2015年7月17日,著名漏洞平台乌云网与台湾著名黑客大会 HITCON联合举办的乌云第二届“白帽子大会”正式在北京富力万力酒店3层首府宴会厅召开。
今晨,北京的雨已经下了一夜,并且降雨逐渐加大,多处积水。但这并没有阻止各路安全人士,各方安全大牛参会的脚步,影响他们的参会的热情。
乌云吹响集结号,你听说过的和即将听说的白帽子们,都在这里出现~
外星人惊现会场~
书摆的很有艺术感,书的内容是参会人员的最爱~
思科安全展台~
IBM安全展台~
避免有给厂商打广告的嫌疑,小编还是从花絮转入正题,说说今天白帽子大会上的那些人,那些干货与经验。#p#
企业安全建设
企业安全部门从无到有、从最初的组建到组织架构趋于完善,这期间所要经历的并非我们想象中那般容易。在此次大会,来自去哪儿和唯品会的两位安全专家讲述了他们的亲身经历,与大家分享了关于企业安全建设的经验。
去哪儿安全总监郭添森——《去哪儿安全——从0到1》
郭添森:一位低调的黑客大牛,曾在艺龙网工作有近十年,在艺龙网的时候主要是在做一些运维还有安全方面的事情。四年前加入去哪儿,现任去哪儿安全总监。
郭添森主要分享了去哪儿从零开始建设安全体系的历程,与大家分享了如何建立安全团队威信,如何平衡业务和安全方面的经验。郭添森将公司的安全建设分为三个阶段:
第一阶段:去哪儿成立的第1年,主要工作就是熟悉环境并担任“灭火队”的角色为公司消除安全威胁,着手建立安全标准。面对千级别的网络设备,未隔离的办公网无ACL的生产网,采取做VLAN隔离,只出不进;设置ACL,只开http/https端口,由nginx为web服务统一做反向代理,并且nginx配置走变更流程。同时,对VPN实现双因素认证。
第二阶段:去哪儿成立的第2-3年,主要完善了公司的制度流程、技术标准,以及SOX404、PCIDSS等合规性的遵从,建立自动化系统、确保安全规划能落地执行。此阶段主要解决操作系统、数据库、系统应用、WEB应用层面的问题。
第三阶段:去哪儿成立第4年以后,主要注重数据与业务的安全,对用户隐私、交易数据、产品技术文档、源码等重要数据进行加密、清洗和打码,保证业务与安全的平衡。
另外,他表示建立安全威信,需要专业技能、人格魅力、职权保障领导力。专业技能、权衡ROI、插入关键流程是建立安全微信的重要组成部分。
唯品会高级工程师王润辉——《唯品会安全建设与风控杂谈》
王润辉:一位经验丰富,酷酷的安全专家,现任唯品会高级工程师。
据王润辉介绍说,唯品会公司做安全只有两年多,从最初的3个人发展到今年7月的35人,并计划于今年年底发展到50人以上。安全团队包括:监控与响应、内部产品安全、外部产品安全、安全培训。
王润辉认为,电商风控是通过技术手段对恶意行为的控制和识别,保护网站正常运营和提供账户安全保护。电商为什么要做风控?因为扫号撞库、资金安全、用户信息、刷单、恶意攻击……每天都要面临很多问题。要解决上述问题,可以从层级防御、需求风控介入进行风险控制、风控平台支持、风控运营(站在第一线)等措施加强风险控制。
经过两年多的努力,唯品会官网从满站漏洞转变为相对安全,其中一个有趣的变化是,风控等安全相关工作直接影响到黑市对数据定价,从最初的3元一条,一路上升到14元,这说明黑客获取唯品会的数据难度越来越高了,导致骗子购买数据的成本在提升。
乌云白帽子Piaca——《企业应急响应与反渗透之真实案例分析》
Piaca:一位八年安全从业经验的大拿,他是乌云的白帽子,在新浪从事多年的安全工作,是安全组织Insight-Labs 成员。
会上,Piaca主要分享了两部分内容:一是个人对于应急响应的理解,二是对处理过的案例所做的分析。
什么是应急响应?其实就是对于突发的安全事件进行处理,这才是应急响应。那么什么时候做应急响应?其实就是企业业务出现被黑的情况。现在很多企业做应急响应的建设工作,为什么做应急响应?Piaca认为,主要为了保障业务正常运行、还原攻击、明确攻击意图、提出解决方案、查漏补缺以及是否采取走司法途径。
Piaca表示,从业务手段做应急响应,首先保证我们的业务能够尽快恢复正常,这是我们做应急响应的一个基础。我们需要更多的了解对手,对手能力是怎样的?他可以做哪些攻击的事情,我们对于他有了解,做应急响应时候更容易做。从技术角度我们要更多了解攻击技术,因为我们只有了解攻击手法才能做更好的防御,我们还要依赖于大量日志和流量数据。其实我觉得更多还是需要完善我们防御系统,帮助我们去更好的做应急响应。#p#
web安全
乌云白帽子MayIKissYou——《多角度对抗WAF的思路与实例》
MayIKissYou:一个幽默帅气的的男孩,现任完美世界高级安全工程师。
用户从浏览器发出一个请求到最终请求转发到服务器上,中间经历了多少设备。这些工作在网络中第几层(TCP/IP),这些应用层的数据被哪些设备处理了?这是一个典型的数通问题,了解WAF在网络空间的位置,我们便可以更清楚的知道使用哪些知识来协助我们进行WAF Bypass。
在MayIKissYou看来,Bypass WAF实际上是去寻找位于WAF设备之后处理应用层数据包的硬件或软件的特性,利用特性构造WAF不能命中,但是在应用程序能够执行成功的载荷,绕过防护。那些特性就像是一个个特定的场景一样,一些是已经被研究人员发现的,一些是还没有被发现,等待被研究人员发现的,当我们的程序满足了这一个个的场景。倘若WAF没有考虑到这些场景,我们就可以利用这些特性Bypass掉WAF了。
在一个个WAF Bypass 实例展示之后,他这样总结道:“随着一个个特性的发现,WAF的防护能力在web对抗中逐渐增强。在我看来,当所有的特性场景均被WAF考虑到的时候,势必就会有新的发现。因此,我们不用担心当所有的特性被WAF考虑到的时候我们无计可施,未知的特性那么多,我们还有很多地方可以挖掘。留意WAF自身的点点滴滴,特有的功能可能是你Bypass的利器。”
腾讯安全架构师张海清——《腾讯web安全的建设》
张海清:一位经验丰富,酷酷的安全专家,现任腾讯安全架构师。
MayIKissYou讲的是WAF的绕过,而张海清讲的是WAF的防御,主要内容为web安全与扫描器。他认为,Web安全在应用的周期里面是贯穿于其中,比如开发、测试、上线,在开发阶段,要避免有Web漏洞,需要对开放人员做一些安全培训,比如新员工入职,有一个安全培训,有一些公司级的安全规范,还有一些日常的安全教育工作。
张海清表示,腾讯有数万台的Web服务器,Web服务器种类达数十种,流量达到3GBps,网络环境非常复杂,这种情况会选什么WAF方案?其实是多种并存的,本机服务器模块模式、反向代理模式、硬件防护等业界常用的方案腾讯都有而且是并存的。唯一一个不同的地方是在WebServer里,硬件端直接加入了WAF的检测,WAF在云端就是一个WAF集群在做检测。
另外,对于web安全扫描器的特性,他认为需要有四点:
扫描程序架构:全异步事件驱动+协程;
规则:检测逻辑、配置;lua;实时更新;
任务调度系统:任务优先级、多任务类型、任务出错重试、超时。
爬虫:webkit后台server,与调度系统结合。#p#
金融安全
万达电商安全主任工程师林鹏——《解析P2P金融安全》
林鹏:一个有六年从业经验并且长期参与一线建设的安全牛人,现任万达电商安全主任工程师。
无论是传统还是网络,金融的核心永远是资金融通。近几年,互联网金融发展如火如荼,但是随之而来的安全与风险问题不容忽视。
据悉,NSTRT安全团队收集了在2014年互联网金融行业中134份安全漏洞报告,来自业务设计缺陷的漏洞占主要比例,达到27%。林鹏表示,所谓互联网金融的安全风险,就等于互联网的安全风险加上金融的安全风险。他从注册、绑卡、充值、购买理财、回收资金这整个P2P流程进行分析,并针对每一个流程中的安全风险问题提出应对方法。
注册阶段:主要是银行与羊毛党,羊毛党与平台间的内外勾结。对应的解决方法最主要是从业务角度防套利,不能让人“空手套白狼”;防止被平台反撸;减少收益,提高收益门槛;人工识别;机器识别;大数据应用。
绑卡阶段:验证姓名与身份证号,即是利用公安部接口校验身份证信息。然后绑卡,这时候会出现绑卡与人不对应情况,因为中国同名同姓的人太多了,这时就有些人可以绕过去。还出现可能名字身份证是一个人,或者是不同人,但是他们都是用这个人的名字绑的银行卡。为了规避风险,最好采取四要素认证,即是身份证、银行预留手机、姓名以及银行卡号,并实现小额打款验证。
充值与回收资金阶段:这两个阶段容易出现支付漏洞、同卡进出、资金闭环以及对账系统问题。而在购买理财阶段应特别注意身份验证问题。#p#
安全攻防战
不知攻焉知防,知己知彼方能百战不殆。会上,江苏省公安厅网安总队科长童瀛通过网络犯罪案例介绍了DDoS攻击的方式方法;上海交大在读博士GoSSIP_SJTU分享了他对安卓APP通用自动脱壳方法的研究成果;乌云白帽子boooooom带来了关于《如何从外围进入各大公司内网》的议题。
江苏省公安厅网安总队科长童瀛——《从案件看国内DDoS的最新方式》
童瀛:一位幽默风趣的网警,现任江苏省公安厅网安总队科长。
演讲中,特意没穿警服的童瀛,以幽默风趣的演讲带大家了解了什么是网络犯罪的克星——网警,网警的职责定位以及网络犯罪的分类,并通过一系列网络安全案件分析了DDoS近年来发展的趋势、攻击手段等。童瀛表示,网警的主要工作就是网络案件的侦破以及计算机性的监测。目前,50%的在线游戏公司、70%的商业公司、80%的政府机构都遭受过DDoS攻击。而UDP和SYM攻击仍旧是其主要的攻击方式,主要攻击类型为NTP-FLOOD/SYN-FLOOD/UDP-FLOOD. 而与此同时,手机等智能设备已经沦为DDoS攻击的工具,为网络犯罪提供了新方式。你能想象微信红包可以被用来赌博么?利用微信数的后两位即可实现。
童瀛认为,应对DDoS最好的方法就是报警!呼吁大家在遇到攻击时,要及时报警,以免遭受损失。
乌云白帽子GoSSIP_SJTU——《Android应用程序通用自动脱壳方法研究》
GoSSIP_SJTU:一位上海交大在读博士,上海交通大学网络信息安全协会(0ops)战队成员。
GoSSIP_SJTU的演讲内容非常专业,他主要介绍了安卓加壳如何从基础到强化,为什么要脱壳,脱壳会带来的影响,加固程序的特点以及通用自动化脱壳技术。他表示,Android加壳防护解决方案从无到有到发展至今已至非常高级的阶段,但尽管如此,仍旧不能逃脱被攻破的命运。再强的加壳技术还是能被反编译破解,目前市面上几乎所有的加壳方案都能被脱壳。
乌云白帽子boooooom——《如何从外围进入各大公司内网》
boooooom:一位吐字清晰语速惊人的小伙,工作前三年在北京最有钱的互联网公司做企业安全,现在做安全检测相关的产品。
从外围进入各大公司内网,首先为什么进入内网。站在攻击者的角度想,攻击它的核心目标是什么?一定是数据,一定有他想获取的数据。boooooom认为,一切不以数据为攻击的目的都是扯淡的。一旦进入内网以后,本身所有的企业做防护的时候他更关注我们这些业务对外开放以后,对于安全的关注度更高。反而内部的关注度更低就是内网的脆弱性,一旦进入内网很多数据可以轻易获取。
紧接着他介绍到从外围进入内网的各种手段,包括合法入口(和员工一起进内网)和非法入口(跨边界的资产)。
合法入口主要包含:VPN(用户名及密码大数据)、mail(用户名及密码大数据)、第三方wifi分享密码(万能钥匙)。
非法入口主要包含:应用(各种漏洞、弱点GETSHELL)、服务(坑爹配置GETSHELL)以及员工PC(钓鱼、种马)等。
为何公司内网会不堪一击?boooooom表示,与小公司过招讲求效率,与大公司过招取其命门。大公司的命门在于边界,所谓成也边界,败也边界。因为OA/WWW/IDC区域性防守,所以会有边界。那么边界防御如何做?首先是边界的划分,其次是规范的制定,然后是合规检查。但是规范越多,执行就越差,而且合规性检查存在盲区(弱点、备份文件)。
