久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

一提到“烏云白帽子大會(huì)”，大家想到的一定是純技術(shù)型那種“高深”會(huì)議，其實(shí)不然。烏云的白帽子們有獨(dú)特的個(gè)人魅力，雖然這些搞技術(shù)的擅于動(dòng)手不擅于動(dòng)嘴，有時(shí)候演講的語(yǔ)調(diào)、語(yǔ)速真得很容易引來(lái)瞌睡蟲，但其所分享的內(nèi)容都是含金量很高的干貨，加之生動(dòng)直觀的演示視頻，兩天以來(lái)由始至終掌聲不斷。

筆者于大會(huì)第二日趕到現(xiàn)場(chǎng)，雖然是第二天的會(huì)議了，而且是個(gè)周末，但是大會(huì)直到終場(chǎng)都不見(jiàn)人少，這就是網(wǎng)絡(luò)安全技術(shù)的魅力!

烏云2015白帽子大會(huì)現(xiàn)場(chǎng)

說(shuō)了半天烏云白帽子大會(huì)的技術(shù)權(quán)威性，咱們得學(xué)點(diǎn)兒真東西啊，我這樣的“新手”也有收獲。

網(wǎng)絡(luò)安全問(wèn)題泛濫的今天，最貼近我們生活的，當(dāng)屬移動(dòng)互聯(lián)網(wǎng)的先鋒設(shè)備——手機(jī)了，在五云大會(huì)的第二天，烏云白帽子畢月烏和來(lái)自上海交通大學(xué)LoCCS實(shí)驗(yàn)室的葛毅杰。

隨意號(hào)碼打給你

首先，烏云白帽子畢月烏發(fā)表了以“手機(jī)號(hào)背后的灰色地帶”的主題演講，演講分為三部分，分別是偽造任意號(hào)碼打電話真的可行嗎?偽基站釣魚為何如此猖獗?以及大規(guī)模“薅羊毛”背后到底是何方神圣?給大家介紹了什么叫“聰明的”手機(jī)詐騙。

偽造號(hào)碼給別人打電話在普通人手中可能僅限于逗逗朋友，而在騙子手中那就是賺錢的優(yōu)等渠道了，那么偽造任意號(hào)碼打電話真的可行嗎?畢月烏在現(xiàn)場(chǎng)“忽悠”了兩位觀眾上臺(tái)配合，觀眾甲給觀眾乙撥打電話，然后白帽子用手里一臺(tái)非常有意思的Pad(現(xiàn)場(chǎng)借的Pad，用了一款免費(fèi)軟件)“修改”觀眾甲所撥手機(jī)號(hào)碼為“186-8888-8888”，再次撥打，觀眾乙手機(jī)來(lái)電顯示號(hào)碼變成了修改后的“186-8888-8888”，2分鐘就搞定了一次“電話欺詐”。這是怎么回事兒呢?畢月烏表示，這都是VoIP網(wǎng)絡(luò)運(yùn)營(yíng)商“惹的禍”。

現(xiàn)場(chǎng)演示偽造任意號(hào)碼打電話

傳統(tǒng)電話在我們撥打電話的時(shí)候，信號(hào)通過(guò)運(yùn)營(yíng)商直接接通，由呼叫者接到運(yùn)營(yíng)商網(wǎng)絡(luò)，然后運(yùn)營(yíng)商網(wǎng)絡(luò)呼叫被叫者，手機(jī)號(hào)不可能被偽造，畢月烏笑稱： “黑客不是不能將運(yùn)營(yíng)商干掉，只不過(guò)，第一是概率太小，第二是成本太大。”但是網(wǎng)絡(luò)電話的興起，網(wǎng)絡(luò)電話不是電信運(yùn)營(yíng)商運(yùn)營(yíng)，而是VoIP的運(yùn)營(yíng)商，當(dāng)A和B通話的時(shí)候由兩個(gè)運(yùn)營(yíng)商互聯(lián)，可以確定A、B的身份。但當(dāng)C用戶呼叫的時(shí)候，由于使用網(wǎng)絡(luò)電話，網(wǎng)絡(luò)運(yùn)營(yíng)商在呼叫傳統(tǒng)運(yùn)營(yíng)商的過(guò)程中使用的電信協(xié)議本身沒(méi)有任何身份校驗(yàn)，這個(gè)時(shí)候運(yùn)營(yíng)商之間充分信任。畢月烏解釋到：“如果我們騙過(guò)網(wǎng)絡(luò)電話運(yùn)營(yíng)商，我們可以偽造任何號(hào)碼，讓傳統(tǒng)的運(yùn)營(yíng)商相信我們，就可以做到偽造電話打電話了。”黑客正是利用網(wǎng)絡(luò)運(yùn)營(yíng)商通過(guò)網(wǎng)絡(luò)接入的時(shí)候沒(méi)有手機(jī)卡的輔助這一點(diǎn)，抓住網(wǎng)絡(luò)運(yùn)營(yíng)商無(wú)法辦法識(shí)別手機(jī)號(hào)真實(shí)身份的弱點(diǎn)，這樣，偽造電話號(hào)打電話也不是什么難事了。

接電話不安全，短信也不一定安全，很多詐騙短信都是引導(dǎo)受害者點(diǎn)擊了高仿的虛假網(wǎng)站，以騙取受害者的關(guān)鍵信息。畢月烏補(bǔ)充道：“現(xiàn)在的網(wǎng)絡(luò)釣魚詐騙其實(shí)很‘智能‘，如果用戶是在PC上點(diǎn)擊鏈接登錄釣魚網(wǎng)站，欺詐者會(huì)按兵不動(dòng)，并讓鏈接跳轉(zhuǎn)到真正的網(wǎng)站。如果用戶是在手機(jī)上直接點(diǎn)開(kāi)了鏈接，那么恭喜騙子，又釣到一條‘魚‘。”據(jù)不完全統(tǒng)計(jì)，每天新增釣魚網(wǎng)站50-150個(gè)，每天新增受害者近千人。畢月烏笑稱：“對(duì)于駭客們而言‘我們不生產(chǎn)人民幣，我們只是人民幣的搬運(yùn)工’”。

有趣的是，從數(shù)據(jù)統(tǒng)計(jì)上來(lái)看，上當(dāng)受害者男女其實(shí)都一樣，而17-25歲之間的人群最容易上當(dāng)，這個(gè)年齡段多為中學(xué)生、大學(xué)生、剛剛工作者，對(duì)信息產(chǎn)業(yè)最了解的人居然是受害比例最高者。另外，“721521”竟然是銀行卡使用最多的密碼之一，這又是怎么個(gè)意思?

手機(jī)安全的重點(diǎn)——SIM

繼畢月烏的講解后，來(lái)自上海交通大學(xué)LoCCS實(shí)驗(yàn)室的葛毅杰為現(xiàn)場(chǎng)的白帽子們做了《3G/4G USIM3G/4G USIM 卡的安全性分析》的主題演講。

備受眾人矚目的斯諾登就曾爆出，米國(guó)官方機(jī)構(gòu)曾經(jīng)黑進(jìn)最大的SIM卡廠商。那么USIM卡都有哪些嚴(yán)重的安全問(wèn)題呢?葛毅杰表示， USIM卡的復(fù)制就是最大的安全隱患，有了復(fù)制卡，密碼重置、銀行“轉(zhuǎn)賬”都可以被輕松實(shí)現(xiàn)。

維護(hù)SIM卡安全的重中之重就是其密鑰，可以著眼于3G和4G的鑒權(quán)機(jī)制。葛毅杰解釋道：早期的2G卡單向鑒權(quán)無(wú)法辨別偽基站，鑒權(quán)算法本身就存在漏洞，面對(duì)旁路攻擊非常脆弱，可謂是千瘡百孔?，F(xiàn)在的3G/4G卡的鑒權(quán)算法基于AES-128+循環(huán)移位+異域，沒(méi)有明顯漏洞，雙向鑒權(quán)，采用SQN來(lái)保證同步性，并采用其他策略來(lái)保證通信的完整性。不過(guò)，面對(duì)旁路攻擊時(shí)……根據(jù)觀察數(shù)條功耗曲線特點(diǎn)，就能夠推斷出加密算法的相關(guān)信息。沒(méi)錯(cuò)，僅僅通過(guò)功耗分析就能做到對(duì)加密算法的解析。實(shí)際上，設(shè)備的電磁、功耗、時(shí)間、聲音、溫度等信號(hào)都是旁路攻擊的絕佳目標(biāo)。

所以USIM卡的安全性相比前一代SIM卡有著更高的安全性要求，比如增加抗功耗分析設(shè)計(jì)，并進(jìn)行專業(yè)的安全性測(cè)試等等。葛毅杰總結(jié)到：“今天，USIM對(duì)安全的要求已經(jīng)不能和之前的SIM卡，也就是2G時(shí)代同日而語(yǔ)，我們應(yīng)該呼吁廠商對(duì)此問(wèn)題更加重視，正視漏洞的存在。最后，對(duì)于白帽子來(lái)說(shuō)，我們?yōu)橹Σ⑾Ｍ玫降慕Y(jié)果就是，能夠促進(jìn)那些運(yùn)營(yíng)商和廠商去加強(qiáng)他們的SIM產(chǎn)品的安全性。”

從對(duì)SIM卡的安全要求可以看出，現(xiàn)在業(yè)界對(duì)各個(gè)安全廠商和各個(gè)安全產(chǎn)品的要求都有所提高，白帽子在其中的啟發(fā)和貢獻(xiàn)是不可或缺的，說(shuō)到這兒，不禁開(kāi)始期待下一屆白帽子大會(huì)了呢。