0x1 本周话题TOP3
话题1:漫道科技疑似泄露4000W短信数据。该公司拥有银行、政府机关、App、第三方支付、电子商务、移动互联网、快速消费品、物流快递等不同类别的客户。是阿里巴巴、支付宝、京东、腾讯、汽车之家、拼多多、百度、中国工商银行、广发银行、小米、华为、广汽集团、沃尔玛、歌华有线、盛大游戏、安心保险等众多知名企业的短信平台服务商。
A1:我们遇到了,的确最近有泄漏。
A2:去年我们排查到漫道科技有泄露短信,果断停用。去年腾讯就把他们停了。泄露贩卖的短信里有通道码..就这么简单。另外创世漫道,4-5年就出现泄露了,而且印象中不止一次。
Q:用户收到的信息应该是不带通道码的。这种供应链引起的不好搞啊,大家都咋整改的?
A3:不叫通道码吧,特殊标识。一开始停了漫道,后来发现转包也用了漫道,转包的转包也有用漫道。最后把短信内容全部最小化,你看到了也没啥有用信息。
Q:也收敛到只用内部短信通道?
A4:重要短信全部走直连运营商。短信总体链路很长,做好泄露的准备,强建议脱敏。
A5:阿里云短信也有泄露,我估计阿里云后面可能包了好多小供应商。我们抓了4、5波短信黑产团伙,整体链路上泄露点不带重样的。主要还是短信这个行业比较乱,忘了多少钱了,短信似乎很便宜很便宜,不干点别的就是亏钱。
A6:就像做好假设,自家网络系统有自己不知道的漏洞一样,要假设短信会泄露,做好预案。
A7:这个还是应该供应商自己做好啊。说到预案,没有效果啊,我们给某个手机号发信息说你酒店定成功了,我再怎么做马赛克,手机号是知道的,住的酒店也是知道的。国外我看基本都有TOTP,国内基本短信。
Q:短信平台服务商安全评估可以从哪些角度?
A8:短信数据里插些染色数据?
A9:染色也没啥用,最后你都不知道谁发的。这种就应该监管部门去管管,但凡拿出APP力度的10%这个问题就解决了。整天弄一些吹毛求疵,xss还是严重漏洞呢。
A10:不能怪监管,怪给监管做支撑的单位。监管的甲方给不了那么多钱,请不了高手。
A11:监管自身没有识别能力吗?你作为一个甲方都不知道乙方做的好不好,那这甲方称不称职。至少你也得知道乙方做的东西对不对。本质自己不懂,不多说了。
A12:监管说我要是懂,为啥我不出来挣钱呀。全国各地那么多监管分支机构,懂的都自己开乙方了,或者到乙方拉队伍。体制内出来当老板的也不少。目前看,能做大的老板一般都是体制内出来的。
Q:话说漫道是咋漏洞的?rce还是内部导出。
A13:短信这个,2010年的时候sohu就被教育过了,当时是找回密码的场景有短信验证,查的时候是多个渠道商串联,一家分包给另外一家,具体哪家出去的不得而知。也用过放假数据的方式,只能定位到上游,下游渠道商也记不全日志。后来想了个方式,在短信里带一个短链接,访问后或者ttl后删除,效果好点,结果没过几年监管过来说我们发营销短信…又被干了回去。
A14:漫道记得早些年就出过事,要真是这么兜兜转,实在可怕。
A15:我理解短信这个行业性问题,监管单位是不是应该去设计短信里传敏感数据的要求,包括不走短信的替代方案。这么多敏感字段无论再缩小可能都有场景上的刚需,为什么非得走短信,被拖裤+劫持都是风险。
A16:这个好,解决不了问题,先把提出问题的人给解决了。几十万APP都能整的死去活来,短信运营商都是国企,下面的代理也没几万吧?本质还是不想管。
Q:请问一下,在短信里带个短链能解决哪些问题?这里没太理解。
A17:他的意思应该是把短信的内容放在链接里了,这个链接被访问后就直接删除,但问题是可能黑产比用户更早访问到,那就麻烦了。
A18:当时就是让人去点开链接操作一下,信息不漏在短信里,还能大概收集下手机的信息,当个mfa了(只不过当时智能机没普及)。有操作的,让用户输入屏幕上的随机码来获取验证码。
A19:漫道这个是最新的吗?短信里带链接,现在电信欺诈打不都是这些么,好人都不敢点。
A20:是的,后来监管不让了,又回归了原始。2010年的时候智能机没普及,大多数人还都是2G网络,效果也不太好。总的来说,我当时认为这个操作是很先进的。只不过生错了时代。当时还有另外一个方案,让用户主动上行短信,结果还是发现攻击者还能冒充用户发短信。逼不得已出了此招。
A21:现在短信一般是cmpp 也有tls传输的,验证码问题不大,一般是5分钟内1次有效。如果有其他个人信息,可以委托方要求短信服务方(如漫道)依据个保法要求进行保护 加密 脱敏等,泄漏主要是详细日志数据。
A22:明白了.其实我在想黑产无需使用你的短信原文,只需第一时间知道你的社会活动,就可以进一步制定诈骗剧本,成功率很高的。比如知道你快递确实受到疫情影响延迟了,给你设计一个快递赔偿的剧本,很容易成功。
话题2:西北工业大学遭美国NSA网络攻击事件调查报告(之二)
A1:重点渗透网络设备……平时看来也没重视网络设备的安全防护,国内运营商的安全防护真是一塌糊涂。
A2:我们这的电信啥的,一到攻防演习,自己就开始瞎封,导致我们有的业务都不好使。
A3:发达省份还好,每年都有攻防演习,现在很多已经搞不动了。不过最近竞争激烈,取消了国内漫游,开放异地业务办理,增加了数据安全方面的风险。
A4:主流运营商这几年开始重视了,安全程度明显提升了 ,一些小运营商依然还是漏洞百出。我们当地几家运营商,10年前大量的网络设备都是公网IP做管理地址,不做Telnet访问控制,SNMP 访问字符串就是默认的 Public等等,可以通过SNMP工具轻易获得整网的拓扑,路由信息甚至配置文件 。这几年明显都整改过了,现在这类情况都消失了。
A5:十年前哪里都乱,校园网可以跨校横向。当时我们学校还算走在前列的,开始推waf了,不过弱口令根本修不过来,双因素也推不动。
A6:高校的网络安全更是一塌糊涂,从来就没重视过,不知道西北工业大学全网被美国人翻了个底朝天,西北工业大学信息中心那帮人会被咋处理。
A7:好像没有被处理吧,后来看到西工大还招人了。而且新闻里就说发现了攻击痕迹 及时报警了。西北工业大学开始在外面找技术力量评估了当前安全体系了
A8:定向攻击除非有很专业安全人员和工具持续监控和分析,否则发现不易吧。另外没人为此担责任 ,感觉说不过去。从调查报告里看 ,有部分就是平常大意了导致的,比如被横向渗透,估计很多系统都用了相同的用户名密码。一个系统泄露了密码 ,导致其他很多系统全被攻破。
A9:估计很多是学生开发的,现在毕业了。重保的时候能盯紧点就不错了,平时估计没人认真看。典型的事件驱动。
A10:他们的外包商没这么卷,也不怕权限突然掉了。
Q:进入西工大这么重要的单位,坏人只拿了一些口令、配置文件,这是典型的小黑客才干的事,怎么得也得偷点绝密文件吧。
A11:估计他们会认为西工大会把重要的科研资料都放在互联网服务器上。
A12:那也得搞点内网挂马钓鱼啥的,控制点高价值终端。
A13:口令攻击成本最低,容易操作,而且都是正常用户登录,不容易被发现 如果直接拿rce怼,特别是内网,反而容易触发告警。
A14:这不是默认口令没改吗,这锅是在运营商吧。
A15:不一定,也有可能是设备本身安全防护没做好,出现口令泄露。不过现在还有国内运营商还在使用PIX防火墙,倒是有点奇怪,PIX防火墙已经淘汰N多年了。
A16:PIX早就被ASA替代了。ASA也淘汰不少了。现在是firepower,能当防火墙也能当ips。功能挺强,就是好难玩。
Q:西工大怎么就是运营商网络设备的合法身份了?
A17:我觉得可能是运营商十几年前提供给西工大的设备,然后这么多年一直没人管。直到被人攻陷。
A18:如果是近几年的设备,根本不可能用PIX防火墙的。思科设备确实稳定性非常好,十几年还能正常工作的很多。也有可能,调查报告里没说清楚。这类边缘设备平时根本没人重视,pix防火墙闲鱼上几百块就能淘一台,而且这类设备软件早就不更新了,不排除美国那边利用了思科未公布的漏洞入侵也有可能。
或者是西工大连接运营商的网络设备被拿下了吧,然后再作为跳板攻击运营商。
Q:网络、安全设备被干,怎么监测呢?咱们大量使用的ng、weblogic、apache,等等都是老美的。
A19:我觉得在当前国际形势下,国产化真的刻不容缓,从软件到硬件都得替换。信创还是很有必要的,慢慢跟美国的核心科技脱钩,这个进程可能没那么快,但任重道远。
A20:操作系统,数据库、中间件,把全国的数据中心都换成国产的,好大的市场总量呀。
A21:没钱投入才是重点,教育网,政府网,花钱花人进去,跟国产化没多大关系,全部国产化,不投资源进去运营也是没用。
A21:政府的电子政务网我觉得投入还是可以的,而且安全意识也强过一般行业,但是教育网,一言难尽。
A22:认同,IT经费太少了。上海那两单大泄露就是例证,可能建设时候一次性投入还行,后续持续性运营包括人员就跟不上了。
A23:一个学校就是一个小社会,系统和网站太杂而多了,前几年开始做网站整合,最近两年开始做系统和数据整合,安全经费和人员投入不同学校差距很大。我们做的一些政府项目,买了一堆设备后续根本不投人,时不时还想白嫖运营人力。
A24:有道理,长期坚持下去很难。目前还停留在安全就是堆设备的概念里,安全本质上其实是管理的问题,人员意识的问题。光靠堆设备,堆技术解决不了问题的。搞不好口令直接存记事本里放桌面上了,那怼一堆异构安全设备也没用。
A25:安全还是不容易干好的,团队、技术、经费、配套的管理,很多风险都不是单一的因素能够解决的。
A26:基础的对抗,控制好暴露面,改改口令,就能起到明显效果。有多少后台、应用压根不需要对外暴露,安全组/iptables配上能大幅降低风险。安全需要好的运营,这些基本操作不需要太高的技术含量。安全设备默认密码的情况太多了,被渗透的时候都属于给对手打助攻。
A27:这一部分原因也是安全乙方培养出来的,因为都是卖设备不是卖服务,把市场教育成这样。还是云好一些,美帝也是把很多都放在aws上了。指望政府部门自己去搞,不靠谱的。
A28:有道理,很多集成商,安全厂商把安全设备,安全软件吹得神乎其神,那个PPT做得漂亮呢,企业老板看了,觉得只要上了,立马可以高枕无忧,还要后续投入干嘛。
A29:云也一样,只是把硬件换成了软件,没人运营效果都一样。
A30:云的基础设施和监控能力,总体好过自己找一堆厂商拼凑。运营也可以外包。另外云成本可能还是低一些。
A31:乙方需要再教育甲方买安全服务了,其实攻防演习就是一个比较成功的卖安全服务的案例了。
A32:没有具备技能和意识到安全人员,上云了安全风险更大,直接一个存储桶不设置密码公网开访问。上海的就是典型案例了,云的灵活性和开放性更容易导致配置错误而不自知。
A33:听过类似故事,应该是真实的:"某单位业务部门为了落实业务连续性要求,采用了云上免费版的高可用服务,流量超过免费版支持后,高可用服务终止,造成业务中断。这上之前不做评估的么…."
A34:政府机关部门,基本上不太具备这种人才培养机制。指望在在这里长出来啥,那就难了。不同单位信息化部门的力度不一样,需要靠一些事件推动。
A35:听说西工大不仅有安全设备,还投入8人做7×24运营。你说他投入不高?我觉得比群里90%都高。我也想知道这8人每天都干啥,但起码他有投入。
A36:市场上网络安全人才还是很缺的。8人三班倒,估计也就是是最基本看监控告警的。具体到这个案例,问题可能不是几个人,而是几个什么人。在这种级别的对抗下,攻击方显然不会是平均水平的人。那么,如果防守方是平均水平的人,那么结果就可想而知了。要对抗这种级别的威胁,至少要想象一场24x365的攻防演习。
A37:这8个人估计也没想到对手这么强。质量 & 数量。
A38:之前某总培训过一个理论,如果攻击队的资源是10,他的最佳策略是集中一个点攻击。防守的最佳策略是平均铺开,5个点就每个点2,这是最佳策略,否则薄弱点容易被攻破。
如果你有10资源,想要守住,那就只能收敛到一个点。但是专家是有限的。而被攻击目标有很多。24×3650,攻击了十几年。
A39:必须先有足够强度的结构设计,否则运营阶段投入再多资源也是白搭。体系设计,需要为运营工作提供重点方向。
A40:所以这个是不能认为问题出在防守方的人上。因为防守方不可能有和攻击方对称的人力。说到底,还是安全能力的供应者没做好,方案和产品不够好。“责任全在乙方”。
A41:甩锅好手,出问题,是乙方的问题。
A42:运营阶段的工作,可以分为三个部分,都很琐碎:
-
盯着各种相关人员,确保新的建设或变更动作,没有动摇安全体系的运行支柱或前提假设。 -
关注运行过程,识别新攻击威胁、新风险敞口的变化。 -
做好安全体系自身的日常维护。
A44:教主之前表达过这个意思,第一个人挖了10个漏洞,第二个人挖了1个漏洞,谁的水平更高。乙方没有很强的动力去做深,所以我不是没想过,面对这个级别的攻击,是不是不该考虑商业化产品,而应该求助于国安级产品。我很希望有人能全程复现下手法,可控地打我,比如用100种手法和武器,看我哪里防不住。
-
一是基于知识的,病毒库啊,特征签名啊,这种的我认为面对未知攻击没用。
-
二是基于行为的,我的合法行为是什么。
基于知识的检测不能对抗未知攻击,我想摸索下非白即黑的思路到底靠不靠谱,能不能形成一种有效的方法论。比如我去学习我的业务行为,终端行为,网络行为。学一个白名单,做一个离群检测,并不难,难的是它准不准,比如我做行为关联关系,有一定作用,但攻击不走这里的时候怎么办呢?
继续引申,比如之前大家都说机器学习是个筐,什么都能往里装,大家对它期待很大,但效果不突出,我个人认为的根本原因是(不知道是否正确),拿着一堆的白样本是学不出离群点的,得不断地输入确定的新颖的黑样本才行,否则攻击过来了你都不知道甚至还把他给学习了。所以我现在就会找攻击验证来帮我输入这个黑样本。我还没实践完,不知道能不能成为一个提升水位的方法论,想和大家探讨探讨这个思路。
Q:这个说法大家怎么看?
认真阅读了西北工业大学的被攻击的披露报告,结合很多很多年前我自己干的那些活儿的经验,我觉得,美国的nsa损失更大,NSA应该是被一个精心构建的蜜罐诱惑了,末了当所谓攻击过程在被全程监控的状态下,工具使用逐渐变得了无新意的时候,老中这边拔了网线,并仔细保存了所有的工具样本甚至连证书都保存下来,NSA应该是全套工具都没来得及销毁,另外攻击的网路布局也暴露,我方宣布的损失可能仅仅是诱饵。
为啥我这么判断呢,因为NSA是从思科设备溜进来的,这很明显就是诱饵,如果你要去偷人家的东西,明晃晃给你一个特别顺眼的路你走还是不走,傻子才去,应该另辟蹊径,末了全套工具被没收,老手很明显被扒了网线。另外,根据报告,老中甚至披露了各种工具的版本迭代,这么详尽的情况只可能是在全程监控的情况下才知道的,当然我们肯定是受害人,我们被攻击了。
A55:我个人觉得“为啥我这么判断呢,因为NSA是从思科设备溜进来的,这很明显就是诱饵“这个判断,比较又争议:
1 .前几年国内网络安全还没这么火的时候,网络设备的漏洞还是挺多
2.NSA手里有思科设备的0day很正常
3. 前几年还没信创应该有高校用思科设备
Q:弱弱地问一下,西北工业大学是一个重要目标吗?
A56:国之重器,人才摇篮。还没被发现攻击应该还有很多,有个传说是,某高校打印店老板是韩国间谍,被抓了。
A57:有些学校资深打印店的老板简直能审论文,社工的好入口。我单位抓过一个收废品的,台湾间谍。单位电话都分保密和非保密,真正的保密资料都是不上网的。原来校门口的咖啡店老板也被抓了
A58:你们这都是哪里来的消息。间谍那么多的吗?
A59:应该只是策反的,不是安插的吧,或者是买信息。特殊行业内每年国安培训应该都会讲。另外感觉西工大事件还有第三期nsa曝光,该进展到塑源攻击队人员的个人信息了。
话题3:四家网络安全等级测评与检测评估机构处理结果
A1:去年我们也是信通院测评的。整改一年,是不是不能开展测评业务了?今天评测一半的企业是不是就得重新找另一家了?
A2:现在联盟的通告里面整改期间并没有说不允许开展测评工作,只是一般各地等保办会不建议选择这家机构。
A3:不建议的情况下,测评项目备案还能备上么?
A4:你是说等保备案还是测评项目登记啊。
A5:联盟有等保资质审批权限吗?这个处理结果影响有多大?
A6:"现在等保资质是认证制度,由三所来进行认证。表面上来说,联盟是测评机构的一个民间组织,只是开展行业自律活动,实际上联盟是代替11局对等保机构进行监管。
A7:所以你们看联盟发的文是取消xxxx联盟成员资格,要求xxxx开展整改。
A8:我记得联盟以前也发过停止业务整改的通知
A9:在联盟的项目管理平台上进行项目登记?好像这个并不影响。那是今年之前,机构还是推荐制的时候,联盟负责机构的审核。那时候发的文是有停业整顿。
A10:我们的等保测评登记,是在公安的一个网站上。
A11:那个就是联盟的测评管理系统。
A12:原来是这样,看来改革后收到认监委,对联盟应该影响不小。
A13:信通院整改而已,不过已经算比较严重的处罚了。有些测评机构把测评项目外包,质量控制不行,甚至有直接“卖章子”的现象,从产业发展角度说,现在的飞行检查是好事情。
A14:部分等保测评师那水平和工作态度真的让人汗颜,死板教条。等保测评给的整改建议,基本等于就是再抄一遍标准。可信验证,商密。这种检查就不符合,整改又没办法的为什么还会在检查表里。
A15:让我们数据库账号搞成多次连接失败就锁定,今天有人不小心配错了,把生产账户给锁了。
A16:现在测评师真的没法说。还有那些国际标准的认证人员,如果按照他们现在的水平 用科学的流程培训,估计 1-2天就能培训出来一个测评师。
A17:测评师的收入,在安全里可能属于偏低的,所以难免,你懂的。还有甚者在业务繁忙时段搞漏扫的,什么时候测评师收入赶上四大就牛了。国内机构吃相也挺难看,测评费用其实不低,但是就是不愿意给员工发。
A18:安全行业好像没有一个行业自律工作委员会?各家服务机构有点各自为政的感觉,服务缺少标准规范、监督制约,服务质量不好客观量化评价。
实际场景不能只考虑技术,假设是业务生产数据库,被误锁了会影响生意。这就需要各方博弈,找个平衡点。
A19:是要考虑连续性风险。等保的模式是在标准的每个控制点做评价,其实安全的控制是要识别关键路径,综合考虑成本、风险和难以程度加以控制。最近一次的测评,测评师告诉我们还要做内网的渗透,渗透的时候要把所有的安全措施关闭,评价各个区域的脆弱性。
A20:安全措施本来就是整体安全风险控制点的一部分。攻防演练的时候也会纠结,尺度到底怎么把握。关闭不现实,能实现产生告警不处理,不把我们赶出去就不错了。有几次说好不处理的,还是被赶出去过几次。他们解释是要按公安要求。做全方位测试。很多标准和条款,本身尺度就不太好把握。
A21:你不让他做,就要写个放弃测试的申明,我反手喊他写一个怎么保证这样做不会影响生产的工作方案,然后就没有然后了。测评确实有很多瞎糊弄的地方,我认为按照等保标准,存在好多问题,可测评结果出来都是80多分。
A22:等保3是保证企业安全的基本水平。目标是都挡住一般广撒网类的黑客。
0x2 本周精粹
0x3 群友分享
【漏洞预警】
警告:微软Exchange服务器的修补漏洞还没发布,之前提供的解决方法却已被发现绕过方法,请有该漏洞的,注意核实和调整。原文参考:
https://www.bleepingcomputer.com/news/security/microsoft-exchange-server-zero-day-mitigation-can-be-bypassed/?utm_content=223270772&utm_medium=social&utm_source=twitter&hss_channel=tw-4924331660
【安全资讯】
黑客通过 BGP 劫持亚马逊AWS 256 个 IP:窃取了价值 168 万的加密货币
Celer Network cBridge 跨链桥事故真相:BGP 劫持
【安全技术】
--------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
电子合同缺失电子签名算有效吗?短信供应链的数据泄露风险探讨及如何合规?如何检测内网穿透,包括建立的ssh隧道等 | 总第166周
Uber被黑事件的攻击路径溯源讨论,再议《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》 | 总第165周
关于网络安全人才缺口达327万的讨论、个人IM的内容审计如何合规又合法?windows服务器后门如何排查和取证?| 总第164周
如何进群?
如何下载群周报完整版?
请见下图:
原文始发于微信公众号(君哥的体历):疑似4000W短信数据泄露、多家等保测评机构被处理事情的探讨,关于美国NSA攻击西工大事件最新进展的深度讨论 | 总第167周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论