北京网络安全大会(BCS 2019)参会记录[李白杨、黄彩云]
20190823-北京网络安全大会BCS参会记录[李白杨、黄彩云]
更新:BCS发布了段海新、钱志云、李星、王伟的报告PPT,已上传供参考。
主论坛
1. 网络协议侧信道的漏洞简史-美国加州大学河滨分校副教授-钱志云
概述:主论坛中为数不多的技术性报告。介绍了侧信道及产生的原因——在软硬件及大部分协议的设计过程中,多数情况下从抽象的逻辑出发,而后进行编写实践上的落地。在此过程中,共享资源/消息可能会意外泄露敏感信息,这就是侧信道(也称边信道)。另外也介绍了他们围绕测信道漏洞挖掘所做的工作,包括测信道漏洞的挖掘与攻击(2016 USENIX Security,report CVE-2016-5696)和最新的自动挖掘测信道漏洞方法(2019 CCS)。最后做了总结,在寻找侧信道漏洞以及减少侧信道风险时,需要着重思考有哪些公共资源会被潜在攻击者访问、受攻击者的私密信息会如何影响攻击状态等因素。
PPT:190823上1-网络协议侧信道的漏洞简史
推荐度:●●●●○
个人感想:18年看雪安全峰会上听过一次钱教授的侧信道报告,对他们的工作多少有一些了解。简单来说就是在off-path的情况下,推断任意一台主机和一台服务器之间是否有TCP连接,进而猜测彼此间通信的端口号,连接的序列号,得到通信序列号后就能够实现多种攻击形式了,和组里的工作比较相关。侧信道挖掘类似小说中侧写的能力,通过对犯罪现场(共享资源)的调查,分析推断嫌疑人的活动轨迹(敏感信息)。钱志云教授在侧信道这块儿有很深厚的积累,最新的自动挖掘侧信道漏洞的工作据说花了两年时间。具体的技术细节可以看他们的 paper.
2. 域名空间治理与域名协议安全的演进-清华大学教授-段海新
概述:主要分 3 部分介绍 DNS 系统,即 DNS 的重要性、根域名服务器和域名空间的历史、 DNS 协议的安全性进程。在 DNS 重要性部分,主要列举了 DNS 在 CDN 的内容分发和负载均衡、 邮件服务器验证、域名型SSL证书 DV 、 DNSSEC 作为 PKI 上的重要作用,以及 DNS 涉及到的一些重要安全威胁及事件,如 DoS 、域名滥用(钓鱼)、互联网治理(国家层面)。在 DNS 历史部分,详细介绍了根域名服务器的演进 or 扩张,以及整个域名系统的管理历史(此处推荐了本段海新老师翻译的书《从根上治理互联网》),到当前根域名服务器的大概情况,结合一些较新的技术,如 IPv6 的支持情况、 IDN 的测量现状。由 IDN 带来的安全威胁,引出了最后一个 DNS 协议安全演进部分,简单提了下几种 DNS 相关的安全威胁,如 DoS 、缓存中毒、链路劫持/注入、指纹攻击/跟踪,然后介绍了他们在缓存中毒上的工作,以及 DNSSEC 的部署测量18年和19年的对比,之后主要从 DNS 隐私保护/加密这块介绍了当前进展,包括 DoT、DoH、EDNS 和 DNS flag day。最后进行了简要总结。
相关新闻:BCS嘉宾风采|段海新:浅谈域名系统在互联网安全中的重要性
PPT:190823上2-域名空间治理与域名协议安全的演进
推荐度:●●●●●
个人感想:大部分内容是之前已经了解过的,不过也有一些新的收获,一个是 DNS 作为可信基础的 SPF、DV、TLSA 这几种资源记录之前没有了解;一个是根域名服务器历史那块的确更为详细一些;一个是他们缓存中毒工作那块,之前知道有这回事,但具体细节不清楚,段老师大概讲了下,是利用包分片进行劫持,感觉太强了,怎么能想到的;再一个就是 DNS Flag day ,查了下,发现之前有了解一点点,但没在意。整体感觉这个 PPT 挺通俗易懂而且又有一定深度,推荐。
分论坛:互联网治理与域名系统安全研讨会
1. 互联网资源与互联网治理-中国信通院互联网治理中心副主任-郭丰
概述:分回顾、进展和展望三部分介绍了互联网资源和治理的相关内容。首先介绍了全球互联网治理的历史沿革,非国家行为体逐步占据有利位置,在去多边化的全球互联网治理环境下,各国主导的国际秩序受到挑战。然后介绍了中国的行动(倡导网络空间命运共同体、举办世界互联网大会、积极促进网络交流与合作、任职国际互联网机构等),并介绍了网络治理在多个领域(基础资源、技术标准、网络安全、数字经济、网络空间国际规则探索与监管)的相关进展。最后展望了未来工业互联网的发展和治理视图。
PPT:190823下1-互联网资源与互联网治理
推荐度:●●●●○
个人感想:汇报人在互联网治理方面有自己的理解,PPT内容丰富,事件列举比较全面,有参考价值。
2. 参与IETF互联网协议标准制定-清华大学教授-李星
概述:李星教授介绍参与IETF互联网协议标准制定的工作和体会。介绍了IETF的组织结构及原则,RFC的统计数据分布情况,中国参与IETF的历史,还有教育网过渡到IPv6的研制过程,以及他们从IPv4到IPv6过渡技术的研究工作,现已经成为多个IETF的核心标准。最后简要总结了掌控国际标准制定权、国际组织的话语权、基础设施的掌控权的相关组织和主要内容。
PPT:190823下2-参与IETF互联网协议标准制定
推荐度:●●●●○
个人感想:李星教授是国内网络领域的大佬,他的汇报幽默风趣,汇报的相关内容也很清晰。他提到的IETF格言和最后总结的IETF准则都很耐人寻味。
3. 资源公钥基础设施(RPKI)的发展与展望-CNNIC主任助理&APNIC执行委员-张跃冬
概述:主要分 4 个部分介绍,从 IP系统设计上的两个问题(IPv4 地址空间的局限以及 IP 地址分配体系缺乏技术保障措施),引出 IPv6 解决了地址空间不足的问题,并详细介绍了我国当前 IPv6 地址的申请、分配、使用情况(如,我国 IPv6 用户数量及应用比率提升明显,并且我国 IPv6 地址总量排名世界第一), 然后介绍 RPKI 完善了 IP 地址分配体系,包括其背景、安全事件、技术原理、发展状况。优势及挑战,最后介绍 RPKI 的发展趋势及建议,包括与 DNSSEC 在技术原理、应用、管理体系、分配机制的对比分析,以及给互联网治理带来的影响、发展趋势预测。
PPT:190823下3-资源公钥基础设施(RPKI)的发展与展望
推荐度:●●●●○
个人感想:整理笔记时发现上次参加的 CNRIC 也有 RPKI 相关的汇报,不过这次听的时候还是没有更多印象,简单搜了下,好像是用来解决路由劫持的一种技术,作用于 IPv4 和 IPv6 空间,用于保障互联网码号资源(IP地址、AS号)注册信息真实性,里面的一些调研数据可能有用。
4. ICANN’s Role in Coordinating Unique Identifiers System – ICANN副总裁兼亚太运营中心总经理-罗嘉荣
概述:主要分 3 部分介绍了 ICANN 是什么、根域名服务器及其节点(镜像)、ICANN的使命和价值观。首先介绍 IETF 管协议、 ICANN 管名字、 RIRs 管地址,分工合作构建了互联网的基础,介绍 IANA 在 ICANN 中的作用、 DNS 解析过程。然后介绍了根服务器镜像节点的分布、管理等情况(主要澄清了一些对根域名服务器的误解)。最后介绍了 ICANN 的使命和价值观,打了个广告。
PPT:190823下4-ICANN’s Role in Coordinating Unique Identifiers System
推荐度:●●●○○
个人感想:这个是远程直播讲的报告,汇报人在新加坡,这也是科技带来的便利了。整体来说这个 PPT 十分接地气,内容很简单,也没什么技术,类似科普性质的,大家都能看懂。
5. 浅议互联网基础资源服务架构演进-ICANN公共技术标识符(PTI)董事-王伟
概述:主要内容大概可分为 5 个部分,首先从宏观角度介绍了互联网基础资源及服务的内在矛盾、分配模式、服务架构;然后介绍 IP 地址的分配、管理、政策,引出 RPKI 的风险和机遇;然后介绍 DNS 相关的内容,包括域名根系统、DNSSEC、DoT/DoH;然后介绍 CA 证书的内容,包括 Web PKI 的结构性缺陷、CT 证书透明度的应用目标;最后有一点发散思考, DNS 和区块链的结合,以及 NTP 时间协议面临的问题。
PPT:190823下5-浅议互联网基础资源服务架构演进
推荐度:●●●●○
个人感想:可能想要讲的、想要讨论的内容太多,而且很多是关于当前体系架构的思考,以及对未来架构的设想,部分内容没怎么听懂,感觉比较超前。
6. 对话与交流-段海新&李星&钱华林&王伟&张跃冬&郭丰
概述:论坛最后一个环节是圆桌对话,向嘉宾提问问题现场解答。段老师安利了一波他翻译的新书《从根上治理互联网 互联网治理与网络空间的驯化》。
问题:通过操纵根服务器让中国断网,现实中是否会发生这样的情况?
答:所有可能出现的安全事件/威胁都是有一定概率的,评估风险通常需要引入一定的参数和变量。
e.g. 全球各地发生了地震,影响到了所有的根服务器。这个事件在实际情况中发生的概率其实是很低的。
断网并非100%不可能,但是ICANN不会去做。ICANN希望看到的是统一和稳定,维护现有的状态是大家的共识。
可以通过备份根区文件的方式防范,反对在根服务器系统部署上上花费大量的人力物力和财力。
如果真正出现了断网的情况,可以通过备份的根区文件来恢复,这样就相当于另立根服务器,这是ICANN不希望看到的。
综上所述,可以认为不必担心根服务器断网的问题。如果真的发生了,也能够恢复。
师姐提问:RFC 7706 的确可以解决根中心化的问题,但是否会引入其他安全问题,比如任意伪根、DNSSEC验证等
答:老师们的整体意思是说,只要是严格按照 7706 的规范去搭建的(需设置本地回环地址,以保证不向外提供根区服务),不泄露出去,就不会出什么问题,而且在学术界也有很多老师自建根服务器(比如清华),没有影响。最后李星老师说了一句话,大概意思是,只要干坏事儿,就一定会被发现。
