本篇转载自：http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html （这篇是一个很详细的观察，针对我在美国骇客年会 Black Hat 有去到的场次。 对於整个 Black Hat 今年的趋势观察，我会另外写一篇。） 会场就在我住的旅馆的对面，但是还是很早起床，因为每天都很忙，除了听一些 talk 还有很多人要碰。今天天气很好，有太阳时才发现我房间看出去的view还不错： P1 [http://1.bp.blogspot.com/_hELDi5B8zOI/SKEwZp0DJPI/AAAAAAAAA6I/aHBLTzDbX8k/s1600/IMG _1099_filtered.jpg] 到了会场，今年一样布置得很漂亮： P2 [http://3.bp.blogspot.com/_hELDi5B8zOI/SKJgLQghS9I/AAAAAAAAA8A/KwF4nqFOxeA/s1600/bh _day1_venue.jpg] P3 [http://4.bp.blogspot.com/_hELDi5B8zOI/SKJhHUXeCdI/AAAAAAAAA8I/mHf8erJKO3s/s1600/bh _day1_press.jpg] 注册之後，我先去找负责媒体的 Dirk 跟 Nico。不是要拿免费的 pass，我已经付全额了 ，但是我要拍照，需要先跟他们 check 过，确定今年大会的规则。尤其是之後的 DEFCON ，需要更加小心。结果很顺利，规则都没变，大会还给了我一个 press 的名牌，让我可 以大方的拍照... great！感谢你们，Dirk and Nico！ Black Hat 今年第12年，人非常的多，而且听众的技术都有一定的水准，年龄层与产业皆 涵盖得很广，今年一共有8个track一起举行，分别是：Root Kits、0-day、App Sec（应 用程式安全）、Bots & Malware（恶意程式）、Deep Knowledge、The Network (网路安 全）、Over the Air（无线网路安全）以及 Reverse Engineering （逆向工程）。 P4 [http://1.bp.blogspot.com/_hELDi5B8zOI/SKExo3F6M7I/AAAAAAAAA6Q/DEFWtIZpFeA/s1600/IMG_ 1149_filtered_cropped_730.jpg] 一去就忙着跟一大堆人打招呼，看来所有认识的厂商都到了，明年阿码也应该要展，但是 我们一年真的展太多了。还好我早到，跟所有人打完招呼就差点错过了开场跟 keynote。 大会照往例，由大会主席 Jeff 开场。看起来还是这麽年轻，而且开场简洁，很好！ P5 [http://4.bp.blogspot.com/_hELDi5B8zOI/SKEy5XLbS3I/AAAAAAAAA6Y/6glnEeNxWak/s1600/IMG_ 1902_filtered_cropped_730.jpg] 第一天的 keynote 由 London School of Economics （LSE）(注1)的 Ian Angel（个人 网站(注2)，大会介绍(注3)）教授开场，题目是「Complexity in Computer Security- -A Risky Business」，没有特别讲什麽新的，但是把当前资安的挑战用很好笑的方式 讲得很清楚： P6 [http://4.bp.blogspot.com/_hELDi5B8zOI/SKE32vjWPQI/AAAAAAAAA6g/Ukvti-EEado/s1600/mix ed_1_730.jpg] 注1. http://www.lse.ac.uk/ 注2. http://www.lse.ac.uk/people/[email protected]/ 注3. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Angell 他的看法是，目前资安没有解决方案，只有事件发生的可能与造成的影响（there are no solutions, only contingencies），所以我们就是，尽人事听天命，然後保持愉 快的心情（Start the day with a smile and get it over with）。您觉得呢？ 听完 keynote 我们前往 Jared DeMott（个人网站(注4)，大会介绍(注5)）的逆向工 程 talk，题目是：「AppSec A-Z(注6)」。Jared 是 「Fuzzing for Software Security Testing and Quality Assurance(注7)」一书的作者之一，并创办了 VDA Labs(注8)。Jared 写了几个免费的工具，包含 Win32 DLL injection 用的 pyfault(注9)，以及三个 fuzzing 用的工具 EFS/GPF(注10)、cmdline(注11)、以及 ikefuzz(注12)。Jared 也是2007年l@stplace二次拿下 DEFCON CTF 冠军(注13)时的一员 。 注4. http://www.vdalabs.com/ 注5. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Demott 注6. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Demott 注7. http://www.amazon.com/Fuzzing-Software-Security-Testing-Assurance/dp/1596932147 注8. http://www.vdalabs.com/ 注9. http://www.vdalabs.com/tools/pyfault.html 注10. http://www.vdalabs.com/tools/efs_gpf.html 注11. http://www.vdalabs.com/tools/cmdline.html 注12. http://www.vdalabs.com/tools/cmdline.html 注13. http://nopsr.us/ctf2007/ 我是觉得，虽然题目是逆向工程，其实整个演讲就是之前五月他讲的「Onion, not parfait: Today's security check-up and malware for the rest of us(注14)」 的衍伸，这些新的逆向技巧主要针对目前 Web 上的各种恶意程式之分析所用。看 来 Web 成为散播 malware 主要管道後，由於这些 malware 加壳的方式都很特别 ，逼出了很多这样的研究。 注14. http://www.vdalabs.com/tools/malware.html 介绍的技巧先不说，因为我要写这麽多天的观察，没办法谈细节，但是我觉得 Jared 一开始的介绍很有系统性，把恶意程式的分析分成动态与静态两种，然後循 序渐进分门别类的介绍。我觉得这是讲师该有的责任－如何讲一场让大家都听得懂 得演讲，而不是自己讲爽的就好，而别人只感觉「似乎很屌」但是实际上却听不懂 。就技术而言，这次听来听去我都觉得这些讲师用的技巧没有Birdman在 HackAlert(注15) 中用的技巧好，Birdman 的技巧都是快、准、狠，简单又一针 见血，可能是长期被对岸训练出来的缘故吧！ 注15. http://hackalert.armorize.com/ P7 [http://4.bp.blogspot.com/_hELDi5B8zOI/SKFIj0k1fkI/AAAAAAAAA6o/ZP_jzjYcetE/s1600/IMG _1204_filtered_730.jpg] 听到一半自己看完投影片的 PDF 档，觉得差不多了，闪人，看看还有谁可以听的，同时 间的还有 Billy Rios(注16) 跟 Nitesh Dhanjani（个人网站(注17)，大会介绍(注18) ，作者：Network Security Tools (O'Reilly)(注19)、HackNotes :Linux and Unix Security (注20)(McGraw-Hill)）的演讲，但是他们的演讲我最近在其他的会中都听过 了，所以跳过，来看看 NMAP(注21) 的 Fyodor Vaskovich （个人网站(注22)，大会介 绍(注23)）好了！ 注16. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Dhanjani 注17. http://dhanjani.com/ 注18. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Dhanjani 注19. http://oreilly.com/catalog/9780596007942/ 注20. http://www.amazon.com/HackNotes-Linux-Security-Portable-Reference/dp/0072227869 注21. http://nmap.org/ 注22. http://www.insecure.org/ 注23. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Vaskovich Fyodor 的讲场挤到连站的位子都没有。Fyodor 这次讲的是 internet scanning，也就是 大规模透过 internet 的网路层扫瞄。我记得 web 的威胁还没有起来时，讲到 internet security 或 web security，一定会提到 NMAP(注24)，NMAP 似乎也是每个骇客（还有 网管）必学的第一套工具，也是电影里的常客(注25)。我想很多人选这场也是为了亲自见 Fyodor 一面吧？ 注24. http://nmap.org/ 注25. http://nmap.org/movies.html P8 [http://4.bp.blogspot.com/_hELDi5B8zOI/SKGYFEsAiCI/AAAAAAAAA7Q/pDXP0Cbnbyw/s1600/IMG_ 1330_filtered_cropped_730.jpg] Fyodor 开场时说的话让我印象深刻：「Internet scanning 非常难，还有许多的挑战， 但我想这也许是好的，至少这让我站在台上给演讲，不然我看我得去学那个叫什麽 "XSS" 的鬼东东了！」 Fyodor 说这次 Internet scanning 的计画，最困扰他的是，常常 ISP 会把他的家的网 路停掉： ISP：「先生，我们把你的网路停掉了，因为根据你的流量分析，你中了木马，你的木马 正在做很多不法的事情，你已经成为僵屍网路（botnet）的一员了！」 Fyodor：「把我的我网路还给我，那些流量都是我刻意产生的，我有目的的...」 ISP：「可是这些流量是违法的！」 Fyodor：「我是 NMAP 的作者，我在研究并发展更强大的版本...」 ISP：「喔，你就是 "那个" Fyodor？请受小弟一拜...NMAP 会有新版？太帅了，您辛苦 了！」 根据这次 Fyodor 大规模扫瞄计画的结果，port 80 仍然是最常见的开放 port，其他 依序是：80 (http), 25 (smtp), 22 (ssh), 443 (https), 21 (ftp), 113 (auth), 23 (telnet), 53 (domain), 554 (rtsp), 3389 (ms-term-server)。 Fyodor 讲了很多加速 NMAP 的技巧以，例如 stateful firewalls 适合用 SYN 来 scan ，而 stateless firewalls 适合用 ACK 来 scan等等，也介绍了 NMAP 的新功能，例如可 以设定最大与最小流量，scripting engine，还有会画 network map 的新图形介面 Zenmap(注26)，以及可以比对两次扫瞄差别的 Ndiff(注27) 等。 注26. http://nmap.org/zenmap/ 注27. http://www.vinecorp.com/ndiff/ Fyodor 的投影片可以到这里下载。http://insecure.org/presentations/BHDC08/ 接下来决定去 Dan kaminsky（个人网站(注28)，大会介绍(注29)）的演讲「Black Ops 2008 -- Its The End Of The Cache As We Know It(注30)」，因为这次他公开的 DNS 弱点太红了，预计会大爆满。 注28. http://www.doxpara.com/ 注29. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Kaminsky 注30. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Kaminsky 这个 DNS cache poisoning 的弱点 Dan 在七月初就已经公开： 资安之眼(注31), US CERT TA08-190B(注32) / VU#800113(注33), CVE-2008-1447(注34) 注31. http://www.itis.tw/node/1932 注32. http://www.us-cert.gov/cas/techalerts/TA08-190B.html 注33. http://www.kb.cert.org/vuls/id/800113 注34. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447 其实自从 Dan 七月初公开此 DNS 弱点到现在，一方面由於资讯不足（一方面要留到 Black Hat 才公布，一方面也让厂商有足够时间初修补程式），造成很多声音说此漏 洞早就有很多研究员发现了(注35)，但是另一方面，却也很快被其他人猜出整个漏洞 的细节(注36)，而後很快地就有人写出了攻击程式(注37)（例如：MILW0RM:6122(注38) 、MILW0RM:6123(注39)、MILW0RM:6130(注40)）。Dan 则在七月24日 Black Hat 的 会前会(注41)上公布了漏洞的细节。在这里注册後可以看到当时的录影(注42)。 注35. http://www.theregister.co.uk/2008/07/09/dns_bug_student_discovery/ 注36. http://www.itis.tw/node/1981 注37. http://www.itis.tw/node/1986 注38. http://www.milw0rm.com/exploits/6122 注39. http://www.milw0rm.com/exploits/6123 注40. http://www.milw0rm.com/exploits/6130 注41. http://www.blackhat.com/html/webinars/kaminsky-DNS.html 注42. https://event.on24.com/eventRegistration/EventLobbyServlet?target=registration .jsp&eventid=114268 来到 Dan 的演讲，果然感受到美国这些大型会议的特色：好的讲师，大家挤到连站的 位子都没有；坏的讲师，一开讲五分钟之後，你会发现大家一窝峰往外冲，底下右边 是某讲师的演讲，左边是 Dan 的： P9 [http://4.bp.blogspot.com/_hELDi5B8zOI/SKFygkTeEoI/AAAAAAAAA7I/GofrvURNmOM/s1600/ empty_full_730.jpg] 先不论这个演讲能听到些什麽（细节之前都公布了），但是 Dan 的确是一个很好的演 讲者，他的演讲生动有趣，我是从头笑到尾。很多人说都没听到新的东西，也很多人说 ，Dan 不需要解释这麽多 DNS 漏洞的影响，因为 man-in-the-middle 後什麽安全当然 都别谈了，但是我是觉得，讲这些就忘了：好笑，有趣，一直是这个会议的精神之一。 不论 Dan 发现的漏洞是否其实简单，其实很多人有提到过了，他的演讲非常生动，绝 对让大家对此漏洞以及整个 DNS 架构的不安全性印象深刻，以及他一个人真的推动了 所有厂商对此漏洞的重视并出修补程式，这些我觉得都是我很欣赏他的原因。 P10 [http://2.bp.blogspot.com/_hELDi5B8zOI/SKHPe3uLI3I/AAAAAAAAA7g/iiH90GtNTj0/s1600/ dan_cropped.jpg] 看看右图，Dan 讲得手足舞蹈的，左图，Dan 的演讲真是老少咸宜，大家都来看他的 风采 :) 这个漏洞的特色之一，是影响了大多数的厂商。Dan 公布後，主要的 DNS 上修补程式 的速度多快呢？下面有 video，也可以按这里(注43)下载 avi 档。 注43. http://www.doxdns1.com/yellow-7days-with-percentage.avi 影片1 [https://www.youtube.com/watch?v=Ff5WBDOwueI] 这里(注44)有对於此 DNS 漏洞的详细图解。 注44. http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html 以下是 Dan 在会议中接受的访问： 影片2 [https://www.youtube.com/watch?v=R-SSVxsH7vw] 听完了 Dan 的，接下来去找 PDP（Petko D. Petkov）（个人网站(注45)，大会介绍 (注46)），题目是：「Client-side Security(注47)」。PDP 讲的就跟我们做得有关 了，所以虽然今年他在很多地方讲的我都听过了，但是还是来捧场啦！PDP 本来就很 多 fans，去年公开 Gmail 的 CSRF 漏洞(注48)并示范给 ZDNet 确认(注49)後（资安 之眼(注50)），其研究更受到大家的注意。 注45. http://www.gnucitizen.org/ 注46. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Petkov 注47. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Petkov 注48. http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/ 注49. http://blogs.zdnet.com/security/?p=539 注50. http://www.itis.tw/node/1043 P11 [http://1.bp.blogspot.com/_hELDi5B8zOI/SKI3kzv9Q7I/AAAAAAAAA7o/2dsEfEORjdM/s1600/ pdf_730.jpg] PDP 的这个演讲跟他之前的演讲差不多，讲了很多浏览器的外挂（plugins）产生的漏 洞，其中包含了Adobe PDF（PDP(注51)、资安之眼(注52)），Apple Quicktime （PDP(注53)、资安之眼(注54)），SecondLife（PDP(注55)），Flash UPnP （PDP-1(注56)、PDP-2(注57)、资安之眼(注58)），Skype（PDP(注59)、 资安之眼-1(注60)、资安之眼-2(注61)）等。 注51. http://www.gnucitizen.org/blog/0day-pdf-pwns-windows/ 注52. http://www.itis.tw/node/1032 注53. http://www.gnucitizen.org/blog/0day-quicktime-pwns-firefox/ 注54. http://www.itis.tw/node/1033 注55. http://www.gnucitizen.org/blog/ie-pwns-secondlife/ 注56. http://www.gnucitizen.org/blog/hacking-the-interwebs/ 注57. http://www.gnucitizen.org/blog/flash-upnp-attack-faq/ 注58. http://www.itis.tw/node/1442 注59. http://www.gnucitizen.org/blog/vulnerabilities-in-skype/ 注60. http://www.itis.tw/node/1575 注61. http://www.itis.tw/node/1471 最後 PDP 提到了第四代 rootkit 的观念，认为以後 rootkit 会存在於浏览器上。 我自己则是认为，浏览器的外挂安全问题，还会存在好一阵子，加上在浏览器上执 行的恶意程式，基本上都是以 script 的形式存在，而非执行档，而 script 的变 形非常方便以及容易（我之後会介绍一场 DEFCON 有趣的演讲），这样的情况会彻 底击败以样本（signatures / patterns）为基础的防御技术，如多数的防毒软体。 听完 PDP，去看好朋友 RSnake （ha.ckers(注62)，sla.ckers(注63)， SecTheory(注64)，大会介绍(注65)）的演讲。 注62. http://ha.ckers.org/ 注63. http://sla.ckers.org/forum/ 注64. http://www.sectheory.com/ 注65. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Stracener P12 [http://4.bp.blogspot.com/_hELDi5B8zOI/SKJLHdQS2AI/AAAAAAAAA7w/QGfOO8LJHJA/s1600/ IMG_1680_filtered_cropped_730.jpg] 看到 RSnake 让我想到这次 Kuon 没有来有点可惜。他只要有碰到这些讲师都会有问 不完的问题... P13 [http://2.bp.blogspot.com/_hELDi5B8zOI/SKJQ-YvoHCI/AAAAAAAAA74/jU17-bZfzrA/s1600/ Kuon_OWASP_US_2007.jpg] （上：Kuon 於 OWASP-WASC US 2007） RSnake 这次花了很多时间讲他跟 Google 之间不是那麽顺利的互动(注66)。我想 ，弱点揭露（vulnerability disclosure 一直是资安研究人员最困扰的议题之一 ，听 RSnake 在台上讲，我想到我自己很多不是很愉快的经验。我们做源码检测， 手上有很多美国大厂的 0-day。如果已经是我们的客户，那沟通方式很简单，但 是如果还不是我们的客户，有时候就复杂了。通常对方第一个动作就是传一份保 密合约（NDA）过来让我们签，而这些保密合约，我给我们公司律师检阅後，从来 没有一次是律师跟我说可以签的。基本上签了之後，我们丧失任何在公开场合讨 论此漏洞的权力（即使在修改了之後），对方也不会有任何承诺何时会修正或公 开时会不会提及是我们发现的。每次这种会议不论是台上的讲师或台下的私人聚 会，弱点揭露永远是热门的话题。这次 DEFCON，MIT 学生被法院禁止讲捷运 RFID 卡的破解方式，RSnake 还有很多其他讲师也在演讲中对弱点揭露提出看法 ，我也有很多自己的经验，所以我会另外写一篇探讨。 基本上，RSnake 发现 gmodules.com 这个网域有 XSS 漏洞，但是 Google 却觉 得此非 google.com 网域，即使有 XSS 漏洞，骇客也不会因此而能偷到 google.com 的 cookie，所以没有修复的必要。 呵呵，问题是，XSS 漏洞不只是可以偷 cookie 而已，也可以用来 phishing或挂 马。gmodules.com 这个网域有 XSS，如果这不重要的话，那我想 gmail.com 是 否一样呢？如果攻击者像是利用 SEO Posioning 那样的利用 GModules.com XSS 来挂马，那麽 Google 会怎麽看待这样的问题？ 这让我想到去 Black Hat / DEFCON 之前，我受邀到国防部为三军的资安人员讲一 场演讲，同时受邀的有叡扬资讯的某先生。这位先生一开场就介绍资安之眼(注66) 的「TW 网站沦陷资料库(注67)」：各位如果有 XSS 的话，会被登入在这个资料库中喔！ 千万别让自己的网站上了这个资料库... 这位先生，您不知道贵公司也已经上了这个资料 库吗？随後这位先生大力建议，网站不要被攻的方法，就是尽量里头不要摆东西，骇客攻 进来发现没有东西可以拿，也没有资料库，就不会对你的网站有兴趣了...这位先生，您 没有听过什麽叫 botnet （僵屍网路）吗？骇客攻机器只是为了拿资料，我还第一次听 到...那天我在台下真的是听不下去了！ 注66. http://www.itis.tw/ 注67. http://www.itis.tw/compromised 回到主题，RSnake 这个 talk 我很喜欢，因为我最近开发阿码外传，选择用 Blogger ，也发现很多这样子的问题。Blogger 之前非 google，上面推荐了摆在很多第三方的 widget，这些 widget 目前仍大量被使用。Blogger 被 Google 买了之後，大家相信 Google 也因此相信 Blogger，但是这些摆在第三方的 script 安全吗？ 接下来 RSnake 就介绍了他做的许多可以摆在 gmodules.com 下的恶意的 Google gadget ，包含会扫瞄网路的，会偷资料的...等等。这部分技术上没什麽难度主要是，但是听 起来蛮有趣的 :) 最後，RSnake 介绍了gmodules.com 的proxy cache 弱点，可以在上面放恶意程式， 而这种恶意程式，他取名做 「GMalware」。 最後一场，我跳过了美国机敏单位与骇客大拜拜的「Meet the Feds(注68)」，因为 反正DEFCON也有，而去了Paul Royal(注69) 的演讲：「Alternative Medicine: The Malware Analyst's Blue Pill」。(注70)Paul Royal 是 Georgia Tech Dr. Wenke Lee(注71) 的学生，主攻 binary 分析，目前是 Damballa (注72)的 首席研究员。 注68. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Meet 注69. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Royal 注70. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Royal 注71. http://www.cc.gatech.edu/~wenke/ 注72. http://www.damballa.com/ P14 [http://4.bp.blogspot.com/_hELDi5B8zOI/SKR4gUgMXpI/AAAAAAAAA9A/rsusgDt4ECc/s1600/ IMG_1780_filtered_cropped_730.jpg] Paul Royal 在他演讲的简介(注73)里，把现在恶意程式设计与侦测的挑战讲得很清楚： 对於动态侦测，恶意程式有各种方法侦测 sandbox，对於静态侦测，恶意程式有各种 不同加壳技术，所以恶意程式设计与侦测，就是一场永无止境的赛跑。Paul 介绍如 何利用中央处理器对虚拟化（virtualization）的硬体支援（例如 Intel 的 VT(注74)） ，以建构出一个 KVM 式的 sandbox，使得恶意程式无法侦测出，其已经被置入 sandbox 执行，并正在被分析。Royal 有当场解释 source code，并秀出此研究的雏形 （prototype）：Azure，与之前其他研究的雏形：Renovo(注75) 和 Saffron(注76)。 注73. http://www.blackhat.com/html/bh-usa-08/bh-usa-08-speakers.html#Royal 注74. http://www.intel.com/technology/virtualization/ 注75. http://portal.acm.org/citation.cfm?doid=1314389.1314399 注76. http://www.offensivecomputing.net/?q=node/492 Paul 用了 15 套加壳程式来比较这三个技术的差别：Armadillo, Aspack, Asprotect, FSG, MEW, Molebox, Morphine, Obsidium, PECompact, Themida, Themida VM, UPX, UPX S, WinUPack, Yoda’s Prot，其中 Azure 侦测到所有的恶意程式，而 Renovo 只 侦测到 13 只，Saffron 只侦测到10 只。我想叫 Birdman 跑一下我们的 Archon Analyzer（HackAlert(注77)的引擎）比比看...顺便跑一下趋势跟赛门好了，呵呵！ 注77. http://hackalert.armorize.com/ 最後，我发现今年 Black Hat 也有绵羊墙了！绵羊墙（wall of sheep）（CNET 报导： 中文(注78)、英文(注79)）一直是 DEFCON 有趣的特色之一，而今年也来到了 Black Hat 。绵羊墙团队约有十位核心成员，他们全天候监控大会的网路封包，抓到与会者的机密 资料，如帐号密码或信用卡号码等，就贴到绵羊墙上去恭喜他 :) （我来不及问绵羊墙可不可以照，上面这张不是我照的，是 wired 的 blog 上的(注80) 注80. http://blog.wired.com/27bstroke6/2008/08/french-reporter.html 绵羊墙团队不使用任何解密工具，所以墙上的绵羊都是自己使用了明码的通讯 （没有加密的 FTP、POP、SMTP...）而光荣上榜的。CNET 这次有访问绵羊墙的团队： 影片3 [https://www.youtube.com/watch?v=JskdFkA-kGk] 影片4 [https://www.youtube.com/watch?v=VJ_tC0ndpDE] 有趣的是，今年在 Black Hat 有三位法国的记者（我有媒体牌所以我在媒体室有碰 到他们），没有先告知大会工作人员，就自行 sniff 媒体室里的有线网路封包，抓 到其他媒体记者的帐号密码後，通知绵羊墙的工作人员，将这些「媒体绵羊」希望 加入榜单。老兄... 你没听说 Black Hat 这些工作人员的风格吗？这是他们的会， 怎麽会让你们来撒野？ 主要是，美国联邦法律规定，被监听者需要知道自己被监听，而 Black Hat 大家都 知道无线网路是被监听，被扫瞄，充满 0day 攻击的。可是记者室里的网路，大会是 宣称安全的，因为许多记者不是技术出身，不能要求他们懂得如何设定安全的连线 （这样喔？）... 整个报导在这里（照片也是这里来的）(注81)。最後这三位记者被大会驱逐，并且也 被禁止参加 DEFCON 以及未来所有的 Black Hat / DEFCON。 注81. http://blog.wired.com/27bstroke6/2008/08/french-reporter.html tgdaily(注82) 的记者 Humphrey Cheung 有趁乱拍下了这三位记者当时秀的画面， 除了 eWeek 之外，CNET 也在榜上 :) 注82. http://www.tgdaily.com/content/view/38790/108/ P15 [http://3.bp.blogspot.com/_hELDi5B8zOI/SKLF3tXoe1I/AAAAAAAAA8Y/nGp1lAU3r3s/s400/ pressroom2.jpg] （这张是 Humphrey(注83) 照的，故事在这里，另外 CNET 也有两篇报导：CNET 报导-1(注84)、CNET 报导-2(注85)） 注83. http://www.tgdaily.com/content/view/38790/108/ 注84. http://news.cnet.com/8301-1009_3-10010989-83.html 注85. http://news.cnet.com/8301-10789_3-10011285-57.html 对了，这里有被偷帐号密码的 eWeek 记者 Brian Prince 的自白：eWeek (注86)在 Black Hat 如何被骇的（How eWEEK Got Hacked at Black Hat）(注87)。 注86. http://www.eweek.com/cp/bio/Brian-Prince/ 注87. http://www.eweek.com/c/a/Security/How-I-Got-Hacked-at-Black-Hat/ 疑似也被偷了帐号的 CNET 记者 Elinor Mills 女士也写了一篇可爱的自白： 「与我同桌的记者锁定要骇我（Targeted for hacking by reporters at my table） (注88)」。报导中她说：「我报导了各资安会议十四年了，觉得很幸运一直没有被骇 ，一直到这星期四...事情是这样的...」「McAfee 的资深 VP 对我说：在这行够久的 人，一定都在某个时间有被骇过，这让我好过一些，但是我无法抹去被亵渎（violate） 的感觉，就好像一阵风把我的裙子吹了起来，让我的内在暴露给一群陌生人看到一样 ，也许这是在这行必须接受的风险，但是从现在开始我都会穿保险裤的（overalls）。」 注88. http://news.cnet.com/8301-1009_3-10011157-83.html 我对这件事有很深的看法，我会再写 blog。基本上，就像锁匠一样，骇客最重要的是 纪律。我们会开锁，不代表我们可以去吓别人；骇客的功夫我都很尊敬，但是行为不 约束的我只有不屑。这些改天再写吧！ 另外让我想到，这次北京奥运，这麽多记者在北京...大概都完了吧 :) 我看会来後大家最好换一下帐号吧...应该说最好换一台电脑吧，用什麽扫毒软体确定？ 阿码的 Archon 吗？不用了啦！应该都中了，直接 format 吧！不过现在很多都会跑到 bios 里面去，我看换一台比较快啦！ 大会结束後我去了一个私底下约的聚会，内容就不能公开啦！只能说现在 rootkit 都已经军规化了，真恐怖！ 本篇转载自：http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 60.250.42.178 ※ 编辑: deephoe 来自: 60.250.42.178 (08/15 17:54)