揭秘與剖析——烏云安全峰會上的心驚肉跳
原創入秋以后,北京的天氣是美好的,大概正是被北京的秋天所吸引,一波接一波的黑客頻頻入京,展開了一場又一場的安全界的技術盛宴。
熊出沒注意 分分鐘黑掉你的手機
9月12日,烏云首屆安全峰會在京舉行,這個小標題取自會場門口的易拉寶,這是一句曾經的網絡流行語,大家也經常可以在路上行駛的汽車屁股后面看到諸如此類的標語,大意是提醒后車注意。而烏云峰會的入口處,便重重的提醒來者——慎入!
為什么慎入?在會議開始前烏云主站負責人“瘋狗”(記者實在搞不懂他為什么起了這么一個網名~~~~)揭露真相。
事實上烏云方面認為:不管怎樣的報道都不及讓用戶切實的感受來的真實。因此在本次會議中,烏云將在現場與所有場內聽眾進行一個名為“場里撈”的現場測試,讓用戶對手機等通信設備的安全有一個重新的認識,并且希望通過這樣一個測試,可以讓廣大用戶有一個更為注重對于平板電腦和手機之間的敏感信息傳遞。(難道是在暗指美國的艷照門?)
特別注釋:本次測試所有隱私數據均采用馬賽克遮擋,未泄露任何用戶信息!#p#
一個特殊的群體 一些特殊的工作方法
現階段,相信很多人對烏云漏洞平臺并不陌生,在安全問題日益嚴重的今天,烏云漏洞平臺也得到了更多的重視。然而,在它成立伊始是什么樣子?“瘋狗”坦言:很多加入烏云之前的朋友會誤會我們,他們認為烏云漏洞平臺的是一群沒有甲方經驗的年輕人創辦,事實上,我們負擔了很多的期望和責任。
“瘋狗”表示:我們甲方經驗還是很多的,我們在甲方工作了很多年,發現了種種弊端才出來做這個平臺的。就瘋狗個人而言,他曾經就職于新浪網。據瘋狗透露,目前烏云的小伙伴們除了在日常發掘漏洞外,還需要每天掃各種RS,看看大家有沒有報告我們的漏洞,報告了趕緊應急。
“瘋狗”在自己的演講時間中始終表示:烏云是第三方機構,在這里你可以看到白帽子們的安全研究的心得以及企業分享的一些防守防護的經驗,這是雙方經驗與智慧的碰撞。此外烏云一直強調需要把細節公開,事實上是希望讓大家看到系統安全到底是什么樣子。我們讓安全研究人員通過這個平臺學到其他人的技術和技能,讓安全研究人員互相認識,也能獲得更高榮譽的機會,也讓企業了解到自己一個真實的安全的現狀,同時我們也讓普通用戶學會如何保護自己,現在的問題都會出現在哪里。
因此烏云目前是幫助企業完成了正像循環:白帽子提供安全漏洞,企業披露安全問題,用戶了解到這些安全問題信息,對企業提出安全需求,企業加強自身的安全建設和重視白帽子價值,最后更多的白帽子會加入到這么一個流程,讓這個循環越走越大,創造更多的價值。#p#
智能家居——想要黑你沒商量
智能家居是如今的大熱門,然而在人們只關注到家居的智能和人性化時,黑客們卻將目光放在了智能家居中一切可利用的漏洞上。在本次烏云峰會,烏云的白帽子Livers則從如何從固件攻擊、嵌入式腳本攻擊、協議Hack和工控等多角度解析,加上視頻演示,全面展示了黑客是如何黑掉家庭中的各種智能設備,這其中包括智能插座、智能路由器以及如何遠程控制空調、冰箱、電視機等設備,最可怕的是可以通過劫持監控,進而控制整棟大樓的智能設備。你要相信,《黑客帝國》是可以情景再現的!
除此之外,有關云端的一些問題,Livers表示也已經在烏云上提交了有關“云端和客戶端兩個協議相結合,綜合利用可能會造成更大規模的事件”。Livers強調:云端存在一些Web上的漏洞,可以直接控制到權限,而且它的權限比較大,是直接Root權限,有很多東西就可以遠程控制它的設備。在云端幾乎就把設備上所有的信息全部存儲,而且云端上還有DIBAT模式,它可以直接升級固件,甚至黑客可以直接編一個固件,然后升級到你的設備當中,而一直遠程監控你。
Livers在演講結束的時候認為本次會議中自己所選的題目太大,忽略了很多細節,然而這些內容卻讓記者真實的感受到了傳統的類似315、433的設備,其安全性是非常差的。為此我們也呼吁相關的一些廠商在追求新技術的同時,也要兼顧下安全。#p#
XSS漏洞讓各大網站紛紛中槍
網絡安全安全性的考量已經成為目前人們非常關心的話題,在本屆烏云峰會上,非著名生物研究工作者知名白帽子二哥Gainover帶來的議題無疑讓人眼前一亮。
事實上,二哥說的是一個非常古老但是在互聯網中普遍存在的漏洞,因為古老,因為普遍存在,所以二哥給自己的議題起了一個非常嚴肅的標題《一個被忽略的漏洞,到XSS僵尸網絡》。
Gainover在自己的議題中并沒有過多的介紹XSS漏洞,他只簡單的表示:當你瀏覽一個正常頁面的時候,如果這個正常頁面能夠被攻擊者在里面插入惡意代碼,來執行他們目的的話,我們可以說這個頁面存在XSS漏洞。而這樣的漏洞存在,即可以是網站本身的代碼問題,也可以是用來渲染這個瀏覽器本身存在的問題,都可以導致XSS漏洞。
Gainover用一些經典案例剖析了XSS的危害,同時也有一票網站中槍,這其中不乏優酷、土豆、搜狐、新浪、網易、騰訊等知名網站。
Gainover表示:目前廠商和攻擊者對XSS分別持有不同的態度。由于XSS漏洞相比傳統的,它的危害較小,因此對于一些廠商來說,特別是國內的一些廠商,這種類型的漏洞就像牛皮癬一樣,清都清不完,它一直存在。廠商有的時候要么修,要么有的覺得覺得不重要就不修了。但是對攻擊者來說, XSS可以干很多事情。其中包括獲取個人信息、偽造釣魚頁面等,事實上這樣的黑色產業已經存在,在烏云就有“利用搜狗拼音來釣魚”的案例。
Gainover在本次議題中還披露:全部博客可留后門;淘寶支付寶的,叫一個可大規模悄無聲息竊取淘寶支付寶帳號的。此外據悉,目前淘寶相關的頁面上,同等類型漏洞都已經做了相應保護措施了,所以小伙伴們可以稍稍放心了。
事實上,大家可以通過Gainover的介紹發現,這種類型的漏洞影響到了幾乎全國所有視頻網站和一些電商類網站。之所以XSS僵尸漏洞之所以隱蔽泛濫,有如下幾個特點:隱蔽性、持久性、流量大。
由此Gainover提醒廣大企業和用戶: 以上幾個特點,黑客通常先做一個感染階段,先找一些比較好入侵的,或者有漏洞的中小型的網站去入侵。之后就在里面插入這樣一個XSS代碼,其目的是植入后續的XSS,接著這些FLash XSS在感染到足夠用戶數量之后,我們可以讓FLash XSS執行黑客的操作,最簡單的就是信息竊取。
談起危害,這是影響幾乎全國所有網站的。在此也希望各大網站可以及時對其代碼進行查找,及時發現問題,及時進行修補,從而降低風險!
特別提醒優酷視頻安全問題:該漏洞細節可在烏云平臺上查找,Gainover曾詳細闡述,希望優酷方面可以盡快自查,及時修復。#p#
花絮集錦:
誰說美貌與智慧不能兼得?女黑客“肉肉”驚艷全場
13歲的小黑客一直現場抓包
肉肉心目中最帥的黑客“豬豬俠”
“場里撈”,貌似撈到了不該撈到的東西
