留意 OWASP 台灣分會官網 (http://www.owasp.org/index.php/Taiwan) 以及訂閱 OWASP 台灣分會部落格 (http://www.owasp.org.tw/blog)。今年的外籍講師共有九位(美國四位,歐洲一位,印度兩位,泰國一位,俄國一位),其中為剛結束的 2008 OWASP 美國年會 (http://www.owasp.org/index.php/OWASP_NYC_AppSec_2008_Conference) 的講師有四位,2008 OWASP 歐洲年會 (http://www.owasp.org/index.php/OWASP_EU_Summit_2008)講師有兩位,2008 OWASP 印度年會 (https://www.owasp.org/index.php/OWASP_AppSec_India_Conference_2008)講師有一位,有幾位同時為美國駭客年會 Black Hat / DEFCON 講師,其中也包括了 OWASP印度分會會長,OWASP孟買分會代表,OWASP德國分會代表,OWASP泰國分會會長。
今年的重頭戲,當然是 Robert 在今年 2008 OWASP 美國年會 (http://www.owasp.org/index.php/OWASP_NYC_AppSec_2008_Conference)的演講被禁講(ITHome 報導 (http://www.ithome.com.tw/itadm/article.php?c=51136)、阿碼報導 (http://armorize-cht.blogspot.com/2008/09/web-jeremiah-rsnake-owasp.html))的演講,會在台北做全球首度的公開演說。英國最大 IT 媒體The Register 以「Adobe 禁止 Clickjacking 弱點的公開 (http://www.theregister.co.uk/2008/09/16/critical_vulnerability_demo_pulled)」大幅報導此事,RSnake 則說,原本他們覺得是一場很好的演講,但是因為漏洞像滾雪球一樣,一個漏洞導致另一個漏洞,牽涉到一個接一個廠商,導致整個弱點的嚴重性不只是嚴重,而是超級嚴重所以兩個講師決定必須等所有牽涉其中的廠商都有一定的時間反映後,才適合做揭露。我覺得這一場的重點並不光在於他要探討的 0-day 漏洞,而更在於大家對於目前 Web 的基本運作原理,以攻擊手法的了解。這些知識如果基礎打穩,在檢視自己或客戶的網站安全時,便能很容易的運用有限的時間,找到重點問題,並予以修復。駭客找漏洞,其實有很規則的思路可尋,了解這種思路後,我們一樣能一眼看出漏洞所在。
在其他種威脅方面,來自亞洲區的研究,OWASP 泰國分會會長 Tim Bass 將會講一場「Web proxy 造成的資安威脅:以近日 Google Docs 0-day 為例」,台灣方面林佳明將講一場:「修改密碼無效!駭客還是在收取您的電子郵件!」
資安挑戰的整體敘述,將由 Forrester 的首席分析師 Chenxi Wang 博士 (http://www.forrester.com/rb/analyst/chenxi_wang)來擔綱。Chenxi 曾在卡內基美隆大學(Carnegie Mellon University)擔任助理教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。目前 Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。Chenxi 並會探討黑箱、白箱、WAF在技術上以及在資安投資報酬率上的差別。Chenxi 寫的幾篇對於黑箱、白箱與 WAF 的產業報告,是目前全球業界引用的重點。至少在 WAF 的市場規模方面,我只記得他的報告有確切的數字,Gartner 與 IDC 似乎都沒有,所以至少我自己參考以及我碰到的諸多廠商與投資人參考的,都是她的那篇。如果您是資安市場分析師或投資人,那您一定要撥空來!如果您是資安廠商而希望能對她公布的資料、數據與論點有意見,也歡迎前來與她當面交換!
滲透測試手法方面,有 RSnake、KK、Dhruv、YM 以及 Fyodor 五位講師,其中 KK 與 Dhruv 來自印度,KK是印度最有名的滲透測試公司 NII Consulting (http://www.niiconsulting.com) 的創辦人兼總經理,曾經擔任 Black Hat、Interop、IT Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。滲透測試的發展已經由技術導向轉變為商業導向,在預算緊縮的今天,如何有效運用時間,以最低的成本,找到最重要的漏洞?這就需要以客戶在商業營運上的風險面向為基礎,來建立相對應的滲透測試項目,例如現今企業面對的商業間諜(corporate espionage)、金融詐騙(financial fraud)等威脅嚴重,因此就需要有對應的滲透測試情境,如社交工程攻擊(social engineering)、實體安全演練等,才能提供更有價值的商業導向滲透測試服務。
為何我選了兩位來自印度的講師來講滲透測試?我在印度聽過 KK 的課,也看過印度大大小小的滲透測試團隊實際上執行專案的情形。我的看法是,印度以軟體產業立國,但是並不是一開始就能從專業的軟體開發案獲利。就如同我們以電子製造業起飛,但是我們是慢慢由做勞力密集的聖誕燈泡,到做收音機,到做 PC 、筆電、手機,慢慢從勞力密集轉而能獨立研發。印度也一樣,軟體產業發展的初期,很依賴勞力密集的軟體測試。所以對於軟體測試的方法論,流程,執行,測試環境的設計,測試資料的建立,到與客戶的溝通,專案的執行等,非常的有經驗,因為這是他們的本行!滲透測試的技術研究,不計成本,目的在找到漏洞,這個歐美的研究員做得很好。可是商業滲透測試,講的是如何有效運用預算,了解客戶需求,達到最大效果,在這方面,印度的軟體測試產業行之有年,商業模式很成熟,我相信他們的經驗會對各位有幫助。
滲透測試與其他顧問服務,在美國又是如何進行的呢?McAfee Foundstone 是美國前幾大專門的資安顧問公司,陳彥銘自 CMU 畢業之後,就加入了 Foundstone 至今,已經是資深的 Director,帶領 Foundstone 團對於美國各地進行滲透測試、顧問服務與教育訓練。他將以「我在 Foundstone 的日子:Web 威脅與防禦實例」,與各位分享他的經驗。
在台灣的滲透測試方面,來自俄羅斯的 Fyodor 長期於台灣進行滲透測試,他將以一場「網站被駭的真實故事集」,探討這許多年來,他在台灣看到的種種真實故事,讓各位直接接觸這些造成嚴重損失的 Web 漏洞--很多漏洞看了會心一笑,原來這樣設計也會有漏洞。攻擊方法並不難,但是簡單的錯誤卻會造成嚴重的損失。
Web 防火牆 WAF 方面,我選擇跟跟今年美國年會、歐洲年會一樣,由德國 OWASP 分會的 Alex Meisel 來負責。Alex Meisel 上個月在美國年會,以及之前在今年歐洲年會,以德國分會的名義,發表了一篇 whitepaper:「Web 防火牆(WAF)最佳實務指引」(Best Practices Guide: Web Application Firewalls (http://www.owasp.org/index.php/Best_Practices:_Web_Application_Firewalls)),很受大家肯定,如果您目前正困擾 WAF 該如何選擇,歡迎來與 Alex 探討!
網站掛馬方面,全球最有權威性的組織之一,就是 ShadowServer Foundation (http://www.shadowserver.org/wiki) 了。ShadowServer Foundation (http://www.shadowserver.org/wiki) 長期監控全球僵屍網路(botnet)與網站掛馬,擁有豐富資料,堪稱美國此方面研究最深入之組織之一。今年的美國年會,找了 ShadowServer Foundation (http://www.shadowserver.org/wiki) 的重要成員 Steven Adair 來擔任這方面的講師,我也非常努力的邀到他來台灣與各位互動。如果有需要與 ShadowServer Foundation 交換情報與研究資料的單位,請與我聯絡!
對於亞洲區網站掛馬的研究,邱銘彰一向是大家很肯定的研究員之一,他也是各會議爭相邀請的講師。我跟他從不認識到認識到變成朋友到變成同事,也從他身上學到不少寶貴的知識。我們將一起公開一份我們最新的掛馬研究,是我們先用英文寫完,然後也翻成中文的,努力了半年,留在 OWASP 亞洲年會發表。我們將探討目前掛馬的工具與手法,仔細研究各種惡意 javascript 的寫法以及變形、加殼與資料隱藏的技術,並與各位討論為何惡意 javascript 這麼難偵測。由於我長期研究動態與靜態分析技術,我也會探討這兩種技術應用於網站掛馬偵測時的優劣。
對於亞洲利用 Web 攻擊的犯罪手法與事件分析,則由 PK 與 Jack 來負責講「網路犯罪研究與五千萬筆個資外洩事件調查建議」。很多圈內朋友稱 PK 為「台灣鑑識一哥」,Jack 則也多年研究網路攻擊於軍事上之應用,希望他們一起的演講,能讓各位對於層出不窮的 Web 網路犯罪,有更深入的了解。
最後,基本上,各地的 OWASP年會希望達到以下目的:
1. 由年會選出來的頂尖講師,對於最新的攻擊方法,防禦技術,以及客戶的成功案例,提供最新資訊與經驗分享。
2. 對於各界資安人士,包含各國OWASP成員,業界資安主管及IT從業人員,各國政府、軍方及情治單位,以及投入資安市場之廠商、代理商、系統整合商以及顧問公司,提供一個交流的機會,讓大家相互認識,分享經驗以及交流技術。
OWASP 每年有兩次官方會議,一次在歐洲,一次在美國。由於 OWASP 為 Web 資安之最大國際組織,其所定義之標準被五大信用卡公司之 PCI 標準、美國聯邦貿易委員會、FBI、美國國土安全部,以及各國政府所採用,故OWASP每年之官方年會,除了為年度世界資安頂尖人物必到之大會,更為各國政府,企業以及資安產業必定派人參加之國際盛會。我國行政院研考會之 「Web應用程式安全參考指引」,亦將 OWASP Top 10 (http://owasp.org.tw/blog/2007/05/owasp2007webowasp.html) 列為重要參考標準。
我想會議能夠在台北舉行,一方面證明了台灣資安之能量,展現了台灣各指導機關多年致力於資安意識之提升,各學術單位致力於資安基礎與應用之研究,產業界致力資安產品之研發與整合,以及媒體致力於各領域資安訊息之分析等之成果;一方面也證明了,台灣在資安有其獨特之政治與軍事意義,由於對資安有高於他國之需求,也造就了我們資安實力與經驗之累積,能夠在多年努力後,開始與他國分享我們的成果。
最後最主要的,是大家踴躍的報名。您對於 OWASP活動的支持,是這次會議能夠在台北舉行之關鍵。因為這表示台灣有足夠的人士,在關心資安的議題,在投入資安的研究,您上次的出席,也讓我們有動力,再次募款並邀請最頂尖的講師前來。看到了這次講的的陣容,不難想像我們要在工作的空餘時間,募集資金,負責所有講師的機票與住宿,行程安排,簽證取得,大家真是把命賣了在做,希望您能把握這次機會,準時來參加活動,一方面從最頂尖的講師接觸最新的資安訊息,一方面也與大家認識。
去年超過1000人報名,卻因場地席次限制,許多欲與會者無法順利出席去年年會,座位有限,今年請早報名。
報名請直接回給我或 email 給:[email protected]
1. 主旨:OWASP AppSec Asia 2008 Registration
2. 姓名:
3. 單位(或學校):
4. 職稱:
5. 電話:
6. Email:
7. 是否需要同步翻譯耳機? 如果是,是否用 200 元加購?還是放棄 T-shirt?
8. 中餐是否需素食?
9. 統一編號?公司 title?
10. 是否是學生票?學生票是否加購中餐(一天?兩天?)?加購 tshirt?
報名後三個工作天會收到匯款方式,匯款後三個工作天會收到序號,請用序號入場,如果沒有收到可以來電詢問:(02) 6616-0100 ext 111 林先生。
時間:97年10月27至28日(星期一至二) 09:00-17:00
地點:台大醫院國際會議中心 201 室 (台北市中正區徐州路二號)
費用:
1. 全票 NTD 1000 元整(幫忙負擔午餐、點心、場地、T-shirt與機票費用等、不含耳機)
2. 學生票 NTD 300 元整(不含便當、如需便當一天 100 NTD, T-shirt 要另購,一件 300 NTD)
同步翻譯:會有專人同步翻譯(不是我們自己的工作人員,是外聘的同步口譯人員),同步翻譯耳機 200 元外加,或是放棄 T-shirt
T-Shirt:會有
公家單位公文: 會由最大贊助單位資策會發公文,以利請假作業
講師簡歷 (中文版)
Robert Hansen (aka“RSnake”)--SecTheory
CISSP、SecTheory 的 CEO,曾四次演講於 Black Hat,今年並為 Black Hat 與 DEFCON 雙講師(這裡有報導 (http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#RSNAKE))。與 Jeremiah Grossman 著有知名之「XSS (http://www.amazon.com/exec/obidos/tg/detail/-/1597491543)」一書(Syngress出版),今年2008 OWASP 美國年會 (http://www.owasp.org/index.php/OWASP_NYC_AppSec_2008_Conference) 的演講被禁講(ITHome 報導 (http://www.ithome.com.tw/itadm/article.php?c=51136)、阿碼報導 (http://armorize-cht.blogspot.com/2008/09/web-jeremiah-rsnake-owasp.html)),為今年大會最轟動之事。他將在台灣首次公開此次禁講之內容。RSnake之部落格ha.ckers.org (http://ha.ckers.org) 與論壇 sla.ckers.org (http://sla.ckers.org) 為駭客界被訂閱最多之部落格/論壇之一。負責O'Reilly (http://www.oreillynet.com/sysadmin) 與 Dark Reading 線上專欄(Snake Bytes @ Dark Reading (http://www.darkreading.com/blog.asp?blog_sectionid=403)),除了 Black Hat / DEFCON 之外,也在各大研討會中擔任講師,包含OWASP年會、微軟 Bluehat、WASC 各會議、Networld+Interop、SourceBoston、 Secure360、GFIRST/US-CERT、Toorcon、APWG、ISSA以及TRISC等會議。
RSnake曾任 eBay 資深全球產品資安經理、通訊網路公司資安架構師,工作內容是 anti-phishing、anti-DHTML malware,也曾擔任 Realtor.com 的產品管理總監。參與 NIST.gov 的 Software Assurance Metrics and Tool Evaluation 及 Web Application Security Scanners Evaluation Criteria (WASC-WASSEC)專家群組,也是 Infragard 、WASC、IACSP、 APWG、ISECOM 成員。
Steven Adair—ShadowServer Foundation
Steven Adair 是 ShadowServer Foundation (http://www.shadowserver.org/wiki) 的重要成員之一,也是這次 2008 OWASP 美國年會的講師。ShadowServer Foundation 長期監控全球僵屍網路(botnet)與網站掛馬,擁有豐富資料,堪稱美國此方面研究最深入之組織之一。
Alexander Meisel—OWASP 德國分會、art of defence
Alexander Meisel 是德國 art of defence (http://www.artofdefence.com/en) 公司技術長,負責該公司之 Web應用程式防火牆(Web application firewall、WAF)之研發。之前在歐洲最大的ISP-LINX擔任網路安全首席,曾負責大規模的網站安全稽核與流量管理,專長為Web Security。他的安全專業可以追朔到在學階段所提出的預防與追蹤DDoS攻擊研究。Alex 是今年 2008 OWASP 美國年會與 2008 OWASP 歐洲年會的講師。
K. K. Mookhey—OWASP孟買分會、NII Consulting
印度最有名的滲透測試公司 NII Consulting (http://www.niiconsulting.com) 創辦人兼總經理,專長為滲透測試、資安鑑識、風險評估、資安相關規範(PCI、ISO 27001、BS 25999、ISO 20000)、IT基礎架構管理等。擁有CISSP、CISA、CISM、CEH等證照。是印度最知名的資安專家之一,著作有Linux Security And Control (http://www.amazon.com/Linux-Security-Audit-Control-Features/dp/1893209784)(ISACA 出版)與 Metasploit Toolkit (http://www.computerboek.nl/boek/9781597490740/metasploit_toolkit_david_maynor)(Syngress出版)兩本專業書籍。KK 為今年 2008 OWASP 印度年會 (https://www.owasp.org/index.php/OWASP_AppSec_India_Conference_2008)講師,並曾經擔任 Black Hat、Interop、IT Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。
Chenxi Wang, Ph.D.—Forrester Research
Dr. Chenxi Wang (http://www.forrester.com/rb/analyst/chenxi_wang) 是全球前三大市場調查研究機構 Forrester Research 的首席分析師,Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。在加入 Forrester 之前,Dr. Wang 在卡內基美隆大學(Carnegie Mellon University)擔任助理教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。在 CMU 期間,Chenxi 負責執行了上百萬美元預算的研究專案,包過與美國國防部以及美國國家科學基金會(National Science Foundation、NSF)的共同研究專案。Chenxi 也曾擔任美國聯邦貿易委員會(Federal Trade Comission、FTC)、HP、Emerson、Lucent 等單位的資安顧問。
Wayne Huang(黃耀文)—OWASP台灣分會會長、Armorize 阿碼科技(大會主席)
Wayne 為 OWASP 台灣分會會長,也是阿碼科技 (http://www.armorize.com)的創辦人兼執行長,對於推動台灣的資安社群,不遺餘力,在台灣舉辦 SySCAN (http://syscantaiwan.blogspot.com)、OWASP 亞洲年會等資安會議,並盡量在有時間時接受演講的邀約。
Wayne 是一位豐富經驗的資訊安全專家,專長領域包括,網路、系統及應用程式安全。Wayne 最為人所熟知的專長領域在網頁應用程式安全,並在全世界發表了許多相關主題的期刊論文。除此之外,Wayne 也時常受邀擔任全球安全會議的演講者,包含 RSA、OWASP、SySCAN、WWW、PHP 與 DSN 等。Wayne 同時也是阿碼科技在推動技術創新的重要推手。
Wayne 是第一位連續二年在國際全球資訊網路會議(WWW Conference)獲獎的作者,並且是 《 Web Application Security - Past,Present,and Future 》一書的共同作者。
Yen-ming Chen (YM Chen) —McAfee Foundstone
Yen-Ming 於 2000 年加入 Foundstone 顧問團隊,現職為 McAfee Foundstone 的 Director,帶領 Foundstone 團隊於美國各地執行各種資安專案。Yen-Ming並為 Foundstone「Ultimate Hacking」、「Ultimate Hacking Expert」、「Ultimate Web Hacking」、以及「Ultimate Hacking: Incident Response」等四門課的首席講師。在加入Foundstone之前,他在CMU網路安全中心,曾參與Snort開發,製造出第一個在磁片上的Snort sensor(PicoBSD)。是Hacking Exposed、Hacking Exposed for Web Application、Windows XP Professional Security及HackNotes: Web Application Security的四本書的共同作者。Yen-Ming 曾被 BBC 採訪,並經常於國際大型研討會擔任主要講師,其中包含 PacSec、HITB、HACK.LU、台灣駭客年會、CSI、MISTI、APAC 等會議。
Fyodor Yarochki—GuardInfo
Fyodor經常擔任各國際駭客年會之講師,包含Black Hat 2001 HK、Black Hat 2001 Singapore、Black Hat 2002、Ruxcon 2003、XCon 2003 / 2006、HITB 2004 / 2005、SyScan 2005 / 2008、Bellua 2005、VNSecurity 2007、DeepSec 2008等。他於頂尖資安學術會議與地下雜誌皆有重要文章發表,包含Usenix Conference與Phrack Magazine(最具影響力之地下駭客雜誌)。Fyodor並為Snort最早的開發者之一,目前仍為Snort FAQ的維護者。Fyodor並為XProbe的創辦人。
PK
台灣鑑識一哥,論鑑識現場之經驗,屬台灣最具經驗之前輩之一。對於逆向工程、作業系統核心、活體鑑識技術等,皆有深入之研究;長期使用Soft Ice等鑑識工具,頗具心得。在中央警察大學資管所就讀期間,主攻電腦鑑識方面之研究,爾後於台灣電腦網路危機處理暨協調中心(TWCERT/CC)擔任電腦鑑識實務班講師,授課內容包含惡意軟體的靜態與動態分析、數位資料於法律上之證據力、事件處理時數位證據之取得與保存等。目前研究興趣包含數位鑑識工具與惡意程式偵測工具之開發。今年為SySCAN前瞻資安年會、HITCon講師。
邱銘彰 (aka "Birdman") —Armorize
阿碼科技 (http://www.armorize.com)X-Solve實驗室首席研究員。Birdman利用其所研發之Archon與HackAlert技術,長期監控亞洲所有網站被掛馬之情況,專長各種惡意程式分析,日中一食,堪稱是節能環保省碳型多才多藝的後現代資安人才。經常於OWASP Asia、SyScan 2008 TW、HITCon與其他研討會擔任講師。
余俊賢 (Jack)—Armorize
現任阿碼科技 (http://www.armorize.com)資安顧問與ASF專家團隊講師,曾擔任資安人雜誌主編。Jack對於亞洲之特殊攻擊型態,長期投入研究,專長為資安事件處理與電腦鑑識,擁有CISSP、 BS 7799 LA、CEH 等資安證照。曾於OWASP Asia、SyScan 2008 TW、HIT Con 與其他研討會擔任講師。
林佳明 (Charmi Lin) —ICST
現任行政院國家資通安全會報技術服務中心(簡稱技服中心)工程師。Charmi主要的工作為協助政府機關處理各種資安事件,charmi經常參與政府機關受駭後的資安事件調查與進行電腦鑑識工作,對於目前台灣正面臨的組織型駭客攻擊有深刻的體會。擁有GCFA與 BS 7799 LA證照。經常於資安人雜誌投稿相關資安技術文章。
Tim Bass—OWASP 泰國分會會長
前首席網路資安顧問,美國空軍總部。前首席網路顧問,美國國防部。前首席網路資安顧問,美國能源部。前 SWIFT 資安顧問。Tim 常擔任各資安會議 keynote。Tim 是 Unix Forums 的 Director。Blog:www.thecepblog.com (http://www.thecepblog.com)。
Dhruv Soi—OWASP 印度年會會長、OWASP 印度分會會長
Dhruv 在多家公司任職弱點研究員與資安首席,包括 FCS Software Solutions、Momentum Technologies、iPolicy Networks、Fidelity Investments、Sopra Group等。
Chenxi 為今年 2008 OWASP 美國年會的講師,並定期在各大資安會議演講,其言論與發表常被美國主流媒體引述,包含 New York Times / InfoWorld 等媒體。
-- Wayne 敬上(email: [email protected])
OWASP 台灣分會會長
轉貼自:http://www.owasp.org.tw/blog