人機(jī)同光 氣劍合一

人機(jī)同光 氣劍合一

——清華大學(xué)網(wǎng)絡(luò)安全宣傳周之國際頂級安全會議和競賽成果分享會

9月24日，清華大學(xué)網(wǎng)絡(luò)安全宣傳周之國際頂級安全會議和競賽成果分享會在清華大學(xué)FIT樓多功能報告廳舉辦。本次會議由清華大學(xué)信息化工作辦公室指導(dǎo)、清華大學(xué)網(wǎng)絡(luò)與信息安全實驗室和清華大學(xué)網(wǎng)絡(luò)安全技術(shù)協(xié)會主辦、網(wǎng)安國際（InForSec）協(xié)辦?！叭藱C(jī)同光、氣劍合一”，反映了本次會議的兩個亮點(diǎn)：工業(yè)界和學(xué)術(shù)界的頂級研究人員共同交流研究成果、國際頂級安全攻防競賽中DEFCON的參賽隊伍藍(lán)蓮花隊員、美國國防部CGC機(jī)器自動攻防項目中的自動攻防機(jī)器的研究人員共同交流攻防經(jīng)驗。會議分享會圍繞“網(wǎng)絡(luò)安全”和“系統(tǒng)安全”兩大主題，騰訊玄武實驗室總監(jiān)于旸、清華大學(xué)計算機(jī)系博士生陳建軍、清華大學(xué)計算機(jī)系博士生杜昆、清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間安全研究院副教授張超和清華大學(xué)計算機(jī)系碩士生劉煜堃?guī)砹司恃葜v，并分享各自的研究成果。本次分享會分別由清華大學(xué)網(wǎng)絡(luò)與信息安全實驗室主任段海新和清華大學(xué)學(xué)生網(wǎng)絡(luò)安全技術(shù)協(xié)會會長裴中煜主持。

騰訊玄武實驗室總監(jiān)于旸在會上做了《BadTunnel：跨網(wǎng)段劫持廣播協(xié)議》主題報告。他指出，大多數(shù)基于廣播的協(xié)議在設(shè)計中并未太多考慮安全性。一是廣播本來就會讓網(wǎng)段內(nèi)所有系統(tǒng)都接收到請求，二是通常認(rèn)為也只有在網(wǎng)段內(nèi)才能發(fā)起對廣播協(xié)議的欺騙、劫持攻擊。他介紹了如何利用微軟NetBIOS協(xié)議設(shè)計中的幾個特點(diǎn)，以及Windows操作系統(tǒng)中一系列特性的組合，實現(xiàn)跨網(wǎng)段劫持NetBIOS Name Service協(xié)議，并最終劫持操作系統(tǒng)的所有網(wǎng)絡(luò)通信。

段海新清華大學(xué)網(wǎng)絡(luò)與信息安全實驗室主任

裴中煜清華大學(xué)學(xué)生網(wǎng)絡(luò)安全技術(shù)協(xié)會會長

于旸騰訊玄武實驗室總監(jiān)

張超清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間安全研究院副教授

清華大學(xué)計算機(jī)系博士生陳建軍基于他即將在國際頂級學(xué)術(shù)會議CCS2016發(fā)表的論文做了《如何“黑”掉美國國家安全局(NSA)網(wǎng)站——HTTP協(xié)議頭的二義性》的報告。互聯(lián)網(wǎng)中應(yīng)用最廣泛的HTTP協(xié)議重大安全漏洞Host of Toubles，影響大量HTTP軟件，可以造成緩存污染、防火墻繞過等攻擊。他認(rèn)為，該漏洞是由于不同HTTP實現(xiàn)解析和處理HTTP請求中的Host頭不一致造成的。通過利用這種不一致性，攻擊者只需要發(fā)送一個精心構(gòu)造的HTTP請求，便可以實現(xiàn)污染ISP緩存（包括毒魷魚攻擊）、 污染CDN緩存、繞過防火墻、繞過WAF等攻擊。這些攻擊，特別是污染ISP緩存攻擊，對互聯(lián)網(wǎng)安全有重大影響，大規(guī)模測量結(jié)果顯示97%的ISP緩存都可以被他們發(fā)現(xiàn)的攻擊影響。

杜昆清華大學(xué)計算機(jī)系博士生

劉煜堃清華大學(xué)網(wǎng)絡(luò)與信息安全實驗室碩士生、藍(lán)蓮花戰(zhàn)隊隊員

陳建軍清華大學(xué)計算機(jī)系博士生

會議現(xiàn)場

清華大學(xué)計算機(jī)系博士生杜昆分享了他們在2016年網(wǎng)絡(luò)安全國際頂級會議USENIX Security 的論文“The Ever-Changing Labyrinth: A Large-Scale Analysis of Wildcard DNS Powered Blackhat SEO”（《解構(gòu)“永遠(yuǎn)走不出的迷宮”——對蜘蛛池網(wǎng)絡(luò)的大規(guī)模檢測》）。蜘蛛池是自2015年以來新興的惡意搜索引擎優(yōu)化（blackhat SEO）技術(shù)，采用惡意手段，加速搜索引擎對推廣網(wǎng)站和推廣關(guān)鍵詞的收錄和排名。他指出，蜘蛛池操控關(guān)鍵詞等信息，對搜索結(jié)果的公正性造成危害。而且，使用蜘蛛池做搜索引擎優(yōu)化的往往是非法的產(chǎn)業(yè)，因此也威脅著用戶的安全。近期，他們對這種新型的blackhat SEO的技術(shù)特征進(jìn)行研究并實現(xiàn)檢測系統(tǒng)，與百度安全事業(yè)部合作，對蜘蛛池網(wǎng)絡(luò)進(jìn)行了大規(guī)模檢測。到目前為止，共檢出超過238萬個蜘蛛池域名，獲得了1000多個注冊蜘蛛池域名時使用的郵箱。

清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間安全研究院副教授張超基于他參加的美國國防部的網(wǎng)絡(luò)空間重大安全挑戰(zhàn)（CGC）項目經(jīng)歷，在會上做了《機(jī)器的崛起——擁抱自動化安全攻防時代的到來 》主題報告。針對軟件和系統(tǒng)的攻防一直是網(wǎng)絡(luò)空間戰(zhàn)場的重要問題。頂級黑客和安全研究人員圍繞攻擊和防御的技術(shù)展開了長期的博弈。目前高級的攻擊和防御技術(shù)都極大地依賴于研究人員的個人能力，制約了網(wǎng)絡(luò)空間整體安全性的提升。為了探索解決這一問題，美國國防部DARPA于2013年發(fā)起了CGC網(wǎng)絡(luò)超級挑戰(zhàn)賽，鼓勵參賽隊伍搭建自動化決策系統(tǒng)，實現(xiàn)全自動地分析軟件漏洞、攻擊利用漏洞以及防御漏洞。此次CGC機(jī)器人超級大賽的七支入圍決賽機(jī)器戰(zhàn)隊之一CodeJitsu，張超博士作為共同領(lǐng)隊參與，在分享會上，他系統(tǒng)地介紹CGC自動化攻防競賽的規(guī)則，競賽的組織形式，各參賽隊伍用到的代表性技術(shù)，并分享機(jī)器大戰(zhàn)以及人機(jī)大戰(zhàn)的結(jié)果。

同時，作為獲得2016年世界黑客大賽DEF CON CTF決賽亞軍參賽的隊員之一，清華大學(xué)網(wǎng)絡(luò)與信息安全實驗室碩士生、藍(lán)蓮花戰(zhàn)隊隊員劉煜堃全方位介紹了b1o0p(blue-lotus與0ops聯(lián)隊)參與DEF CON CTF 2016的情況。

據(jù)了解，本次會議吸引了來自清華大學(xué)、中科院計算機(jī)網(wǎng)絡(luò)信息中心、國防科技大學(xué)、北京理工大學(xué)以及騰訊、華為等150余位網(wǎng)絡(luò)安全研究領(lǐng)域?qū)W術(shù)界和產(chǎn)業(yè)界的學(xué)者專家出席活動，并有260多位來自世界各地的網(wǎng)絡(luò)安全研究人員在線觀看了視頻直播。會議期間，參會人員就實踐中遇到的疑難問題與演講嘉賓進(jìn)行充分交流，并共同探討了網(wǎng)絡(luò)安全學(xué)術(shù)領(lǐng)域的熱點(diǎn)話題。

攝影：常志東