TDOH Conf 2018 志工二次招募

TDOHConf 為國內資安社群TDOH所舉辦的大型學生資安研討會
旨在促進更多學生駭客間的交流與引導新手更快的踏路資安的領域

有鑑於許多非常棒的研討會都只辦在北部，對於中南部欲參加的學生來說路途相當遙遠
因此， TDOH 為了提升中南部學生的資安學習機會與意願

TDOH Conf 2018 將於 2018 年 9 月 29 日於高雄舉辦。

因應詭異多變的資安威脅及攻擊，TDOH總召在某天的晚上，作出了重大的決定．
舉辦一個精采的研討會需要集合眾人之力，因此 TDOH 真誠的期望您願意成為與我們共同舉辦精彩研討會的夥伴!

TDOH Conf 2018 Call for paper

# Underground Hacking——駭客地下城 TDOH Conf 2018  Call for paper

年度主題 —— 駭客地下城（Underground Hacking），舉凡機器學習、資訊安全相關技術或研究、CTF 競賽經驗、社群參與或資訊安全相關經驗等各式題材皆歡迎您與我們一同分享；除上述所提及之類型外，其他資訊安全相關題材亦均可自由投稿。

內容須基於資訊安全技術，可以是 Coding 技巧、工具使用對資安推廣與資安人才培育等等。

TDOH Conf 2018 Call for paper

Underground Hacking -- TDOH Conf 2018 Call for Papers

Date: 2018/09/29
Location: Lotus Lake International Garden Villa (高雄蓮潭國際會館)
Address: No.801, Chongde Rd., Zuoying Dist., Kaohsiung City 813, Taiwan

資安新聞及事件週報 2018/5/21 ~ 2018/5/25

1.重大弱點漏洞

AppScan檢測CAS,tomcat SSL版本漏洞
http://kabike.iteye.com/blog/2423143

Mozilla Thunderbird 多個漏洞
https://www.mozilla.org/en-US/security/advisories/mfsa2018-13/

D-Link DIR-550A和DIR-604M 安全漏洞  CVE-2018-10968
https://nvd.nist.gov/vuln/detail/CVE-2018-10968

寶馬多款車型被曝通用安全漏洞，可被黑客遠程攻擊
http://hackernews.cc/archives/23084

科恩安全實驗室發現多款寶馬車型存在安全漏洞
https://bit.ly/2s8fwOg

價值$36k的Google App Engine RCE漏洞詳情
https://xz.aliyun.com/t/2350

大學生找出Google App Engine重大遠程漏洞，贏得3.6萬美元獎金
http://life.soundofhope.org/technology/p-193442.html

資安新聞及事件週報 2018/5/14 ~ 2018/5/18

1.重大弱點漏洞

Zimbra Collaboration Suite mailboxd 安全漏洞 CVE-2018-10951
https://nvd.nist.gov/vuln/detail/CVE-2018-10951

多款Advantech產品安全漏洞  CVE-2018-7497
https://nvd.nist.gov/vuln/detail/CVE-2018-7497

亞馬遜旗下智能門鎖曝漏洞：兩次改密碼也擋不住窺視
http://www.fjii.com/sy/qysy/2018/0512/152825.shtml

思科發布安全公告披露高危漏洞，Cisco DNA Center 軟件受到影響
http://hackernews.cc/archives/22987

Cisco Digital Network Architecture Center(DNA) 多個漏洞
http://blog.nsfocus.net/cisco-dna-vul/

關於Windows遠程代碼執行漏洞及Microsoft Excel遠程代碼執行漏洞的通報
https://read01.com/kEPx0j2.html

首屆XPwn大會上小米索尼和極路由漏洞被曝光
http://www.btc112.com/246/26924.html

美政府漏洞程序洩露：Windows攻擊氾濫成災
http://tech.163.com/18/0513/16/DHMUQ66200097U7T.html

GPON事件研究綜整

GPON事件研究綜整

0X0 說明

鑒於近期發生家用型光纖路由器因存在漏洞，遭利用為挖掘虛擬貨幣設備，或成為殭屍網路節點，並且有社群版友分享遭攻擊事件，以下綜整及粗略研析，有關GPON事件相關資料。

0X1 背景

GPON，Gigabit Passive Optical Network縮寫，基於ITU-TG.984.x標準的最新一代寬頻無源光綜合接入標準，GPON技術主要是將光纖技術、光纖分配技術、光纖網路技術三個部分共同組合，它是通過採用點到多點的拓撲結構將光纖接入到其中，從而引進GEM技術的現代化格式，這種技術的應用能有效的滿足眾多用戶的新要求，對整個語音功能、使用功能和傳輸功能的普及提出了新的標準。[1][2]

與銅線電纜相比，GPON可以減少維護費用，並徹底避免掉雜訊干擾，在眾多解決接取網路瓶頸技術中，GPON是唯一可在單一波長下提供2.5Gbps頻寬的技術，對於接取層來說，其更能適應未來的FTTx寬頻市場。[3]安全公司指出，GPON是一種常見的被動光纖網路，通常此類家用路由器是由ISP提供，估計全球有1,054,692台GPON路由器曝險，墨西哥及哈薩克為最主要集中地，其他地區包括越南等。[4]

資安新聞及事件週報 2018/5/7 ~ 2018/5/11

1.重大弱點漏洞

OpenFlow交換機協議曝身份驗證漏洞，難修復
https://www.easyaq.com/news/573388844.shtml

100萬家用“光貓”中發現嚴重的RCE漏洞
http://www.4hou.com/vulnerable/11293.html

Dasan GPON家庭路由器安全漏洞
https://nvd.nist.gov/vuln/detail/CVE-2018-10561
https://nvd.nist.gov/vuln/detail/CVE-2018-10562

上百萬台光纖路由器爆漏洞，變更網址即可避開認證機制
https://blog.trendmicro.com.tw/?p=55484

D-Link DIR-601 安全漏洞
https://nvd.nist.gov/vuln/detail/CVE-2018-10641

D-Link DSL-3782 安全漏洞
https://nvd.nist.gov/vuln/detail/CVE-2018-10713

阿根廷一黑客發現能輕易攻破監控攝像頭的漏洞
https://bit.ly/2KcE0xh

研究人員：監控攝像頭存在漏洞，使用默認密碼時容易遭到黑客攻擊
http://www.lezhiot.com/LeZhIOTArtView.aspx/FFA6AE0741CAF56D

高危漏洞可致海康威視攝像頭、DVR及賬戶被遠程劫持
http://www.aqniu.com/threat-alert/33702.html

日本數十台同品牌網路攝影機遭針對式入侵
https://twcert.org.tw/subpages/securityInfo/hackevent_details.aspx?id=825

多款KONGTOP DVR產品安全漏洞
https://nvd.nist.gov/vuln/detail/CVE-2018-10734

TDOH-PIPE 北區聚 & 業界職涯分享講座 | 201805

TDOH-PIPE 北區聚 & 業界職涯分享講座 | 201805

關於 TDOH

TDOH 成立於 2013 年中，是當時一群對資安極具熱情的學生們所創立，期望利用社群的方式來推廣資訊安全、增加技術交流、改善台灣資安學習環境等。目前依舊耕耘著台灣資安人才培育的土壤，並且在全台各地與多所大專院校都有相關合作經驗和人手，是一個初具規模全國性校園資安社群。

TDOH 近年來已有數十場講座舉辦經歷，也協助過多個社群單位與教育單位舉辦講座、課程，並發展多個資安教育平台的專案。平常則舉辦許多小型活動熱絡資安社群間的交流，而從 2016 年開始舉辦如 TDOH - PIPE、Conf 等大型活動，致力於打造更完善的資訊安全學習環境。

TDOH - PIPE 是什麼？

TDOH - PIPE 為 TDOH 所主導之校園資安讀書會 / 社團輔導專案計畫。
PIPE 在 Linux 指令中為兩指令間的管線，有將前一指令的結果導入後一指令的意味，
而 TDOH - PIPE 將成為 TDOH 與 各校園資安讀書會 / 社團 間的管線。
有鑑於目前校園中較缺乏的資安教育的課程與管道，而校外大部分皆為短期的 workshop、講座等，學生較容易缺乏學習夥伴與管道，因此 TDOH 期望在各校輔導原有的讀書會 / 社團，協助推廣資訊安全、增加技術交流、改善台灣資安學習環境等。

專案目標：

1. 輔導學生們成立與經營資安讀書會 / 社團
2. 提供其每月一次的資安技術教學
3. 安排導師指導資安讀書會 / 社團
4. 促進學生學習資安與互相交流技術

TDOH - PIPE 課程方向

資訊安全的面向很廣，大方向可以分為 攻擊、防禦、鑑識 三大部份，
而這三大部份下的分支又十分地廣。
這學期主要先透過大家生活平常最相關的 WEB ，帶給大家相關的攻擊、防禦議題，
並會在本學期末舉辦小型的 CTF競賽，聽講之外也能有實作的部份。

關於駭客引路人 - 業師諮詢

為了提供參與學生們更多學習與解惑的機會，每月活動都將邀請 2~5 位 優秀的業界前輩 / 資安圈內優秀的學生 們擔任活動業師參與下午的交流活動上，針對學生在資安學習路上遇到的任何困難提供諮詢喔 !
不知道從何開始嗎?學習路上不知如何抉擇嗎?學習上遇到困難嗎?
那請務必要好好把握下午業師諮詢的時間好好問垮業師喔 !

本月內容

• 公部門資安工作分享 - 宏碁 Jack 雲端商業應用顧問 
• 「Hack Your Life」落實駭客精神 - 安創資訊 Ethen 
• 私人企業資安工作經驗分享 - 果核數位 陳昱崇資安經理 
• 誰說只有駭客才可以搞資安 - ForceShield, Inc. Danny 
• 業師諮詢與學生分享

交流活動資訊

• 日期：107/05/19 (六)
• 時間：13:00 ~ 17:00
• 地點：Doers Work 實踐空間
• 地址：台北市松山區八德路四段70號
• 餐飲：活動將提供 精緻茶點、飲料

票種說明

• PIPE 票 : PIPE 票： 費用免費（限 TDOH PIPE 計畫合作學校）
• 普通票 : 100 元： 供所有對資安有興趣的非學生朋友購買參加。

如超過報到時間到達，將會取消您的票卷，同時開放給現場報名的朋友參加。

TDOH - PIPE 合作學校：

北商大、北科 NPC、大安高工、松山高中、文化大學、台中科大、中央大學、興大附中、逢甲黑客社、台北城市科大、竹女資研讀書會、淡大資安讀書會、中興大學資訊社、台大網路安全局

[報名購票請點我]

[TDOH-PIPE 合作聯繫]

資安新聞及事件週報 2018/4/30 ~ 2018/5/4

**1.重大弱點漏洞**
      
       上百萬台光纖路由器爆認證旁路漏洞，可被遠程訪問攻擊
       http://hackernews.cc/archives/22781

       上百萬台光纖路由器爆認證旁路漏洞，任何人可遠程訪問攻擊
       https://bit.ly/2rjBTzS

       光纖路由器爆RCE漏洞，上百萬台家用路由器門戶洞開
       https://www.ithome.com.tw/news/122791

       百萬餘臺韓國Dasan路由器曝遠程劫持漏洞，墨西哥、越南等受影響嚴重
       https://www.secrss.com/articles/2385

       GitHub發現以明文紀錄用戶密碼的內部臭蟲
       https://www.ithome.com.tw/news/122827

       Apache Strusts2漏洞一年未修復企業Web服務器遭黑客批量入侵
       http://tech.china.com/article/20180427/kejiyuan0326130787.html

       企業未修復Apache Struts 2漏洞，致Web服務器被批量入侵
       https://www.secrss.com/articles/2346

       NetApp OnCommand Unified Manager for Linux 安全漏洞 CVE-2018-5486
       http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5486

       Switch破解工具NXLoader釋出，透過Android即可啟動Fusée Gelée
       https://bit.ly/2Ky8c70

       任天堂Switch漏洞已可運行Windows95 老任再遇危機
       https://bit.ly/2JQEYPB