微信号:infoqchina

介绍:有内容的技术社区媒体

QCon速递:黑客夜话——一场关于安全的笑话、实话、俏皮话

2015-04-24 11:16 InfoQ



2015年4月23日,由InfoQ主办的全球顶级技术盛会——QCon全球软件开发者大会(北京)2015在北京国际会议中心召开。继当天下午“新时代的安全”专题论坛后,23日晚间“黑客话安全”夜场活动也顺利举办。小米公司首席安全官杨更主持了晚场活动,腾讯应用运维安全中心总监宗泽、知道创宇首席安全官周景平(黑哥)、阿里巴巴安全专家祝建跃以及FreeBuf&漏洞盒子联合创始人张天琪参加了圆桌讨论。


移动互联网和物联网的发展给安全行业带来了新的挑战。在进行了一番简单的自我介绍环节后,安全专家们讨论的第一个话题是白帽子、黑帽子与灰帽子的界限到底在哪里?


宗泽首先表示,不知攻,焉知防?他从渗透测试者的心理角度指出,大多数“入侵”其实是安全研究人员想知道究竟能渗透到系统的哪个程度。而判断“入侵者”是白帽子还是黑帽子应该视其主观的行为是否恶意以及客观上造成的破坏是否恶劣,并鼓励渗透测试人员通过漏洞响应平台来反馈问题。


黑哥则认为甲方需要有更开放的态度,这样才能避免更多把白帽子当成黑帽子的情况发生。“入侵者”之所以留webshell和后门,是因为国内很多甲方公司没有能力评估“入侵者”发现的安全威胁,对其提交的漏洞反应冷淡;“入侵者”不得不“证明”给甲方看一下。最后黑哥表示,甲方应该加强与安全研究人员的沟通,“毕竟还是好人多”。


张天琪指出国外很多厂商都有自己的漏洞响应机制,对白帽子的态度也比较友好。比如Facebook、Google等大公司,在处理安全漏洞的时候很公正、很开放。我国在信息安全方面的法律法规也越来越完善。安全届确实有一些喜欢搞破坏的骇客;也有很多人在第三方漏洞平台曝光厂商安全问题的时候有故意炫耀的成分,这加巨了双方的不信任。


来自阿里巴巴的祝建跃觉得国内的漏洞奖励机制越来越完善,安全行业的发展趋势是越来越开放的。杨更也认为国内甲方的安全水平正在提高。


而在谈到对钓鱼攻击的威胁时,黑哥认为所有的钓鱼都应该视作有针对性的攻击,并指出邮件钓鱼的危害十分严峻。


话题继续延伸到企业如何做好信息安全防御。宗泽表示保护隐私的核心在于数据不被外部骇客和别有用心的人窃取这些工作基本上依赖于厂商,因此大厂商的可信度还是比较高的。比如在面对网络劫持方面,腾讯、百度等已经在逐渐部署全链路加密。


黑哥接着说道,用户隐私是互联网的基石,有句名言叫做“在互联网上,没人知道你是一条狗。”大数据时代我们没有绝对的隐私,厂商和个人一定要提高警惕。由于缺乏风险评估机制和监管,很多有强需求的产品其实有着较大的安全风险,比如类似于万能Wi-Fi钥匙一类的应用。


张天琪也指出,今天凸显的诸多安全问题是业务和产品的过度物联网化、互联网化造成的。首先,个人要树立起安全意识,他以Gmail为例讲述了国内外互联网产品的安全差异。其次,厂商要做更多的安全工作,近期爆出体检行业的数据泄漏问题就是一个过度互联网化的典型。


当与会者问到如何在编码方面提高安全性时,张天琪建议开发者用框架和模块化思路解决这一问题,并举例道,阿里用WebX框架过滤掉了绝大多数安全问题。黑哥则从大量、长期的安全审计工作中痛陈安全问题的根源在于知识不对称。“因为你不熟悉各种语言的特性,会导致各种安全问题。”黑哥如此说道,安全编码需要一个不断学习、长期积累的过程。


讨论的话题随之转到了智能硬件尤其是工控系统。黑哥首先认为,物联网安全的混乱现状不在于缺少标准而在于没有建立起游戏规则。比如智能家居的通讯是基于Wi-Fi的,但Wi-Fi本身就存在诸多安全隐患。当通讯没能解决安全问题的时候,智能设备的安全问题又从何谈起?随之大家进行了更多的讨论,涉及国家强制安全标准的建立、自主可信系统的研发,不同通讯模式的混用,等等。但安全专家一致认为,整体形势还是在向着良性的方向发展。安全从业者、厂商以及国家都应该为之努力。




 
InfoQ 更多文章 Facebook如何实现PB级别数据库自动化备份 学术派Google软件工程师Matt Welsh谈移动开发趋势 Spotify为什么要使用一些“无聊”的技术? 妹纸们放假了,汉纸们做啥? 大多数重构可以避免
猜您喜欢 一个程序猿的自白:毕业4年多,面临跳槽、转型,我是这样从月薪3K到14K的 我的编程之路 “天猫双11狂欢夜”启发广告和卫视圈的是创新模式,革新技术圈的是实时互动 琴棋书画样样精通?除了这四大才艺,Google 的人工智能还会什么 NDK SO 库开发与使用中的 ABI 构架选择