mikea 发表于 2018-7-29 10:26:10

NSC2014顶级黑客纵论安全之道

本帖最后由 adminlily 于 2018-8-25 15:49 编辑



NSC2014顶级黑客纵论安全之道
2014年10月30日18:19 it168网站原创 作者:厂商投稿 编辑:董建伟

201410_500x375/2014/6e09a9435e540a2a.jpg
  2014年10月23日至24日,网络信息安全领域年度盛会--2014中国网络安全大会(NSC2014)在京召开。大会开设了顶级白帽子巅峰对话,TK、冷风、余弦等知名黑客现场纵论安全之道。


  我们知道,在安全领域有这么一群极客,他们武功高强,技术精湛,对于网络和系统的安全漏洞明察秋毫,他们会公布这些漏洞,但是他们不会恶意去利用这些漏洞,他们被业界称为“白帽子”。接下来我们有一个对话环节,我们邀请到了几位国内顶级的白帽子。下面有请对话主持人,乌云平台合伙人、市场总监乌迪,有请对话嘉宾:腾讯“玄武”安全实验室负责人余弦;天融信阿尔法实验室安全研究院郭勇生;知道创宇技术副总裁余弦。

  NSC2014顶级白帽子对话
  乌迪:感谢主办方给我们这样一个机会,有这样一个白帽子圆桌对话。今天大家讲了很多很专业的技术,这个环节我们希望稍微轻松一点,给大家讲一些其他的故事,是这样一个内容。首先自我介绍一下,我叫乌迪,是乌云网的市场合伙人。不知道大家是否了解,大家可以把乌云网理解为一个中国网络安全的天气预报,可能每天你看一看乌云就知道今天上网是不是应该多加件衣服,或者是不是应该打个伞,我们主要是做这个工作的。
  今天我们的对话是白帽子的圆桌对话,其实在座的几位在安全圈里面,特别在白帽子圈都是一些如雷贯耳的人物,我想每个人还是简单介绍一下自己。
  余弦:大家好,我来自知道创宇,一直创业到现在,年纪也比较年轻,希望能够跟大家讨论一些话题,接下来大家可以共同交流,谢谢!
  于旸:大家好,我叫于旸,大家可能看会议材料上面写了每个人的名字叫什么,我和郭勇生的名字后面都注了一下ID是什么,余弦就没有,让大家误以为他的真名就是余弦。实际上他很隐蔽,他说他很年轻,实际上还是比较老奸巨滑的,我们就很老实,当然这是开个玩笑。我叫于旸,来自腾讯的玄武安全实验室,在这个行业有十几年时间,一直在从事基础的技术研究工作,谢谢大家!
  郭勇生:大家好,我是冷风,大名是郭勇生,但是平时大家称网名喜欢了,叫我冷风的比较多。我来自天融信阿尔法实验室,我们主要做的工作就是偏向于渗透测试,还有一些特种木马病毒的安全研究和分析,谢谢大家!
  乌迪:其实刚才于旸说余弦没有用他的ID,其实大家想想余弦是什么,不知道大家还是否记得什么是余弦,这是我们中学里面就学的,可能有些人已经丢给老师了。今天很有意思,一群白帽子坐在这里,我平时的工作就是接触这些白帽子,我觉得有些事很好玩。马上就光棍节了,马上双十一了,乌云上有很多白帽子,大家整天做技术,没有时间搞对象,我们想是不是安排一次相亲?后来我们找了国内比较大的相亲网站,跟他们合作,搞一个白帽子的相亲派对。如果要搞相亲派对的话,要先到相亲网上去注册。注册完了以后我们问一个白帽子说怎么样?在上面有没有找到妹子?他说没有找到,找到几个漏洞。
  刚才在座的几位,于旸很谦虚,他一直在调侃别人,他没有说自己,他登上过美国全球的黑客大会,就是在今年。他应该也是在白帽子黑客圈是身价最高的一位,大家可以百度一下他的收入,好像是8位数。
  于旸:那都是假的。
  乌迪:我想先请于旸说一下,我们今天是白帽子黑客,很多人对白帽子黑客定义不是特别了解,请您讲一下您心中到底什么是白帽子?
  于旸:首先“白帽子”这个词是相对于“黑帽子”来讲的。国外在70年代的时候就开始把黑客这个词用于那些去研究和计算机安全相关的人,但是最后发现,这个词只能定义你的技术属性,而无法定义善恶属性。就像我们说武林高手一样,岳不群是武林高手,令狐冲也是武林高手,不能简单的用这个词,我们就要创造出“大侠”和“江湖败类”这样的词,所以就有了“黑帽子”。相对应的,大家又创造出像“白帽子”这样的词。微软把他们阵营里面的安全专家称之为“蓝帽子”,微软每年都会开一个“蓝帽子”大会。对于咱们来说,中国人的文字里面,黑帽子还是可以戴的,白帽子戴了其实不太吉利。我听说有的老外他们还试图搞什么“绿帽子”大会,我跟他们说,你这个搞了中国人是不会去参加的。所以具体什么帽子,其实只是一种称呼,往根源上说,最根本的还是技术,具体是什么帽子,可能是别人往你身上扣的,不管是扣什么帽子,不管是黑还是白,扣上来可能你就被压住了,就被套上了。

  乌迪:反正大家都不希望被扣上绿帽子。于旸能不能接着分享一下,我们主要是根据技术来评判,不管是什么帽子。现在中国白帽子或者技术在全球领域大概是什么样的位置呢?
  于旸:我们知道中国从我们加入信息世界这个大家庭,加入互联网这个大家庭,和美国人相比相对来说是偏晚了几年。但是好在中国人多,人口基数在这里,另外确实中国人还是挺聪明的。这些年追赶到现在,从个人的能力上,或者在某些技术领域,中国在整个世界范围内我觉得应该是可以排到第一梯队的,当然不可能说全面领先。
  乌迪:其实成为“白帽子”是有很多的路径的,特别是这些年有一些科班出身的,国内有四五十所高校都开了信息安全专业。但是我们知道,其实更多的“白帽子”他可能并非是科班里面,是通过一些偶然的事件成为“白帽子”的。我身边有一些“白帽子”,比如他以前去网吧上网,上着上着发现自己的钱不够了,他就想能不能通过一些方式绕过网吧的计费系统,包括在宿舍里面,我想在座的肯定有人做过这个事情。我有一个朋友,当时他的邻居搬来了一个女孩子,很漂亮,他想认识,但是他又非常内向,很羞涩。他不好意思去要电话,他就看隔壁女孩家的无线,把她家的无线破解了,拿到那个女孩子的微信和QQ,通过这种方式搭讪,他是这种思路。我想问在座的很年轻的余弦包括冷风,讲一讲你们是怎么成为“白帽子”的,我想大家应该很感兴趣这个话题。
  余弦:我是非科班出身,大学的时候学的是生物功能材料,高中的时候拿过生物二等奖,所以对生物很感兴趣。当时我的想法就是,动用一切的力量,一定要把勉强的问题解决掉。对我来说,如果生物这条路走下去就成了黑人了,把人给黑了,造一个人造骨骼、人造心脏等等,以前的专业就是跟这个有关系的。计算机时代的到来,对我来说,到大学的时候发现我不懂计算机,这个让我觉得很恐慌,我们有很多实验,还要通过计算机解决。有的时候解决问题的一些方式,如果玩黑客玩得比较多的会发现,有时候通过黑客的一些技巧,有一种捷径,能够让你不用通过正常的渠道就能够达到一个目的,这个感觉还是比较舒服的。但是最终你会发现,转到黑客这条路上,我们说“白帽子”,其实本质上都是为了我能够解决这个问题的一种思维方式,能够补充我的思维方式,不是那么板板正正的按照那条路去走,而且应该有其他的方式让我去实现这个目的。对我来说兴趣是第一位,这个一直驱动着我。

  乌迪:冷风能不能介绍一下你的情况?
  郭勇生:我接触的时间可能稍微要早一点,但是相对于两位前辈还是比较晚的。那是上初中的时候,那个时候还没有接触电脑,主要是打游戏,那个时候的游戏就是大街上的街机游戏,不知道大家有没有玩过,就是一块钱买几个游戏币进去打。那个时候打这个游戏打得非常好,花一块钱买几个游戏币可以打一天,现在的这种游戏你只要是投上币可以打两关,我们每个人买一个币就打一天,后来老板的生意没法做了,后来我们一去老板就不卖给我们不让我们玩。这个时候我们想找其他的路子,发现有网吧,然后就开始去。
  到了网吧以后发现一个是贵,再一个就是那个时候的QQ号是需要花钱注册的。那个时候注册还需要有手机验证,大概是2002年、2003年的时候,那个时候手机是一个很奢侈的东西,我们也没有。这个时候就开始想办法干第一票,盗了人家的QQ号,当然后果不太理想。因为网吧特别小,上网的人也很少,因为在一个镇上,到了第二天就被人家抓住了,被人收拾了一顿。虽然这个结局比较惨,但是这个兴趣从此就有了,到了高中和大学,那个时候分不清什么太多的好与坏,只要想搞就搞。有时候老师说需要考试了,那个时候上网比较多,也没有学习,就想办法进老师的电脑,把试题搞出来,这个也是有的。再到后来对学校的网站做了一个测试,但是有点太过了,被学校通报批评了。这样中间停了两年,比较消停。后来毕业以后发现,还有这么一个工作可以去做,还是合法的,就走上了咱们这条路。
  其实我觉得做这个事情是很有意思的,你想想看,别人去盖一栋楼很难,需要设计,需要施工,盖起来以后让你去搞破坏,而且是合法的,这就很有意思了。当然你懂更好,如果你不懂也可以,你不懂这个楼是怎么建的,但是你能找到它的弱点在哪里,这也是一个很有意思的事情,而且你如果能找到以后别人还很高兴。所以这个行业本身,如果是兴趣使然的话你就可以做得很好,如果是强制的让你去做某件事,如果你不喜欢那就另当别论了。现在基本上我认为,我是出于一个兴趣的驱动,我想大家可能很大一部分人也是这样,只是他的某个点不同而已。

  乌迪:你们几位从事这种工作,“白帽子”这种经历对于你们来讲,除了它给你们一份工作,包括收入不菲以外,除了满足兴趣以外,你觉得“白帽子”的经历对你的人生,包括对你的思考方式等各个方面有哪些帮助呢?能不能分享一下?
  余弦:我前面的回答已经说了,就是它让我看到了这个世界的思维是不一样的,包括处理问题的思维角度是不一样的。有时候看到一些人处理一些问题很死板,我觉得其实是很不应该的。对我来说,我是非常喜欢跨界交流,比如你是建筑行业,专门做绘画的,音乐家等等,我都很喜欢去交流,因为我想知道每一个行业的牛人思考角度是怎么样的。对于我来说,我本身是一个程序员,写了很多程序。但是我觉得光有程序员的思维还不够,如果黑客的思维再融入进来会比较有意思。所以对于我来说,最大的改变就是看待这个世界的方式会更加不同。

  于旸:我倒不是说因为从事这个工作对我思考问题的方式有什么影响,就我个人而言,我觉得是相反的。我觉得可能你必须有某种特定的思考方式你才能干这一行,实际上包括余弦应该也是这样,你能干这一行,恰恰因为你从小就是这种思维方式,最终决定了你能干这一行,能够走到今天。

  余弦:你是说强调先天的重要性是吗?
  于旸:对。在干这一行的过程当中有一个正反馈,然后对你的思维方式又有了进一步的增强。但是一开始,我觉得可能会有一些先决的东西在里面。
  余弦:被于旸这么一说,我觉得好像挺有道理的,让我想起我从小的思考跟别人就不太一样。
  于旸:我们应该都是属于那种在学校里会被老师和同学觉得比较怪异一些的小孩。至少我是的,我不知道余弦是不是。
  余弦:你这样一说,好像是这样的。
  乌迪:冷风应该也是吧?
  郭勇生:也是这样的。我觉得不管哪个行业,它最终的道理都是一样的,就是专注。如果你是针对一个小事的话,比如做渗透,其实你对于一个网站做安全渗透,你会发现做下来的不一定都是高手,不完全在于他的技术有多高,而是在于他是否专注。有的人会把工具放在一边,一个点一个点的测,他可能就会拿到一些权限,但是有些人可能就比较泛,简单看一眼就过了,针对一个小事不够专注。同样的如果这个专注你能把它放大,如果放到10年,你在10年坚持一个行业,你肯定能够在这个行业内有所建树。所以说我觉得专注这方面还是比较通用的,不管是针对这个行业还是针对其他的。
  乌迪:讲到“白帽子”。其实现在大家获取信息的成本越来越低,越来越方便。我们以前看到一些“白帽子”可能是十几岁、二十几岁成名,现在我们发现,这个时间在向前移。前不久很多人应该关注过,有一个13岁的“白帽子”,媒体也有很多的报道。那个“白帽子”我们也认识,他在一个中学社社区,是北京的一个高中生创办的,他现在是高中生,里面有很多人。在乌云上注册的里面的“白帽子”就有10几个,都非常年轻,有些还不到13岁,就是一些初中生,包括人大附中、清华附中的。我们现在发现,“白帽子”的成名越来越早。在座的几位成名也是比较早的,现在很多人对“白帽子”很感兴趣,有些人很想成为“白帽子”,有些人现在已经是“白帽子”了,就像在座的各位。我想问一下几位,你们对于这些想成为“白帽子”的人,还有已经成为“白帽子”的人,你们对他们有没有一些建议呢?包括在技术各个方面,包括一些这些年轻的小“白帽子”。我刚才看到有一个中学生在下面,我不知道他是不是也是这一行的。大家能不能讲一下?
  余弦:这个建议我思考了很多年了,基本上就是两点:第一个点就是一定要专注,刚才冷风也提到了。如果一个人老是觉得外界的环境给自己带来太多的压力和影响而无法专注,我觉得这都是扯淡。还有一些人觉得公司这么忙,我没有时间做研究,这是不可能的事情,我那么忙,我还写了一本书出来了,当然这不是打 ,我觉得这个专注是非常关键的。第二如果太过于把自己限制到一个顶上,可能被别人说成是装,这个时候有一点可以帮助大家,就是视野。如果一个人缺乏视野的话,你很难去触类旁通,很难做一些发散的思考,这个会决定你未来的路会有多宽敞。这个视野一般情况下跟你所在的环境、接触的一些人,做的一些事都是有很大的关系的。不是说一个人说,我看了一本爱因斯坦的《相对论》我就有视野了,这是不可能的事情。不是说看了什么《神探夏洛克》就有侦探的视野,那是不可能的事情。视野完全跟一个人的经历有关系,这个需要沉淀。所以最终来看,专注和视野这两方面,一定是在这个过程当中互相互补,互相促进的,这个是能够决定我们未来能够走多远,多深的。
  乌迪:其实我们很多技术人员会遇到这个问题,先是做技术,技术这边比较好,在企业里面被提拔为管理层,后来可能就慢慢的离技术越来越远,我们看到身边有很多人进了一些大公司,以前非常活跃,后来慢慢就没有声音了。我们看到于旸在安全圈还是非常活跃的,对技术一直在研究。除了余弦刚才提到的那些,你又是怎么做到的呢?
  于旸:我现在仍然还是会分出一部分精力做技术。主要是因为还有这个精力,有这个时间。可能有些人他确实没那个精力和时间了,真的是位高权重,事情很多,那是没有办法。当然我觉得最主要的还是一个选择,因为我知道一些国外的做技术的,有些人的领导觉得他很适合搞管理,然后劝他去从事管理岗位。给他许诺加薪,说你去做这个怎么样?他不行,他一个人都不愿意管。就是给你一个三个人的团队,说你带一下这个团队,他不干,有这种人,特别在老外的技术人员里面这种情况还是相当多的,这就是一种选择。我去微软咱们Blue Hat大会的时候,第一个演讲的是微软的战略程序员,他的职务是战略程序员,我觉得这应该是程序员当中最高的,可以用“战略”这个词,但是还是程序员。真的就是一个程序员,自己还在媒体写程序的人,已经50岁了。

  乌迪:这种情况为什么国外这么多?在国内好像就很少有。
  于旸:国内还是我刚才说的,中国本来起步的时间要比别人稍微晚一点,因为你晚,可能现在还没有到达那个时间点,就是你可以产生一个50岁的程序员的时间。如果你是一个50岁的程序员,你可能已经干了30年了,咱们中国的IT起来才多少年?可能还没有满足这个条件。再过一段时间,我觉得可能中国也会有。
  余弦:其实他想说的是,再过20年,他肯定是这样的。给大家讲一个小段子,TK的抬头是工程师,是他自己选的。他有很多的选择,他可以选择总监等各种高大上的,但是他选择的是工程师。
  乌迪:我们刚才讲到“白帽子”,其实我们看在座的很多是信息安全的从业者,包括有甲方乙方的,这几个人的职位也很有意思,郭勇生是天融信,于旸是新兴的,很有代表性的互联网安全公司的代表,余弦是来自知道创宇,我想请几位分享一下,你们现在怎么看待网络安全的市场,从你们的角度来讲,你认为这个市场怎么样?
  郭勇生:我感觉目前咱们中国这个阶段起步相对来说晚一些,相对美国、俄罗斯差了一截,但是咱们的后劲很足。互联网本身就是美国和俄罗斯冷战期间的一个产物,他们做得非常深。美国就不用说了,整个互联网很多核心的东西都是他们国家的。俄罗斯相对来说比较低调,你不知道他们在做些什么,互联网上也很低调。但是你分析这两年的恶意程序,从俄罗斯那边流传出来的都非常厉害。这说明他们虽然很低调,但是他们的技术实力是非常强悍的,他们完全有能力和美国相抗衡。比如咱们上月球这个技术,月球离地球这么远,他们是怎么通信和控制的?美国可以,俄罗斯也可以,俄罗斯他们很是先进的,他们可能用的系统不是Windows,他们可能有自己的一套系统,是什么我们也不知道。

  我们应该算是后起之秀,因为我们的互联网经过这10年的发展,速度是非常快的,大家可以回想一下咱们的网络10年前是什么情况,3年前是什么情况,同样再往后的几年速度咱们还会非常快的,而且人口红利基数也非常大,有些国家的人口数量就是那样,他也不可能做到全民都去搞网络安全,做这一方面的工作。但是咱们不一样,咱们就算是每个省,每个市有一些爱好者,组合起来都是非常强大的。包括现在为止,中间几年好像有些咱们国内的一些安全组织都比较低调,但是你看现在,又有抬头的趋势。就是说这些活跃者又越来越多了,包括咱们现在新兴的各种安全测试等等都是很好的。我们国家针对网络信息安全方面也给予了足够的重视。现在包括政府的网站各方面都是做得非常好,起码态度非常好,让一些一线的人员去测。只要态度好,而且有一颗上进的心,我相信未来会更好。

  于旸:我觉得说市场这个东西健康不健康?任何一个市场,只要是自由的就是健康的。单纯从市场的角度来说,最重要的是市场是否自由,但是安全市场有一个很重要的特点,就是它关系的事情太大了,不可能完全自由。比如卖家具的可以是一个完全自由的市场,无所谓。但是卖粮食,卖石油也可以相对自由,但是就不能那么自由了。因为粮食、石油这些是关系到国计民生的,任何国家不会百分之百绝对的自由,那一定是背后有一个监管,至少我要看着,一旦有问题,我是需要出手的。那么安全市场更是这样,从自由市场经济的角度讲,美国的市场其实是比较自由的,但是在安全市场上,政府至少对它能管到的那一部分是会伸手的,是会有相关的规定的。不光是这种建议性的,甚至是约束性的,至少对他能管得着的那些,他不会是特别自由的。

  所以我觉得,安全市场这种先天性的问题就导致了任何国家的安全市场和真正我们说的健康自由的市场之间不会完全符合。但是在这个过程当中,作为这个行业里的人,无论是甲方还是乙方,我觉得首先要清醒的认识到这一点,另外就是要去适应这一点。

  乌迪:我们看到一点,其实在美国,它的信息安全的市场,其实企业占的比例是比较大的。在中国信息安全的采购方,可能政府的比例相对多一些,这个你们怎么看?
  于旸:这个问题最主要的我觉得还是大家对于安全的重视程度和对威胁的认识程度,以及企业在遭遇安全事件之后,这个安全事件对于企业造成的伤害,以及企业对安全事件所能给予自身这种伤害的认知。因为我以前看过若干份数字,就是美国的网络安全投入占整个IT投入的占比,那个比例一般来说是国内的两到三倍。比如说他每100块钱在IT上的投入可能中间有10块钱是在安全上,咱们大概是3块钱在安全上,为什么是这种情况呢?我只能从一个非常小的角度去谈。我们会看到,在美国的这个企业里面,一旦发生了安全相关的事件,那么紧接着会是CSO辞职,我们说CSO是一个背黑锅的职位,设CSO是为了避免让CTO辞职,CSO那就得CTO辞职了,如果事特别大,CEO都得辞职。但是在中国,可能这种事情不会像美国那么常见,就是出了事情会有很重的影响。既然出了事情没有那么大的影响,可能大家这种投入的欲望就不那么强烈。我觉得这可能才是一个根本的原因。
  乌迪:其实就是说,还是意识的问题,可能需要一些时间,还有就是有一些社会舆论的压力,可以这么理解。

  余弦有没有什么想法?怎么看待这个市场?
  余弦:其实我对这个市场稍微有些失望。刚才前面两位说得都特别好,TK的观点我也特别赞同,就是自由度不够。其实我觉得,自由度不够会导致一个很严重的现象,就是很多解决方案不够透明。如果不够透明会导致什么?一定会导致很多恐吓和忽悠,我忽悠你,我最牛。所以大家如果看到谁家的产品说我是第一,那一定是假的。谁家的产品说我是智能的,一定是有问题的。别说你们,包括我们自己的一些东西,可能也是这样。我发现整个市场的风气都被这些合规需求给带坏了,什么合规呢?满足这个条例规定就OK了,他有没有用我无所谓,带来的这个效果怎么样我无所谓,领导来视察的时候,机器开着,灯亮着就OK了。这个我估计每个人心里都会有底,但是这些底很多人都不宜去公开说,原因是因为这块蛋糕可能非常大你在吃,我也在吃。

  但是我觉得以后这个市场一定是一个良性的发展,未来肯定是拼硬实力,绝对是拿实力说话。我现在觉得有个市场非常好,就是互联网上现在这些爆发出来的市场,比如像乌云的存在,还有很多平台的存在我觉得很不错。把一些藏着掖着的一些东西曝光出来了,让它透明出来了。现在大家可以看到,很多互联网下做创业的厂家,他们找解决方案,不太可能去找那些传统的大公司的,他们可能会到平台上去按效果付费,把很多东西透明开,你这个东西是多少钱,我的解决方案是什么,效果是怎么样的,一对比都知道,口碑、舆论在互联网上一下子就传播开了。刚才主持人也说到,我们是代表一个新兴的公司,实际上我们现在有很多做法,也是按照这条路走的。合规我们也在搞,不搞怎么办?不搞我们公司就要挂了,我们也在这个问题当中。我们另外一只脚站在互联网上,未来我们这只脚一定要拔出来,未来一定是拼硬实力的时代。这个也不是好忽悠的,第一年用你的解决方案,搞得我这个企业这么多泄密,国家这么多问题,你看看,两年之后、三年之后还会用吗?这是不可能的事情。所以说现在这个市场还是比较失望的,包括很多标准都是很扯的。随便一个事情都会告诉领导是高危,这是不可能的事情。每次PK的时候,传回来的反馈说,竞争对手报了10个高危,我一看才1个,我一看人家报的标准不一样,那有什么办法,忽悠的话谁都会。我觉得现在比较混乱,以后会比较好的,未来还是会比较光明的。
  乌迪:我非常赞同余弦的观点,其实也说出来了很多人的心里话。刚才听余弦讲到最后,你认为什么漏洞对于企业来讲是比较重要的?是大家应该关注的?
  余弦:我忘记谁跟我说,就是说一个漏洞,你不管是什么,你只要告诉我这个漏洞最终能带来怎样的危害,把它给做出来,不要说太多话,你做出来,证明出来,它能达到的效果是什么,就决定了危害的程度。如果说XSS是中等威胁或者是高级威胁,那么一定会出现很多浑水摸鱼的,随便搞一个就告诉我是中危或者高危,这是不可能的事,因为每一个场景是不一样的。如果我手上有一个邮箱的XSS,我是有办法写一个很漂亮的邮件,我保证你神不知鬼不觉的情况下,权限就是我的。但是如果你的官方网站有一个XSS,我就有点头疼了,我要用各种方法欺骗你,所以名字的叫法不一样,但是带来的危害和场景是不一样的。所以以后关于这个事情,就应该以能达到怎样的一个危害来定级,但是可能这是一个非常复杂的过程,也需要功力比较深厚的“白帽子”或者是“黑帽子”,把你的裤给脱了,别人说一个XSS,这是不可能的,一个XSS,光一个框怎么能把裤给脱了?我就能做到这一点,把它给证明出来。
  乌迪:一个漏洞不管是什么形式,什么技术,但是能够造成什么样的危害,这应该是大家关注的,包括我们乌云也在看这个事情,我们认为一个漏洞对企业来讲,就是如果能接触到企业的一些用户的数据,比如说通过漏洞可以拿到一个企业的帐号信息,能够登记别人的帐户,我们认为这个就是一个非常严重的漏洞。

  最近也发生了一些技术上的事情,比如访问iCloud、雅虎和微软,国内在访问的时候证书被替换了,什么原因我们就不深究了。我们开玩笑的说,前一段时间美国有很多明星出了艳照,现在中国iCloud出了问题,中国的明星会不会也出现这种问题,中国人这么喜欢自拍。我们问一个技术的问题,在座的几位你们关注了哪些安全的事件?你们觉得比较有意思能够跟大家分享一下的是什么?
  郭勇生:安全事件其实无时无刻都在发生,但是有兴趣,很好玩就不太好说了,因为每一个安全事件背后都是一个血淋淋的教训,都是一个很忧伤的故事。据我了解,上个月有一家公司,他是做外贸生意的。他是和境外的一些人去做生意,他们在付款的时候就出了问题,他付款的时候帐号是被一个黑客篡改过的,所以说他们100万美元的一笔款就直接打到了一个陌生的帐上,这样就是人财两失,货没有收到,钱就打到了别的帐上。其实他们这就是一个非常明显的安全问题,黑客无论是控制了他还是控制了对方,然后通过一个简单的劫持就让他造成这么大的损失。这只是一个事件,这样的事件并不是很好玩,危害是很大的。

  与此同时,相关的技术还是很多的,比如说有些劫单,就是他们做黑产的一种。比如说你电脑上被种了一个恶意的软件,这个软件,当你在淘宝上买东西的时候,你要买一瓶矿泉水,你点的时候,这个矿泉水并不是你真正点的那个链接,而是指向了黑客让你去买的那个链接。你每买这一瓶矿泉水,有一个叫淘宝客的东西,他都会从中去抽取你20%的费用,这个钱虽然你没有出,但是那些商家在出。刚才我说的外贸的那个劫单跟这个是类似的,只不过他做得更大,更明显。这种事件,不管是从公司还是从个人,都应该注意,注意,再注意,常改密码,少拍照片,少拍那些与工作无关的照片。
  于旸:最近漏洞方面还是出了不少很有意思的漏洞,尤其是今年,应该说很少有一年时间在不同的类型上,不同的平台上一下子出这么多有意思的漏洞,漏洞属于年年都有。我说一个别的事情,最近半年开始出现的一种欺诈模式,因为以前钓鱼和欺诈主要是广撒网,给你发这种钓鱼短信,说“你好,我是房东某某某,这是我爱人的银行卡号,这个月房租请打到这个上面”,每个人都收到过这种短信。以前也就是这么干,广撒网,钓个房租钱。最近半年左右的时间,有一个团伙在钓大鱼,有目标的,黑产领域的APT,他会先盯这个人很长时间,把他摸清楚,然后把你的关系,就是你的社交帐号的上下关系摸清楚,你是什么人,当然肯定要摸得很清楚,他们专门挑老板下手。

  我有一个朋友就遇到了这件事情,他就是一个当老板的。对方很精确的知道他的动向,他在出国的时候,因为出国之后可能跟国内的通讯没有那么方便了。就在他刚出国的时候,就有人冒充他联系他的会计,说我现在需要用钱,需要几十万,你给我这个帐号打几十万。包括聊的事情,说话的语气都是在模仿他。当然他还好,他这个会计因为某些原因,最后这个转帐没有转成功,他没有上当。但是据我所知,上当的人非常之多。为什么呢?因为他已经把你的关系都摸透了,他说出来的话完全就像是真实的人物在说话,而不像是一个广撒网的这种。所以这种欺骗性非常大,而且你想你就是一个会计,公司大老板给你的直接命令。我们面临的形势每天都在变,像类似这种事情,包括我刚才说的那种恶意欺诈短信,我知道每一家做终端安全的厂商也都在想办法处理,像这种新的情况,可能大家也在想办法。我想说的就是,这种对抗的形式随着人类社会信息化不断的发展,对抗的形式会越来越复杂。
  余弦:我有一个比较有意思的案例,这个案例不需要任何的漏洞,因为这个案例是我亲自实施的,给大家分享一下怎么搞定。
  接着TK的话题,这个案例实际上本质上是利用了信任,包括他的朋友圈之类的。这个案例当时老外有一个叫法,叫做“邪恶双胞胎”,最近微信也在传播,说别人加你好友之后,把你的头像和昵称改得跟你一模一样,利用你这个头像跟另外的好友聊天,这个很难防御。实际上2008年的时候,我做了一次实践,当时人人网比较火,我当时还没有毕业,快毕业了,学校有一个女生长得挺好看的,但是没有她人人网的权限,用漏洞的话也是有,当时比较傻,把漏洞都提交给人人网了。所以当时紧急情况下没有怎么办?有一个好办法,因为这个女生她的好友关系是公开的,其他资料都隐藏,包括相册、个人日志,关系是公开的,这个好处就来了。她还有另外一个社交网站,叫做朋友网,就是腾讯的,她那个更加透明。我看了她的一些相关的行为,包括她发的一些日志,说的一些话,大概知道她的一些爱好。知道她其中的一个好友,这个好友既存在于她的人人网,也存在于朋友网。有几个是她一个班级的,有一个不在人人网上面的。我就把其中有一个,也是一个女的头像拉下来,重新注册一个人人网,用了这个头像,还有她的ID,包括她自己在朋友网上的签名、日志这些风格,比如她很喜欢发一个文字,喜欢用什么“啦”之类的。我照着她的习惯,在人人网上同样注册了一个帐号,于是给这个女生发了一个消息说,我终于开通人人网了,加我。过了两天之后她真的加了,这个时候是不是所有的东西都可以看了?这个时候她的相册、日志全部都可以看了。这个过程实际上就是,我通过这个成功的案例让我知道一点,就是互联网上那一头跟你聊天的,他说不定是一只狗,不是一个人,你根本不知道那个人到底是谁。

  最近比较有意思的是,这个人终于怀疑上来了,因为我把这个案例写到我的书里面了,她非常巧的是看到我的书了,她说我的头像怎么在你书上?后来加我为好友,我把整个过程给她解释了一下,就没什么了,因为之前做这个事情没有公布开。我想给大家说的就是,最近大家包括自己的朋友和同学都应该提醒一下,现在跟你聊天的这个人,有可能他不是一个人,一定要非常谨慎。一旦涉及到任何的关于好友向你要什么通讯录,向你要什么别人的手机号、QQ号,甚至是跟财产有关系的,一定要再度确认一下。所以说很多人加我微信的时候还挺麻烦的,我要反复问好几个问题,你是谁,在什么场景下跟我见过面等等,直到确认了之后,我才会加。有的时候不好意思,有的人都请求了好几次,我可以先通过他,然后禁止他看我的朋友圈,等我确认完了之后才开放。他们应该具备这样的意识,就是默认不信任,就是这样。


  乌迪:这个分享是非常有价值的。刚才余弦提到的一点我很有感受,我们以前做过一个实验,我们身边一个“白帽子”做了这样一个实验,他在QQ上随便找到一个人,当时他有些大数据,能知道这些人的关系链,然后去加他。加完好友以后,他说他是他一个失散多年的中学同学,就跟他聊天,他能够聊出来咱们班有谁谁,因为在QQ上能查得到,包括电话,他都聊这些东西。最后聊了几个星期,那个陌生的QQ的好友一直把他当做他的一个中学同学,但是其实他们一直是不认识的。后来当我这个朋友告诉对方,说我就是在网上找到你,我就这么加你,那个人还不信,说你是不是在跟我开玩笑?我觉得这种例子其实是挺恐怖的。

  刚才冷风和余弦也给大家提了一些建议,因为今天时间有限,我们最后再做一些补充。今天来的有媒体,也有一些普通的用户,对于大家在日常的上网各个方面,能不能有一些建议?能够让大家更安全一些?冷风能不能再做一些补充?
  郭勇生:其实我觉得咱们作为普通用户,常改密码还是有必要的。因为现在在座的各位,肯定都是接触互联网的,京东、淘宝、人人、QQ,其实很多的数据库已经被拖过了。根据一个常理,每个人的常用密码是不可能超过10个的,比如说今天的密码是12345,明天让你换,你可能换成45678,但是后天又让你换,你肯定又换回来12345。所以说,这个密码基本上都是一致的,如果别人拿到你其他方面的密码,来猜你这个密码是很好猜的。而且现在大家也知道,网上的社工库非常多,拿到你一个帐号,就能得到你所有的密码。这样的话,基本上是防不胜防。最后回去以后自己想一个密码,彻底换一遍,我觉得这个还是有必要的。这是一个比较简单,也比较容易实施的。其他的就是多注意,不认识的人少聊,就是这样。

  于旸:密码是个比较重要的东西,而且也是每个人都可以简单做的事。我再接着冷风的提议给大家一个小建议,你们可以试试用一些集中的密码管理软件,就是无论是PC还是手机上,其实都有类似的东西。这样的话,你可以给每一个网站都设不同的密码,而且这个密码可以无比复杂,你自己都记不住,你也不需要记住。为什么呢?因为你只需要记住这个密码管理软件的一个密码就可以了,它帮你管理所有的那些密码。这一个密码你可以稍微设得复杂一些,你记住它,但是只需要记住这一个,我觉得这是一个相对比较好的策略。
  刚才说到“邪恶双胞胎”,这种事情我的经验是这样,就是说首先你通过任何方式来跟我认识,如果不是面对面的交流,有中间人介绍的话,通过这个网络联系过来,那我一定要通过其他的信道来确认这个人的身份。比如说我用了微信之后,以前的那些朋友通过微信上找过来,说我是谁谁谁,那我一定会打个电话问一下,现在微信上有一个ID是什么的人,他是不是你?然后他说是的,那我再加,我是这么做的。

  余弦:大家应该达成一个共识了,安全的本质就是信任。所以在我看来,这个解决方案有太多种了,实际上今天我们很难说得完。我在网络上也发表过一篇文章,大概提了20多点,现在让我说的话我都背不下来,我写完就写完了,然后发出去了。但是万变不离其宗,就是任何一个物体过来,你不要信任,再三的警惕,哪怕是你的父母,所以这是一个非常残酷的事。包括以后科技发达了,甚至中间人介绍跟我认识,我都不一定会信任,万一他易容呢?现在大家都会笑,以后生物技术越来越发达的时候,说不定5年以后我就搞这个事情去了。大家知道未来肯定是越来越想像不到的,所以我觉得,任何时候都要保持一颗非常警惕的心,安全意识为先。其次就是看到很多别人诉讼的经验,能够记下来就记下来,告诉你身边的朋友、亲人、爱人,因为有时候黑客搞你不一定是从这里开始搞起的,你信任你的老婆,那从你的老婆开始搞,就是这样一个关系。所以说最终的情况下,除了你,你都不用信任任何人了,这是非常残酷的,当然这句话千万不要跟你老婆说。

  乌迪:今天我们这个圆桌对话就到这里,谢谢几位的分享,也谢谢各位听众。
本文转自: a2014/1030/1678/000001678203.shtml

東東 发表于 2020-11-27 13:55:25

:(
页: [1]
查看完整版本: NSC2014顶级黑客纵论安全之道