<aside> 🚧 当然,对做生意来说,没必要一步到位,可以一边卖一边根据情况再改进。目前对抗还没激烈到黑市上的Exploit都要求必须Bypass FireEye那个程度——但这一天的到来不会很久了。 @tombkeeper 未知漏洞检测技术现在已能达到较好的效果。除性能外,面临的主要问题是:一旦攻击者获得检测工具,通过逆向甚至只是黑盒测试,就几乎一定能找到绕过方法。对传统模式的软硬件来说,这个问题只能通过限制分发解决,而限制分发意味着限制盈利和非市场化。只有基于云或部分基于云的技术才能解决这个矛盾。
</aside>
<aside> 🚧 当前和未来攻防对抗的第一阶段是“未知攻,焉知防”,然后相应地会有“未知防,焉知攻”,两者刀来剑往,才真正进入攻防技术发展的黄金时代。这一时刻何时到来,取决于信息技术对人类生活的渗透速度。当攻击获利足够大,当引入信息技术节省的成本足以支付高额防御费用,这一天就到来了。 @rico锐客
</aside>
<aside> 🚧 这个OpenSSL“心血”漏洞,各大互联网企业的运维今天可能得辛苦点,抓紧升级,或在边界上采取点措施扛一下。刚才写了个脚本简单跑了跑,一分钟就从某巨型购物网站的登陆服务器上抓到若干组明文用户名/密码。实测可成功登陆。其中一组还是某旗舰店的,幸好有手机验证这一关挡着。
</aside>
<aside> 🚧 大致看了OpenSSL那个“心血”漏洞。1、漏洞可以无限制反复利用,所以即使不使用精巧的堆操控手段来控制读取的地址,也可以通过反复暴力尝试获取大量内存片段,然后从中寻找有价值的数据。2、利用泄露的信息所能干的事完全取决于你的想象力:对抗ASLR、窃取私钥、窃取用户Cookie、窃取用户名密码……
</aside>
<aside> 🚧 Windows 上用 OpenSSL 的软件也不少,且多数使用自己安装目录下的 SSLeay32.dll 和 Libeay32.dll,没有统一的升级管理机制,漏洞可能会长期存在。某些因 ASLR/DEP 而难以攻击的新老漏洞,现在(甚至很长一段时间内)就很容易了。好在 Windows 软件用的库版本普遍偏老,目前看到受影响的并不很多。
</aside>
<aside> 🚧 很多安全问题刚暴露时,都会有人说威胁被高估了,尤其是一些懂计算机但不懂安全的人特别容易做出这样的判断。不过多数情况下,其实没有被高估。有时候,还被低估了。比如说,堆栈溢出曾被认为无法利用,后来堆溢出也被认为无法利用,再后来虚表指针覆盖又被认为无法利用……这次 Heartbleed 也是一例。
</aside>
<aside> 🚧 各家做终端安全软件的,赶紧增加个全盘查 OpenSSL 库版本的功能啊,这么大好的机会,我前天就提示你们了。比如对 Windows,就搜一下 SSLeay32.dll 和 Libeay32.dll,查查版本号,搞个一键升级。想再高级点,可以根据代码特征把静态链接的和改了文件名的也查查,不过对静态链接的只能提示,没法升级。
</aside>
<aside> 🚧 我也贴个老0-Day。当年装机必备的“网络蚂蚁”所有版本都存在一个堆溢出。用网络蚂蚁下载时,如果服务器返回HTTP 302重定向,且Location字段超长,就会在日志窗口部分的代码中导致溢出。绕过两个异常就能实现利用。
</aside>
<aside> 🚧 尝试了在 Windows 8 上装 Apache+OpenSSL,希望 HiASLR 能令存储私钥的堆位于较高地址,从而增大利用 Heartbleed 读取到的概率。不过目前看来,一是 Gaps 可能影响越界读取,二是即使 HiASLR 也仍不够随机,无法实现期望的内存布局。否则,这可能是第一个利用 ASLR 等漏洞防御机制帮助漏洞利用的例子。
</aside>
<aside> 🚧 从之前的研究和近期分析的一些软件看,国内很多软件还处于基本编码安全尚未得到足够解决的状态,但也有少数先行者做得比较好。有些也尝试了推行SDL。但从分析结果看,即使是那些先行者,软件的整体规划设计可能也没有安全技术人员的参与。对设计规划上的问题,源码审计、Fuzzing多半是无效的。
</aside>
<aside> 🚨 我强调“未知攻,焉知防;未知防,焉知攻”,绝非故弄玄虚。比如上次推荐给大家的写于十年前的 PaX 项目介绍文档,其中就有 yuange 说的 DVE 思路。搞攻的人如果早看到这篇讲防的文章,也许就可受到启发。这次 Heartbleed 漏洞,早有人看出源码的问题,但因为不了解攻,认为只是普通Bug,没有重视。
</aside>
<aside> 🚧 吴石说的“用漏洞本身实现图灵完备”,可能很多人根本没往心上去。另外他还在只言片语中提过另一个非常重要的和漏洞利用有关的思路。这两个我当时看了都一惊,一是没想到我们最后都想到这些地方了,二是没想到他会说出来。不过后来看大家的反应,似乎没人明白过来这两句话的价值。
</aside>
<aside> 🚧 从 FireEye 近年抓到并公开的攻击看,感觉那些 Exploit 的作者多数更像是为老板打工的,不像自己创业的。当然其中也有相对尽心尽力一点的,但比较少。我猜 FireEye 可能也抓到过一些好的利用代码,但只是默默在产品里加了相应检测方法,公开的报告里没提。
</aside>
<aside> 🚧 国内对手机伪基站的打击力度已经比较强了。前阵子和朋友聊天,我说估计还会出现基于WiFi的类似攻击。就是骑个电动自行车,装个大功率Karma,心善的发广告,手狠的插木马。做这个和手机伪基站相比,成本低、技术门槛低、硬件容易采购。
</aside>
<aside> 🚧 有家前景非常不错的公司找到我,我说我在这行干了十几年,所有公司都是吃一次亏长一点教训,吃亏不够多的公司,安全职位不会得到重视,不过我可以帮你问问别人。于是我就问了,朋友们意见和我一样:所有公司都是吃一次亏长一点教训,吃亏不够多的公司,安全职位不会得到重视,不过我可以帮你问问别人。
</aside>
<aside> 🚧 正好昨天和朋友谈起阿里员工对“阉党”的抱怨,讨论了安全和业务的矛盾和统一,了解到某些公司的对安全重视到那根红线碰一次就辞退,连我们这些干了十几年安全的人都觉得似乎有些过,然后今天就看到小米800万用户数据库泄漏的事,真是感慨万千。安全和业务难免会有冲突,双方都不容易,且行且珍惜吧。
</aside>
<aside> 🚧 美国不给参加黑客大会的中国人发签证、中国让国企别用麦肯锡,我觉得主要都是政治姿态,未必真觉得有啥用。去年美国觉得稳拿了中国的把柄,刚打算正式说说,没想到出来个斯诺登,形势一下逆转了。今年大概是觉得中国的糟心事儿挺多,就顺手搞了个通缉——另外,我们部门又一个同志要打入敌人内部了……
</aside>
<aside> 🚧 今天我朝发布了《美国全球监听行动纪录》,用的例子基本全是斯诺登。这几年也一直有人疑惑:美国情报机构也一定入侵了中国,为什么中国不举证反击?不知你们注意没有:美国这些年拿出来说的案例,都是商业公司发现并公开的——无论是Google还是FireEye——因为情报机构之间的对抗不能拿到台面上说。
</aside>