乌云白帽大会突破安全、突破思想 再见CIH教父
在乌云“突破”白帽大会2015混了两天,听了许多、学了许多,安全需要突破,安全思想更需要突破。
这类纯技术型的大会,连续听了两天,最大的感受就是不时响起的诚挚的掌声。毕竟演讲者大多都为纯技术人员,擅于动手不擅于动嘴,有时演讲的语调、语速真得很容易引来瞌睡虫飞。但其所分享的内容都是含金量很高的干货,加之生动直观的演示视频,两天以来由始至终数十次掌声的响起均如雷滚滚、发自肺腑。而且两天的大会每次都是直到终场都不见人少,甚至比开场时人数更多。这就是网络安全技术的魅力!
好玩
今年的“绵羊墙”上大家玩得真是很嗨,给“10086”发关键词“乌云”求上墙,在墙上聊天,订会场旁边影院的电影票以示对大会内容的“抗议”,大会结束前还有人借墙“黑”了某“瑞东哥”一下。
会场里的Wi-Fi更好玩,有发出挑战的,建了名为“谁来破解我”的Wi-Fi——不知道最后是谁把它给破了。还有更直接的Wi-Fi名就是“某某招聘”——安全人才太难求了,都到白帽子大会上抢人啦。
还有一件去年的趣事儿:去年的乌云白帽大会竟然有许多“家长”“陪同”参加——黑客大会是啥,会不会有很多“坏人”——家长决定一起去看看。
注意事项
再多说一下参加白帽子大会的两大注意事项:1、绝对不要连接任何Wi-Fi,除非你能确认它是真实、安全的。笔者找酒店的工作人员,确认了酒店的Wi-Fi,但在连接后依然在心里祈祷“刚才那位可要是真的酒店人员啊!”2、绝对不要通过各类无线信号,收发任何信息,包括手机短信。
分享有意思的东东
下面就与大家分享一些这两天听到、看到的有意思的东东。
1.从无到有的企业安全团队
去哪儿安全总监郭添森第一个上场,介绍了企业安全团队如何从无到有一步一步建立起来。早期去哪儿的安全团队主要工作就是“四处灭火”,消除安全威胁、建立安全标准。随后才逐步完善了公司的相关制度流程,进而将主要精力投入到企业数据与业务安全上来。
在谈及业务和安全的平衡时,郭添森提出“安全的使命是什么?消除风险?亦或控制风险?”安全要去做,但不能“过早”、“过度”,业务上线后去做安全也未尝不可,安全切入的时机要掌握好。
2.抗DDoS攻击拼的不仅是技术
来自江苏网安总队的童瀛科长非常幽默,上台第一句就说“我今天没有穿警服,因为我不想让大家误会我是来查水表的”(此时掌声迅速响起)。童瀛主要介绍了当前国内DDoS攻击的情况,目前DDoS攻击目标的排名依次为政府机构、商业公司、在线游戏,而人们发起DDoS攻击的理由千奇百怪,比如为了“报复”网吧的“不公”,为了保持“CF”游戏排名第一等等。单纯依靠技术就能搞定DDoS攻击么?很可惜,抗击DDoS攻击不能仅仅依靠技术,还要拼资金、拼带宽。
3.没有破解不了的加壳
上海交通大学计算机系在读博士杨文博同学介绍了安卓加壳的破解以及对于移动应用安全的一些想法。其实纯技术角度而言,再严密的移动应用安全加壳都能被破解。不过现在的恶意攻击者都要考虑破解的性价比,破解后却赚不到钱的APP可不会有人理会。产业化的今天,安全已经不再仅是技术的问题了。
杨文博建议移动应用的安全加固最好做到程序编写完成之前,加固要考虑IT的整体架构,避免做小范围、小技巧性的加固,因为这类加固可能由于没有考虑全局而给应用运行带来不可预知的影响。另外,做应用的安全加固要考虑“性能+安全性+兼容性”,代码混淆与安全加壳要相结合,尽量把JAVA转化为Native,增加反编译的难度。
4.遍尝百“险”的P2P金融
P2P互联网金融是个“好东东”,目前为止所有的安全威胁它基本都“体验”了一遍。典型的老问题不断,新问题必犯!——该犯的错都犯了。
据万达电商安全主任工程师林鹏介绍,业务设计缺陷、手机短信验证缺陷、XSS跨站脚本、敏感信息泄露等等是最为严重的互联网金融安全威胁。
互联网金融在快速崛起,但相关IT人员的思想还远远没有跟上,这就从根源上为互联网金融的安全漏洞埋下了隐患。同时,P2P所处的集团网络环境往往安全能力较低,这使得其在面临更多来自(集团)内部的外部风险。另外,人们还在尝试借助大数据进行行为分析,来降低P2P里“薅羊毛党”的危害。
5.利用WAF盲点Bypass
乌云白帽子mayikissyou分享了多角度对抗WAF的思路与实例。比如,利用http解析、Windows防火墙、系统高负载、字符解析、白名单、Web应用等等。Bypass WAF的思路是制定一些特殊的、WAF忽视识别的场景,藉此来实现对WAF的突破。
6.安全防御在于发现问题
当唯品会高级工程师王润辉介绍唯品会的安全建设,表示其团队成员已有三十余人时,台下观众齐齐吐槽“唯品会安全好壕啊”!王润辉表示企业安全防御的核心在于问题的发现能力,比如发现测试程序里的漏洞、备份文档上的漏洞、网址可能被枚举的漏洞等等。另外在做安全应急响应定位攻击人时,要做好取证,因为“凡有攻击,必留痕迹”。
7.Struts2与乌云白帽子节
恍然间,Struts2事件过去竟然已经两周年了。乌云网联合创始人、主站运营“疯狗”介绍说,2010年7月9日,第一个Xwork RCE POC现身(S2-005),Struts2正在张开血盆大口亮出獠牙!当时Apache试图用正则方式规避风险,却让风险越“规避”越多。2013年7月17日Struts2漏洞爆发到达了高峰。近两年Struts2漏洞爆发数量虽然没有2013年多,但依然呈现上升趋势,网络世界里的战争啊从未停息。
2010年7月10日乌云正式建站,2010年7月15日第一个Struts2漏洞被在乌云曝出,2012年经过大量深入研究白帽子们发现Struts2漏洞竟然这么好用、好玩。2013年Struts2漏洞再次爆发时,乌云白帽子提交了大量的漏洞,多得“审核到流泪”。由于与Struts2的这份“姻缘”,乌云决定将每年的7月17日定为白帽子节。
8.安全的尴尬
2015年4月8日某支付漏洞被曝出,4月11日厂商表示已经修复漏洞。4月13日,该漏洞再次被曝出——厂商给出的解说是,由于其开发团队不知该漏洞问题,在部署新代码时,已经修复的代码被覆盖,漏洞就又出来了。安全真的不仅仅是安全部门、安全团队的事情,安全意识普及任重道远。
OpenSSL“心脏出血”漏洞爆发后,白帽子们迅速发现某最著名电商平台竟然也存在该漏洞,在上报乌云并通知该厂商后——“厂商忽略漏洞”,这就是白帽子努力了半天后的收获,其实这已经无关乎“尴尬”了。
弱口令啊、弱口令,百提都不“旧”,哪怕到了国家都已经重视网络安全的今天,弱口令的问题还是呈现上升趋势,这还能算是一个“笑话”么?
一个坏消息:骇客与白帽子之间的战争,战场无处不在,第三方企业受迫于骇客的暴力,往往会不得不屈服。一个好消息:不过也有企业非常重视安全问题,有的传统企业的安全意识甚至远超互联网企业,他们不怕被发现漏洞,甚至赞赏被发现的漏洞,并迅速应对。
人还是最大的“漏洞”,比如“内鬼”。当面临科学解释不了安全事件,也许需要信信“邪”了。
然后,记住这些名字吧,他们一直并将继续为安全作出贡献:猪猪侠、爱上平顶山、YY-2012、Jannock、xfkxfk、lijiejie、茜茜公主、wefgod、紫霞仙子、kobin97。
9.“聪明的”手机诈骗
乌云白帽子毕月乌在介绍“手机号背后的灰色地带”时,“忽悠”了现场两位观众上台配合,观众甲给观众乙拨打电话,然后白帽子用手里一台非常有意思的Pad(现场借的Pad,用了一款免费软件)“修改”观众甲所拨手机号码为“186-8888-8888”,再次拨打,观众乙手机来电显示号码变成了修改后的“186-8888-8888”,2分钟就搞定了一次“电话欺诈”。而这都是VoIP网络运营商“惹的祸”,在网上了都,搞定它分分钟的事儿而已。
现在的网络钓鱼诈骗其实很“智能”,如果用户是在PC上点击链接登录钓鱼网站,欺诈者会按兵不动,并让链接跳转到真正的网站。如果用户是在手机上直接点开了链接,那么恭喜骗子,又钓到一条“鱼”。
对于骇客们而言“我们不生产人民币,我们只是人民币的搬运工”。据不完全统计,每天新增钓鱼网站50-150个,每天新增受害者近千人。而且数据统计上来看,上当受害者男女其实都一样,而17-25岁之间的人群最容易上当,这个年龄段多为中学生、大学生、刚刚工作者,对信息产业最了解的人居然是受害比例最高者,真的很让人疑惑。(笔者比较欣慰的是,家里老父母在经历了笔者的多次“网络安全普及教育”后,对于一切可疑的电话、短信都会先找笔者验证一番再说。)
另外,“721521”竟然是银行卡使用最多的密码之一,这是啥意义呢?
10.可怜的手机卡
上海交通大学LoCCS实验室的葛毅杰为现场的白帽子们做了《3G/4G USIM3G/4G USIM 卡的安全性分析》。
首先声明:当时会场里的联通4G是肯定莫有信号。其他与会媒体同仁也纷纷表示,会场对运营商的信号“屏蔽很好”。上网困难,胆战心惊。
4G好快啊,一不小心流量就超了。不过,USIM卡的安全问题更严重,比如可怕的复制卡——有了复制卡,密码重置、银行“转账”,so easy!斯诺登同学就曾爆出,米国官方机构曾经黑进最大的SIM卡厂商。
早期的2G卡单向鉴权无法辨别伪基站,鉴权算法本身就存在漏洞,面对旁路攻击非常脆弱,千疮百孔啊。
现在的3G/4G卡的鉴权算法基于AES-128+循环移位+异域,没有明显漏洞,双向鉴权,采用SQN来保证同步性,并采用其他策略来保证通信的完整性。不过,面对旁路攻击时……根据观察数条功耗曲线特点,就能够推断出加密算法的相关信息。没错,仅仅通过功耗分析就能做到对加密算法的解析。实际上,设备的电磁、功耗、时间、声音、温度等信号都是旁路攻击的绝佳目标。
所以USIM卡的安全性相比前一代SIM卡有着更高的安全性要求,比如增加抗功耗分析设计,并进行专业的安全性测试等等。
11.劫持无人机
现在无人机越来越火了,邮局用无人机送快件,警方组建无人机分队……
乌云白帽子Rayxcp介绍说通过遥控器和Wi-FI局域网都可以实现对无人机的入侵操控,另外通过对相关手机APP的入侵也可以实现对无人机的控制。强大的无人机啊,安全竟然这么弱。已经取得了ROOT权限的恶意攻击者,借助系统自带防火墙能够阻断对无人机的正常操控,实现对无人机的“劫持”。
无人机安全提示:
1、通信信道需要加密并进行身份认证;
2、关闭系统级入口实现对系统和功能接口的加固;
3、尽量在底层做校验。
12.物联网下的云安全与大数据:一波各类入侵的实地演示
黑客是否真的能像电影里那么酷?白帽子Only_Guest(著名幕后段子手)在遵纪守法的前提下做了测试和演示(演示过程中频频喝酒壮胆):在餐厅里“白吃白喝”;控制出租车的监控、打表金额、断油断电、控制时速;车主信息随意查询;对社交网络“潜水员”实现人肉搜索(哪怕你在网上只浏览重来不发帖,但通过对你在不同网站注册添加特征标签,借助“大数据”分析,依然能够实现“人肉搜索”)等等等等……(1.部分演示内容比较敏感,本处规避文字描述。2.演示过程中某榔头手机、水果手机纷纷遭遇高级黑)。存在云端的数据安全问题依然严峻。面对严峻的安全形势白帽子也没有太好的防范方法,只能努力提高自身安全本领,或者试试呼叫转移吧。
放两段有趣的互动:
a.场下白帽子提问:“你这么屌,考虑过自己的人身安全吗?”
Only_Guest(标准新闻发言人式)回答:之前在谈这个议题的时候我做了很多高大上的东西,比如我从手机这块做了手机定位,我们这个演示视频有几十个,后来我们发现有些东西不适合公众开放,今天演示的东西相对没有那么敏感。
b.场下白帽子提问:“有人威胁过你吗?”
Only_Guest(屌丝白帽子式)回答:目前还没有。你要做第一个吗?
小花絮:Only_Guest在演讲过程中频频喝着啤酒,下台时还顺走了一瓶,此时微信圈里有女侠表示希望与其拼酒。
13.黑客大咖们的“算卦摊”
(左起池建强、剑心、TT、陈盈豪、李剑威、季昕华、李承达)
最牛的部分来了,6位安全大咖在现场给白帽子们摆了一个有关网络安全的“算卦摊”,他们分别是:CIH病毒之父陈盈豪(中国台湾)、台湾黑客大会HITCON创始人TT(中国台湾)、Ucloud创始人季昕华(中国大陆)、乌云创始人剑心(中国大陆)、真格基金合伙人李剑威(中国大陆)、IBM安全架构师李承达(中国台湾)。
“我可以做到所有人做不到的事情”, CIH病毒之父陈盈豪在谈及当年编写CIH时的心态时用了六个字“爽爽爽好爽啊”。这就是一位黑客挑战技术成功后的想法,他想到的是技术上挑战的成功,不过很明显,之后造成的危害他可大大没有想到。黑客的必备条件是要有坚韧的毅力与恒心,黑客要能够耐得住寂寞,要感兴趣、喜欢,还要有一点点运气。
HITCON创始人TT认为在纯技术的讨论中“没有黑与白”,没有不安全的系统,只有不安全的人。TT谈了与乌云的合作历程,并邀请在座的黑客参加HITCON大赛。
Ucloud创始人季昕华“坦言”黑客圈里聪明人太多,所以在2005年决定退出,找寻巨头们所忽略的地方进行创业,比如现在的云Ucloud,帮助黑客们健康成长。“公司安全的重点在于公司运营总监的安全”,“失业”的危机是云落地发展的阻碍之一。云端“邻居”好坏的判断、防御、隔离很重要。在合理的范围内进行挑战,这是黑客的精神。
乌云创始人剑心,一个“长得就像程序员”的人。做乌云的初衷就是希望让大家都能够了解安全。
IBM安全架构师李承达开玩笑的说“正是有了黑客,才让我们白帽子有了存在的价值”。
真格基金合伙人李剑威认为“安全在中国还是被大大低估了”,安全产业大有可为。
一点思考
真得只有一点,因为听了许多、看了许多、学习了许多,然后进一步自证得知“某家尚为井底蛙一枚,证毕。”
连续两天的大会,思绪不断,到后来又一次集中到了本次大会的主题“突破”二字上。实际上,大会中白帽子们所言、所证的一切无不是在打破既有的安全枷锁,无不是在突破曾经的安全思考。白帽子们在试图通过不同方法、不同的维度,带领人们去认识一个全新的安全世界。流水不腐户枢不蝼,安全同理之,安全的思想同理之。
黑客、骇客,白帽子、黑帽子,有意间、无意间,网络世界在迅速与人们现今的物理世界融为一体,形成一个硅基与碳基结合最为紧密、全新的世界,安全的作用就是让这个新世界能够健康的发展,避免千里之堤毁于蚁穴时刻的出现。
(责任编辑:admin)