內存取證，智能家居被劫持，短網址攻擊，這屆 KCon 都「搞」了什麼？

在很多人心裡，黑客是孤獨的劍客，他們遊走於賽博世界之間，隱身在IP之後，用著自己的花名，單打獨鬥。

如果有什麼能將這群遊俠聚在一起，KCon 算一個。

無論是場景布置還是乾貨議題亦或是搖滾音樂，總有能抓住這群個性衝浪者的地方。

已是第七屆舉辦的 KCon 今年把主題定為「聚·變」，用主辦方知道創宇 CEO 趙偉的話解釋，「 KCon與傳統安全大會不同，它不是一場商業會議，而是一個交流的平台。聚集大家的智慧，散發更大的能量。」

So，跟著雷鋒網編輯來看看這場另類聯誼會上的亮點議題吧。

俠盜獵車 -- 數字鑰匙 Hacking

可能機械對黑客們永遠有種吸引，反正世界各地的黑客大會上都有針對汽車發起的花式攻擊。

而這次會議上銀基安全研究員 Kevin2600 也瞄上了汽車安全的話題，選擇的著手點是安米一款針對老舊車型手機解鎖的數字鑰匙。Kevin分享了對其進行攻擊的三種攻擊手段：

1、RF攻擊。由於鑰匙和車之間的通訊是單向的，不存在動態認證的過程，攻擊者可干擾手機與車鑰匙之間的通信。

在DefCon的舞台上黑客Samy Kamkar就曾展示過這種操作，其所用的「作案工具」是Rolljam。

盜賊通過干擾器阻止汽車接受鑰匙信號，自己把鑰匙信號保存下來，然後用來開門，同一把鑰匙，不同的操作是公用一個滾動碼序列的，但「RollJam」 成功瓦解了滾動碼的安全防護措施。

它可以被藏在目標車輛上或者車庫裡，等待毫不知情的車主在車邊按下無線鑰匙解鎖車門。但是隨後車 主會發現第一次沒有響起開鎖聲，不過重試一下又成功了。之後Samy Kamkar可以隨時隨地取回「RollJam」，在車邊按下設備上的一個按鈕打開車門。

2.共享功能攻擊。用戶進行微信或其他方式和親朋好友共享密鑰信息時，攻擊者輕而易舉就能獲取。

3.藍牙加密破解。這個就更簡單粗暴了，直接通過抓包就可以獲取通訊信息，可直接竊取到敏感數據。

汽車鑰匙在經歷了從機械鑰匙、到遠程控制、到FRID、再到數字鑰匙的發展歷程，手機成為鑰匙已是未來的趨勢，但其安全性也人不得不擔憂。

智能家居安全——身份劫持

智能家居已走進千家萬戶，一但發生身份劫持恐將造成隱私敏感信息泄露、財產損失，甚至有設備被任意控制、被監控的危害。

以智能音箱、智能插座等設備為例，百度高級安全工程師戴中印通過例舉三家廠商的賬號同步方式和設備交互操作方式，通過「身份劫持」，實現設備和產品的任意遠程控制。

一般來說，賬號同步一是要看設備是否合法，驗證設備ID（key），二是要看Token是否安全傳輸 ，設備是否上網或者是通過藍牙、AP方式，在此過程中可以進行身份劫持。

比如，廠商A的音箱將身份信息，通過固定「協議」的格式，在UDP255.255.255.255:50000埠進行身份信息發送，攻擊者可以監聽UDP50000埠，從而獲取用戶的userid和token，竊取身份憑據。語音發送也是按照同一套固定的「協議」格式發送。

至於設備交互過程中的劫持，戴中印將廠商A、B、C進行了總結和比較。

在智能家居APP應用中，Webview JS交互介面及Webview file域應用克隆的安全問題皆會導致身份信息泄露等安全風險。

戴中印也告訴雷鋒網編輯，目前他們已經將發現的漏洞報告給廠商A、B、C，這三家廠商皆已經完成修復。

工業網路安全——某款PLC遠控實現

不久前的發生的台積電病毒事件再次把工控安全問題擺在大眾眼前。工控網路中的PLC（可編程邏輯控制器）一直以來都處在隔離網路中，但隨著互聯網的發展，越來越多的企業將其連接到互聯網上，但隨之而來卻有很多的安全問題。

劍思庭通過分享Snap7與Step7的使用，實現了針對某品牌PLC的連接與編程。此方式PLC遠控代碼植入不會造成PLC重啟，悄無聲息，從而增強攻擊的隱蔽性。

那麼有何防禦措施呢？劍思庭分享了五個方面：

保證物理和環境安全，這也是最有效的措施；

對PLC接入授權和項目加密；

在PLC出口增設DPI防火牆，禁止對PLC下載；

核心防火牆切斷工業網路直接接入，設置DMZ區域；

增加接入的身份認證和授權等。

BGP安全之殤

從2003到2018年，全球出現了數十起由於BGP自身安全缺陷造成的知名重大安全事故。

2003年，Northrop Grumman部分bgp網路被惡意利用；

2008年，巴基斯坦電信致YouTube斷網事件；

2015年，Hacking Team利用BGP Hijack協助義大利黑客團體的攻擊行動；

2017年，Google工程師配置錯誤致日本800萬用戶斷網1小時；

2018年，亞馬遜遭BGP劫持致價值1730萬美元ETH被盜。

用360威脅情報中心高級安全研究員張玉兵的話說，BGPv4安全缺陷是全球互聯網現存最大最嚴重的安全漏洞。

BGP（Border Gateway Protocol）對應中文是邊界網關協議，是互聯網上一個核心的互聯網去中心化自治路由協議。針對當前BGP協議的主要有三種攻擊方式，分別為BGP前綴劫持、AS Path劫持以及路由泄漏。

BGP前綴劫持則分為三種劫持方式：

閑置AS搶奪，指對外宣告不屬於自己但屬於其他機構合法且未被宣告的網路進行劫持。

近鄰AS通告搶奪，指利用物理地址臨近宣告不屬於自己的網路劫持近鄰網路。

長掩碼搶奪（虹吸效應），是指利用BGP線路長掩碼優先的特性劫持所有可達網段全流量。

AS Path劫持是利用AS_PATH prepend可任意修改，可通過增加其穿越AS數量降低其路由優先順序，將數據流量趕向目標網路進行劫持。

BGP路由泄露，BGP路由條目在不同的角色都有其合理通告範圍，一旦BGP路由通告傳播到其原本預期通告範圍之外稱之為路由泄露，這會產生難以預料的結果，如造成網路中斷，源網路和被指向網路中斷或造成AS穿越/ISP穿越/MITM等問題。

另外，BGP中的TTL modify也可能出現安全漏洞，因其支持自定義修改，可在進行中間人攻擊時修改TTL使得跳數正常從而增強攻擊隱蔽性。

當前，我國互聯網節點通訊安全現狀不容樂觀，暴露在外的數據超過50%是沒有加密的，加之加密協議漏洞、可進行加密通訊信任關係降級攻擊和軟硬體級別供應鏈攻擊手段影響的範圍，BGP在未來的5至10年內依然不是安全的。

短網址的攻擊與防禦

作為當代文明衝浪者，對短網址已經格外熟悉。其起源於一些具有字數限制的微博等服務，現在廣泛用於簡訊、郵件中。據不完全統計，使用了第三方或自身提供的短鏈接服務的廠商佔到了80%。但短鏈接的安全問題似乎很少有人關注。

短地址服務可以提供一個非常短小的URL以代替原來的可能較長的URL，將長的URL地址縮短。用戶訪問縮短後的URL時，通常將會重定向到原來的URL。

騰訊 Blade 團隊的彥修團隊分析了GITHUB上star數最多的10個短網址開源項目，其轉換演算法大致分為進位演算法、HASH演算法和隨機數演算法三類。根據演算法進行攻擊猜想與測試，爆破實踐得到了個人信息、合同信息、密碼信息等信息。

擴展短網址攻擊面遠不止如此，隨著應用越來越廣泛，遠程訪問功能在過濾不嚴謹的情況下會造成SSRF；獲取TITLE功能和展示長網址頁面，在過濾不嚴謹的情況下造成XSS。

當然，彥修也提出了幾招補救措施，比如：

1、增加單IP訪問頻率和單IP訪問總量的限制，超過閾值進行封禁；

2、對包含許可權、敏感信息的短網址進行過期處理；

3、對包含許可權、敏感信息的長網址增加二次鑒權。

4、不利用短網址服務轉化任何包含敏感信息、許可權的長網址；

5、盡量避免使用明文token等認證方式。

識「黑」尋蹤之內存取證

如何獲取犯罪現場的內存樣本進行疑犯追蹤？真實技術遠比大片更加繁瑣。

來自中國網安·廣州三零衛士安全專家伍智波就在現場分享了一起真實的犯罪偵查案例，某單位網站遭到頁面篡改，現場勘查發現日誌被清，通過accesslog配置的流式備份找到了完整且未失真的副本，分析日誌猜想「黑客是通過反向連接shell來控制」，便通過提取內存和逆向分析發現了比較少見的攻擊方式——邏輯炸彈，最終尋找入口讓疑犯落網。

射頻攻擊—從鍵盤鉤子木馬到無線鍵鼠套裝劫持

鍵盤是個好東西，可惜總被賊惦記。早前雷鋒網就曾報道過一起虛擬鍵盤 AI.type 泄露 3100 萬用戶信息事件，作為日常使用的輸入工具，鍵盤一旦被攻擊者監聽或控制，那麼個人隱私很大程度上也就暴露在了攻擊者眼中。

具體來說，過往的攻擊常常是利用鍵盤鉤子木馬，而現在市場上有很多無線鍵盤，無線則無形中擴展了它的攻擊面，通過射頻技術將鍵盤實體引入了攻擊鏈中。現在就已經有一些針對無線鍵盤的攻擊方式，大多為利用射頻通信技術對常見的無線鍵鼠套裝進行攻擊。

當然，演講者石冰也給出了一些安全措施，比如對於用戶來說，建議改用安全軟鍵盤進行敏感操作，不使用小廠的不合規格的鍵盤和適配器，提高無線安全意識，了解參數基本信息，支持更新固件的設備進行固件升級；

對廠商則建議引入serial number，按鍵無線電信號一次一變；採用序列號+加密，對序列號進行加密的應對方案，以提高攻擊者攻擊代價與難度。

數字錢包的安全性分析

這個議題不算首次公開，不久前曾登上看雪開發者論壇，演講者胡銘德這次帶了兩個小夥伴付鵬飛、孫浩然來到KCcon舞台，並加入了新的內容。

首先是硬體設計的分析：硬體設計、固件信息、存儲數據以及相關的硬體設置。接著是晶元安全的分析：在某品牌晶元組中存在漏洞，利用該漏洞可實現提權並獲取敏感信息，打開USB調試，更改IMEI甚至燒錄自己的Android系統。

針對國外主流硬體錢包安全性分析，其一是STM32系列晶元的內存結構分析，內存保護機制分析以及過內存保護機制方法。其二是固件及代碼對應分析。其三是硬體安全設計分析。接著該團隊展示了針對MCU可篡改的攻擊思路。下一步，該團隊將會研究更多數量的硬體錢包的安全問題，同時將進行軟體錢包的安全研究，更加專註錢包安全。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！