请不要被「小道消息」这个名字误导.在这里,我只想努力为读者呈现一幅中国互联网的清明上河图.

当我们在谈论黑客时,黑客们在谈论什么?

发布日期:2015-07-01 07:07:43 +0000

按:本文作者为安全网站「乌云」创始团队成员。我强烈推荐这次白帽子大会,尤其是一些创业团队,对安全摸不到门道的,被 DDoS 过不知道解决办法的,曾经在安全上吃过亏的,应该去这样的会议上安安静静的听听演讲。


普通人见到黑客时的第一反应是什么?

有些人会想,这人太危险了,离他们远点,免得被搞出艳照门来;还有人认为黑客很神秘 – 他们是不是 24 小时电脑不离手?是不是从来不刮胡子、不理发,夜深人静了才出门?更多人的第一反应则是:哥,能不能帮我盗个号?

作为一个信息安全方面的社区,乌云每天都在和上千名「白帽子黑客」(你可以理解为不做坏事的黑客)打交道,而且乌云团队也多是白帽子出身,连负责行政的妹子也写的一手好 Java。所以在我们眼里,白帽子只是对安全问题更敏感的一群人 — 你和白帽子同时打开陌陌,你找到了对象,他却找到了漏洞。

但问题不止于此。正是由于漏洞的发现需要较高门槛 — 要有网络和编程基础,并能够发现程序员或网络管理员的失误,这就让白帽子变得屈指可数。人少就意味着缺乏沟通,并让那些好不容易找到同好的白帽子们更加倾向于小范围的交流,变的更为封闭。

而封闭则是信息安全发展的桎梏,这导致了人们对安全问题的不了解。因为不了解,大众就会缺少安全意识,更容易被人所欺骗;因为不了解,企业就更容易被商业行为引导,花了很多钱做安全却效果甚微;因为不了解,当白帽子出于好心去给企业报告漏洞时往往还会得到抵触甚至投诉。

这就是我们办乌云白帽子大会的初衷 — 让人们了解真实的安全,并促成沟通。这种沟通不仅限于白帽子,更希望能够突破身份、年龄和地域的限制,让白帽子、企业及大众形成真正的交流。

在2014年的 HITCON(台湾黑客大会)上,乌云创始人剑心受邀做了演讲,并亲身感受了 HITCON 纯粹好玩的氛围,在被「萌化了」的台妹百般鼓动下,决定要把台湾独树一帜的黑客文化带到大陆。巧的是 HITCON 也十分喜欢乌云,甚至想在台湾也做个乌云出来。这样大家就一拍即合,决定在 2015 年的大会上展开合作。

首先要来的是陈盈豪 — 当年震惊全球的 CIH 病毒的作者。CIH 病毒 1998 年首次在台湾爆发,随后席卷全球,也被称为人类史上影响最大的计算机病毒。虽然坊间关于他的传闻不断,但这次是他首次在大陆亮相。

HITCON 的 CTF(Capture The Flag)队长 Orange 会分享队伍组建过程和参加比赛的回顾和趣事。国内这两年 CTF 比赛风生水起,很多安全团队和大学生都产生了浓厚兴趣,相信这个议题的分享给他们带来更多启发。

另外 HITCON 的特色活动「算卦摊」也被以圆桌的方式引进了乌云大会。这个环节邀请了池建强老师主持,嘉宾有 6 人,台湾有陈盈豪、TT(HITCON 创始人)和 Chenta(IBM 安全架构师),大陆则有 UCloud 创始人季昕华、阿里巴巴副总裁杜跃进博士和乌云的剑心,相信 60 分钟的碰撞讲带来很多好玩的内容。

在这以外的,还有各种劲爆的内容。现场还有 Hack 无人机这种极客议题,还有国内黑色产业链的剖析和揭秘,更有云端安全、PC 端安全、移动端安全等多种安全问题的现场演示。如果对安全有兴趣,绝对大开眼界。


很多人可能没耐心看到这里,因为一看前几段内容,就会有一种「靠,又是广告」的感觉,如果你有耐心看到了这里,那我就再说一点内容。

在 7 月 18 日白帽场大会有哪些内容? 我简单说说。

1)2013 年的 7 月 18 日,Apache Struts 2 的一个严重漏洞被乌云社区白帽子发现,该漏洞可以导致网站后台被恶意控制,而中国当时几乎所有主流网站都存在该安全隐患,如不及时处理,将给中国的互联网带来一场巨大灾难。乌云网率先对这个漏洞进行了预警,并召集平台上千名白帽子帮助企业发现问题,使得该漏洞短时间内得到修复,避免了一场浩劫。 到 2015 年的 7 月 18 日,该事件正值两周年,乌云漏洞平台负责人孟卓将带大家回顾这两年 中国互联网的安全环境发生了哪些变化 ,哪些安全问题在减少,哪些安全问题加剧了…

2)在人们的常识中,手机号是每个人身份信息的一种标识。但你有没有想到,有人可以伪造各种电话号码发短信甚至打电话给你,例如伪造 10086 的积分兑换短信来骗取你的银行账户密码,甚至针对个别人来伪造其父母或孩子的电话来进行定向诈骗。

乌云社区白帽子将 现场演示伪造任意号码拨打电话 ,我们将亲眼看到两部不同的手机拨出电话,而电话的接收者却无法区分他们。同时白帽子将实际进入银行卡诈骗团伙的网站后台,通过分析受害者数据,为我们分析这些数据以及钓鱼团伙的特征。

而针对这些伪造手机号背后的「羊毛党」 ,白帽子将深度挖掘他们的获利方式,并揭秘隐藏在背后的商业化短信平台和以为基础的 自动化套利产业链 ,为我们揭示大批量手机注册背后的惊天秘密。

3)无人机很火? 白帽子将在国内首次针对主流无人机的安全性进行深度分析,介绍其中可能存在的安全隐患,并 模拟无人机被黑客劫持 的完整过程。

4) 每个职场人都离不开邮箱,而邮箱中存在着大量的秘密。但如果我们的邮箱被黑客控制,后果是否难以想象? 乌云白帽子将演示如何通过黑客技术控制邮箱,甚至借用邮箱来控制个人的电脑。

有意思吧? 嘿嘿


点击 {阅读原文} 了解参会信息。