上海0Con记录

2016 年 4 月 25 日 张三丰的疯言疯语 zsf

0con全称0ops conference，简单说就是上海交大0ops战队搞的一场安全会议。这场安全会议包括了0CTF大赛还有安全创业方面的内容。至于0CTF比赛的盛况请参考XCTF联赛公众号的官方报道，而创业相关的话题可以看看耀疆前辈在可乐圈里面的点评。除了这两方面，这3天的会议在主论坛上请来的演讲嘉宾其实都是相当有份量的，演讲嘉宾囊括了BAT3,传统的安全厂商还有亮闪闪的新锐的安全公司。

一些“后浪”的情况

虽然议题主要面向学生为主，但是有些议题里面透露的数据、研究成果还是挺有意思的。例如交大这个关于人才培养的。原来现在目前国内已经有96所高校在本科有信息安全相关的专业。涉及136个专业，研究生的也有74所。每年大约有1万信息安全毕业生，其中大约有5000人是本科，3000人是研究生，2000人职业院校的。也就是说理论上每年会有1万人涌入这个行业来，不知道这跟各甲乙丙丁厂商吸收的毕业生缺口还有多大呢？相信以后安全行业后浪会越来越多了。

另外，还有是不是觉得近年来各种网络安全赛事0CTF、XCTF、挑战赛多得有点眼花缭乱呢？其实都是竞工委统筹发展的。这才知道原来GeePwn也是其中一环，都是同一套体系同一个目标。

威胁情报

大概现在的安全会议似乎没有“威胁情报”的议题都称不上安全会议了。第一天下午有微步的《威胁情报分析实战》，虽然微步不是第一次亮相了，不过我还是头一次现场听CEO讲使用微步平台的情报分析实战。包括了几个新上线的功能，例如子域名查询，关联历史IP，whois历史记录，IP地址反解。其中有个很精辟的总结，情报分析当前落地的点，无外乎网络空间中的几个因子的关联。

至于实战的案例，还是以XcodeGhost为例，通过最初的外连域名地址关联出来的IP地址是个Amazon云的地址，从whois查询是个隐藏了真实注册人的，在似乎线索都断了的情况下。利用域名的历史IP，历史的whois信息而找到了突破口，进而利用e-mail地址，发现更多其利用的恶意域名情况。

除此以外，flashsky大牛谈了在阿里利用威胁情报打击黑产的实战经历。这个议题是个结合到实实在在的业务问题（例如盗取商家的订单信息进行诈骗）的威胁情报，其实很值得一听。首先描绘了“威胁”的核心是对方的攻击能力以及意图，只有掌握这两个方面才能更好的“知彼”，从而作出打击。威胁情报的工作就是围绕上面的目的获得更多的线索，发现之间的关联性，从而拼接出尽可能完整的“事实”，获得对事实的一个整体认知（而不是盲人摸象）。

情报的的获取是很多方面的，包括商家、用户的投诉，SRC平台的的反馈，对业务数据的异常情况监控，情报共享，各种公开数据的爬取，业务设计埋点，地下渠道的监控等等。

据说订单信息的行情价有十几块一条，如果拉上百万级的订单，那可想而知为何黑产不惜代价制作特种的木马，连传统的杀毒软件都无法查杀。另一方面这类木马也只影响特定的一小部分的人群，传统杀毒厂商也未必会投入精力与其进行对抗。

安全的发力方向

段老师讲的《网络安全领域的学术研究心得》相当实在。首先是回顾近几年带领的几项研究成果。包括DNS的，CDN的，HTTPS的当时都是引起重要影响的，不知道的上清华网络安全实验室查查就知道了。http://netsec.ccert.edu.cn/，以此展开详述了在网络安全领域该如何选择研究的课题，如何开展这些研究，如何阐述清楚你的研究，其间会有哪些坑……讲的都是非常实在的如何在网络安全领域发力内容。

更高大上的方向不得不提启明大潘的《北人南观：攻击矩阵中的数据纽带》。关于什么是南北就不多说了，可以参考之前在阿里峰会上的一个PPT。这次印象比较深刻的是关于从MCP攻击假设矩阵看大数据攻击。M代表意识空间，C代表网络空间，P代表物理世界。好比如通过意识空间来影响人点击一个钓鱼邮件进而实施了网络攻击。更玄乎的一个例子是去年微信历程可以看历史第一个好友和统计交往情况的活动，当晚很多人玩，后来谣言说因为玩过这个活动会导致支付宝帐号被盗，从而大致大批人解绑微信支付的事情。导致微信支付的系统承受一定压力。这个例子作为攻击事件可能不太贴切，不过可以作为一个由于意识空间造成网络空间的攻击例子。而目前业界研究的领域大多数集中在C-C之间的安全研究。像下图中白色地方都是少有研究的。说不定就是安全发力的点了。