又是一年春夏之交,安全是这个时节的主题。2016 年 5 月 15 日下午两点,科普讲座——网络安全科普日·物联网时代的安全威胁,在 清华五教 5105 准时开场。
本次活动受众面广,内容充实,宣传也做得足。开场时,100人的教室已经坐满了七八成。
第一个演讲者是来自于著名网络安全团队——蓝莲花战队的杨坤,他也是清华网络安全协会的会长。演讲的一开始,杨坤就展示了蓝莲花战队近两年 参加 GeekPwn 的战果:成功破解并入侵了十多款家用路由器、成功控制多款智能摄像头。这些神话一般的入侵是如何做到的?其实原理很简单: 厂商不够重视安全,在固件中大量使用了 snprintf
等容易引发栈溢出导致任意代码执行的不安全的函数调用。杨坤详细解释了黑客们拿到一款 设备后的安全分析流程,解释了入侵思路。最后,杨坤强调,作为开发者,必须在程序开发阶段就重视安全性,尤其是智能设备领域,在追求 开发速度的同时,更应保证程序质量。杨坤也安慰了各位参与者,虽然这些漏洞看起来很可怕,但攻击是有条件的,并不是任意黑客在任意条件下 都能控制家里的智能设备,只要设置好家里的 WiFi 密码,注意安全防范,一般不会有大问题。
之后,前会长,阿里安全专家王康介绍了各类无线电安全的案例,包括 FemtoCell 设备漏洞、GPS 信号伪造、WiFi 定位伪造、车联网干扰等等。 由于很多无线电安全问题是通信系统本身的问题,而这类问题已经无法解决,例如GSM系统的漏洞,只能通过逐渐用3G/4G淘汰GSM来解决。 最后,王康还分享了一些自己对于通信界、安全界、开源界的看法,并提出了一条人生经验:没有什么问题,是不能通过讲一个段子解决的,如果 没有解决,就再讲一个。于是,王康讲了两个段子,欢乐地结束了他的演讲。
最后一个演讲来自于 TUNA 团长汪彧之。汪彧之从一个非安全界人士的视角上,分析了常见的安全威胁:WiFi 安全、密码安全、银行安全、流量劫持。 讲到 WiFi 安全时,汪彧之展示了现场提前部署的钓鱼 WiFi,已经有十多位同学上钩,造成校园网帐号信息泄露。在问答环节,现场竟然真的有参与者 遭遇过银行卡盗刷,现身说法,分享了银行卡安全的经验与教训。
本次活动全程视频直播,并且通过弹幕互动。精彩不仅出现在场内,场外直播观众意外发现,直播页面的弹幕实现有注入漏洞,逼得汪彧之不得不现场 借了计算机紧急修复。还有不少毕业的老TUNA人通过观看直播、发送弹幕参与活动,当下课铃声响起时,弹幕中飘过了数条「铃声逼哭海外党」, 满满的都是情怀。
活动视频录像,可以从 https://mirrors.tuna.tsinghua.edu.cn/tuna/nsd2016/ 下载,也可以到 youtube 在线观看。