人工智能與黑客帝國(guó)，Web安全從入門(mén)到放棄｜佛系 FIT 2018 大會(huì)

12月下月的上海，有些绵长清寂。

而 FIT2018 大会现场，却充斥着色彩斑斓。除了灯光音乐以及各色鸡尾酒，数位白帽的分享也让人应接不暇。

这是一场“磁变”，Alpha Go热潮堪堪褪去，其代表的人工智能时代刚刚开始。在此期间，信息泄露已成常态，安全事件高潮迭起，勒索软件接踵而至，后门、入侵，各家厂商纷纷沦陷。传统防御手段无法抵御层出不穷的攻击，安全行业更需要新的思路。

AI磁场正在改变安全行业，探索安全的新方向。

AI＋安全

“人工智能会成为未来的基础设施。”斗象科技CEO袁劲松表示，而在安全领域，AI也早有应用。比如从前的垃圾邮件识别就用到了机器学习算法。事实上，在传统的九大安全领域——包括反欺诈与身份管理、移动安全、安全自动化、行为分析与异常检测、物联网安全、应用安全等方面，AI都能够发挥自己的优势。除此之外，随着大数据的发展，其在安全方面的应用也愈加广泛。

当然，AI 技术在安全领域的应用与其他任何技术一样，都具有双面性，在解决某些困境，抵御威胁的同时也会被黑产利用，成为网络攻防战中的一部分。

AMP端点与威胁智能认知

随着移动互联网、物联网等的发展，越来越多的设备接入网络，成为网络中一个又一个端点，这些设备在给生活带来方便，给企业带来效率和利润提升的同时，也成为了病毒滋生的温床，为黑客入侵提供了更多的入口。端点威胁的分析和防护成为了当下安全领域研究的重要课题之一。

除此之外，黑客在进行网络攻击时，都会通过一定的技术加密隐藏、伪装攻击行为，以欺骗、绕过防御检测软件。Gartner 认为，2019年将有一半的恶意软件活动采用某种加密技术来掩盖恶意软件传送、命令和控制活动或数据泄露。而目前，大多数组织都不具有可检测到加密流量中的恶意内容的解决方案。

思科安全全球 SVP Jeffrey Richard Reed现场进行了《深度学习感知、智能协作的创新安全架构》的主题分享，表示在任何时候，互联网环境的安全都只是暂时的，每一次威胁从发生、检测到响应直至解决问题都需要一个过程，我们持续的努力正是为了尽可能缩短这个过程的时间。而人工智能与数据分析在高级威胁检测中的作用就是：端到端可视性、多层机器学习、ETA扩展NetFlow。

思科认为，从发生威胁，到检测威胁，再到安全响应，整个环节的时间要足够短才能够保证安全。而要缩短响应时间，不能依靠传统的方法。在思科 Stealthwatch和 Stealthwatch Cloud中就应用了机器学习检测加密流量中的安全威胁。加密流量分析(ETA)并非解密加密协议而是采集大量数据，利用机器学习技术寻找流量包特征，并且对威胁进行分类。

道高一尺，魔高一丈。

近年来 AI 在恶意软件、网络攻击的应用愈发娴熟，可想而知，未来攻击链会更为复杂。Fortinet 的全球安全战略官 Derek Manky从威胁环境的发展进程进行了大胆的预测，他认为具备自我学习能力的 HiveNet 与 SwarmBot 等类僵尸网络病毒、下一代 Morphic恶意软件等会在未来崛起。除此之外，未来攻击链会更加复杂。从计划、入侵、扩展、聚集到渗透，都需要预防，而作为防御方，每个阶段都将用到人工智能与机器学习。

人工智能与黑客帝国

还记得《黑客帝国》吗？

故事的开头，人类和机器（AI）展开一场末日对决，而人类很快溃败。那时候的机器是依赖于太阳能的，于是人类设法用覆盖整个地球的黑云屏蔽了阳光，试图以此阻止机器。结果却丝毫也没有起到作用，人类依旧完败。

影视剧场景不乏夸张成分，但依然折射出世人对 AI 高度发达的进程中人类地位的担忧。未来，究竟是人类统治世界，还是 AI 机器人统治甚至干掉人类？

知道创宇 CEO赵伟以《从机器人大脑到黑客帝国：安全AlphaGo离我们有多远？》为主题，从一个悲观主义者的视角想象了一个强人工智能出现后，人类被机器统治的世界。在《西部世界》中，弱人工智能在人类制造的困境中不断学习觉醒，最终发展成为强人工智能，并对人类产生威胁。这与安全行业的攻防发展，也颇有点相似之处，赵伟认为，人工智能的发展速度超乎想象。

我们现在还处于弱人工智能时代，未来强人工智能的能力不可估量，强人工智能可以解决开放问题。与目前的识别功能不同，未来的强人工智能可能是为了战斗而学习。如果你一手掌握了数据,一手掌握了强人工智能，你将成为上帝本身。

赵伟认为，人工智能的发展速度超乎想象，而人们在发展技术的同时，也许应当对自然和科技都抱有敬畏之心，同时，也关注自身的安全与觉醒。

解锁场景化风险感知

如果你有关注不久前刚更新的 OWASP Top 10 2017，就会发现新增了三个不甚眼熟的复杂新威胁。

无论是不久前 Uber 的数据泄露事件还是大疆漏洞的奖励，可以看出攻击正在向底层发展，前端框架、WEB 框架、存储组件等技术组件都经历了一定的发展，而与技术组件关系最紧密的认证授权流程，也日渐复杂。

斗象科技联合创始人兼 CTO张天琪以《大道至简：解锁「场景化」风险感知》为主题，在攻防对抗现状愈加严峻的情景下提出把资产作为线索，构建资产基线，依然能够让攻击和风险有迹可循。

解构 Hadoop 安全攻防技术

Hadoop 是一个开源框架，它允许使用简单的编程模型在计算机集群中对大型数据集进行分布式处理。大数据时代下，Hadoop 成为各大企业处理数据的首选。

然而，Hadoop没有成熟的安全机制，如设计之初并未过多考虑安全性问题，对于安全配置默认不开启，以及开源组件的问题等，因此的安全性是饱受争议的话题之一。观数科技尖针实验室负责人王鹏鸣就以《解构Hadoop 安全攻防技术》为主题，先通过自行定义 HADOOP_USER_NAME变量(web端在URL后添加user.name)冒充任意用户的案例展示了其存在的大量漏洞。

另外，如何攻破 Hadoop 集群进行远程控制？

王鹏鸣概括为六步，首先启动 msf 攻击框架，随后生成一个后门 test.pay|oad，然后提交 Hadoop任务，之后执行后门回连端口，运行后门返回系统 shell，获得最高权限。

他还提到，大数据的常见保护思路包括：边界模式、架构模式、数据模式，各有各的优劣。而理想的大数据安全解决方案应该从合规性、数据治理、安全事件、敏感数据四个层面考虑。

Hack Demo 环节当属是整场的高潮，安恒海特实验室研究员 GeekPwn名人堂选手张凯和徐凯翼在现场演示环节中，场外研究员将一个小巧的攻击装置放到汽车上后，场内的研究员便通过短信指令让汽车熄火。

黑客远程操控汽车早就不是新鲜事了。不论是被无数黑客拿来开刀的特斯拉，还是被黑上瘾的宝马、奔驰，只不过这次有了新花样。

不久前也报道过OBD车载盒子被爆漏洞，任你老司机也要翻车，实际上此次黑掉汽车有一个“中间人”—— OBD 车载智能盒子。

OBD盒子输入输出的逻辑是——发动机是汽车的心脏，OBD 盒子的心脏则是盒子里面的 MCU，它将汽车各个 ECU 通过 CAN 总线经过 16针口的数据经过加工分析，然后通过蓝牙（或其他连接方式）输出到手机 App 上，通过手机呈现给车主。

也就是说，车机本身可以连接在汽车系统里，且多会提供手机 App 控制功能，虽然这些 App并不会执行某些恶意操作，但是却丢出一条路来，一旦没有封好就会被坏人拿走控制车辆的权利。

而安恒海特实验室研究员的破解便是利用了这条通道，OBD 盒子漏洞成为了一个攻击入口，通过该攻击入口向车内网络发送攻击指令，实现入侵。

在这场攻防实验开始前，先是一段情景剧。

住在单身公寓的小玉妹纸记性不太好，不小心忘记了自家路由器的密码，此时又赶上周末，维修人员休息。无奈的她抱着试一试的心态敲响了隔壁白帽子大神的门（没错，男一号就是议题演讲者360 天马安全团队安全研究员杨芸菲），而大神也很乐于助人，只用一只手机就帮妹纸获取了密码。

这个情景剧当然不止是展现一种撩妹手段，更为杨芸菲以《路由器宽带帐号密码便携式窃取攻防实验》为主题的演讲铺垫。实际上，路由器帐号密码获取过程主要是利用PPPoE 协商过程的漏洞，通过手机建立 PPPoE 服务器，然后强制路由器使用存在漏洞的 PAP 协议，从而获得密码。

实际上，目前还有很多协议，包括常见的 GSM 和 GPS都还存在问题，之所以没有修复是因为更新迭代的成本太高，难度太大，因此需要各方共同努力，提升这些缺陷协议的安全性。

不过杨芸菲也表示，在一般场景下，针对普通家庭宽带进行攻击需要在物理接触到路由器条件下才能实现，因此具有一定门槛，用户不必过于担心。

基于Unicron-Engine的开源Windows可执行文件沙盒实现解析

Comodo 反病毒引擎研发技术负责人，FreeBuf 年度作者王伟波分享《基于 Unicron-Engine 的开源 Windows可执行文件沙盒实现解析》，unicorn-engine 是一个基于 QEMU 的 cpu模拟执行框架，具有支持多平台多指令集，支持多语言接口调用，运行速度快等多重优势。

而本次议题的主角 wxemu 就是一个基于 unicorn-engine 的可执行文件沙盒。经过原理介绍后，王伟波现场演示了 xshell 在 wxemu沙盒中的运行过程，通过 wxemu 沙盒能够高效便捷地在沙盒中运行可疑文件提取关键信息。

GDI魔术：漏洞利用中的利器

滴滴美国研究所 nEINEI 带来《GDI魔术：漏洞利用中的利器》，GDI(Graphics Device Interface)是微软为应用程序提供图形设备接无关的一组API。

Nt 早期版本将窗口管理和图形系统运行在用户地址空间，导致性能问题，从 NT4.0 开始将窗口和图形移到内核态。nEINEI 先以 Bitmap的利用为例来讲解。要翻转利用 Bitmap 漏洞，首先要控制指针。2015年Keen Team的研究人员提出如何在优雅并且稳定的控制任意内核地址的数据的方法。利用这种方法就可以对任意地址进行读写。

nEINEI 表示，由 GDI 引发终端安全攻防的思考。漏洞不断可以挖掘，安全攻防永无止境。未来的终端安全的发展是什么？把眼前的做好，就够了。

智能之上，安全的新可能

深信服资深专家、数据挖掘领域博士蒋振超带来《智能之上，安全的「新可能」》主题演讲。蒋振超表示，人工智能可能会被错误应用：使用神经网络猜测密码；使用递归皮质神经网络自动打码；基于面部识别的杀人武器；无人机蜂群……这些例子有些可怕，但的确已经实现。

但我们同样可以利用 AI 进行反击。数据科学家结合安全分析师再结合人工智能，此时形成的人机共智相当于攻防专家。

所谓，兵无常事，水无常形，我们要拥抱 AI，但不限于 AI。

Web 安全从入门到放弃

FIT 2018 第二天的议程从青藤云安全分析师 CplusHua 以《Web安全从入门到放弃》为主题的演讲开始。

他曾经向蚂蚁金服提交漏洞，并且获得了 36 万元的大奖，在本次演讲中他详细阐述了新版 OWASP TOP 10中增加的三种攻击方式，并从新增的漏洞中可以看出一些新的趋势和思路。

对于白帽子而言，在分析公司业务资产时，信息收集是基本步骤，然后要进行整理和检测。除了技术本身的漏洞，很多企业在业务上也存在很多漏洞。宫华表示，在这些过程中，不仅要分析业务场景，还可以分析程序员最初写代码的思考，从这个角度或许可以发现程序员思维上的缺陷或漏洞，进而获取其他人无法挖掘到的漏洞。

他以黑盒业务功能攻击为例，为我们详细展开了从易被忽略的角度找到漏洞的过程。例如，在用户注册过程中，利用服务器返回 cookie的特点获取用户名密码等。黑盒网络攻击的跨云攻击也是如此：在交换器的环境下，访问策略的缺陷可能是很多厂商容易发生的问题。还有很多漏洞是云服务自身特点导致的，也是现阶段难以避免的。

那为什么 web 安全要从入门到放弃呢？

宫华认为：如果白帽子为了赚点小钱而狂刷一些意义不大的洞，其实可以放弃了，因为这种方式浪费时间而且并不赚钱，观察 BTC 涨势图可以知道，挖洞远不如BTC 赚钱；但如果白帽子是真正的在挖洞，那么一定要坚持下去，去做更深入的研究、分析与挖掘。

高并发开源软件 WAF 在企业安全实战中的探索

根据 Gartner 发布的 2017 年度 Web 应用防火墙（WAF）魔力象限报告，WAF 的全球市场规模不断增长，越来越多的企业需要用 WAF产品和技术保护自己的安全。而在这个开放共享的时代里，开源产品也越来越受到欢迎。

盛洋的演讲议题是《高并发开源软件WAF在企业安全实战中的探索》。现阶段，随着 Web 应用越来越多，相关问题日益突出，贴近 Web端的防火墙（WAF）比普通的 WAF 更具优势。但高性能是 WAF 的一项重要指标，脱离了这一点，WAF就难以落地。此外，成本问题、使用体验，都是需要考虑的因素。在此背景下，开源 WAF以其成本较低（免费）、部署灵活（源码开放）、兼容性高等特点占据了优势。当然，开源 WAF 软件也存在更新不及时等缺点。

今天更多别人们提到的开源WAF系统，更多已经变成了基于NginxLUA的WEB防火墙系统，这种防火墙系统的特点是基于最常见的nginx服务，使用Lua语言及API来实现WAF功能，使用LUA不像使用C写模块的维护成本那么高，LUA小巧性能优越，降低了开发难度和维护成本。

Nginx被广泛的应用HTTP7层相关的应用开发，很多人都不陌生。Nginx＋lua的开源WAF兴起之后，开源WAF的发展随着Openresty的发展进入了新轨道，国内的开发人员开始基于Openresty写了很多的中间件服务，社区越来越活跃。

目前比较活跃的几款开源 WAF 软件有：loveshell、VeryNginx、Resty-waf、Orange、Vanilla、OpenWAF、XWAF等。企业可以通过串行连接、并行连接、串并同行、靶机设定等多种方式来完成开源 WAF 软件的落地测试。

云时代 DDoS 溯源实践与解析

除了 WAF 产品之外，这两年抗 DDoS 攻击的产品又重新受到青睐。金山云高级安全产品经理梁洋洋分享了《云时代DDoS溯源实践与解析》。

作为一个 1995 年就已经出现的攻击，DDoS 在这两年又开始受到高度关注，因为近两年棋牌类游戏蓬勃发展，导致 DDoS 防御需求越来越多。

而 DDoS 溯源意义可概括为三点：

面对行业内恶意竞争，为高防用户提供攻击证据链技术支持，方便警方立案；

购买高防服务期间，降低用户遭受 DDoS 攻击峰值，减少高防支出；

公有云高防服务的辅助产品。

梁洋洋表示，DDoS 溯源流程包括：攻击数据获取（有4层和7层攻击数据获取方式）、攻击数据清洗（有4层攻击源伪造处理、CC攻击特征分析）、攻击样本获取（攻击源定向渗透）及、控制端溯源，最后一步则是进行进行团伙溯源，要知道攻击是如何发生的、目的是什么，最终分析其社交关系以及行业竞争关系，最终产出商业竞争溯源报告，向警方提供攻击证据链。

根据这一过程，DDoS 溯源自动化可以采取一些手段，例如在攻击数据获取阶段，可以采取全流量溯源系统，加入 7 层 CC防护日志；在攻击数据清洗阶段，加入回扫分析和 IP 信誉 API、使用路由追踪系统、自动化分析脚本；在攻击样本获取阶段，加入 M3渗透测试小组；在控制端溯源阶段，加入 M3 渗透测试小组，加入商业威胁情报溯源 API；在团伙溯源阶段，加入 M3渗透测试小组，利用溯源分析平台和情报交换系统进行深度分析。

情报驱动下的安全闭环建设

美丽联合集团安全总监石乔演讲了《情报驱动下的安全闭环建设》议题。对于企业而言，安全团队的建设是一大重点。企业安全团队建设初期，受限于资源、管理层不重视等因素，团队初期的防护能力：发现能力、阻断能力、复盘能力都受到一定的限制。理想状态下，企业安全建设应当围绕这些能力赋予更充分的发展。

石乔以美丽联合集团为例，围绕 Begis/开发组件、Cobra/代码审计、Eagle/黑盒扫描、Gaea/WAF/Wolverine/主机安全、Turtle/堡垒机系统、GuGu/入网管控等七点，建立了一个安全规则平台，利用这个平台，可以不必把整个公司的安全能力放在某个安全工作人员或白帽子的头上，而是全面发展，形成闭环。

此外，在对情报进行评估时，可以考虑数据敏感、业务复杂度、集群数量、可控保护等四个维度，进而快速响应，实现安全闭环。

Unit 42 威胁情报专家组、Palo Alto Networks 高级分析师 Vicky Ray 以 Orcus RAT木马工具为例，向大家揭露了网络安全中除了攻击实施者之外的其他威胁。

在地下论坛中，充斥着不同的人，他们各自扮演着自己的身份，推动这个这个滋生很多网络犯罪的平台发展。在这里，有实施攻击的人、有恶意程序和利用工具的开发者、还有其他的技术支持者，他们相互合作，将恶意工具从开发到扩散到实际利用各个环节一一打通，形成了网络攻击的完整产业链。

以 Orcus RAT 木马攻击为例，这个工具因其“用户友好”的特点，受到不少犯罪分子的欢迎，近些年来使用率不断上升。这也引起了研究人员的注意。Orcus远控软件非常强大，它能够监控用户的电脑，开启摄像头却不触发指示灯。除此之外，跟很多病毒一样它能够检测虚拟机系统，防止被分析。

研究人员针对这个狡猾的恶意软件，使用了 NETMON、TCPVIEW、WIRESHARK 三种检测技术，同时使用沙盒技术进行分析，最终解密了Orcus，并发布了分析报告。

严格来说，Orcus作者并没有直接发起攻击，但他开发了恶意工具并提供给其他犯罪分子实施攻击。这类恶意工具开发者也是网络安全中的一大隐患。研究人员需要对此提高警惕，共享威胁分析报告，提供证据，与执法人员合作，打击此类恶意工具开发者，才有助于阻止潜在威胁。

如何构建基于 SOAPA 架构的智能安全

兰云科技联合创始人、高级副总裁周宏斌以《入侵事件的高效发现，分析与取证：如何构建基于SOAPA架构的智能安全》为主题进行了演讲。

企业面临的安全之困可以概括为四点：

告警泛滥，有价值信息淹没在海洋中；

基于特征检测，未知威胁发现能力弱；

安全产品各自为战，无法形成防御体系；

入侵事件发生后，分析，取证，还原难。

在此背景中，提高未知威胁检测能力、提高入侵事件分析能力成为了首选的脱困之道。

SOAPA （安全运作与分析平台架构）就是融合了这两种能力的平台。 SOAPA平台可以将安全信息和事件管理（SIEM）、事故响应平台（IRP）、用户行为分析（UBA）、漏洞扫描器和安全资产管理、端点检测/响应工具（EDR）、网络流量分析（NTA）、反恶意软件沙箱和威胁情报（TI）等手段和技术结合在一起，实现高效的未知威胁检测和入侵事件分析。对于企业而言也是一个不小的启发。

结语

弗洛伊德认为，人都有生本能与死本能，而死本能某种程度上更接近破坏。

那白帽子的死本能是否比普通人更强烈？

他们为技术着迷渴望，在内心的“破坏欲”催动下打破陈规寻找漏洞，他们手持利器又克制自持，他们低调又执着改变世界，但也正是这样，才让他们与那些循规蹈矩的人区别开来。

两天时间，数个议题，FIT 2018 大会已落下帷幕，但对这些负重前行之人，仍是新的开始。