通往自由的路:第二届乌云安全峰会在京举办

  • 魏星

2015 年 7 月 21 日

话题:安全DevOps语言 & 开发架构文化 & 方法

2015 年 7 月 17~18 日,国内著名第三方漏洞平台乌云网举办了第二届白帽子安全大会,今年的主题是“通往自由的路,每一步都在突破束缚。”

企业安全建设的三部曲

51CTO总裁助理赵毅主持了第一天的企业专场,首先做分享的是去哪儿网安全总监郭添森,他坦言去哪儿以及整个行业都面临电信诈骗的问题。

作为去哪儿网的第一位安全工程师,郭添森讲述了去哪儿根据 ESG(Enterprise Strategy Group)企业信息安全成熟度模型,进行网站安全建设的三个阶段。第一阶段主要是组建团队、熟悉业务环境、解决网络层的问题、进行业务应急并由此设立企业安全生产的标准和流程,例如对办公环境和生产环境的网络隔离;第二阶段是用自动化的方法去检测和解决常见安全问题,主要解决操作系统、数据库、应用以及 Web 层的问题,总结为一句话就是“可写入的地方不能执行,可执行的地方不许写入”;第三阶段的主要方向是数据安全和业务安全,比如PCI DSS认证、异常行为分析等。另一位分享嘉宾——唯品会的王润辉也讲述了类似的历程。

在谈到对业务安全的理解时,两位专家都指出风控的重要性。平衡业务与安全的关系、适应不断变化的环境,是安全从业者的挑战。

万达电商的安全主任工程师林鹏有着丰富的互联网金融安全从业经验。在他看来,随着互联网巨头、金融大佬以及部分创新玩家的入场,互联网金融的安全风险几乎就是互联网安全的风险与传统金融风险的叠加,其中 GitHub、企业网络边界、DDoS 三方面是互联网金融企业的薄弱环节。由于业务设计的缺陷导致“羊毛党”和“黄牛党”丛生,黑客攻击使企业的损失十分惨重。企业亟需招揽专业的安全人才,从业务设计方面提高“羊毛党”的攻击门槛。

网络犯罪成本低、代价高

便装出席大会的江苏省公安厅网安总队童瀛科长从几个匪夷所思的案例说起,指出日新月异的各类计算机犯罪是网警面临的最大挑战。DDoS 攻击危害极广,从最早(1998 年)的技术炫耀到后来的“黑吃黑”(2003 年),再到灰色产业链由竞争、报复、勒索引起了全面蔓延(2010 年),在这个过程中部分国内 IDC 机房甚至也参与其中。目前最流行的 DDoS 攻击手法为 UDP、SYN。在线游戏、商业公司、政府机构是 DDoS 攻击的主要受害者,雪上加霜的是各种智能设备正沦为 DDoS 的工具。

中小企业一般无力承担 DDoS 防御的成本,那么该如何应对 DDoS 攻击?童科长的建议是报案!

攻防不息对抗不止

来自上海交通大学密码与计算机安全实验室GoSSIP 软件安全小组的杨文博带来了一场纯技术的分享——Android 通用自动脱壳技术。移动互联网时代下的加壳技术比 PC 时代更为复杂,通常具有隐藏 DEX、静态逆向困难、变化快、反分析的特性。由于加壳技术的泛滥,Android 平台恶意软件呈现出大爆发的态势,研究脱壳技术势在必行。加壳技术固然可以保护程序逻辑以及程序的完整性,却无法保护用户的数据存储和传输的安全以及程序自身的漏洞。因此,Android 通用自动脱壳技术的方法选择用Dalvik源码插桩的方式在 MainActivity.onCreate() in Mainfest 这个点入手。通过大量脱壳技术的研究,杨文博也发现了一些很有意思的现象,比如国内众多 APP 安全厂商普遍喜欢对应用头文件做各类修改,也许还会有更好的加固方案,末了他如是说。

Android 脱壳的演讲让听众还没缓过神来,完美世界的高级安全工程师 MayIKissYou 就开始讲如何利用 WAF 的特性构造命令实现全局绕过。比如对数据库层、Web 服务器层、Web 应用层以及 WAF 本身都存在由于某种特性而可以被 ByPass 的漏洞。攻防是一个长期对抗的过程,WAF 厂商自然会不断提高其防护能力,但未知的特性那么多,再找找总是有办法绕过的。

攻方讲罢守方登场,喜欢研究开源项目的腾讯安全架构师张海清继续分享了 WAF 防御的解决方案。腾讯由于服务器数量巨大、Web 服务众多、网络环境复杂、流量大并且对并发要求高,因此采用了多种 WAF 方案并存的整体解决方案。



不差钱的腾讯硬件防护自然不可或缺,Web 服务的反向代理也是重要的技术手法,而 WAF 规则的更新则采用性能更高的 Lua 脚本来实现。除了解决数据分发的异步、WAF 性能与灵活性的兼顾以及负载、容灾、雪崩、流量穿透等问题,对 WAF 防护的运营也是重中之重,例如不同业务 Web 服务器的配置、WAF 规则的管理以及大数据分析等。

然而,道高一尺魔高一丈。著名白帽子 boooooom 现场展示了“如何从外围进入各大公司内网”。黑客入侵内网的目的在于数据,而企业核心的数据一般是存放在内网的,多数企业的内网又是脆弱的。boooooom 认为渗透内网的手段有两种,一种是通过盗取合法入口如 VPN、Mail、Wi-Fi 的权限进入,一种是通过应用漏洞、不当的服务配置以及钓鱼攻击等非法入口权限进入。安全部门在以业务为主的大公司并不会有较大的话语权,大公司的网络边界存在一些可以突破的点、虽然有安全规范但执行会差强人意、即便有合规检查也一定会存在盲区,这无疑是大公司的安全命门,而运维人员的不良习惯、研发人员的惰性更是加剧了这个问题。比如腾讯的 passport.oa.com 就是一个典型案例。对攻击者来说针对的只是一个点,而防守方要做的是一个面。因此黑客总能找到大公司网络边界突破点,所有企业都要提高警惕。

自从大牛蛙MSRC(Microsoft Security Response Center)引入国内,企业安全应急响应中心(*SRC)在保障业务、还原攻击、明确意图、解决方案、查缺补漏、司法取证等诸方面的工作逐渐成效。第一天的分享攻防精彩不断,在甲方和乙方做过 8 年安全工作的Insight Labs成员 Piaca 最后分析了几个“企业应急响应与反渗透”的真实案例。其中一个是无休止的劫持攻击,攻防两端斗智斗勇令人侧目。总结起来,当劫持攻击发生时,防守方可以做的事情比较有限,一切要从优先保障业务的角度出发,在应急过程中尽可能多地了解对手,熟悉其攻击技术,保存好日志、流量等数据,以期更好地完善防御系统。

白帽子的节日

数月前,知道创宇发布了“心脏出血”漏洞一周年全球普查。7 月 18 日乌云网主站负责人疯狗分享了“Struts 2 事件”两周年启示,并宣布每年的 7 月 17 日为“乌云白帽子节”。此后的乌云安全峰会都会在这一天召开。除此之外乌云还开放了一个吐槽平台,疯狗同学借此吐槽了一番互联网金融清单式安全(SSL、灾备、认证)的“老问题不断、新问题必犯”、认证不设防智能家居俨然成“定时炸弹”、“用户体验极差”的新浪 SAE 以及中国移动在部分省区屏蔽乌云(笔者不禁想起饭否在山西也有此类遭遇)等。当然也有用户体验很好的企业,像同程旅游网、大连万达集团,惜乎这样的企业屈指可数。

在随后的环节,白帽子 Rayxcp 展示了对民用无人飞行器的入侵与控制。他提醒厂商应该加强通信信道的安全、加固系统和功能接口、并做好底层校验,避免大规模入侵控制的发生。PKAV团队负责人、双螺旋攻防实验室负责人Only_Guest则演示了如何通过公网开放数据和商家系统漏洞实现免费吃饭、任意号码呼叫劫持、任意车辆信息查询甚至监控银行运钞车等等令人咂舌的安全威胁。此外 PKAV 团队的香草(音)还演示了国内主流邮箱产品的 Web 端、PC 端和 Mobile 端的劫持漏洞。来自台湾HITCON CTF 战队的队长 Orange 则分享了自己作为 Web 安全爱好者在 CTF 比赛中的经验。

手机号码不安全

电信诈骗一直是网络犯罪的重灾区,而大量创业公司的各种优惠活动成功把“羊毛党”带到了以手机号为主体的灰色产业链上。乌云白帽子毕月乌首先在现场演示了伪造任意号码拨打电话,他解释说,由于网络电话(VoIP)与运营商之间的信任机制,伪造任意号码几乎没有门槛,可以说是全民普及。除了伪造任意号码,伪基站的危害也十分惊人。通过调查分析发现,伪基站短信钓鱼的受害者多为在校学生。而“薅羊毛”的受害者则是大量企业。“羊毛党”通过“猫池”(上图所示)设备大肆渔利,猫池所用电话卡几乎全是移动联通两家,毕月乌的调查发现“猫池”集中在广东地区,这些黑卡是怎样逃过实名制管理的?监管部门应该查一查。作为企业,唯有从业务设计上提高活动受益门槛,尽可能降低损失。

如果说 GSM 网络的安全问题已是积重难返,那么 3G/4G 的网络安全吗?上海交通大学LoCCS 实验室的葛毅杰告诉我们,USIM 卡也不安全。3G/4G 的双向鉴权机制虽然可以一定程度上避免伪基站的攻击,但它的核心 Milenage 算法在对每个 USIM 卡进行鉴权时会按照一定的顺序来进行,对攻击者来说这是一个突破口。仅仅用了一台普通 PC、一个示波器和一个把 USIM 卡连接到示波器的智能读卡器,通过对 USIM 卡的旁路攻击(Side Channel Attack)——功耗分析,葛毅杰宣称可以通杀所有 3G/4G 卡片。演示视频显示复制的手机卡可以像原卡那样接打电话、收发短信等。攻击思路令笔者脑洞大开,不禁想起日前阿里安全峰会上浙江大学徐文渊教授关于智能手持设备陀螺仪的旁路攻击(见下图)。

大话黑客精神

拉勾网CTO 侯杰向广大白帽子展示了当前企业安全人才需求与互联网安全人才发展现状之后,著名微信公众号作者池建强主持了当晚的圆桌。参加圆桌的有CIH 病毒之父陈盈豪(台湾)、HITCON 大会创始人 TT(台湾)、Ucloud创始人季昕华、乌云创始人剑心、真格基金合伙人李剑威、IBM 安全架构师李承达(台湾)。

在被问到 CIH 病毒爆发的感受时陈盈豪说,“当时心里先是一惊,糟了”,然后他一连用了好几个爽字来形容当时的心情。后来因为工作的原因转战到 Linux 内核安全的研究。谈及黑客精神时他说,“后来有人问我,对于这个方面有什么分享?黑客精神必备的是毅力、耐心、恒心加上这根手指头一直按(Debug)。黑客精神是一种创造精神,只要把一件事情做到极致,就是某个领域的黑客。”现在陈盈豪正在做一个创业产品,名为“忆. 忆”,不久将面世。

作为老一辈黑客、Ucloud 创始人季昕华兴致勃勃地谈起自己早年的黑客事迹,像能让西门子手机死机的短信、银行卡 ATM 机取钱而余额不减,等。后来在腾讯做安全研究,大名鼎鼎的 BenJerry 自嘲“写病毒不如 CIH、挖漏洞前有袁哥后有吴石、溢出有 TK 教主、反 APT 有方兴、Web 安全有道哥、黑哥……牛人太多只好转去做云计算。”这位老黑客认为,黑客精神在人生不同的阶段有不同的认知:从“能进入任何你想进入的系统”到“能够不受诱惑地按照自己的兴趣做事而不是为了目的”再到“打破各种规则束缚做自己想做的事”都是黑客精神。

台湾黑客大会 HITCON 创始人 TT 聊了在台湾参加黑客比赛、举办办比赛以及与乌云的合作过程。他认为,在纯技术的领域中没有黑与白,黑客不一定能写非常好的程序,但对程序的运行原理、细节却非常了解。黑客一般有三个特点,即高深的技术、喜欢挑战、尝试各种思维解决问题。

乌云创始人剑心有感于大家(老板、网民)对安全的不理解、不重视,乌云的意义首先让大家了解安全;众测的意义是让有能力的人做好事。通过公开透明的机制来达成企业与白帽子的信任纽带。剑心对黑客的理解是不断进步。学习是一个很痛苦的过程,要突破这个极限,最重要的是不断学习不断进步。

真格基金合伙人李剑威表示,早年热爱安全,从业后花了很多时间在安全方面。从去年开始,安全领域终于热了起来,是时候“把技术人员的优势发挥出来了。”他说,最近大家看到Airbnb早年融资的故事最能体现黑客精神。李剑威坚信“云计算会改变一切,软件定义一切。”

IBM 安全架构师李承达(台湾)早年就职于有着“安全人才摇篮”之称的台湾趋势科技。在他看来,低调的 IBM 是最大的白帽子。他认为好的黑客至少是一个程序员,脚本小子不足为惧,社工高手才是真正的威胁。

晚场的 WooYun Club 酒会还发生了一个小插曲,某位参会者“捡了”别人一个 iPad,黑客们各显神通不到半小时就给“人肉”出来了。

安全DevOps语言 & 开发架构文化 & 方法