BlackHAT MEA 2024 研討會紀錄

摘要

紀錄 2024.11.26 (二) 和 2024.11.27 (三) 兩天

(實際上是三天議程，但我僅去 2 天)

BlackHAT MEA 2024 紀錄

這邊進去都要一直過安檢，然後這是我看過最大的研討會，不看告示牌走會迷路

底下這邊是到會場拍的一些現場照片，很多工控相關資安展示

Village:

• Hacking airplane
• OT
• Smart City
• hospital equipment
• Car
• hardmware

本來想每一個都去聽，可惜要排隊排很久

最後僅去 hacking airplace

Hacking airplace 簡單紀錄

摘要

• 裡面禁止拍照，裡面就是他們有架設網站，可以看到當前全世界各個飛機飛來飛去的畫面，以及對應的飛機資訊，然後有用一個硬體晶片，demo 就是他們可以聽到飛機上的廣播，就這樣而已

紀錄一下外面看到他們用的軟體和硬體

• Microsoft flight simulato X
• Wireshark
• 硬體模型：https://4-expos.com/

相關現場照片

Village 所有都跟底下這家廠商有關，且一堆他的廣告，應該砸很多錢

Hardware Hacking (Village)

沒去聽，但看其他人貼的

大概就是開鎖跟無人機和焊接板子

Critical Infra Security

我沒去聽，同行有去

• modbus 控制
• 打 CTF
• 模型接一些 PLC
• 導覽舉例說 Stuxnet ，仿照弄煉油廠說馬達水閘之類的

Car Hacking (Village)

排隊排不到進去參觀，他們也有在禮拜三有一個議程講電動車

Attention is all you need for Semantics Detection: A novel Transformer on Neural-Symbolic Approach

貼幾個圖片，回公司寫報告用，大概半年前就聽過了，所以這邊就不寫了

Automated reports with AI using Hun2race tool for bughunters

講者是做滲透測試的人，說每次寫 bug bounty 報告很麻煩

所以開發一個工具叫做 Hun2race ，裡面串接 3 個

• ollama
• Chatgpt
• google genie

你可以輸入攻擊名稱，比如 XSS ，他幫你產一個模板

Permission Powess: Analyzing Attack Paths in Cloud Environments

開頭先介紹一些雲端基本知識，像是有 AWS IAM 之類

然後說有那些常見 Attack vector ，然後把他每個階段分類，畫出攻擊路徑介紹

Session Presented by Solarwinds

這應該就是在賣產品的感覺

介紹一個情資平台，然後他有的功能跟市面上看到的都相同

Gaming (In)Security

開頭先介紹遊戲市場龐大，作外掛好賺錢才有這麼多人研究

然後說這場議程著重在 network 部分

有看到兩個 demo

一個 demo 是他讓網路延遲，變成對方還沒看到我，我先對他開槍

後面 demo 是直接把別人踢出遊戲，類似做中間人攻擊

所以需要知道對方的 ip 和 port

自己演講視角