精彩紛呈 烏云白帽大會首日專業(yè)場的那些事兒
原創(chuàng)2015年7月17日,著名漏洞平臺烏云網(wǎng)與臺灣著名黑客大會 HITCON聯(lián)合舉辦的烏云第二屆“白帽子大會”正式在北京富力萬力酒店3層首府宴會廳召開。
今晨,北京的雨已經(jīng)下了一夜,并且降雨逐漸加大,多處積水。但這并沒有阻止各路安全人士,各方安全大牛參會的腳步,影響他們的參會的熱情。
烏云吹響集結號,你聽說過的和即將聽說的白帽子們,都在這里出現(xiàn)~
外星人驚現(xiàn)會場~
書擺的很有藝術感,書的內(nèi)容是參會人員的最愛~
思科安全展臺~
IBM安全展臺~
避免有給廠商打廣告的嫌疑,小編還是從花絮轉(zhuǎn)入正題,說說今天白帽子大會上的那些人,那些干貨與經(jīng)驗。#p#
企業(yè)安全建設
企業(yè)安全部門從無到有、從最初的組建到組織架構趨于完善,這期間所要經(jīng)歷的并非我們想象中那般容易。在此次大會,來自去哪兒和唯品會的兩位安全專家講述了他們的親身經(jīng)歷,與大家分享了關于企業(yè)安全建設的經(jīng)驗。
去哪兒安全總監(jiān)郭添森——《去哪兒安全——從0到1》
郭添森:一位低調(diào)的黑客大牛,曾在藝龍網(wǎng)工作有近十年,在藝龍網(wǎng)的時候主要是在做一些運維還有安全方面的事情。四年前加入去哪兒,現(xiàn)任去哪兒安全總監(jiān)。
郭添森主要分享了去哪兒從零開始建設安全體系的歷程,與大家分享了如何建立安全團隊威信,如何平衡業(yè)務和安全方面的經(jīng)驗。郭添森將公司的安全建設分為三個階段:
第一階段:去哪兒成立的第1年,主要工作就是熟悉環(huán)境并擔任“滅火隊”的角色為公司消除安全威脅,著手建立安全標準。面對千級別的網(wǎng)絡設備,未隔離的辦公網(wǎng)無ACL的生產(chǎn)網(wǎng),采取做VLAN隔離,只出不進;設置ACL,只開http/https端口,由nginx為web服務統(tǒng)一做反向代理,并且nginx配置走變更流程。同時,對VPN實現(xiàn)雙因素認證。
第二階段:去哪兒成立的第2-3年,主要完善了公司的制度流程、技術標準,以及SOX404、PCIDSS等合規(guī)性的遵從,建立自動化系統(tǒng)、確保安全規(guī)劃能落地執(zhí)行。此階段主要解決操作系統(tǒng)、數(shù)據(jù)庫、系統(tǒng)應用、WEB應用層面的問題。
第三階段:去哪兒成立第4年以后,主要注重數(shù)據(jù)與業(yè)務的安全,對用戶隱私、交易數(shù)據(jù)、產(chǎn)品技術文檔、源碼等重要數(shù)據(jù)進行加密、清洗和打碼,保證業(yè)務與安全的平衡。
另外,他表示建立安全威信,需要專業(yè)技能、人格魅力、職權保障領導力。專業(yè)技能、權衡ROI、插入關鍵流程是建立安全微信的重要組成部分。
唯品會高級工程師王潤輝——《唯品會安全建設與風控雜談》
王潤輝:一位經(jīng)驗豐富,酷酷的安全專家,現(xiàn)任唯品會高級工程師。
據(jù)王潤輝介紹說,唯品會公司做安全只有兩年多,從最初的3個人發(fā)展到今年7月的35人,并計劃于今年年底發(fā)展到50人以上。安全團隊包括:監(jiān)控與響應、內(nèi)部產(chǎn)品安全、外部產(chǎn)品安全、安全培訓。
王潤輝認為,電商風控是通過技術手段對惡意行為的控制和識別,保護網(wǎng)站正常運營和提供賬戶安全保護。電商為什么要做風控?因為掃號撞庫、資金安全、用戶信息、刷單、惡意攻擊……每天都要面臨很多問題。要解決上述問題,可以從層級防御、需求風控介入進行風險控制、風控平臺支持、風控運營(站在第一線)等措施加強風險控制。
經(jīng)過兩年多的努力,唯品會官網(wǎng)從滿站漏洞轉(zhuǎn)變?yōu)橄鄬Π踩渲幸粋€有趣的變化是,風控等安全相關工作直接影響到黑市對數(shù)據(jù)定價,從最初的3元一條,一路上升到14元,這說明黑客獲取唯品會的數(shù)據(jù)難度越來越高了,導致騙子購買數(shù)據(jù)的成本在提升。
烏云白帽子Piaca——《企業(yè)應急響應與反滲透之真實案例分析》
Piaca:一位八年安全從業(yè)經(jīng)驗的大拿,他是烏云的白帽子,在新浪從事多年的安全工作,是安全組織Insight-Labs 成員。
會上,Piaca主要分享了兩部分內(nèi)容:一是個人對于應急響應的理解,二是對處理過的案例所做的分析。
什么是應急響應?其實就是對于突發(fā)的安全事件進行處理,這才是應急響應。那么什么時候做應急響應?其實就是企業(yè)業(yè)務出現(xiàn)被黑的情況。現(xiàn)在很多企業(yè)做應急響應的建設工作,為什么做應急響應?Piaca認為,主要為了保障業(yè)務正常運行、還原攻擊、明確攻擊意圖、提出解決方案、查漏補缺以及是否采取走司法途徑。
Piaca表示,從業(yè)務手段做應急響應,首先保證我們的業(yè)務能夠盡快恢復正常,這是我們做應急響應的一個基礎。我們需要更多的了解對手,對手能力是怎樣的?他可以做哪些攻擊的事情,我們對于他有了解,做應急響應時候更容易做。從技術角度我們要更多了解攻擊技術,因為我們只有了解攻擊手法才能做更好的防御,我們還要依賴于大量日志和流量數(shù)據(jù)。其實我覺得更多還是需要完善我們防御系統(tǒng),幫助我們?nèi)ジ玫淖鰬表憫?p#
web安全
烏云白帽子MayIKissYou——《多角度對抗WAF的思路與實例》
MayIKissYou:一個幽默帥氣的的男孩,現(xiàn)任完美世界高級安全工程師。
用戶從瀏覽器發(fā)出一個請求到最終請求轉(zhuǎn)發(fā)到服務器上,中間經(jīng)歷了多少設備。這些工作在網(wǎng)絡中第幾層(TCP/IP),這些應用層的數(shù)據(jù)被哪些設備處理了?這是一個典型的數(shù)通問題,了解WAF在網(wǎng)絡空間的位置,我們便可以更清楚的知道使用哪些知識來協(xié)助我們進行WAF Bypass。
在MayIKissYou看來,Bypass WAF實際上是去尋找位于WAF設備之后處理應用層數(shù)據(jù)包的硬件或軟件的特性,利用特性構造WAF不能命中,但是在應用程序能夠執(zhí)行成功的載荷,繞過防護。那些特性就像是一個個特定的場景一樣,一些是已經(jīng)被研究人員發(fā)現(xiàn)的,一些是還沒有被發(fā)現(xiàn),等待被研究人員發(fā)現(xiàn)的,當我們的程序滿足了這一個個的場景。倘若WAF沒有考慮到這些場景,我們就可以利用這些特性Bypass掉WAF了。
在一個個WAF Bypass 實例展示之后,他這樣總結道:“隨著一個個特性的發(fā)現(xiàn),WAF的防護能力在web對抗中逐漸增強。在我看來,當所有的特性場景均被WAF考慮到的時候,勢必就會有新的發(fā)現(xiàn)。因此,我們不用擔心當所有的特性被WAF考慮到的時候我們無計可施,未知的特性那么多,我們還有很多地方可以挖掘。留意WAF自身的點點滴滴,特有的功能可能是你Bypass的利器。”
騰訊安全架構師張海清——《騰訊web安全的建設》
張海清:一位經(jīng)驗豐富,酷酷的安全專家,現(xiàn)任騰訊安全架構師。
MayIKissYou講的是WAF的繞過,而張海清講的是WAF的防御,主要內(nèi)容為web安全與掃描器。他認為,Web安全在應用的周期里面是貫穿于其中,比如開發(fā)、測試、上線,在開發(fā)階段,要避免有Web漏洞,需要對開放人員做一些安全培訓,比如新員工入職,有一個安全培訓,有一些公司級的安全規(guī)范,還有一些日常的安全教育工作。
張海清表示,騰訊有數(shù)萬臺的Web服務器,Web服務器種類達數(shù)十種,流量達到3GBps,網(wǎng)絡環(huán)境非常復雜,這種情況會選什么WAF方案?其實是多種并存的,本機服務器模塊模式、反向代理模式、硬件防護等業(yè)界常用的方案騰訊都有而且是并存的。唯一一個不同的地方是在WebServer里,硬件端直接加入了WAF的檢測,WAF在云端就是一個WAF集群在做檢測。
另外,對于web安全掃描器的特性,他認為需要有四點:
掃描程序架構:全異步事件驅(qū)動+協(xié)程;
規(guī)則:檢測邏輯、配置;lua;實時更新;
任務調(diào)度系統(tǒng):任務優(yōu)先級、多任務類型、任務出錯重試、超時。
爬蟲:webkit后臺server,與調(diào)度系統(tǒng)結合。#p#
金融安全
萬達電商安全主任工程師林鵬——《解析P2P金融安全》
林鵬:一個有六年從業(yè)經(jīng)驗并且長期參與一線建設的安全牛人,現(xiàn)任萬達電商安全主任工程師。
無論是傳統(tǒng)還是網(wǎng)絡,金融的核心永遠是資金融通。近幾年,互聯(lián)網(wǎng)金融發(fā)展如火如荼,但是隨之而來的安全與風險問題不容忽視。
據(jù)悉,NSTRT安全團隊收集了在2014年互聯(lián)網(wǎng)金融行業(yè)中134份安全漏洞報告,來自業(yè)務設計缺陷的漏洞占主要比例,達到27%。林鵬表示,所謂互聯(lián)網(wǎng)金融的安全風險,就等于互聯(lián)網(wǎng)的安全風險加上金融的安全風險。他從注冊、綁卡、充值、購買理財、回收資金這整個P2P流程進行分析,并針對每一個流程中的安全風險問題提出應對方法。
注冊階段:主要是銀行與羊毛黨,羊毛黨與平臺間的內(nèi)外勾結。對應的解決方法最主要是從業(yè)務角度防套利,不能讓人“空手套白狼”;防止被平臺反擼;減少收益,提高收益門檻;人工識別;機器識別;大數(shù)據(jù)應用。
綁卡階段:驗證姓名與身份證號,即是利用公安部接口校驗身份證信息。然后綁卡,這時候會出現(xiàn)綁卡與人不對應情況,因為中國同名同姓的人太多了,這時就有些人可以繞過去。還出現(xiàn)可能名字身份證是一個人,或者是不同人,但是他們都是用這個人的名字綁的銀行卡。為了規(guī)避風險,最好采取四要素認證,即是身份證、銀行預留手機、姓名以及銀行卡號,并實現(xiàn)小額打款驗證。
充值與回收資金階段:這兩個階段容易出現(xiàn)支付漏洞、同卡進出、資金閉環(huán)以及對賬系統(tǒng)問題。而在購買理財階段應特別注意身份驗證問題。#p#
安全攻防戰(zhàn)
不知攻焉知防,知己知彼方能百戰(zhàn)不殆。會上,江蘇省公安廳網(wǎng)安總隊科長童瀛通過網(wǎng)絡犯罪案例介紹了DDoS攻擊的方式方法;上海交大在讀博士GoSSIP_SJTU分享了他對安卓APP通用自動脫殼方法的研究成果;烏云白帽子boooooom帶來了關于《如何從外圍進入各大公司內(nèi)網(wǎng)》的議題。
江蘇省公安廳網(wǎng)安總隊科長童瀛——《從案件看國內(nèi)DDoS的最新方式》
童瀛:一位幽默風趣的網(wǎng)警,現(xiàn)任江蘇省公安廳網(wǎng)安總隊科長。
演講中,特意沒穿警服的童瀛,以幽默風趣的演講帶大家了解了什么是網(wǎng)絡犯罪的克星——網(wǎng)警,網(wǎng)警的職責定位以及網(wǎng)絡犯罪的分類,并通過一系列網(wǎng)絡安全案件分析了DDoS近年來發(fā)展的趨勢、攻擊手段等。童瀛表示,網(wǎng)警的主要工作就是網(wǎng)絡案件的偵破以及計算機性的監(jiān)測。目前,50%的在線游戲公司、70%的商業(yè)公司、80%的政府機構都遭受過DDoS攻擊。而UDP和SYM攻擊仍舊是其主要的攻擊方式,主要攻擊類型為NTP-FLOOD/SYN-FLOOD/UDP-FLOOD. 而與此同時,手機等智能設備已經(jīng)淪為DDoS攻擊的工具,為網(wǎng)絡犯罪提供了新方式。你能想象微信紅包可以被用來賭博么?利用微信數(shù)的后兩位即可實現(xiàn)。
童瀛認為,應對DDoS最好的方法就是報警!呼吁大家在遇到攻擊時,要及時報警,以免遭受損失。
烏云白帽子GoSSIP_SJTU——《Android應用程序通用自動脫殼方法研究》
GoSSIP_SJTU:一位上海交大在讀博士,上海交通大學網(wǎng)絡信息安全協(xié)會(0ops)戰(zhàn)隊成員。
GoSSIP_SJTU的演講內(nèi)容非常專業(yè),他主要介紹了安卓加殼如何從基礎到強化,為什么要脫殼,脫殼會帶來的影響,加固程序的特點以及通用自動化脫殼技術。他表示,Android加殼防護解決方案從無到有到發(fā)展至今已至非常高級的階段,但盡管如此,仍舊不能逃脫被攻破的命運。再強的加殼技術還是能被反編譯破解,目前市面上幾乎所有的加殼方案都能被脫殼。
烏云白帽子boooooom——《如何從外圍進入各大公司內(nèi)網(wǎng)》
boooooom:一位吐字清晰語速驚人的小伙,工作前三年在北京最有錢的互聯(lián)網(wǎng)公司做企業(yè)安全,現(xiàn)在做安全檢測相關的產(chǎn)品。
從外圍進入各大公司內(nèi)網(wǎng),首先為什么進入內(nèi)網(wǎng)。站在攻擊者的角度想,攻擊它的核心目標是什么?一定是數(shù)據(jù),一定有他想獲取的數(shù)據(jù)。boooooom認為,一切不以數(shù)據(jù)為攻擊的目的都是扯淡的。一旦進入內(nèi)網(wǎng)以后,本身所有的企業(yè)做防護的時候他更關注我們這些業(yè)務對外開放以后,對于安全的關注度更高。反而內(nèi)部的關注度更低就是內(nèi)網(wǎng)的脆弱性,一旦進入內(nèi)網(wǎng)很多數(shù)據(jù)可以輕易獲取。
緊接著他介紹到從外圍進入內(nèi)網(wǎng)的各種手段,包括合法入口(和員工一起進內(nèi)網(wǎng))和非法入口(跨邊界的資產(chǎn))。
合法入口主要包含:VPN(用戶名及密碼大數(shù)據(jù))、mail(用戶名及密碼大數(shù)據(jù))、第三方wifi分享密碼(萬能鑰匙)。
非法入口主要包含:應用(各種漏洞、弱點GETSHELL)、服務(坑爹配置GETSHELL)以及員工PC(釣魚、種馬)等。
為何公司內(nèi)網(wǎng)會不堪一擊?boooooom表示,與小公司過招講求效率,與大公司過招取其命門。大公司的命門在于邊界,所謂成也邊界,敗也邊界。因為OA/WWW/IDC區(qū)域性防守,所以會有邊界。那么邊界防御如何做?首先是邊界的劃分,其次是規(guī)范的制定,然后是合規(guī)檢查。但是規(guī)范越多,執(zhí)行就越差,而且合規(guī)性檢查存在盲區(qū)(弱點、備份文件)。
