百词斩,听技能牛人白帽子们讲讲咱们身边的安全要挟,致命黑兰

一提到“乌云白帽子大会”,咱们想到的一定是纯技能型那种“深邃”会议,其实不然。乌云的白帽子们有共同的个人魅力,尽管这些搞技能的擅于着手不擅于动嘴,有时分讲演的语调、语速真得很简单引来瞌睡虫,但其所共享的内容都是含金量很高的干货,加之生动直观的演示视频,两天以来由始至终掌声不断。

笔者于大会第二日赶到现场,尽管是第二天的会议了,并且是个周末,可是大会直到终场都不见人少,这便是网络安全技能的魅力!

乌云2015白帽子大会现场

说了半天乌云白帽子大会的技能权威性,咱们得学点儿真东西啊,我这样的“新手”也有收成。

网络安全问题众多的今日,最靠近咱们日子的,当属移动互联网的前锋设备——手机了,在五云大会的第二天,乌云白帽子毕月乌和来自上海交通大学LoCCS实验室的葛毅杰。

随意号码打给你骗的便是你!

首要,乌云白帽子毕月乌宣布了以“手机号背面的灰色地带”的主题讲演,讲演分为三部分,分别是假造恣意号码打电话真的可行吗?伪基站垂钓为何如此猖狂?以及大规模“薅羊毛”背面到底是何方神圣?给咱们介绍了什么叫“聪明的”手机诈骗。

假造号码给他人打电话在普通人手中或许仅限于逗逗朋友,而在骗子手中那便是挣钱的优等途径了,那么假造恣意号码打电话真的可行吗?毕月乌在现场“忽悠”了两位观众上台合作,观众甲给观众乙拨打电话,然后白帽子用手里一台十分有意思的Pad(现场借的Pad,用了一款免费软件)“修正”观众甲所拨手机号码为“186-8888-8888”,再次拨打,观众乙手机来电显示号码变成了修正后的“186-8888-8888”,2分钟就搞定了一次“电话诈骗”。这是怎样回事儿呢?毕月乌表明,这都是VoIP网络运营商“惹的祸”。

现场演示假造恣意号码打电话

传统电话在咱们拨打电话的时分,信号经过运营商直接接通,由呼叫者接到运营商网络,然后运营商网络呼叫被叫者,手机号不或许被假造,毕月乌笑称: “黑客不是不能将运营商干掉,只不过,第一是概率太小,第二是本钱太大。”可是网络电话的鼓起,网络电话不是电信运营商运营,而是VoIP的运营商,当A和B通话的时分由两个运营商互联,能够确认A、B的身份。但当C用户呼叫的时分,因为运用网络电话,网络运营商在呼叫传统运营商的过程中运用的电信协议自身没有任何身份校验,这个时分运营商之间充沛信赖。毕月乌解提到:“假如咱们骗过网络电话运营商,咱们能够假造任何号码,让传统的运营商信任咱们,就能够做到假造电话打电话了。”黑客正是运用网络运营商经过网络接入的时分没有手机卡的辅佐这一点,捉住网络运营商无法方法辨认手机号实在身份的缺点,这样,假造电话号打电话也不是什么难事了。

接电话不安全,短信也不一定安全,许多诈骗短信都是引导受害者点击了高仿的虚伪网站,以骗得受害者的要害信息。毕月乌弥补道:“现在的网络垂钓诈骗其实很‘智能‘,假如用户是在PC上点击链接登录垂钓网站,诈骗者会按兵不动,并让链接跳转到真实的网站。假如用户是在手机上直接点开了链接,那么祝贺骗子,又钓到一条‘鱼‘。”据不完全计算,每天新增垂钓网站50-150个,每天新增受害者近千人。毕月乌笑称:“关于骇客们而言‘咱们不出产人民币,咱们只是人民币的搬运工’”。

风趣的是,从数据计算上来看,受骗受害者男女其实都相同,而17-25岁之间的人群最简单受骗,这个年龄段多为中学生、大学生、刚刚工作者,对信息产业最了解的人居然是受害份额最高者。别的,“721521”竟然是银行卡运用最多的暗码之一,这又是怎样个意思?

手机安全的要点——SIM卡 SIM卡的要点?

继毕月乌的解说后,来自上海交通大学LoCCS实验室的葛毅杰为现场的白帽子们做了《3G/4G USIM3G/4G USIM 卡的安全性剖析》的主题讲演。

备受世人注目的斯诺登就曾爆出,米国官方组织从前黑进最大的SIM卡厂商。那么USIM卡都有哪些严峻的安全问题呢?葛毅杰表明, USIM卡的仿制便是最大的安全隐患,有了仿制卡,暗码重置、银行“转账”都能够被轻松完成。

保护SIM卡安全的重中之重便是其密钥,能够着眼于3G和4G的鉴权机制。葛毅杰解说道:前期的2G卡单向鉴权无法区分伪基站,鉴权算法自身就存在缝隙,面临旁路进犯十分软弱,可谓是千疮百孔。现在的3G/4G卡的鉴权算法依据AES-128+循环移位+异域,没有显着缝隙,双向鉴权,选用SQN来确保同步性,并选用其他战略来确保通讯的完整性。不过,面临旁路进犯时……依据调查数条功耗曲线特色,就能够推断出加密算法的相关信息。没错,只是经过功耗剖析就能做到对加密算法的解析。实际上,设备的电磁、功耗、时刻、声响、温度等信号都是旁路进犯的绝佳方针。

所以USIM卡的安全性比较前一代SIM卡有着更高的安全性要求,比方添加抗功耗剖析规划,并进行专业的安全性测验等等。葛毅杰总结到:“今日,USIM对安全的要求现已不能和之前的SIM卡,也便是2G年代同日而语,咱们应该呼吁厂商对此问题愈加注重,正视缝隙的存在。最终,关于白帽子来说,咱们为之尽力并期望得到的成果便是,能够促进那些运营商和厂商去加强他们的SIM产品的安全性。”

从对SIM卡的安全要求能够看出,现在业界对各个安全厂商和各个安全产品的要求都有所提高,白帽子在其间的启示和奉献是不可或缺的,提到这儿,不由开端等待下一届白帽子大会了呢。