乘风破浪的安全之路

Roy Li 虚拟机 2017-05-15

坐在我旁边的小米首席安全官陈洋瞥了一下我手上的节目单,立刻进入了前所未有的紧张状态,他觉得这次自家产品跑不了要被破解了。正在他试图和微信群里同事们联系的时候,他的名字被点到了——主持人鸣谢赞助商,聚光灯下的他一脸凝重,像被一名老师点名:“放学后来我办公室” 的学生一样。


有趣的是,小米智能手表并未被比赛选手破解。Geekpwn在比赛前是不得透露选手尝试攻击的厂商的产品, 因为过往厂商为了维护自己的面子,会将云端服务关闭,令选手演示失败。 并不是所有厂商都能像小米这样愿意公开面对安全隐患,更多的是选择掩盖,就像那些雇打手去删差评的卖家一样。


让我们把时间拉到前一天。


2017年5月12日,黑色星期五,爆发了全球范围的windows远程漏洞导致PC被控制勒索PC事件,由于勒索画面要求支付比特币,比特币不幸躺枪被各大媒体冠名为此次事件的代号。


此次攻击涉及范围很广,比如这里

这里


还有这里


这次漏洞叫永恒之蓝(EternalBlue MS17-010),早在一个月前,境外黑客组织公开的一份windows远程漏洞利用工具里包含的第一个漏洞就是这个,其存在时间不可想象。


微软在3月14日发布了补丁以及安全公告,在4月15日,包括阿里云公众号在内的多个信息渠道公布了这批泄露的windows漏洞,并号召大家注意,也就是说,如果不是因为未受重视,我们有1个月的时间避免悲剧的发生。


而现在,如果你还有疑似会中招的PC,只能先用手机搜索脱机修复的方式,再联机, 各大厂商在事后都提供了补丁,另外微软这次破天荒对winXP和win2003也提供了补丁。


事情远没有结束……


值得注意的是,这只是上次披露的那一批漏洞中的一个,大量设备沦陷后造成的僵尸网络会对互联网产生巨大的威胁,后续的攻击相信不会停止。


巧合的是,周五恰巧是Geekpwn年中赛的前一天……


在去年Geekpwn办到第三年的时候,大牛蛙(王琦)来说随着挑战内容涵盖的范围越来越广,他自己也不知道下一年应该怎么办了。


也许有人会以为漏洞修差不多了,没有东西可以破解了。 然而事实恰恰相反,可供比赛的项目和漏洞层出不穷,只是新型产品的安全机制之差,破解难度之低,已经不需要一些烧脑的创意的攻击方式了。


我记得去年的Geekpwn年中赛是在一个澳门的酒店,赌场主题,有黑客贡献了存活长达十几年未被公开的windows漏洞,还有人重现了凯文米特尼克的神技。 大牛蛙说要再有下一次,光形式那得是在公海游轮上,不着地不着村的,办一次“海天盛筵”。


除了网速造成的意外,比赛内容表现力依旧十足。远程开智能门锁、共享单车破解、关闭手机开机密码、控制平衡车等。可是在群访的时候大牛蛙都说,新一代产品的安全问题越来越明显,对很低级的攻击都缺乏防范。



“我最不喜欢吓唬用户告诉你们上网不安全,制造恐慌从不是创办geekpwn的目的,然而这些新生代的获得巨额融资的厂商不仅缺乏安全意识,有的厂商还不愿意公开面对问题,指望偷偷修复,或是寻求司法帮助。” 大牛蛙说。


我这次也不想对比赛内容细节有过多的描写,我并不想做一个纪录片,或是放女黑客的照片,或是介绍那个获得黑客奥斯卡提名的战斗民族大师。


我不想说,思科交换机在涉及的数据量占全球互联网的80%,穿拖鞋的俄罗斯黑客上台一秒钟就拿到了shell。


我也不想说,智能门锁也好,单车也好,其他联网硬件也好,市面上几乎全部的产品都没有做好加密和防止重放攻击。


我更不想说,在媒体群访的环节,大牛蛙说有的产品简单到只需要一些基础的安全知识就能破,奖金基本是白送的。


我还不想说,无论是窃取隐私,还是攻击并勒索敲诈你的人,其实都没什么安全技术,用写好的脚本工具执行就可以了,做黑产门槛越来越低。


网络安全这些年一直强调的是攻防成本,只要将能力者缩小到一定范围,并解决威胁较大的问题,互联网就足以维持业务的正常运转。Geekpwn每30分钟的比赛暴露一个漏洞,比赛的初中时通过一次次漏洞的修复,攻击成本会随之提升,我们的互联网会变得更安全一点点。


可是这一点点,由于对漏洞的缺乏关注,不及时响应,又会加倍地吐出去。


    (腾讯玄武团队演示无需经过互联网就可攻击手机)


这次比赛我个人最喜欢的是腾讯玄武实验室演示的一个手机传染漏洞,A手机靠近B,B被感染,再靠近C,C被感染。而B回到A附近时就带回了数据。 不需要触碰,走近就可以被黑,看起来很炫酷吧,然而这也是个很老的漏洞的变种。 很多时候问题来的时候我们才意识到自己的疏忽,就像无视扁鹊建议的蔡桓公一样。


(腾讯玄武团队破解成功)


回到这次的灾难,我不想对事前没啥动静,事后跳出来疯狂公关的安全厂商加以评论,毕竟这是一场悲剧,有声音总比没声音好。


Geekpwn年中赛的主题是乘风破浪,风是什么?资本疯狂砸出来的风口, 浪是什么? 只关注业务的野蛮生长,对安全完全漠不关心,掩耳盗铃,不出事当没事,出事了以控制舆论为目标。就像传统武术界对待徐晓冬一样。 风越大浪也就越大。


互联网表面的歌舞升平和地下的黑暗森林是共生的。如果没有这样惨痛的事件,真不知道这些浪能被隐瞒和忽略多久。


连小学生都知道,塔下发育要猥琐,别浪。



写于2017.5.13,受难日。





这世上黑客很多,而厉哥只有一个。 请关注公众号:虚拟机



觉得不错,分享给更多人看到

虚拟机 微信二维码

虚拟机 微信二维码