原文地址:https://zhuanlan.zhihu.com/p/64196314?utm_source=wechat_session&utm_medium=social&s_r=0&from=singlemessage&isappinstalled=0&wechatShare=1
写在前面:
DEFCON GROUP的技术交流在昨天落下帷幕,在这些天认识了一波新的志同道合的朋友,结识了很多大佬,还有幸拿到了360独角兽团队核心成员均哥亲笔签名的书,有点遗憾没有带上《白帽子讲WEB安全》去找道哥签名,不过和他合影了,也很满足了!
经过三天的会议,不得不说学到了很多东西,每次参加类似的技术交流会议总会总结一点东西出来,之前没有给大家分享,从这次会议开始尽量将自己的想法整理出来和各位大佬分享交流,如果有写的不当的地方欢迎各路(除了娱乐圈)大佬批评指正提供建议。(以下整理的内容均为半虚构半真实,各位看官当作看故事就行)
这次是按照笔记的点来记的,笔记写的比较散,为了靠自己会后还原,笔记只写了一些关键的点,主要靠会后还原,加上自己的看法比较多。第一天下午是技术交流论坛,DC010的各位大佬们分享了一些他们的东西。
第一块内容是冰尘大佬分享的关于社工的一些东西,之前也有用到过不少社工的知识,除了一些常规思路,这次还了解了很多别的东西,比如REG007匹配手机号注册网站是通过API接口嗅探,通过匹配各个不同网站的(好像是注册)API接口来得到提交的账号有没有注册,通常情况下可以得到大部分真实有效的数据。有时候抓到了目标的手机号,但是很多打电话显示是空号,这时候可以通过注册过网站通过恢复密码的方式确认手机号是否真实有效,有时候社工给目标寄快递,真的发一个放有“小礼品”的快递包裹(里面可能放的是伪装好的badUSB,USBkiller,也有可能是USBninja,或者是钓鱼WiFi,听说某金融公司被钓鱼WiFi搞过,根据大佬描述那个藏在角落里的钓鱼WiFi甚至还积灰了,之前只有在CSI Cyber里看到过类似的案例),路由器可以被很方便的改为钓鱼设备,这两天腹黑大佬就有一个WiFi绵羊墙(sheep wall)的技术展示,抓到了不少密码(大菠萝牛逼!大菠萝是hak5出的一款针对无线渗透的硬件,功能强大,效果显著,可以很方便的完成各种WiFi渗透,价格有点小贵,请谨慎入手,如果家里有矿请忽略,详情请见官网https://www.wifipineapple.com/)见识到了大佬通过一部手机劫持WiFi等进行各种骚操作,发现Zanti和csploit是真的强大。还听到大佬分享了一个进入阿里之后发现某台机器可以远程连接保安室的访客系统直接打印访客牌的漏洞,提给阿里后迅速被修复。
之后提到了安全意识问题,主要关注目标是边缘设备安全,各种线圈,侧信道等,之前完全没有想到能有人通过线圈分别穿在左右手,通过和你保持一次2米内的接触盗刷了你的银行卡,以及一些物联网设备的影响可以从网络到物理(比如之前的无线心脏起搏器漏洞个,完全可以在万米之外杀人于无形,之后发现那个漏洞的大佬突然消失,害怕.jpg),随着物联网的广泛普及,现在的可以直接威胁到我们生命安全的设备也越来越多(详见2018年《名侦探柯南剧场版0的执行人》中出现的IoT恐袭,虽然是电影有很多编的部分,但是不能否认这确实是一件作案手法隐蔽危害巨大的通过高科技犯罪直接造成严重后果的案例)。同时你的自身安全不代表绝对安全,因为很多时候可能你是被身边的人给“卖”了,当天在对场馆的流量监听过程中就抓到了未经加密传输的ASRC贤唐大佬的照片(无辜地莫名躺枪,被朋友卖了)。同时随着现在AI的升级,有很多时候新闻的文章会定向推送,听说当时美国大选时,各位竞选人有人通过AI生成新闻的方式来实现定向推送,比如用AI生成一篇文章来讲候选人做了什么有利于用户感兴趣方面的事获取信任来拉票的,这类精准投放的假新闻可以大规模影响思维方式。
之后还提到了区块链和5G等技术,因为对于这两个领域的不熟悉笔记也记得比较散这边就不解读了,也怕混淆大家的视听(毕竟之前可以说是一点都不了解的)。
再然后提到了个人信息保护问题,关于上网认证和email部分,其中DAY3的论坛中哥伦比亚安全研究员伊万也提到了钓鱼网站的问题,一个看似是https的仿苹果钓鱼网站,甚至有信任源的CA证书,甚至域名看起来也很正常,实际上用的是同形异义字符,只是看起来一样,实际上不一样(以假乱真的水平真的可以),讲完了钓鱼手段就开始介绍认证方式,安全的认证方式主要是多重认证和硬件认证,介绍了蓝牙认证工具的原理。
后来一位基础设施的国家电网信息工作人员在李均大佬的鼓励下讲了国家电网的一些流程,电网作为基础设施中关键的一环信息安全非常关键,从之前的乌克兰和委内瑞拉的断电就可以说明非常重要,电网控制网和系统内网不连通,据说大部分设备都支持远控,但是通过专线传输数据,各地都有主控中心,控制网存在传电线路和控制线路。
DAY2主要是技术演示,学了一天开锁,没有论坛,和大佬做了简单的关于无线电安全的交流。
DAY3是各位大佬的技术分享,首先来的是我的偶像道哥,仰慕道哥已久却没有得到签名有那么点小遗憾,希望以后还有机会吧。道哥分享主题是互联网安全的挑战和协同机制,对于多年的从业经验分享的宝贵经验非常值得我们学习。道哥提出的第一点就是安全起源于发展,而安全公司的出现主要是为了防黑产和黑客攻击,2019年网络安全产业市值600亿,然而黑产却是远超这个值。第二点提出的是基础设施对安全的影响,基础设施的范畴不仅仅是传统意义上的基础设施,在道哥的解释中还包括操作系统、电信运营商云计算厂商等,攻防之间的不对等性是导致防御者被迅速攻破且短时间内无防守能力的关键,而基础设施的改进有可能一夜之间颠覆这种不对等性,常见的攻防不对等案例主要在软件开发框架(Structs等)和勒索软件对抗方向。而且基础设施不只局限于等保条例,甚至于淘宝、微信等也可以是基础设施,淘宝是电商产业的基础设施,微信是社交软件的基础设施,不同的领域有不同的基础设施,而基础设施应该是重点保护对象。有时候单点存在的问题在宏观上会变化,并不是一成不变的,不同应用场景存在不同的安全问题,基础设施是用来解决通用性问题。勒索病毒是典型的攻防不对等,如果能够提前预警,得到解密算法显然就不会对电脑造成危害。第三点是针对难解的安全挑战的,但是很多安全挑战都已经被解决了,道哥举了windows内存攻防对抗和ARP欺骗就基本被解决了。现在的网络环境下的主要漏洞时逻辑漏洞,这个在我自己的漏洞挖掘过程中也遇到的非常多,一些非常关键的网站用户参数不加密传输,甚至不做二次验证,导致了平行越权的存在,不需要通过SQL注入,只要通过提交数据包就可以拿到所有用户信息,写个脚本爬一下数据全下来了(但是这事我是没敢干,网络安全法和刑法修正案了解一下!!!)还有些站在登录的时候,只要把member字段从user改为admin我一个刚注册完的用户进去居然有管理员权限我也是醉了…还有羊毛党最喜欢的支付漏洞,很多,前几天刚挖到个权6的支付漏洞,再一次感叹某些厂商的管理者和技术人员毫无安全意识。第四点基础设施以外的攻防是安全产业面临的主要挑战,存在的问题单点技术都能解但是全局无法解,而且很多菠菜小电影都涉及到跨国跨组织,溯源和协同比较困难,道哥随后举了几个历史上成功协同的例子,镇楼图便是《流浪地球》,还有当年大火的《2012》,除去电影真实存在的欧洲大型量子对撞机和黑洞的发现也是世界各地科学家成功协同的体现。互联网安全协同却是一个比较麻烦的问题,成功协同的保障主要是开放带来的协同问题,评价体制的建立,协同运营机制,协同的效率非常关键,道哥举了当初他自己一个试图创建威胁信息收集平台失败的例子,强调了必须无利益倾向,参与方需要得到权益保障,而协同效率的关键是信任门槛降低带来的效率,安全是为了提高效率,基于API的审核比人工审核更重要,还有一些可以提高效率的新技术的运用。情报交换很关键,通过情报交换来最终实现能力的交换,从而解决网络安全带来的多样性和复杂问题。
道哥之后是百度安全的高级产品经理宫旭清大佬的关于网络安全与边缘计算的主题演讲,但是由于对于边缘计算这种新技术的不熟悉,导致并没有总结太多的内容,笔记也记得比较散。边缘计算只听懂了大致概念,所以之后也听的有点懵逼,只关注到了几个点:1.边缘计算会被广泛运用,市场规模非常庞大(预计2020年会有500亿接入互联网设备,其中会有很多边缘设备)2.边缘计算的安全现状关键且脆弱(针对边缘计算没有完整的防护体系,大多是用于云计算的防护)3.边缘计算没有收到重视主要因为只是一项解决方案,没有创造出新的商业模式。
之后的深圳DEFCON GROUP负责人来自澳大利亚的Peter大佬讲的关于黑客心态的变化和一些黑客性格的解读,无奈语速太快导致…没怎么听懂,均哥本来是想翻译的,但是好像也有点超出了他的能力范围,拉上了Ivan一起还是有些力不从心,之后就一直处于断断续续凑合着听的状态,这场论坛就不总结了。
最后一项论坛是由来自哥伦比亚的安全研究员Ivan带来的Anonymity is the price to pay for Privacy,其中有一部分和分析结果一起分析得出的结论非常有参考价值。开篇就是给了我们一张通过GAN技术生成的人脸,将美队和另一位的脸结合在一起,完全看不出来有PS痕迹…深度学习技术的发展带来了非常多的便利,现在据说CCTV都有AI生成的新闻播报员了?当然也有非常多通过这种技术来导向不利方向的,比如一些生成的图片捏造事实造谣传谣,可能会给很多关键性人物造成影响。第二点介绍了黑客和网络罪犯的区别,我们DEFCON GROUP挂牌上就写到We are hackers,we change things;)作为一个白帽子我们的目标是维护网络空间安全。第三点解读了威胁分类,讲了低威胁攻击和APT攻击的区别。第四点分析的是弱口令,在统计数据表明的2017和2018年的TOP10弱口令中,有七八条是相同的,都是一些诸如123456789的弱密码,正所谓防护再好的系统也防不住弱口令,弱口令问题是亟待解决的,关键就是要提高安全意识,Ivan多次强调了Security是一个过程,建议我们不同账号使用不同密码,其中80%的人都知道使用相同密码不安全,然而这些人里的90%又不愿意去改密码,大量账号使用相同密码,他们极易受到撞库攻击,现在很多社工案例都是通过历史泄露密码撞库获取的当前密码。Ivan着重强调了密码熵,通过增加熵来提高黑客破解难度。同时又拿前一天展示的WiFi绵羊墙技术指出了开放式WiFi的危害,可能存在监听,接触,篡改,DDOS,钓鱼等诸多问题,造成的危害也是不容小觑。第五点讲的是恶意软件(Malware),常见的就是勒索软件、蠕虫、木马、键盘记录器,在神不知鬼不觉中通过远控或者MSF就得到了系统权限。主要是通过APP,浏览器,服务器漏洞来发起的攻击。在演讲结束前他再一次强调安全是一个过程。
为期三天的会议不长,但是学到的东西给我提供了新的研究方向,准备入硬件的坑了,如果没人给我提供支持,那我就只能继续好好挖洞攒买设备的钱了,希望在硬件领域可以研究点东西出来能够让简历投进360的独角兽团队学习!
I am a hacker, I change things:)
Y4ph3tS 于2019-4-29