昨日，第三届京东JSRC安全峰会在北京如期举行。安全牛小编也冒着飞雪参加了此次沙龙。

第一个做分享的是360 Unicorn Team的“孤独小白”（简云定），他的主题是“IOT时代智能硬件的攻与防”。

智能设备，无论是智能穿戴还是智能家居，正在慢慢开始融入我们的生活。而作为已经影响整体系统安全性的“木桶”短板，它的安全性仍旧重视程度不足。

小白就“硬件应用层”漏洞、“硬件物理层”漏洞和“无线通信”协议层漏洞这三个方面，展开他的演讲。

“应用层漏洞是现在出现的问题最多的，主要原因还应用的开发方在开发过程的不合规操作。”

App端的应用会与服务器有多条的交互线，安全就是哪个都不能出现问题。而这其中最容易出现问题的，就是在利用‘初始秘钥’做第一次交互时。

物理层的漏洞，小白提的最多的是汽车ECU模块的破解。

物理接触ECU模块

ECU模块保护

除了ECU，还有WIFI和电视盒子等。

 

电视盒子

当然，小白还给出了他对于硬件接口的防护和硬件防逆向分析的建议。

硬件接口防护策略：

1. 接口位置尽量隐蔽；

2. 使用特殊接插件，非常规接口；

3. 使用特殊线序；

4. 尽可能设计单独调试接口，并使用信号转换或者加密芯片。

硬件防逆向分析策略

1. 审查u-boot，console屏幕打印，并删除敏感信息；

2. 一切交互要设立鉴权机制，并使用高强度认证口令；

3. ftp/tftp服务禁用，防止dump image；

4. 对第三方软件包进行严格的安全审查。

无线通信主要提到了无线钥匙的RF信号攻击。究其原因，汽车钥匙中所使用的芯片种类有限，而其使用的频段和通信制式等信息也“众人皆知”。

无线钥匙RF信号攻击

无线钥匙常见RF信号指令

“互联网+大潮下，智能硬件只做功能，不做安全，这带来很大隐患。如果安全成为智能硬件的短板，这会造成很大危害。”

之后分享的京东商城的安全工程师，代超。他的题目是“移动端半自动化检测技术”，也就是京东这一年在“移动端”对漏洞分析与监测技术的“成果汇报”。

攻击的目的，不外乎是窃取用户的隐私信息。而移动端的“越权漏洞”，是代超他们这一年发现最多的。例如越权遍历他人订单、查看他人敏感信息、删除他人帖子信息甚至任意账户登陆等，均可实现。而他们也在做基于PROXY的流量特征分析。

他们的后续打算，是通过双向的数字证书验证，并加固客户端，是攻击者无法正常抓包和分析，从而提高攻击成本。而在开发阶段加入利用开源工具和漏洞扫面其的静态代码分析检测，期望在移动端应用的研发阶段，解决尽可能多的安全问题。

第三场是主题为“智能家具安全”的圆桌讨论。这次冰河和wolf也作为特邀嘉宾参与其中。他们曾以“冰河”与“wolf”木马而闻名于安全界。

 

嘉宾（左起） wolf 冰河 PP（彭泉） 院长（吴卓群） 小白

移动端App与服务器交互，再加上互联网，使智能硬件的攻击面大大增加。这是大家的共识。

PP认为，随着智能硬件市场的增长，安全问题也大量出现。从风险评估的角度来看，我们首先应明确谁会研究和利用这些漏洞。以盈利为目的的黑产又会关注企业的哪些资产，而这些资产他们又该如何套现。其次，认清糟糕的现状，比如弱密码甚至无密码状态，权限绕过，有时间规律的网络攻击模式等。还有这些安全问题对我们的影响，支付信息泄露，个人隐私泄露，甚至危及人身安全。最后，无论是白帽子还是媒体，都不应恶意炒作和利用这些安全漏洞。

“智能家居还处于发展阶段，有安全问题很正常。无论是白帽子还是厂商，都应互相配合，去扶持这一产业。”

冰河则认为，功能设置的复杂性，可能会导致更多的安全性问题，应减少不必要的功能。而类似于“心脏起搏器”等关系人身安全的产品，目前阶段还是不要太智能的好。

我们不要盲目乐观，也不用因噎废食。现在是一个互相平衡的阶段。

wolf则将这些问题一定程度上归咎于智能硬件厂商“芯片级”的研发能力不高。作为智能家具的底子——无线路由厂商，这个底子打得好不好很重要。

对于“智能硬件是否有比较成熟的参考标准和方案”这个问题，小白认为一个厂商如果做全部模块是非常费时间的，而要做好这些需要积淀，像华为和小米。而市场没利润，成本被压缩到极致以致于“不可能”考虑“硬加密”等更安全的方案，才是很多问题的根本。

“对于现在的智能硬件厂商而言，成本决定了公司是否能继续存在。”

院长则建议厂商“应尽量往现有的标准协议上去做，成熟的标准，会极大地方便做测试。但是私有协议，又可以在一定程度上增加协议分析的攻击成本，这个需要厂商自己权衡”。

“业内标准很多，不可能解决一切安全问题，但能屏蔽一部分技术含量比较低的攻击。做好自己的产品，减少不可控的影响，才是我们要做的。”

下午场首先做分享的是“黑客叔叔”p0tt1，他的题目是“为何电商安全我打四分”。

黑客叔叔的分享有5个小编认为比较重要的点。

1. 渗透利用的是“非漏洞”信息，均是已知数据和运维的问题（RainRaid雨袭团众测团队，测试了113个电商项目），例如“泄露数据”、“开发文档”或者“企业邮箱”数据；

2. 企业安全体系评定表（统计表）

大部分企业做了的：

• 内外网隔离与安培

• 防火墙、堡垒机等边界防护

• 漏洞检测

• 应急响应

大部分企业没做的：

• 线上业务管控

• 利益链重点划分

• 风控关联体系

• 泄露风险普查

• 多环境风险检测

• 数据通道管控

3. 数据主动泄露途径

• 开发人员博客

• GitHub

• 企业邮箱的分配和使用没有检测

• 研发文档泄露

• 源代码备份泄露

• 邮件中转站

4. 安全运维“怪圈”和可利用的“本钱”

• SRC收集的情报

• 运维人员提交的正常行为模板

• 攻击行为匹配模板

安全运维“怪圈”

安全运维“本钱”

5. 电商攻击面与“塔防防御”

• 业务前端

• 邮件服务

• 支付接口

• “塔防防御”：各路封堵，举例如下图：

之后KEEN的Flanker和乌云的phithon做了两场纯技术的分享。

Flanker 的Fuzzing Binder For Fun and Profit

phithon 被Git打开的企业安全大门

什么是GIT？对于开发者而言，是一个好用的版本控制软件；对于黑客而言，是一个信息宝库。

常见的GIT私有化方案有GitLab，Gogs和GitStack，其中GitLab较为成熟，而Gogs则对服务器要求较低。

GIT对于后渗透的“源码审计”、“信息收集”和“内网渗透”也有很大的价值。其中“信息收集”可以通过“git blame filename”查看每一行的作者，也可以通过“git log | grep “.*@.*” | sort -u | uniq”找到所有开发者及其邮箱地址。

GitHub是白帽子的信息宝库，也是企业敏感信息泄露的一大来源。小编这里贴出phithon给出的GitHub Hacking Skill，希望能对大家有帮助。

·关键词搜索：password、@domain.com、salt、BEGIN RSA PRIVATE KEY、smtp；

• “@domain-inc.com in:file”在所有代码中搜索内网邮箱

• “id_rsa in:path”

• “password language:yaml”

• “password size:<100 language:php”利用常见情况搜索

• “smtp file:config extension:php”组合条件搜索

• “include($_GET[]);”搜索可能存在任意文件包含漏洞的代码

这次沙龙的最后是主题为“电商安全”的圆桌会议。

对于供应链安全，TK认为应将用户数据根据敏感程度分级，分别存储，并不是所有数据都需要切实的读取出来。也有人认为可以通过对key的加密、时间和权限控制，之后分发key并实现对数据的保护。

在“舆情监控”的建设这个问题上，TK认为应实现安全相关的情报分类，减少已知问题的修复时延，并明确数据数据泄露到底泄露了多少，都丢了什么数据，数据泄露后被如何利用了。

“这些和防范被攻击的工作相比，不说比它们更重要，至少是同样重要的。”

对于“安全部门”的现状，大家都认为“扛包”是必须的。如何量化安全对公司的价值（安全的价值在于“减损”），拉动“财务”、“法务”、“风控”等“战友”，展示给领导看，往业务层面去靠和转换，并让客户感知到我们非常安全。这非常重要。

“安全工作者要有自己的定位，做的再好就是王朝马汉，顶天了就是展昭，当不了包青天。做安全要认命。把事情做好离不开领导的认可和其他部门的支持，和业务部门是‘相爱相杀’的关系，有合作，也有矛盾。而矛盾是暂时的。做事情时靠我们的技术，但驱动事情的时候要靠我们的技巧，艺术。”

对于“安全联盟”的主张，所有人都不看好由某个甲方或乙方公司牵头做这件事情。各家有利益冲突的公司现阶段也不可能实现数据共享。当然，如果有人能提供足够全的数据，这个服务的价值是不可估量的。而这个事情的推动，在场的嘉宾普遍认为要依靠一个第三方来做这个事情，因为处在利益争夺之外，这样大家接受起来也容易一些。

会议的最后在大奖Xbox揭晓中结束。领奖者表示，感谢京东JSRC提供这样一个交流的平台。