微信公众号
皮相专栏
共 69 篇文章
老司机的BlackHat手册——衣食住行和WiFi
2016-08-10
广义的BlackHat,是指BlackHat US、BlackHat EU、BlackHat ASIA这三个会。但通常提起BlackHat,默认就是指在拉斯维加斯举办的BlackHat US。拉斯维加斯是BlackHat的大本营。BlackHat门票比较贵,两天的会,要人民币一万多。然而意义非凡。学技术有很多渠道,但BlackHat所带来的那种让你渴望融入安全社区的感受,则是其它任何会议都难以给予的。甚至包括BlackHat EU、BlackHat ASIA这些在BlackHat旗下但非主场的会议也完全无法相比。美国签证现在相对比较好申请。但如果你读了比较敏感的大学,比较敏感的专业,就需要提前一些,至少预留一个月被Check的时间。国内去拉斯维加斯没有直达航班,通常选择的转机城市是:旧金山、洛杉矶、西雅图。从旧金山和洛杉矶入境的人比较多,入境处前通常会排很长的队。西雅图相对来说好一些。据说不少人申请签证和入境时都不敢说自己是去BlackHat。不过我每次都实话实说,好象也没遇到过什么问题。这次入境也是这样的:“你来干啥?”“去拉斯维加斯开会,参加BlackHat,做一个演讲。”“BlackHat是啥会?”“一个信息安全的会。”“哦!信息安全!”(然后他迅速在电脑上输入了点啥,认真地看了一会儿屏幕)“那你这几天都住在拉斯维加斯?”“是的。”“祝你在拉斯维加斯愉快。”
然后边检小哥在我的护照上敲了个章,我就顺利入境了。如果你从旧金山入境,并打算在这儿住一两天倒倒时差,一定要记住马克·吐温那句话:“我度过的最冷的冬天是旧金山的夏天”。8月在旧金山路上我见过有人穿皮夹克。所以起码要带一件长袖外套。如果想去海边,得再带一件摇粒绒。别打算下海游泳,请记住:旧金山冰冷的海水曾是恶魔岛上囚犯越狱最大的障碍。要不是怕被冻死,犯人早都游走了。其实就算不打算在旧金山逗留,也有必要带长袖外套。因为BlackHat会场的冷气非常足。每年听了我建议带长袖外套去的同学最后都会握着我的手说:“谢谢啊”。从拉斯维加斯麦卡伦国际机场到举办BlackHat的Mandalay Bay酒店很近,打车只要十几美金。如果不想花这个钱,出机场的时候可以注意四处看看,常有安全厂商会雇人在机场向BlackHat参会者提供免费接机服务。其实最近几年搬到Mandalay Bay来办还稍微暖和一些。前些年在Caesars Palace更冷。而且那会儿会场还不供应热水,只有冰水——请注意是冰水。结果我又冷又渴(太冷了没法喝冰水),逼得跑到展会上各个展台领T恤,最后在身上套了四五件T恤才保住性命。拉斯维加斯地处沙漠中央,所以酒店里虽冷,但户外极热,夏天中午有40度左右。然而通常身上却不会感到有汗。因为沙漠城市空气干燥,汗一出来就蒸发了。另外也因为是沙漠气候,太阳落山后气温下降比较快,晚上9点左右感觉就比较凉爽了。所以这里的气候虽然炎热,却毫不影响夜生活。每年来参加BlackHat的都有上万人,所以尽管拉斯维加斯酒店众多,但如果你想住举办会议的Mandalay Bay,一定要及早预定。万一订不到,可以订旁边的Luxor,也就是著名的“金字塔酒店”。但Luxor的客房质量比较差,金碧辉煌的外表下是一颗快捷酒店的心。也就因为客房质量差,所以几乎一定能订得上。当然,Mandalay Bay旁边还有一家Four Seasons,要是你的差旅标准能住五星级,这个也还是不错的……作为世界著名销金窟,拉斯维加斯除了遍地的赌场,遍地的酒店,遍地的演出,还有很多不错的餐馆。基本上世界各地的风味在这儿全能尝到。如果想奢侈一把,米其林一、二、三星也都有。不少自助餐也挺好的,而且价钱和国内差不多。只是美国人嗜甜,多数店的甜点都很腻,咱们通常难以接受。参加任何安全大会,最重要的事儿都是关闭手机WiFi,主要是防Karma攻击——只要你之前连接过任何一个无密码的WiFi,攻击者就可以让你的手机认为又来到了这个WiFi旁边,并连接上去。如果不想关WiFi,至少要确保手机之前没有连接过无密码的WiFi,或者所有连接记录已经清除。很多人不知道在iOS上该怎么清除WiFi连接记录。这里友情提供一下方法:打开“设置-通用-还原”,然后选“还原网络设置”即可。这个操作不但可以预防Karma攻击,还可以防止类似“我拿老公的iPad去闺蜜家却发现WiFi自动连接上了”这样的尴尬。我个人建议还是关闭WiFi。然而很多人用随身WiFi在国外上网,这就没法关WiFi了。其实现在国内几个运营商境外漫游的价钱都不贵,和用随身WiFi的成本差不多,不过还是走国内的网络出口——也就是说,人出去了,网没出去,身在曹营网在汉,该不能看还不能看。所以最优方案可能是买一张美国运营商的SIM卡,这个现在也很便宜。
图片描述 by gemini-3-flash-preview
图片描述 by gemini-3-flash-preview
图片描述 by gemini-3-flash-preview
图片描述 by gemini-3-flash-preview
关于“白帽子”的法律和道理
2016-06-25
在很多年前,当“Hacker”这个词被滥用,一些 Hacker 为了把自己和媒体中被称作“Hacker”的网络犯罪者——特别是没什么技术含量的——区分开,提出了“White Hat”和“Black Hat”的说法,国内通常译作“白帽黑客”和“黑帽黑客”。而“白帽子”在当今中国的语境中,又进一步特化了,特指向各个漏洞报告平台、厂商 SRC 提交漏洞的人。自“白帽子”诞生起,相关的争论就从来没有停止过。
先说说法律。
我国法律中和攻击入侵有关的主要是《刑法》第二百八十五、二百八十六两条,以及相关司法解释。这两条主要看:有没有越权控制系统,有没有越权获得数据,有没有破坏系统可用性。
常规端口扫描通常不会被认为是违法。那么漏洞扫描呢?通过获取版本号探测漏洞的方法显然也不算违法。但有些漏洞扫描需要在对方系统上实际执行命令才能判断漏洞是否存在,例如“Shellshock”。这种情况从理论上说,存在一个短暂的越权执行过程,但由于并未真正去试图控制系统,所以在实践中,通常不认为属于“非法控制”。
发送 "news.php?id=2-1" 这样的请求去探测是否存在 SQL 注入显然不算违法。而探测发现可能存在 SQL 注入,实际去尝试获取数据以判断是否真的存在漏洞,这种行为就比较模糊了。如果获取的数据是表的字段名、结构,不涉及用户数据,相对还好。而如果获取了用户数据,特别是用户名、密码,即“身份认证信息”就可能触犯《刑法》。
《刑法》第二百八十五条第二款:违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
达到“情节严重”才是犯罪,那什么是情节严重呢?在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中是这样说的:非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(二)获取第(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;(二)其他情节特别严重的情形。明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。
也就是说,入侵获取 10 组以上金融证券行业的用户身份认证信息,或 500 组以上一般系统的用户身份认证信息,或入侵了 20 台系统,就可以判刑了。如果获取 50 组以上金融证券行业的用户身份认证信息,或 2500 组以上一般系统的用户身份认证信息,或入侵了 100 台系统,就可以判三年以上。
所以,在测试网站漏洞的过程中,想避免触犯《刑法》,就要注意获取的信息种类和数量,也不要去植入后门。
再讲讲道理。
在今天,一个存储了大量有价值数据的网站,一定会被盯上,一定会有人尝试入侵。一定,一定,一定。
而安全是四维的,不是三维的。对绝大多数网站来说,即使此时此刻的入侵难度很大,但在一段不算长的时间内(比如说一年),被至少成功入侵一次的概率则非常大。因为新漏洞总会不断被发现,而程序员、系统管理员的工作不会永远完美无缺。
而如果有人和入侵者一样,也去不断尝试入侵这些网站,并且发现漏洞后及时告知网站,实际上就成为了恶意入侵的竞争者,很多漏洞可以在被恶意利用前被发现和修复。
在大多数国家,都有网络入侵的相关法律,然而从 Microsoft 到 Facebook,从腾讯到小米,很多公司都成立了 SRC,鼓励大家帮助寻找自己网站的漏洞。而这些寻找漏洞的过程,如果严格按照法律条文去抠字眼,很多可能都有问题。(Facebook 定制的“White Hat”银行卡,用来给向他们报告漏洞的人发奖金)
有些人说“向厂商的 SRC 提交漏洞是合法的”。其实,合法不合法,看检测漏洞的行为本身,和提交给谁没关系。只不过建了 SRC 的厂商自然希望大家去提交漏洞,所以即使行为违反了法律,厂商通常也不会去报案,砸自己 SRC 的牌子。
法律通常都滞后于现实,而且往往滞后很多。上面提到的相关法条,是 2009 年《刑法》第七修正案中才加上的,司法解释是 2011 年才出来的。这些法条在当前形势下是否是最有利于维护信息安全的,还需要立法者去思考。但作为厂商,总是会选择在当前形势下最有利于把安全做好的方式。
厂商为什么要鼓励大家“入侵”自己的网站呢?因为没办法。对,没办法。在当前形势下,这可能是最好的选择。如果单纯靠法律就能解决安全问题,何必多此一举。
所有厂商在安全上基本都有这样的心路历程:
第一阶段,心存侥幸,觉得自己没那么倒霉,觉得世界上没那么多恶意入侵者。
第二阶段,被搞了一次后,同时明白了自己没那么幸运,必须解决安全问题,尤其是这次被搞的那个安全问题。但是既然被搞了一次,不会有两枚炮弹落到同一个地方吧?
第三阶段,又被搞了,很愤怒,去报案,一定要抓到入侵者,然而现实往往是无情的。于是终于意识到需要整体上做安全。去和同行交流,但还是试图不走寻常路,认为自己不用像别的厂商一样,应该能找到一种简单易行省钱省力的方法。
第四阶段,被搞了很多次后,终于认命了。开始引入大家踩了无数坑,吃了无数亏才总结出来的经验和方法,安全工作慢慢走上正轨。建立 SRC,鼓励大家报告自己的漏洞。虽然安全部门和产品、市场、法务等其它部门在这一点上还有分歧。
国内很多大企业都走到了第四阶段,但还有很多还处于前几个阶段。他们觉得只要捂住眼下的问题,然后勒令内部严查一下,事情就解决了。他们还没明白的道理是:钱不投入在安全上,迟早会十倍百倍千倍地送给黑产。
上周一个朋友找我,说他们公司做的是一种比较小众的交易平台,但没想到也被盯上了,去年被搞走十几亿,所以现在开始重视安全。像他们这种情况,其实还是幸运的。因为他们的钱是被一种能感知的方式搞走的,遭受损失后,就会开始重视安全。
然而,很多入侵是悄无声息的,弄走钱的方式是不知不觉的。比如把你的数据卖给你的竞争对手,让对手掌握主动掌握先机。归根结底,还是等于通过入侵把你的钱弄走了。但你没感觉,你只会觉得竞争对手一下变强了。即使因此企业倒闭,都不知道是怎么搞的。这种企业会长期停留在安全的幻觉中,认为一切报告漏洞的人都是麻烦制造者。
这些“麻烦制造者”可能确实很麻烦,他们不太考虑企业感受,特别想证明自己发现的问题很严重。但是,无论有没有他们,真正的网络犯罪者都一样会存在,一样会默默地去入侵系统,去窃取数据,换成钱。而如果没有这些“麻烦制造者”,会有更多企业沉浸在安全的幻觉中,真正的网络犯罪实施起来则会更轻松。
每一朵乌云都有一道金边,每一顶白帽都有一道黑边。希望“白帽子”能学习一些法律,保护好自己;希望企业能想明白道理,知道自己真正的敌人是谁。
图片描述 by gemini-3-flash-preview
自己给线材加上绑扎带
2016-05-29
有些数码产品的电源线自带绑扎带,收拾起来很方便。但大多数的各种电源线、USB线、网线,是不会自带这个的。
虽然能买到类似这种产品:但我还是比较喜欢给每根线做一个属于它们自己的绑扎带。
做起来很简单。主要就是买一卷尼龙搭扣绑扎带,别的工具都好找。尼龙搭扣绑扎带一面是钩,一面是毛。用绑扎带一头的钩面贴着线材绕一圈,用一只手捏住。另一只手在火焰上加热小铁片。然后用小铁片迅速烫一下绑扎带的钩面,把尼龙融化,然后捏合粘在一起。然后从整卷绑扎带上剪下合适的长度,再把末端略加修剪,一个处女座 IT 男就可以心满意足地带着这圈线出差了。
图片描述 by gemini-3-flash-preview
图片描述 by gemini-3-flash-preview
图片描述 by gemini-3-flash-preview
图片描述 by gemini-3-flash-preview
图片描述 by gemini-3-flash-preview
眼前的苟且之防忽悠
2016-05-21
在眼前苟且,防忽悠是一个重要技能。
有人问我“生命X”是不是真的对身体有减肥净化治病等好处——为避免对号入座,此处未引原名,X是元素周期表里的一个成员——机智的你一定想到了要祭出各种法宝,用 Google 去搜索。Google 是比较靠谱的搜索引擎,然而,它毕竟只是一个搜索引擎。
假设有人搞了一个“葫芦娃七宝质子暗能量糙米生命源”,像这种词,原本不存在于互联网之中,那么无论你用什么搜索引擎,搜出来的都是他们写的东西。
而对于原本存在的词,比如“抗癌”、“减肥”,他们也一样会通过在各种百科,各种论坛,各种大小网站去铺他们的内容,更不用提还有很多一看这些东西就激动不已的同志们去帮他们转帖。可以这样比较谨慎地表述:在中文互联网世界,对能用来忽悠钱的关键词,各搜索引擎的前几页内容都被不同程度地污染了。
如果你英文还不错,建议尽可能用 Google 搜索英文关键词——这样,通常能得到相对可靠的结果。
如果你确实只能用中文在国内能访问到的搜索引擎上搜索,那就需要一些对忽悠信息的鉴别能力了。然而,培养这种鉴别能力,比熟练掌握英文和学会访问 Google 都困难得多。我只能勉为其难,跟你们说几个小诀窍:
1、当你点进一个页面时,如果看到里面提到“曾荣获某某奖”,那么你再搜这个某某奖。看还有谁得过这个奖。如果搜出来的获奖者都很不堪,甚至只能搜到之前那个页面,这就是忽悠。
2、当你点进一个页面时,如果看到里面提到“某某专家”,那么你再搜这个专家,看他到底姓甚名谁在哪里工作有什么成果。如果搜出来全是和各种产品相关的,甚至只能搜到之前那个页面,这就是忽悠。
3、当你点进一个页面时,如果看到里面提到某公司,那么你就到其所在地工商部门的网站去搜其公司注册信息。如果号称九十老翁吃了他们产品能打高达,而公司注册资本只有二十块钱,或者干脆完全搜不到这个公司,那这就是忽悠。
然而,这些诀窍就像陈近南教给韦小宝的“美人三招”,想靠这个单挑鳌拜们,是不太可能的。
可能有人会觉得这些真的太复杂,苟且实在太难了,所以想知道有没有简单点的防忽悠办法?有,把下面这句话打印出来,贴到显示器边上:
治病美容都要找医生减肥增高都没有神药
说了半天眼前苟且的忽悠,可能会有部分人感到不适,所以最后再补充一点远方的忽悠:
图片描述 by gemini-3-flash-preview
惩罚性赔偿的意义
2016-05-01
80年代时候,人们刚开始从报纸文摘上开始接触一些国外的信息,其中很多事都被当作今古奇谭来看。其中一种奇谭就是美国某人状告某公司(某市政府)获赔多少万(多少亿)这种,几乎是茶余酒后必有的谈资。
我小时候听大人们说起这些,也同样觉得这太不可思议了,赔这么多钱,完全没道理,一点都不公平。造成多大损失就赔多少钱,这不是天经地义的吗?直到我看了格林萧诉福特汽车公司案。
1972年,13岁的理查德·格林萧乘坐的福特Pinto车被追尾后起火,格林萧全身90%面积严重烧伤。这仿佛就是一起不幸但普通的交通意外。然而格林萧却将福特公司告上了法庭。
原告律师调查发现,汽车起火和福特Pinto车的设计不当有直接关系,而且福特公司早就在碰撞测试中知道了这一点。但是福特公司算了一笔账:要解决这个问题,每辆车会增加11美元成本,按预计的产量,这总共会增加1亿3750万美元成本。而假设有180人因事故死亡,180人被烧伤,2100辆汽车被烧毁,即使每个受害者都来起诉福特公司,按照一般的赔偿数额,总共也顶多只需要赔4953万美元。1亿3750万美元 VS4953万美元,能省下接近一个亿,于是福特公司选择了比较省钱的做法。
如果开一个黑医院每年可赚三亿,上下打点外加偶尔赔钱需要一亿,那还净赚两亿不是么?
在格林萧诉福特汽车公司案中,最后,陪审团判福特赔偿1.25亿元。你不是想省一个亿吗?我就让你把这一个亿全赔进去了,再多出2500万。
在质量、安全领域,监管是很重要的,但监管无法覆盖所有角落。资本逐利,理所当然。要让资本行事有所忌惮,必然也要在利字上动手,“道德的血液”是靠不住的。
这就是惩罚性赔偿的意义。
今天的题图是“丁香医生”的Logo,没装过这个APP的可以试试,不喜欢就删掉。