他山之石:美国电网信息安全白皮书

2016年1月28日 没有评论 1,809次浏览    

作者:@IDF实验室 8w项目组


引言:

  最近乌克兰电网被黑事件和以色列电网遭受攻击的“传闻”,使以往仅仅是预测或者听闻的电网安全再度引发安全和社会业界的关注。作为人类社会文明特别是工业和信息文明标志的基础设施,其安全性和重要性可以说超越其他任何基础设施,特别是在人口密集的经济、科技、政治中心城市,通讯、交通、医疗、生活、教育,一旦出现大范围长时间的电力安全事故或故障,其后果难以估量。美剧《灭世》就曾经解构过这一恐怖的未来。而智能电网以及各种新能源的快速发展,必然带来电网基础设施及产业生态前所未有的巨变。对于追求极端国家民族秩序,试图重回旧时代的恐怖主义来言,如能对其敌对国家或者政府的电网发起成本低而影响巨大的网络攻击,让对手重回“石器时代”,无疑是极为富有诱惑力的。IDF实验室从2010年起就关注智能电网的相关技术以及安全影响,为此特编辑本文,对大洋彼岸的电力大国的信息安全治理与布局予以披露和介绍,供各界参考与借鉴。
  “他山之石,可以攻玉"——正如一位中国诗人说的那样:黑夜给了我黑色的眼睛,我却用它寻找光明。

usp003
 

1.1美国电网信息安全治理与组织

   在美国,与智能电网相关的美国机构主要有:

  usp001

 其中与电网信息安全关系较为密切的组织主要有:[……]

阅读全文

在线攻击的幕后场景:对利用Web漏洞行为的分析

2015年4月28日 没有评论 5,272次浏览    

原文:http://www.internetsociety.org/doc/behind-scenes-online-attacks-analysis-exploitation-behaviors-web

翻译:赵阳

摘要:现如今Web攻击已经成为了互联网安全的一个主要威胁,人们对它进行了很多研究,特别详细地分析了攻击是如何进行,如何传播的。但是,对于当Web被攻陷时的攻击者的典型行为研究却很少。本文描述了一个设计、执行、配置有500个完整功能的蜜罐技术网站,从而可以提供多种不同服务,目的就是要吸引攻击者,采集攻击者在攻击过程中和攻击后的行为信息。在100天的实验过程中,我们的系统自动采集、处理和规整了85000个在大概6000次攻击后留下的文件,并把攻击者的攻击路线标记成了不同类别,以区分它们在每次利用Web应用漏洞过程中的行为。

一、引言

Web攻击是对人们经济和知识财产造成破坏的主要原因之一。去年,这种攻击的数量不断在增长,复杂程度也在增加,并且目标多是政府和高利润的公司,窃取个人信息的同时造成了数百万欧元的经济损失。使用台式机、笔记本和智能手机上网的人数的不断增加,这就有了很吸引人的攻击目标,从而使他们走上了犯罪的道路。

这种趋势也已经成为了学术研究之一。事实上,快速的看下前些年发表的论文,会发现与Web攻击和防守相关的文章很多。这些研究大多数关注于一些普通的与Web应用、Web服务器或是浏览器相关的漏洞,通过这些漏洞来拿下目标。其余的剖析了针对内部构件的特殊攻击活动[5,13,17][……]

阅读全文

时尚时尚最时尚的缓冲区溢出目标

2015年3月4日 没有评论 3,937次浏览    

原文:《Modern Overflow Targets》 By Eric Wimberley,Nathan Harrison

翻译:taskiller

在当今的操作系统中,内存缺陷漏洞已经越来越难挖掘了,栈保护措施已经使原来的缓冲区溢出利用方法(将NOP块和shellcode写入到缓冲区中,并用缓冲区内的地址覆盖EIP所指向的地址)失效了。如果没有某种程度的信息泄露,在地址空间分布随机化(ASLR)和栈cookies的双重保护下,用传统方法实际上已经很难对远程系统执行有效的溢出攻击了。

不过,现在仍存在可被利用的栈输入/输出漏洞。本文描述了一些常用缓冲区溢出技术,这些技术不会触发栈的__stack_chk_fail保护,或至少到目前为止还有效的技术。本文我们不再利用新技术通过修改EIP来修改程序的执行流程,而是将精力集中到一系列新的目标中。同时,本文也会讨论GCC 4.6及之前版本中未出现在任何文档中的函数安全模式(function safety model)。

GCC ProPolice记录的异常

根据函数安全模型的ProPolice文档,以下情况不会被保护:

  • 无法被重新排序的结构体,以及函数中的指针是不安全的。

  • 将指针变量作为参数时是不安全的。

  • 动态分配字符串空间是不安全的。

  • 调用trampoline代码的函数是不安全的[……]

阅读全文

CTF领域指南

2015年2月15日 没有评论 14,635次浏览    

原文:https://trailofbits.github.io/ctf/

翻译:做个好人

译者声明:本文翻译自美国trailofbits团队发布在Github上的《CTF Field Guide》手册,我们已与对方联系获得翻译授权,由于手册内容尚在更新过程中,故有部分缺失。如有翻译不当之处,请与我们联系更正:@IDF实验室。

“Knowing is not enough; we must apply. Willing is not enough; we must do.” (仅仅知道还不够,我们必须付诸实践。仅有意愿还不够,我们必须付诸行动。)

—— Johann Wolfgang von Goethe

欢迎!

很高兴你能来到这里,我们需要更多的像你这样的人。

如果你想拥有一种能够自我防卫的生活,那就必须像攻击者那样思考。

所以,学学如何在夺旗比赛(CTF)中赢得比赛吧,这种比赛将专业的计算机安全活动规则进行了浓缩,且具有可客观评判的挑战题。CTF比赛趋向关注的主要领域是漏洞挖掘、漏洞利用程序构建、工具箱构建和可实施的谍报技术(tradecraft)。

无论你想赢得CTF比赛,还是想成为一名计算机安全专家,都至少需要擅长这些方面中的其中之一,理想情况下需要擅长所有这些领域。

这就是我们编写此手册的目的。

在这些章节中,你[……]

阅读全文

年末致富有新招,写个程序抓红包

2015年2月13日 没有评论 5,648次浏览    

0x00背景

大家好,我是来自IDF实验室的@无所不能的魂大人

红包纷纷何所似?兄子胡儿曰:“撒钱空中差可拟。”兄女道韫曰:“未若姨妈因风起。”

背景大家都懂的,要过年了,正是红包满天飞的日子。正巧前两天学会了Python,比较亢奋,就顺便研究了研究微博红包的爬取,为什么是微博红包而不是支付宝红包呢,因为我只懂Web,如果有精力的话之后可能也会研究研究打地鼠算法吧。

因为本人是初学Python,这个程序也是学了Python后写的第三个程序,所以代码中有啥坑爹的地方请不要当面戳穿,重点是思路,嗯,如果思路中有啥坑爹的的地方也请不要当面戳穿,你看IE都有脸设置自己为默认浏览器,我写篇渣文得瑟得瑟也是可以接受的对吧……

我用的是Python 2.7,据说Python 2和Python 3差别挺大的,比我还菜的小伙伴请注意。

0x01 思路整理

懒得文字叙述了,画了张草图,大家应该可以看懂。

envelope 01

首先老规矩,先引入一坨不知道有啥用但又不能没有的库:

import re
import urllib
import urllib2
import cookielib
import base64 
import binascii 
import os
import json
import sys 
import cPickle as[......]

阅读全文

俄罗斯网络威胁概览

2014年12月22日 没有评论 4,057次浏览    

原文:《The Cyber Threat Landscape of the Russian Federation》(2010年7月21日)

翻译:lgt945

*译文长达近三万字,故本文仅贴出前两章,应iDefense要求,我们不再提供原版报告下载。由于译者水平有限,译文或有翻译不当之处,欢迎各位指正。

一、摘要

与中国和美国不同,俄罗斯(见图1-1)是世界上发生恶意网络活动和网络犯罪行为最多的国家,而这主要是由于其IT产业爆炸式的增长以及一定程度上俄罗斯政府的主导导致的。基本上每种经济网络犯罪和政治网络攻击都会在俄罗斯发生,本报告对这两种行为进行了详细的描述。

俄罗斯的地理条件、社会经济环境、杂乱的历史和严厉的政策等因素使得这里产生了一个了网络犯罪的平台。优秀的教育环境使得俄罗斯大量有高科技思想的人工作在远低于他们能力的位置上。犯罪文化的流行和人情变得冷漠,甚至年轻的俄罗斯政府的腐败,都导致许多人进入了这个很容易从西方公司和私人个体获取名声和金钱的地下犯罪环境中来。

图1-1

图1-1:俄罗斯地图

在约束网络犯罪方面,俄罗斯的政府领导几乎起不到帮助作用。一直到最近,由于俄罗斯本土的受害者并不多,而且有限的资源迫使官方主要将注意力集中在了反恐方面,使得关心网络犯罪的群体异常稀少。这一情形随着俄罗斯公民受到的网络攻击逐渐增长而开始缓慢的改变。贪污腐败也是一大问题,而且还受到上述资源的限制。私人企业,尤其是大型的网络服务提供商(ISP),开始合作应对网络犯罪[……]

阅读全文

汽车网络和控制单元安全威胁研究

2014年11月7日 2 条评论 3,331次浏览    

原文:《Adventures in Automotive Networks and Control Units》 By Dr.Charlie Miller & Chris Valasek

翻译:孙希栋 & 做个好人

*原文共101页,译文亦长达124页,故本文仅贴出摘要及第一章,文末附原报告及译稿文档下载。由于译者水平有限,译文或有翻译不当之处,欢迎各位指正。

摘要

我们之前的研究表明,攻击者可以通过诸如蓝牙接口和车载信息系统单元等各种接口在汽车的电子控制单元(ECU)中进行远程代码执行。这篇报告旨在展开描述基于这种攻击思路和攻击类型的攻击者能够对汽车行为造成什么样的影响。特别是,我们将展示通过两台汽车在某些情况下怎样控制汽车转向、制动、油门和电子显示。我们也对这些类型的攻击检测提供了建议。在这篇报告中我们发布了所有用来重现和理解相关问题需要的技术信息,包括源代码和必要的硬件描述。

一、简介

汽车早已不仅仅是机械设备,今天的汽车所包含的许多不同的电子组件构成的一个整体网络负责监视和控制交通工具的状态,从防抱死制动模块到指令集群再到车载信息系统模块,每一个组件都能够和相邻的组件进行通讯。现代汽车总共包含至少50个以上网络化电子控制单元(ECUs),交通工具的整体安全即依赖于这些几近于实时通讯的各种不同的ECU,在它们相互之间进行通讯时,ECU负责预警撞车、检测刹车、完成防抱死制动等等。

当电子化网络组件被添加到任何设备,这些设备上代码运行[……]

阅读全文