昨天,第三届JSRC京东安全沙龙会议如期在北京昆泰嘉华酒店召开。安全播报小编冒着飞雪参加了此次沙龙会议。

九点半,会议正式开似乎,先上台的是京东安全响应中心的负责人——dennis致辞。

场下掌声雷动。

简单的5分钟开场致辞,第一个上台分享议题的是我们360公司的孤独小白(简云定),议题题目是:IOT时代智能硬件的攻与防。

在如今的社会是智能时代的社会。各式各样的智能家具在慢慢开始融入我们的生活。

但是随之而出的是各种各样的智能家具漏洞,特别是“硬件应用层”漏洞、“硬件物理层”漏洞和“无线通信”协议层漏洞。

App层的漏洞是如今漏洞出现频率最高的地方。小白如是的说道。主要原因还应用的开发方在开发过程的不按规定的标准来,都按自认为的标准来使用。

同时,小白也给出了他对安全硬件防护的建议。

硬件接口防护策略:

1. 接口位置尽量隐蔽;

2. 使用特殊接插件,非常规接口;

3. 使用特殊线序;

4. 尽可能设计单独调试接口,并使用信号转换或者加密芯片。

硬件防逆向分析策略

1. 审查u-boot,console屏幕打印,并删除敏感信息;

2. 一切交互要设立鉴权机制,并使用高强度认证口令;

3. ftp/tftp服务禁用,防止dump image;

4. 对第三方软件包进行严格的安全审查。

同时他也展示了他们团队对破解汽车方面和GPS劫持方面的经验和技巧。

随着小白的议题结束,接下来的议题是京东安全工程师,代超,带给我们“移动端半自动化检测技术”。

代超讲道,大部分漏洞都是属于越权漏洞,如:xss是为了获取管理员权限的漏洞,有些漏洞是组件漏洞,大多数漏洞把权限设置好,便能获得一定的防御能力。

同时,代超同学也公开了一部分提交到JSRC的未公开漏洞。

代超的议题结束以后,便是茶歇时间。大家愉快的喝起了茶,聊起了“人生”。

茶歇时间结束以后,开始了上午的一个重点会议——圆桌会议。

这场圆桌会议是围绕着“智能家具安全”讨论,会议由wolf,冰河,pp,小白和吴卓群五人组成。

移动端App与服务器交互,再加上互联网,使智能硬件的攻击面大大增加。

冰河认为功能越多的APP往往安全性比较低,因为要功能越多,需要的代码就越多,代码越多也就出问题的可能性和几率也就会越大,所以大厂商还是要培训好自己的员工的安全意识。

Wolf则认为如今要就是智能家居的无线路由器这方面的厂商照理应该已经安全意识比较前了,可是很多路由器厂商并没有把自己的漏洞和安全意识培训给自己的员工,往往都是出了一个漏洞然后补一个,修都修不完。

“业内标准很多,不可能解决一切安全问题,但能屏蔽一部分技术含量比较低的攻击。做好自己的产品,减少不可控的影响,才是我们要做的。”

下午第一场议题的是“黑客叔叔”p0tt1,他的议题是“为何电商安全我打四分”。

1、黑客叔叔认为厂商完全可以利用白帽子提交的漏洞,然后加个扫描器规则,扫描一下全网代码,可以为厂商提交更少的安全成本和支出。

2、厂商需要为安全制定一个安全体系用来评定安全等级。

黑客叔叔的议题,小编听了甚是同意。

在掌声中结束了“叔叔”的议题,接下来是作为天才少年的flanker的议题。相比大家都知道这位天才黑客少年吧。

PPT也很是高大上。

安卓方面,小编甚是捉急。表示不是很看得懂。但是应该是讲解了关于安卓fuzzer方面的小技巧与一些常规漏洞利用技巧。

最后一个议题是phithon带来的“被Git打开的企业安全大门”。

GIT对于开发者而言,是一个好用的版本控制软件;对于黑客而言,是一个信息宝库。

在github上,我们可以利用以下搜索小技巧来寻找漏洞。

·关键词搜索:password、@domain.com、salt、BEGIN RSA PRIVATE KEY、smtp;

“@domain-inc.com in:file”在所有代码中搜索内网邮箱

“id_rsa in:path”

“password language:yaml”

“password size:<100 language:php”利用常见情况搜索

“smtp file:config extension:php”组合条件搜索

“include($_GET[]);”搜索可能存在任意文件包含漏洞的代码

最后的便是下午的圆桌会议,主题是”电商安全“。

借鉴安全牛对这次圆桌的总结:

对于供应链安全,TK认为应将用户数据根据敏感程度分级,分别存储,并不是所有数据都需要切实的读取出来。也有人认为可以通过对key的加密、时间和权限控制,之后分发key并实现对数据的保护。

在“舆情监控”的建设这个问题上,TK认为应实现安全相关的情报分类,减少已知问题的修复时延,并明确数据数据泄露到底泄露了多少,都丢了什么数据,数据泄露后被如何利用了。“这些和防范被攻击的工作相比,不说比它们更重要,至少是同样重要的。”

对于“安全部门”的现状,大家都认为“扛包”是必须的。如何量化安全对公司的价值(安全的价值在于“减损”),拉动“财务”、“法务”、“风控”等“战友”,展示给领导看,往业务层面去靠和转换,并让客户感知到我们非常安全。这非常重要。

对于“安全联盟”的主张,所有人都不看好由某个甲方或乙方公司牵头做这件事情。各家有利益冲突的公司现阶段也不可能实现数据共享。当然,如果有人能提供足够全的数据,这个服务的价值是不可估量的。而这个事情的推动,在场的嘉宾普遍认为要依靠一个第三方来做这个事情,因为处在利益争夺之外,这样大家接受起来也容易一些。

最后会议在xboxone的抽奖中结束了。感谢JSRC提供这样的一个学习交流的平台。