精彩紛呈 烏云白帽大會首日專業場的那些事兒
原創2015年7月17日,著名漏洞平臺烏云網與臺灣著名黑客大會 HITCON聯合舉辦的烏云第二屆“白帽子大會”正式在北京富力萬力酒店3層首府宴會廳召開。
今晨,北京的雨已經下了一夜,并且降雨逐漸加大,多處積水。但這并沒有阻止各路安全人士,各方安全大牛參會的腳步,影響他們的參會的熱情。
烏云吹響集結號,你聽說過的和即將聽說的白帽子們,都在這里出現~
外星人驚現會場~
書擺的很有藝術感,書的內容是參會人員的最愛~
思科安全展臺~
IBM安全展臺~
避免有給廠商打廣告的嫌疑,小編還是從花絮轉入正題,說說今天白帽子大會上的那些人,那些干貨與經驗。#p#
企業安全建設
企業安全部門從無到有、從最初的組建到組織架構趨于完善,這期間所要經歷的并非我們想象中那般容易。在此次大會,來自去哪兒和唯品會的兩位安全專家講述了他們的親身經歷,與大家分享了關于企業安全建設的經驗。
去哪兒安全總監郭添森——《去哪兒安全——從0到1》
郭添森:一位低調的黑客大牛,曾在藝龍網工作有近十年,在藝龍網的時候主要是在做一些運維還有安全方面的事情。四年前加入去哪兒,現任去哪兒安全總監。
郭添森主要分享了去哪兒從零開始建設安全體系的歷程,與大家分享了如何建立安全團隊威信,如何平衡業務和安全方面的經驗。郭添森將公司的安全建設分為三個階段:
第一階段:去哪兒成立的第1年,主要工作就是熟悉環境并擔任“滅火隊”的角色為公司消除安全威脅,著手建立安全標準。面對千級別的網絡設備,未隔離的辦公網無ACL的生產網,采取做VLAN隔離,只出不進;設置ACL,只開http/https端口,由nginx為web服務統一做反向代理,并且nginx配置走變更流程。同時,對VPN實現雙因素認證。
第二階段:去哪兒成立的第2-3年,主要完善了公司的制度流程、技術標準,以及SOX404、PCIDSS等合規性的遵從,建立自動化系統、確保安全規劃能落地執行。此階段主要解決操作系統、數據庫、系統應用、WEB應用層面的問題。
第三階段:去哪兒成立第4年以后,主要注重數據與業務的安全,對用戶隱私、交易數據、產品技術文檔、源碼等重要數據進行加密、清洗和打碼,保證業務與安全的平衡。
另外,他表示建立安全威信,需要專業技能、人格魅力、職權保障領導力。專業技能、權衡ROI、插入關鍵流程是建立安全微信的重要組成部分。
唯品會高級工程師王潤輝——《唯品會安全建設與風控雜談》
王潤輝:一位經驗豐富,酷酷的安全專家,現任唯品會高級工程師。
據王潤輝介紹說,唯品會公司做安全只有兩年多,從最初的3個人發展到今年7月的35人,并計劃于今年年底發展到50人以上。安全團隊包括:監控與響應、內部產品安全、外部產品安全、安全培訓。
王潤輝認為,電商風控是通過技術手段對惡意行為的控制和識別,保護網站正常運營和提供賬戶安全保護。電商為什么要做風控?因為掃號撞庫、資金安全、用戶信息、刷單、惡意攻擊……每天都要面臨很多問題。要解決上述問題,可以從層級防御、需求風控介入進行風險控制、風控平臺支持、風控運營(站在第一線)等措施加強風險控制。
經過兩年多的努力,唯品會官網從滿站漏洞轉變為相對安全,其中一個有趣的變化是,風控等安全相關工作直接影響到黑市對數據定價,從最初的3元一條,一路上升到14元,這說明黑客獲取唯品會的數據難度越來越高了,導致騙子購買數據的成本在提升。
烏云白帽子Piaca——《企業應急響應與反滲透之真實案例分析》
Piaca:一位八年安全從業經驗的大拿,他是烏云的白帽子,在新浪從事多年的安全工作,是安全組織Insight-Labs 成員。
會上,Piaca主要分享了兩部分內容:一是個人對于應急響應的理解,二是對處理過的案例所做的分析。
什么是應急響應?其實就是對于突發的安全事件進行處理,這才是應急響應。那么什么時候做應急響應?其實就是企業業務出現被黑的情況。現在很多企業做應急響應的建設工作,為什么做應急響應?Piaca認為,主要為了保障業務正常運行、還原攻擊、明確攻擊意圖、提出解決方案、查漏補缺以及是否采取走司法途徑。
Piaca表示,從業務手段做應急響應,首先保證我們的業務能夠盡快恢復正常,這是我們做應急響應的一個基礎。我們需要更多的了解對手,對手能力是怎樣的?他可以做哪些攻擊的事情,我們對于他有了解,做應急響應時候更容易做。從技術角度我們要更多了解攻擊技術,因為我們只有了解攻擊手法才能做更好的防御,我們還要依賴于大量日志和流量數據。其實我覺得更多還是需要完善我們防御系統,幫助我們去更好的做應急響應。#p#
web安全
烏云白帽子MayIKissYou——《多角度對抗WAF的思路與實例》
MayIKissYou:一個幽默帥氣的的男孩,現任完美世界高級安全工程師。
用戶從瀏覽器發出一個請求到最終請求轉發到服務器上,中間經歷了多少設備。這些工作在網絡中第幾層(TCP/IP),這些應用層的數據被哪些設備處理了?這是一個典型的數通問題,了解WAF在網絡空間的位置,我們便可以更清楚的知道使用哪些知識來協助我們進行WAF Bypass。
在MayIKissYou看來,Bypass WAF實際上是去尋找位于WAF設備之后處理應用層數據包的硬件或軟件的特性,利用特性構造WAF不能命中,但是在應用程序能夠執行成功的載荷,繞過防護。那些特性就像是一個個特定的場景一樣,一些是已經被研究人員發現的,一些是還沒有被發現,等待被研究人員發現的,當我們的程序滿足了這一個個的場景。倘若WAF沒有考慮到這些場景,我們就可以利用這些特性Bypass掉WAF了。
在一個個WAF Bypass 實例展示之后,他這樣總結道:“隨著一個個特性的發現,WAF的防護能力在web對抗中逐漸增強。在我看來,當所有的特性場景均被WAF考慮到的時候,勢必就會有新的發現。因此,我們不用擔心當所有的特性被WAF考慮到的時候我們無計可施,未知的特性那么多,我們還有很多地方可以挖掘。留意WAF自身的點點滴滴,特有的功能可能是你Bypass的利器。”
騰訊安全架構師張海清——《騰訊web安全的建設》
張海清:一位經驗豐富,酷酷的安全專家,現任騰訊安全架構師。
MayIKissYou講的是WAF的繞過,而張海清講的是WAF的防御,主要內容為web安全與掃描器。他認為,Web安全在應用的周期里面是貫穿于其中,比如開發、測試、上線,在開發階段,要避免有Web漏洞,需要對開放人員做一些安全培訓,比如新員工入職,有一個安全培訓,有一些公司級的安全規范,還有一些日常的安全教育工作。
張海清表示,騰訊有數萬臺的Web服務器,Web服務器種類達數十種,流量達到3GBps,網絡環境非常復雜,這種情況會選什么WAF方案?其實是多種并存的,本機服務器模塊模式、反向代理模式、硬件防護等業界常用的方案騰訊都有而且是并存的。唯一一個不同的地方是在WebServer里,硬件端直接加入了WAF的檢測,WAF在云端就是一個WAF集群在做檢測。
另外,對于web安全掃描器的特性,他認為需要有四點:
掃描程序架構:全異步事件驅動+協程;
規則:檢測邏輯、配置;lua;實時更新;
任務調度系統:任務優先級、多任務類型、任務出錯重試、超時。
爬蟲:webkit后臺server,與調度系統結合。#p#
金融安全
萬達電商安全主任工程師林鵬——《解析P2P金融安全》
林鵬:一個有六年從業經驗并且長期參與一線建設的安全牛人,現任萬達電商安全主任工程師。
無論是傳統還是網絡,金融的核心永遠是資金融通。近幾年,互聯網金融發展如火如荼,但是隨之而來的安全與風險問題不容忽視。
據悉,NSTRT安全團隊收集了在2014年互聯網金融行業中134份安全漏洞報告,來自業務設計缺陷的漏洞占主要比例,達到27%。林鵬表示,所謂互聯網金融的安全風險,就等于互聯網的安全風險加上金融的安全風險。他從注冊、綁卡、充值、購買理財、回收資金這整個P2P流程進行分析,并針對每一個流程中的安全風險問題提出應對方法。
注冊階段:主要是銀行與羊毛黨,羊毛黨與平臺間的內外勾結。對應的解決方法最主要是從業務角度防套利,不能讓人“空手套白狼”;防止被平臺反擼;減少收益,提高收益門檻;人工識別;機器識別;大數據應用。
綁卡階段:驗證姓名與身份證號,即是利用公安部接口校驗身份證信息。然后綁卡,這時候會出現綁卡與人不對應情況,因為中國同名同姓的人太多了,這時就有些人可以繞過去。還出現可能名字身份證是一個人,或者是不同人,但是他們都是用這個人的名字綁的銀行卡。為了規避風險,最好采取四要素認證,即是身份證、銀行預留手機、姓名以及銀行卡號,并實現小額打款驗證。
充值與回收資金階段:這兩個階段容易出現支付漏洞、同卡進出、資金閉環以及對賬系統問題。而在購買理財階段應特別注意身份驗證問題。#p#
安全攻防戰
不知攻焉知防,知己知彼方能百戰不殆。會上,江蘇省公安廳網安總隊科長童瀛通過網絡犯罪案例介紹了DDoS攻擊的方式方法;上海交大在讀博士GoSSIP_SJTU分享了他對安卓APP通用自動脫殼方法的研究成果;烏云白帽子boooooom帶來了關于《如何從外圍進入各大公司內網》的議題。
江蘇省公安廳網安總隊科長童瀛——《從案件看國內DDoS的最新方式》
童瀛:一位幽默風趣的網警,現任江蘇省公安廳網安總隊科長。
演講中,特意沒穿警服的童瀛,以幽默風趣的演講帶大家了解了什么是網絡犯罪的克星——網警,網警的職責定位以及網絡犯罪的分類,并通過一系列網絡安全案件分析了DDoS近年來發展的趨勢、攻擊手段等。童瀛表示,網警的主要工作就是網絡案件的偵破以及計算機性的監測。目前,50%的在線游戲公司、70%的商業公司、80%的政府機構都遭受過DDoS攻擊。而UDP和SYM攻擊仍舊是其主要的攻擊方式,主要攻擊類型為NTP-FLOOD/SYN-FLOOD/UDP-FLOOD. 而與此同時,手機等智能設備已經淪為DDoS攻擊的工具,為網絡犯罪提供了新方式。你能想象微信紅包可以被用來賭博么?利用微信數的后兩位即可實現。
童瀛認為,應對DDoS最好的方法就是報警!呼吁大家在遇到攻擊時,要及時報警,以免遭受損失。
烏云白帽子GoSSIP_SJTU——《Android應用程序通用自動脫殼方法研究》
GoSSIP_SJTU:一位上海交大在讀博士,上海交通大學網絡信息安全協會(0ops)戰隊成員。
GoSSIP_SJTU的演講內容非常專業,他主要介紹了安卓加殼如何從基礎到強化,為什么要脫殼,脫殼會帶來的影響,加固程序的特點以及通用自動化脫殼技術。他表示,Android加殼防護解決方案從無到有到發展至今已至非常高級的階段,但盡管如此,仍舊不能逃脫被攻破的命運。再強的加殼技術還是能被反編譯破解,目前市面上幾乎所有的加殼方案都能被脫殼。
烏云白帽子boooooom——《如何從外圍進入各大公司內網》
boooooom:一位吐字清晰語速驚人的小伙,工作前三年在北京最有錢的互聯網公司做企業安全,現在做安全檢測相關的產品。
從外圍進入各大公司內網,首先為什么進入內網。站在攻擊者的角度想,攻擊它的核心目標是什么?一定是數據,一定有他想獲取的數據。boooooom認為,一切不以數據為攻擊的目的都是扯淡的。一旦進入內網以后,本身所有的企業做防護的時候他更關注我們這些業務對外開放以后,對于安全的關注度更高。反而內部的關注度更低就是內網的脆弱性,一旦進入內網很多數據可以輕易獲取。
緊接著他介紹到從外圍進入內網的各種手段,包括合法入口(和員工一起進內網)和非法入口(跨邊界的資產)。
合法入口主要包含:VPN(用戶名及密碼大數據)、mail(用戶名及密碼大數據)、第三方wifi分享密碼(萬能鑰匙)。
非法入口主要包含:應用(各種漏洞、弱點GETSHELL)、服務(坑爹配置GETSHELL)以及員工PC(釣魚、種馬)等。
為何公司內網會不堪一擊?boooooom表示,與小公司過招講求效率,與大公司過招取其命門。大公司的命門在于邊界,所謂成也邊界,敗也邊界。因為OA/WWW/IDC區域性防守,所以會有邊界。那么邊界防御如何做?首先是邊界的劃分,其次是規范的制定,然后是合規檢查。但是規范越多,執行就越差,而且合規性檢查存在盲區(弱點、備份文件)。
