Qcon上海2014

隐私和安全性

专题出品人: 
专题日期: 
星期六专题

每一个产品的正常运作离不开一套规则,然而黑客最擅长的就是打破规则,在人类社会即将迎来全面智能化的未来,黑客的力量越来越强大,几乎无所不能,你的车会是不安全的,你所住的房子是不安全的,你的电器,手机,电脑,没有一样是安全的。安全防范是每一个企业,每一个团队,每一个产品都必须面对的。

网络安全的范畴很大,从社工学,密码学,到脚本,系统安全,风控等,这是一条非常长的战线,绝对不是把安全丢给运维团队就可以高枕无忧的。不知攻,焉知防?本次安全专场会给你介绍和攻击者斗智斗勇的精彩内容。

随着互联网的迅猛发展,网络安全问题变的越来越扑朔迷离,它即是老牌互联网企业迅猛发展时必须去考虑的问题,也是新一代互联网生力军提升产品保障与竞争实力的一重要途径。 这次我会为大家分享乌云漏洞报告平台这4年运营中,通过各大机构、互联网企业报告的实际安全案例所折射出的现状,希望这些信息可以让互联网安全“老兵”与“新兵”们,在今后的网络安全工作与生活中得到帮助,在今年的信息安全建设上得到一个飞跃!

在病毒和反病毒技术快速迭代、高速发展的年代,病毒和反病毒之间的对抗日趋激烈,同时病毒作者已经不单单于满足高难度的技术所带来的快感,更加看重病毒所能带来的实际经济利益,在此背景下,敲诈类的病毒如雨后春笋般的冒出头来,各种敲诈手段层出不穷。这些敲诈类病毒看似简单,无大的技术含量可言,但是花样之多变、设计之精妙,往往让人惊叹,同时也让普通的网民防不胜防。

所谓知己知彼百战不殆,因此我们有必要了解现在的敲诈类病毒到底是依靠怎么样的敲诈手段,靠什么途径来敲诈用户,并且让用户心甘情愿的为其汇款。此外,作为安全行业的从业者,需要了解这些敲诈的方式,以此来进行针对性的防御,并且当用户遇到敲诈的时候,为用户解决问题,避免造成钱财的损失。

安卓系统凭借其灵活和开放的特性获得了市场的青睐,但开放性也意味着APP开发者需要为安全负更大的责任。一方面在安卓APP这个快速发展的领域有大量新手开发者的加入,另一方面即使经验丰富的开发者也难免犯错误,安卓应用的漏洞层出不穷,值得我们深入研究。

由于安卓APP的功能越来越多,代码逻辑越来越复杂,漏洞常常隐藏在深处,只有触发到一系列特定条件后才会被触发。因此通过常规的测试流程来找出这些藏在深处的漏洞越来越难,对此,我们的一个思路是,通过静态程序分析来挖掘安卓应用中存在的漏洞,并构造出能够触发这些漏洞的条件。

希望通过这些分享帮助开发者制作出更安全的应用,帮助安全研究者开拓漏洞研究的思路。

此次议题重点通过对支付宝现有安全体系的讲解介绍,以及现有运作情况的分析,总结支付行业的面临安全威胁,展望未来应对方案。 

在线支付业务已经渗透互联网的每个角落,并且通过移动终端等方式和线下活动产生紧密联系,例如吃喝玩乐、购物出游等等场合都有在线支付的身影。在线支付业务的高速发展,在线支付的安全问题就成了重中之重,并成为大家所关注。在线支付业务面临的安全威胁都有哪些特点,和过去的传统的网络安全威胁有什么变化,我们应该如何应对这些安全威胁的新挑战,如何建立一套应对这些网络安全威胁的切实可行的安全体系,同时展望未来我们该如何应对更多的安全威胁。

内部威胁被认为是计算机和组织安全专业人员的重大安全隐患,其中超过40%的报告说,他们最大的安全威胁是员工通过数据泄露或类似的错误意外地危及安全。由CERT?内部威胁团队卡耐基梅隆大学软件工程研究所先前的一份报告的一部分提供了无意内部威胁(UIT)问题的初步审查,包括UIT的业务定义,可能的原因和影响因素的相关研究,并报告UIT在多种类型中出现次数的频率的评价。

这项工作的初期为政府和行业的利益相关者传达了有关问题及其潜在的原因,并指导研究与开发(R&D)投资,向高优先级的R&D投资打击UIT。目前的努力旨在推动我们通过专注于设计社会工程的UIT事件因素导致的对UIT的理解。

该项目的目标是收集更多UIT的事件数据来建立一套社会工程案例被添加到CERT部门之管理和内部威胁风险教育(MERIT)数据库(称为内部威胁数据库),并分析UIT的案件,以找出可能的行为和技术形态和前体,尤其侧重于社会工程的情况。我们希望这项研究会告诉UIT缓解战略今后的研究和发展。

文档研究旨在推进源于社会工程的无意内部威胁(UIT)的理解。本研究的目标是收集更多的UIT的社会工程事件数据构建一套针对内部威胁(MERIT)数据库的风险管理和教育案例,并分析这些案件,以确定可能的行为和技术模式和前体。作者希望这项研究能够对未来研究和发展UIT的缓解策略。

这个议题,我会站在程序员与黑客这两个角色的思维去PK:程序员在创造,黑客在突破(这里就这样定位这两个角色吧)。

很多程序员在创造的过程中往往忽视安全性或者并没有足够的经验去保障安全性,这有几个层次:

  1. 架构过程没融入安全经验,可能导致宿命般的安全问题,永远在修修补补;
  2. 研发过程没融入安全经验,一不小心就带入了漏洞;
  3. 运维过程没融入安全经验,可能人为就导致了低级安全问题。

站在黑客的角度,安全有两个层次:  

  1. 安全意识;
  2. 安全经验。

很多很多时候,由于程序员极度缺乏安全意识,导致黑客只要想黑就能黑出个惊心动魄,而这个黑的过程是这类程序员万万想不到的。另外,即使是具备很高安全意识的程序员在主导一个产品或项目,但由于安全经验并不足,在攻防博弈中,也很可能被黑客拿下。  

知道创宇的多年经历,让我一直身兼着程序员与黑客这两个身份,我会给大家来一次惊心动魄的思维PK,尽请关注。