乌云来袭(下)

今天是白帽子专场,议题内容都是非常接地气的。手机卡,飞行器,邮件系统,物联网+云存在各种各样的问题,如果这些问题被恶意利用,定点攻击普通人真的是太轻松了。小编已然被今天的演示效果征服了。

主持人是长腿欧巴浩天叔和女神肉肉。

mmexport1437314463238

第一个议题是由疯狗带来的《struts 2事件两周年启示及乌云颁奖》。他回忆了struts 2漏洞爆发事件,并解释了白帽子节的由来——2013年的7月17日正是Struts 2事件爆发时间,他还表示以后乌云峰会会尽量在这天举办。印象深刻的是在wooyun上的良心厂商很少。相比之下,不那么良心的厂商有点多,比如泛微OA软件厂商,当泛微OA在wooyun上被爆出漏洞时,他的客户请求修复时,泛微OA的态度是”要修复可以,给15万我给你修复”。小编也认为这样是不合理的,和”买一辆车后,坏了去修汽车修理商要收费”这种不一样,软件系统的客户购买的时候软件已经是一个”损坏”的有问题的系统。

mmexport1437314456523

第二个议题是由乌云白帽子毕月乌带来的第一个议题《手机号背后的灰色地带》。在这个议题中,白帽子现场为我们演示了只利用一个ipad轻松伪造任意号码向其他手机拨号。小编表示虽然以前听过,但是现场看的时候更能感受到真实世界中的不可信因素。原理就是欺骗网络电话运营商。小编印象更深刻的是毕月乌说的一句话,”伪造任意号码已经简单到可以全民普及了”。

2

接下来是上海交通大学LoCCS实验室的白帽子同学带来的议题《USIM3G/4G USIM卡的安全性分析》。这个议题以一段视频开始。在这个视频中,一张USIM手机卡被复制后,复制后的卡可以接收原来的卡的短信,冒充原卡向外打电话,而且在外部看来,这两张卡没有什么区别。这个议题中小编印象中能理解的最深刻的部分就是复制卡这个部分了。后面这位白帽子同学还对比下2G SIM卡和3/4G SIM卡的优劣势,并且详细介绍了对3/4G SIM卡的一种旁路攻击。作为一名通信工程学渣,小编听原理的时候确实听不懂,但是觉得旁路攻击真牛逼。

3 4

5

第三个议题是乌云白帽子Rayxcp带来的《无人飞行器安全性分析》。其实听到这个议题名字的时候,小编想到了前几个星期某男子在清华用无人机表白时的新闻,心想那个无人机应该就是这个无人飞行器吧,好像很多人用的样子。后面白帽子介绍时,才知道国内外的某些快递公司已经在用无人机送快递,甚至南京警方组建了”玄飞手”警务无人机分队。然而,由于小编坐了很久的地铁,连着听了三个议题,有点累了,马上要昏昏欲睡了(年纪不大身体却不好使了,唉)。小编影响深刻的是Rayxcp自己买了设备后,研究设备的控制方式,发现在WiFi环境下可以ssh到无人机设备上。但是能连接到无人机设备上,还不知道怎么控制无人机。第一次听到对未知设备的分析,感觉Rayxcp在这分析的一路上一波三折,最后还是实力征服无人机,赞!

6

7

下午的第一个议题是PKAV团队带来的《由PC端安全问题引发的重重隐患》。这个议题中,PKAV团队的同学没有过多华丽的铺垫,上来直接播放了三个小视频,分别是PC端,浏览器端,手机端邮箱安全问题的演示。无一例外,这三类客户端中打开邮件后,邮件数据全部能被攻击者窃取。不用说太多,看完视频就觉得如果邮件系统开发商没有一个积极的安全态度,真是应该被拖出去打。都是视频,小编又忘了拍照。

8
然后是乌云白帽子Only_Guest带来的《云安全现场演示》。Only_Guest用了好几个安全案例现场演示,效果震撼。比如黑客吃饭不花钱,出租车状态全知道,用一个邮箱就可以匹配出所有的已注册网站等等。小编看醉了,都快忘了拍照了。小编印象深刻的是Only_Guest在台上边喝酒边讲,叼叼叼。不得不说,Only_Guest真的是个好段子手啊,PPT很有意思的说。

9
接下来是来自台湾HITCON CTF队长Orange带来的《CTF经验分享》。Orange分享了他一路来参加各种CTF时的趣事和心得。Orange说,在他参加的比赛中web题目不多,作为一只web狗要在CTF中存活,是需要多学点逆向方面的知识。

10

然后是来自拉勾网CTO侯杰带来的《互联网安全人才发展现状》。侯杰用了很多张图来说明了一些他了解到的一些数据。总结成一句话就是,安全行业是个好行业。其实今天的这场乌云峰会也是为了让大家更近距离了解到安全就在我们身边,让更多有才能的小伙伴加入这个行业,为安全做出更多贡献。

11
最后的圆桌讨论中也是见到了很多大神前辈。有1998年感染了六千多万台电脑的CIH病毒的作者陈盈豪,还有HITCON创始人TT以及UCloud创始人季昕华和真格基金合伙人李剑威、乌云创始人剑心、IBM安全架构师李承达,圆桌的支持人则是来自锤子的池建强。一直以为大牛们都是很严肃的,但是这次真心开了眼界,都还是蛮逗蛮亲切的嘛。

12

IMG_20150718_165829 IMG_20150718_170034 IMG_20150718_171515IMG_20150718_172724

 

圆桌讨论的结束也代表了本次乌云峰会的圆满结束,当然,不能漏掉晚上的乌云酒会啦。晚上小编去酒会溜达了一圈,终于见识到了第一家黑客酒吧,喝到了传说中的DDOS和心脏滴血。(DDOS忘记拍照了,给大家留点悬念吧~)

IMG_20150718_204106 IMG_20150718_212045

IMG_20150718_213237

 

乌云峰会就这样落下了帷幕,感谢乌云为安全行业带来这样的一个安全盛宴,也期待有更多小伙伴加入这个行业,和我们一起hacking for fun~

IMG_20150717_183243

(via@91Ri团队-小利)