BSides 曼彻斯特 2017

我最近参加了 BSides 曼彻斯特会议,该会议于 2017 年 8 月 17 日在曼彻斯特城市大学商学院举行。这是一个安全和黑客会议,可以免费参加,但门票数量非常有限。在错过了前两个版本的门票后,我设法从候补名单中拿到了一张。

经过一些介绍,我们开始了当天的第一场演讲,Dominic Chell 和 Vincent Ylu谈论了《红色一年》。作为一名非安全专业人士,我不得不通过谷歌搜索本次演讲中的一些术语的确切含义。因此,显然红队是指受雇来攻击系统或网络的安全顾问。相反,蓝队是驻留在组织内的安全团队。一个有趣的谈话,有一些很好的黑客攻击演示。

紧随其后的是James KettleCracking The Lens: Targeting HTTP'S Hidden Attack-Surface。这是詹姆斯对向网站发送请求所做的一些研究,主要是看看会发生什么。事实证明,确实发生了很多事情。James 能够以允许他通过错误配置的代理服务器访问网络中的机器的方式制作 HTTP 请求。这是当天最好的演讲之一,并清楚地表明,糟糕的(或只是默认)配置会导致严重的安全问题。

喝完咖啡后,我去见Leigh-Anne Galloway,并谈论了“赚钱赚钱:如何购买 ATM 以及您可以用它做什么”. Leigh-Anne 很好地介绍了如何购买 ATM、拥有后如何处理,以及对典型 ATM 安全性的一些了解。大部分谈话都致力于实际获得一台自动取款机,结果证明只需与供应商联系并购买一台就很容易了。事实证明,一台 ATM 机很重,Leigh-Anne 遇到了一个大问题,那就是把一台超过 700 公斤的机器放在哪里。它太重了,甚至打破了她居住的改建仓库的混凝土地板。围绕 ATM 的安全性的有趣之处在于,一切都旨在不允许访问内部结构。一旦您可以访问内部结构,普通的 ATM 就非常开放,您可以用它做任何您想做的事情。

吃了一顿丰盛的午餐后,我去看了迈克尔·赫加蒂 (Michael Hegarty)谈论隐写术对电子通信的影响. 隐写术是在普通站点中隐藏消息的过程,但本次演讲的重点是在图像中使用隐写术。要在图像中隐藏消息,您只需稍微更改该图像的颜色以对其中的图像进行编码。在嘈杂的图像中这样做可以以更有效的方式隐藏消息。显然有许多工具可以帮助将消息编码到图像中,并且该技术可用于为图像添加水印或仅发送隐藏的通信。Michael 在网上查看了隐写术的使用情况,并从 ebay 下载了图像,看看是否有任何隐写术在起作用。碰巧的是,ebay 对图像进行的图像处理(为了减小它们的大小)似乎从图像中剥离了隐写术,而 Michael 发现它被使用的证据很少。这与 vk 形成对比。

下一个演讲被称为西方的敌人,这是对 2014 年来自Neil Lines的 Sony Pictures hack 的调查。不幸的是,Neil 在最后一分钟换了个话题,看看如何让 powerscript shell 通过电子邮件系统。这最终并不是那么有趣,归结为 Neil 在很久以前打过补丁的 7 年前的软件中发现了一个漏洞。我更喜欢索尼 Playstation 黑客谈话。

当天的倒数第二个谈话是快进10年:事实,虚构和失效伊恩·特朗普。这远非一堆猜测,而是关于技术、网络犯罪、网络战、自动化和互联网的未来的经过充分研究和深思熟虑的演讲。伊恩着眼于当前事件以及该事件的结果将如何影响世界的未来发展。这就是最近 NHS 对无人驾驶汽车等事件的攻击。传递会议中最有趣的演讲之一,我鼓励人们观看视频以了解和了解未来 10 年世界将如何变化。

该活动的最后一次谈话是Scott Helme撤销被破坏,这是我们如何修复它. 这是当 SSL 私钥被盗时会发生什么的情况。如果 SSL 私钥被盗,则攻击者可能会冒充您,这使得中间人攻击更容易被发现,也更难被发现。事实证明,目前可以做的事情并不多。Scott 研究了目前正在研究的一些不同模型以及它们如何解决问题。OCSP 装订等技术允许您不断证明您颁发的证书是当前的、安全的证书。最终,研究这些技术的原因是因为有效期为 2 年的证书很常见。Let's Encrypt 等服务正在改变这一点,允许颁发有效期为天的证书。

总体而言,BSides Manchester 是一次非常棒的会议,气氛非常友好。在曼彻斯特看到如此活跃的安全社区并参与其中真的很有趣。我在这篇文章中发布了各种 YouTube 视频的链接,我建议观看它们。更多内容可以在 BSides Manchester 网站的幻灯片和视频页面上找到。我强烈建议参加明年的活动。