HanDs
管理员

扑面而来的“技术宅”气息:CFF·黑客秀纪实 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

“大暑”是一年中最热的时候,2016中国网络空间安全(上海)论坛选在这个时间点前后开办,大约也是想借三伏天的“火热”气势。这一天又恰逢“CFF·黑客秀”分论坛的开办——通常大暑也是旱涝风各种气象灾害最频繁的时节,当真是应了黑客秀的景。

DSC_5425.jpg

虽然作为中国网络空间安全论坛的分论坛,黑客秀值此还不过是第一届,浓浓“技术宅”的气息却已经很好地遍及了全场,不管是活动安排的诸多小细节,还是黑客秀攻防对抗赛决赛的进行。

另一方面,这场活动的主办方为公安部第三研究所、国家网络与信息系统安全产品质量监督检验中心——实际上此类安全领域的活动总有政府的身影,然而时至今日,从席间领导的发言,还是能够看出信息安全的地位已今非昔比。

浓浓“技术宅”气息

虽然这场分论坛所在的上海展览中心,在装潢风格上有点儿追求富丽堂皇的意思,而且会场的墙壁上挂的巨幅海报,乃是黑客秀攻防对抗赛决赛8支队伍的名字和LOGO——这些并列的海报的感觉,是扑面而来的学院风啊!和黑客怎么搭界?

DSC_5339.jpg

不过在签到的时候,小编就被派发了一块板子。仔细看这块板子,正面是漏洞盒子、豌豆科技、信安在线三家承办厂商的名字,还有块单色OLED屏幕,闪现黑客帝国式的绿光。背面完全裸露,几个模块很清楚,电池、WiFi、屏幕等——这够有技术宅气息吧?

DSC_5434.jpg DSC_5433.jpg

DSC_5457.jpg

会场人手一个,拨动这块板子的开关(还不是按压式的),就能接收黑客秀的各种活动资讯了。包括当前舞台上正在进行的演讲题目和演讲人,还有黑客攻防对抗赛几支队伍的积分和排名变化情况。

0989009.jpg

DSC_5325.jpg

再往会场里面走,大屏幕后面的小房间里,就是正在火热对战中的8支队伍了。这个小房间也是充满了技术宅气息,每支队伍以并不是那么有序的方式堆砌在房间的各个方位,而且桌子上,除了攻防所需的设备,凌乱地放着饮料罐、拖线板走线。这种环境就是技术宅的日常。

DSC_5331.jpg

而且再定睛一看,有追求的人在MacBook Pro上还外接了HHKB(or 机械键盘?)——这样,码代码的时候才有感觉嘛。

40980989827.jpg

没错!CFF·黑客秀攻防对抗赛的决赛是与黑客秀分论坛一同进行的。所以在黑客秀活动进行期间,豌豆科技创始人兼CEO宋国徽还时不时讲解当前赛况,大屏幕上显示的攻防影像据说是对赛况的可视化呈现,这技术宅的味道又浓重了一些。主办方为这些队伍配备了相同的服务器环境,给出不同的攻防题目,包括web安全、漏洞挖掘等等,最终看哪队分数高,哪队就是冠军。

DSC_5516.jpg

DSC_5497.jpg DSC_5503.jpg

从上个月开始,CFF·黑客秀攻防对抗赛就已经在进行了,直到这两天进入决赛。待黑客秀活动终了,攻防对抗赛也刚好决出胜负。最终获得冠军的,似乎是从头一直领先至结束的长亭科技——这个团队原本就有在诸多安全竞赛中获奖的先例,获得10万元奖金自然不让人意外。除此之外,Nu1L、天枢获得二等奖,奖金3万元;Flappypig、3Years获得三等奖,奖金2万元。

干货议题有哪些

DSC_5381.jpg

破防赛漏洞结果展示——斗象科技高级安全研究员 陆柏廷

虽然我们无法得知对抗赛的比赛细节,不过这次黑客秀还有个“网络安全产品破防赛”,陆柏廷就进行了破防赛漏洞结果的展示,实际上就是对一些漏洞的快速演示。举个简单的例子,比如说要重置某堡垒机的管理员密码,抓取修改密码请求包,对请求包中的userid做篡改(userId=1),就能达到修改超级管理员密码的作用;还有拿下防火墙的,以暴力极端方式触发防火墙的阻断机制,然后通过修改UA来绕过阻断等等。

DSC_5432.jpg

谈谈移动应用的安全设计——移动互联网系统与应用安全国家工程实验室高级研究员 陈晓东

陈晓东主要谈的,实际上是Android应用开发中,针对不同层面安全问题的考量。他举了一些例子,比如说,某些应用的本地配置文件以明文形式储存用户名和密码,还有针对某些数据的加密保护方式过于简单。所以,就移动应用的开发,要考虑对本地关键数据、网络传输关键数据、应用代码和服务端做保护,设计上则需要从组件安全、代码安全、业务逻辑、网络安全几个方面同时着力。

878676.jpg

从一个0Day事件,审视企业安全新常态——斗象科技高级安全顾问 徐钟豪

徐钟豪一开始就谈到了先前有名的网易邮箱数据泄露事件,并以先前的Struts2-032漏洞为引子,谈到企业原本在面临这些0Day漏洞被利用的情况下,就存在较大弱势,即便先前已经在安全方面有大量投入。他以漏洞盒子为例,谈了谈应该如何应对这样的问题,不管是对企业资产进行梳理与监测,还是持续的安全感知和风险管理都是非常重要的。首先能快速对0Day漏洞进行预警,并且让企业了解是,哪些资产存在问题,最终进行快速自动化检测并提供解决方案。

社工秀圆桌论坛

这实际上是这次黑客秀的一个栏目,重点就在谈社会工程学。圆桌论坛开始之前,大屏幕上还特别播了一段以社工为主题的宣传视频,相当有黑客意味。

参加这次黑客秀圆桌论坛的包括主持人袁劲松(斗象科技创始人兼CEO)、陈晓东(移动互联网系统与应用安全国家工程实验室高级研究员)、徐钟豪(斗象科技高级安全顾问)、崔孝晨(TEAM509安全团队 )、翁越龙(信安在线副总经理)。

DSC_5448.jpg

从左到右,依次为崔孝晨、翁越龙、徐钟豪、陈晓东、袁劲松

给人印象比较深刻的在于,陈晓东对社会工程所做的定义:首先存在数据泄露,其次必然有身份仿冒。实际上针对性的社工攻击的确需要首先获取某个人的私人信息,随后仿冒他人,不管是银行还是好友进行社工;崔孝晨则说,其实社工放在网络时代之前,也就是骗子,只不过那个时候行骗的成本比现在高多了,比如去大街上发个行骗的传单,和现在通过网络传播的效率和成本是完全不同的。

最终五人达成一致:抵御社工还是需要提高警惕——不过崔孝晨说的很有趣,对付工程攻击,通过第二信道就能很大程度避免,比如说黑客盗取了好友的QQ号,以此来行骗,那么不妨再打个电话给朋友确认一下;银行当前处理网上交易也采用这种方法,即通过短信再度确认。

信息安全地位今非昔比

除了我们上面说到针对技术宅的一些内容,这次黑客秀仍在延续安全领域诸多活动的一个主题:信息安全的地位已今非昔比。不仅是因为公安部第三研究所相关领导的出席:这次国家网络与信息系统安全产品质量监督检验中心专家张艳,就在主题演讲中说了这个“国家中心”部门究竟在做些什么,包括针对云计算安全、工控安全、智能芯片安全、移动互联网安全、IPv6等的评测实验室建立,甚至还对一些著名的漏洞进行了分析;还有国家中心的网站安全分级认证,对网站的安全性进行1-3星的认证等等。

DSC_5389.jpg

国家网络与信息系统安全产品质量监督检验中心专家 张艳

这些表现了国家当前对信息安全的重视——这其实也是豌豆科技创始人兼CEO宋国徽在谈《网络安全人才培养模式探讨》的时候表达的内容。他说,早年的安全技术人才来自于民间安全组织,凭借的是兴趣、实践和社区,成为现如今的技术牛人;而现在,国家政策已经开始大力扶持安全技术人才的培养,甚而在安全教材、师资队伍建设等方面也都有了计划和建议;教育部也已经下发了增设网络空间安全一级学科的通知。

DSC_5399.jpg

豌豆科技创始人兼CEO 宋国徽

CFF·黑客秀举办的主旨在于,让更多人了解信息安全产品检验检测流程,向企业推广网络安全产品和技术,向社会大众普及网络安全意识。这实际上也是国家对信息安全的重视,及信息安全在国内的地位已今非昔比的一种表现形式,所以明年的黑客秀大约仍有一观的价值。

CFF·黑客秀更多花絮:

DSC_5423.jpg

中午吃饭时间,来个几个女仆和一只刺猬

DSC_5391.jpg

DSC_5329.jpg

DSC_5356.jpg

DSC_5320.jpg

980980983.jpg

陆柏廷同学演讲时,观众席人头攒动

DSC_5415.jpg

两位主持人!

DSC_5481.jpg

“奖品你们还喜欢吗?”

DSC_5351.jpg

“远处的我在自拍”

DSC_5471.jpg

* FreeBuf官方报道,作者/欧阳洋葱,


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
扑面而来
#1楼
发帖时间:2016-7-30   |   查看数:0   |   回复数:0
游客组
快速回复