0.jpeg

第 11 届 KCon 大会越来越近,议题征集开启以来,有很多大佬已经向我们投递了高质量议题。

为了丰富此次大会的议题内容,给更多技术大佬展示的机会,同时也给观众带来更高质量的内容,我们决定招募议题【推荐官】,希望更多朋友参与进来,推荐技术大佬投递议题。同时【投稿人】也有礼品哦~

本届大会举办时间暂定为7 月中下旬,因疫情原因,采用线上全网直播的形式。我们为此专门定制了线上方案,希望能为演讲人带来更多曝光,也给观众带来更加有趣的体验。

另,在此通知:议题征集时间延长至5月末~

推荐/被推荐都有好礼,快看过来吧!

一、活动说明 

1、关于奖品:

【推荐官】:电动牙刷10个,每人限领1个,数量有限,先到先得哦~

【投稿人】:所有投稿人(包括此前已经投递议题的)送2022年KCon主题T恤和100元京东卡

2、参与方式:

【推荐官】:推荐人投递议题(不可自己推荐自己),无论议题最终是否被选中,就有礼品相送!

【投稿人】:只要投递议题,无论是被推荐,还是自己主动参与,都有礼品相送!

注:投递议题需符合要求,【推荐官】取前10名发放奖品,【投稿人】不限时间和数量。

3、活动规则:

议题需符合要求(议题投递要求见下方【招募规则】),按照KCon 会务组邮箱 kcon@knownsec.com 收到议题时间选取前10名,快让身边的小伙伴行动起来吧~

4、活动时间:

即日起至2022年5月末(议题征集时间与此同步)

5、领取方式:

【推荐官】:被推荐人投递之后,请添加我们官方微信,备注【推荐官】,并发送“议题投递人姓名/ID+推荐官本人手机号”。如果中奖,我们会通知您发送地址,将奖品邮寄过去~

【投稿人】:通过邮件与议题一起提交联系方式,具体参考下方【招募规则】

WechatIMG62.jpeg

扫码添加官方微信

* 本次活动最终解释权归 KCon 组委会所有

二、演讲者及议题招募相关事宜

1、议题提交内容

1.1 基本内容

(1)议题名称

(2)明确的议题内容描述

  • 包括但不仅限于研究思路、研究发现、研究成果及解决方案;

  • 需同时说明该议题是否在其他地方有过相关发布及发布范围。

(3)演讲者介绍及联系方式

  • 若演讲者以个人名义提交议题,需对自身和工作经历进行描述;

  • 若以团队名义提交议题,除以上演讲者自身介绍外,还需另外增加详细的团队介绍。

* 以上信息将作为议题评审的参考信息,不用做商业宣传 

(4)演讲过程中的细节

  • 演讲时长(不超过40min);

  • 是否发布新的工具;

  • 是否发布新漏洞;

  • 是否需要发布新的 Exploit 代码。

1.2 完整议题 PPT

1.3 议题范围

包括但不局限于应用层或底层、传统或新型领域等各种安全攻防技术、实践案例等高质量内容分享。请注意,以企业宣传、产品推广或销售为目的的议题将不被采纳。

1.4 议题提交方式

请将包含上述信息的议题说明发送至 KCon 会务组邮箱:kcon@knownsec.com。

无论您的议题是否被选中,我们都会在评审结束后邮件反馈您审核结果。

2、演讲者权益

2.1 终身 KCon 免费参会资格;
2.2 2022 KCon 大会期间线下演播厅行程及住宿安排,地点北京;
2.3 获得 KCon 2022 讲师证书+精美伴手礼;
2.4 加入 KCon 历届讲师俱乐部。

3、议题招募时间

即日起至 2022 年 5 月 末。

4、议题评审及公布时间

2022 年 6 月中上旬。

5、KCon 2022 举办时间

2022 年 7 月中下旬。

期待痴迷于网络安全攻防技术研究、热衷交流分享的你

成为首届 KCon 大会线上舞台上的耀眼明星!

前沿技术与落地实践并重
着眼数字时代,护航未来进阶

这个夏天,火热继续
等你来!

0.jpeg

第 11 届 KCon 大会越来越近,议题征集开启以来,有很多大佬已经向我们投递了高质量议题。

为了丰富此次大会的议题内容,给更多技术大佬展示的机会,同时也给观众带来更高质量的内容,我们决定招募议题【推荐官】,希望更多朋友参与进来,推荐技术大佬投递议题。同时【投稿人】也有礼品哦~

本届大会举办时间暂定为7 月中下旬,因疫情原因,采用线上全网直播的形式。我们为此专门定制了线上方案,希望能为演讲人带来更多曝光,也给观众带来更加有趣的体验。

另,在此通知:议题征集时间延长至5月末~

推荐/被推荐都有好礼,快看过来吧!

一、活动说明 

1、关于奖品:

【推荐官】:电动牙刷10个,每人限领1个,数量有限,先到先得哦~

【投稿人】:所有投稿人(包括此前已经投递议题的)送2022年KCon主题T恤和100元京东卡

2、参与方式:

【推荐官】:推荐人投递议题(不可自己推荐自己),无论议题最终是否被选中,就有礼品相送!

【投稿人】:只要投递议题,无论是被推荐,还是自己主动参与,都有礼品相送!

注:投递议题需符合要求,【推荐官】取前10名发放奖品,【投稿人】不限时间和数量。

3、活动规则:

议题需符合要求(议题投递要求见下方【招募规则】),按照KCon 会务组邮箱 kcon@knownsec.com 收到议题时间选取前10名,快让身边的小伙伴行动起来吧~

4、活动时间:

即日起至2022年5月末(议题征集时间与此同步)

5、领取方式:

【推荐官】:被推荐人投递之后,请添加我们官方微信,备注【推荐官】,并发送“议题投递人姓名/ID+推荐官本人手机号”。如果中奖,我们会通知您发送地址,将奖品邮寄过去~

【投稿人】:通过邮件与议题一起提交联系方式,具体参考下方【招募规则】

WechatIMG62.jpeg

扫码添加官方微信

* 本次活动最终解释权归 KCon 组委会所有

二、演讲者及议题招募相关事宜

1、议题提交内容

1.1 基本内容

(1)议题名称

(2)明确的议题内容描述

  • 包括但不仅限于研究思路、研究发现、研究成果及解决方案;

  • 需同时说明该议题是否在其他地方有过相关发布及发布范围。

(3)演讲者介绍及联系方式

  • 若演讲者以个人名义提交议题,需对自身和工作经历进行描述;

  • 若以团队名义提交议题,除以上演讲者自身介绍外,还需另外增加详细的团队介绍。

* 以上信息将作为议题评审的参考信息,不用做商业宣传 

(4)演讲过程中的细节

  • 演讲时长(不超过40min);

  • 是否发布新的工具;

  • 是否发布新漏洞;

  • 是否需要发布新的 Exploit 代码。

1.2 完整议题 PPT

1.3 议题范围

包括但不局限于应用层或底层、传统或新型领域等各种安全攻防技术、实践案例等高质量内容分享。请注意,以企业宣传、产品推广或销售为目的的议题将不被采纳。

1.4 议题提交方式

请将包含上述信息的议题说明发送至 KCon 会务组邮箱:kcon@knownsec.com。

无论您的议题是否被选中,我们都会在评审结束后邮件反馈您审核结果。

2、演讲者权益

2.1 终身 KCon 免费参会资格;
2.2 2022 KCon 大会期间线下演播厅行程及住宿安排,地点北京;
2.3 获得 KCon 2022 讲师证书+精美伴手礼;
2.4 加入 KCon 历届讲师俱乐部。

3、议题招募时间

即日起至 2022 年 5 月 末。

4、议题评审及公布时间

2022 年 6 月中上旬。

5、KCon 2022 举办时间

2022 年 7 月中下旬。

期待痴迷于网络安全攻防技术研究、热衷交流分享的你

成为首届 KCon 大会线上舞台上的耀眼明星!

前沿技术与落地实践并重
着眼数字时代,护航未来进阶

这个夏天,火热继续
等你来!

2022.4.6-主KV静态-低清晰度.jpeg

随着攻防越来越趋向“实战化”,各类自动化工具的地位也愈加凸显。

有了安全自动化工具的加持,能让安全人员从“白打”升级到全副武装状态,帮助展示及处理诸多复杂、耗时的安全问题,明确风险、提升效率、加强防御。

为了持续推动国内安全自动化工具的发展,展示更多技术人员的安全自动化研究成果,今年KCon大会也设置了「兵器谱」展示环节。

自2016年起,KCon黑客大会便引入「兵器谱」展示环节,已有近50件“安全神兵利器”受到千余名参会黑客的观摩与试用,并获得媒体朋友们的广泛关注。

KCon 2022「兵器谱」强势开启!现诚邀众安全研究员踊跃展示“神兵利器”,以“兵器”会友,逐鹿网络江湖。

同时,沿袭以往的传统,入选兵器谱的代表无需花费任何费用,便可在众多观众面前展示您的“神兵利器”~

KCon迎来11周岁,在新征程上,我们需要你与我们一同“+1 进阶,护航未来”!

众多“+1”汇聚,才能以量变引起质变,化不可能为可能!

欢迎大家踊跃报名!!!

兵器谱招募相关事宜说明

一、兵器谱要求

  • 任何基于个人开发的,实用新颖的安全工具均可参与报名;

  • 参展工具可以是在线平台或者是独立工具形式,不限于命令行或者 GUI 工具,但不接受概念性非实用或者纯想法的工具,要求至少有 Demo;

  • 鼓励开源或者已经发布项目,鼓励相关项目事先准备完善的使用手册或说明。

二、参展收益

  • 免费获得在 KCon 2022上展示自己工具与平台的机会,秀出你的网安神兵;

  • 将获得在 KCon 2022官网、公众号及现场的展示与推荐宣传;

  • 将获得 KCon 颁布的「安全兵器谱神兵」证书;

  • 加入 KCon VIP 圈子(包括历届演讲者、培训师、顾问等),结识圈内牛人大咖。

三、申请及展示流程

  • 点击【这里】在线申报;

  • 由 KCon 审核组对申报项目进行审核;

  • 发送审核通知,参加 KCon 2022展示。

四、注意事项

  • 拒绝任何纯商业性质项目,拒绝硬件盒子形式项目;

  • 拒绝与演示项目无关的其他产品的宣传彩页等材料;

  • 演示形式统一为线上展示;

  • 我们会在审核通过后进行电话、邮件等方式确认;

  • 如有任何疑问,均可与我们联系:KCon会务组邮箱 [email protected]

本届大会将采取免费线上直播的形式举行,时间暂定为7月中下旬,期待大家线上相见!

* 所有相关会议解释权归 KCon 会务组所有。

2022.4.6-主KV静态-低清晰度.jpeg

随着攻防越来越趋向“实战化”,各类自动化工具的地位也愈加凸显。

有了安全自动化工具的加持,能让安全人员从“白打”升级到全副武装状态,帮助展示及处理诸多复杂、耗时的安全问题,明确风险、提升效率、加强防御。

为了持续推动国内安全自动化工具的发展,展示更多技术人员的安全自动化研究成果,今年KCon大会也设置了「兵器谱」展示环节。

自2016年起,KCon黑客大会便引入「兵器谱」展示环节,已有近50件“安全神兵利器”受到千余名参会黑客的观摩与试用,并获得媒体朋友们的广泛关注。

KCon 2022「兵器谱」强势开启!现诚邀众安全研究员踊跃展示“神兵利器”,以“兵器”会友,逐鹿网络江湖。

同时,沿袭以往的传统,入选兵器谱的代表无需花费任何费用,便可在众多观众面前展示您的“神兵利器”~

KCon迎来11周岁,在新征程上,我们需要你与我们一同“+1 进阶,护航未来”!

众多“+1”汇聚,才能以量变引起质变,化不可能为可能!

欢迎大家踊跃报名!!!

兵器谱招募相关事宜说明

一、兵器谱要求

  • 任何基于个人开发的,实用新颖的安全工具均可参与报名;

  • 参展工具可以是在线平台或者是独立工具形式,不限于命令行或者 GUI 工具,但不接受概念性非实用或者纯想法的工具,要求至少有 Demo;

  • 鼓励开源或者已经发布项目,鼓励相关项目事先准备完善的使用手册或说明。

二、参展收益

  • 免费获得在 KCon 2022上展示自己工具与平台的机会,秀出你的网安神兵;

  • 将获得在 KCon 2022官网、公众号及现场的展示与推荐宣传;

  • 将获得 KCon 颁布的「安全兵器谱神兵」证书;

  • 加入 KCon VIP 圈子(包括历届演讲者、培训师、顾问等),结识圈内牛人大咖。

三、申请及展示流程

  • 点击【这里】在线申报;

  • 由 KCon 审核组对申报项目进行审核;

  • 发送审核通知,参加 KCon 2022展示。

四、注意事项

  • 拒绝任何纯商业性质项目,拒绝硬件盒子形式项目;

  • 拒绝与演示项目无关的其他产品的宣传彩页等材料;

  • 演示形式统一为线上展示;

  • 我们会在审核通过后进行电话、邮件等方式确认;

  • 如有任何疑问,均可与我们联系:KCon会务组邮箱 [email protected]

本届大会将采取免费线上直播的形式举行,时间暂定为7月中下旬,期待大家线上相见!

* 所有相关会议解释权归 KCon 会务组所有。

一、背景介绍

2022年伊始,哈萨克斯坦西部石油重镇扎瑙津爆发抗议活动,随后迅速蔓延到包括阿拉木图在内的其他城市。抗议从抵制液化石油气价格飙升逐渐发展为暴力骚乱。部分示威者甚至闯进前首都阿拉木图市政府,阿拉木图市政府和检察院遭纵火。但随着集体安全条约组织成员国向哈萨克斯坦派遣军队提供援助,哈萨克斯坦的局势逐渐得到控制。

在整个动乱事件的背景中,哈萨克斯坦政府切断全国网络成为了控制局势稳定的重要一环。哈萨克斯坦数字发展与航空工业部代理部长穆兴表示:网络的关闭是由于恐怖分子利用网络来进行协调和沟通。

根据新闻报道,2022年1月5日晚,哈萨克斯坦政府切断了全国的网络。2022年1月7日,哈萨克斯坦总统托卡叶夫表示政府已决定恢复部分地区的网络服务。2022年1月10日,阿拉木图市和其它部分地区的移动网络与有线网络恢复、即时通信软件和社交网站也恢复运行。

在切断网络和网络恢复的这几天时间内,哈萨克斯坦的局势得以控制,全国各地的宪法秩序已大体恢复。在此,我们也将从网络空间的视角入手,看一看在动乱发生前后,哈萨克斯坦的网络有哪些变化。

注:本文部分引用的部分数据可能因各种原因导致判断不准确,本文关于IP地址的位置解析主要依赖于IP库的数据,在部分地区的位置可能存在误差,故本报告所含信息仅供参考。

二、动乱前的哈萨克斯坦网络空间

2.1 哈萨克斯坦网络设备分布情况

截至2022年1月5日24时,ZoomEye网络空间搜索引擎一共收录哈萨克斯坦1712153个ip和356427个域名的4786464条历史数据,其中 4786341 条数据可以定位到具体的地理位置。根据地理位置信息进行统计,前首都阿拉木图北部、现首都努尔苏丹、卡拉干达都是网络设备大量聚集的地区。

1.jpeg

本图根据Google地图绘制

2.2 哈萨克斯坦的互联网发展情况以及GPON路由的占比情况

2017年,哈萨克斯坦政府通过“数字哈萨克斯坦”国家规划,旨在依靠数字技术加快国家经济发展,提高居民生活质量。从哈萨克斯坦的整体数据来看,哈萨克斯坦已经达到较高的互联网普及率,但互联网相关产业仍在发展中:

1. 互联网已经走进了哈萨克斯坦的千家万户。根据网络设备类型进行统计,哈萨克斯坦端口数据中 GPON Home Gateway 占比超过 22.04%,实际数量超过 1055345 条。GPON Home Gateway 是一款常见的 GPON 设备,也就是所谓的光猫。GPON Home Gateway 所属的网络自制域多是 AS9198(哈萨克斯坦电信公司)。

2. 互联网相关行业仍有很大发展空间。根据AS自治域的统计结果,排名前列的也多是网络运营商、VPS提供商,其中甚至出现了俄罗斯的抗DDoS自治域。整体来说,互联网接入、互联网服务提供商居多,利用互联网进行各类商务活动的企业占比较少。这类企业仍有很大的发展空间。

哈萨克斯坦的自治系统分布如下:大致和上述的互联网提供商一致,但也出现了俄罗斯的抗DDoS网段。

2.png

在本次分析中,我们结合以下两条外部数据,决定通过额外关注 GPON Home Gateway 的数量变化来了解哈萨克斯坦的网络恢复情况:

1. 根据世界银行的统计数据,哈萨克斯坦2019年总人口为 18513673。

2. 根据联合国关于哈萨克斯坦《消除对妇女一切形式歧视公约》中的内容可知,2009年哈萨克斯坦每个家庭由3.5个成员组成。

(GPON设备数量 * 家庭成员数量) /(哈萨克斯坦人口总数 * 哈萨克斯坦电信公司份额占比) = 32.03%

这说明接近三分之一的哈萨克斯坦家庭使用哈萨克斯坦电信公司网络和互联网紧密相连。GPON Home Gateway在网络上恢复也就意味着对应地区的秩序已经恢复。

2.3 哈萨克斯坦外交政策和SSL证书信息/域名的关联

哈萨克斯坦在大国之间奉行政治上“多元平衡”与经济上积极合作的政策,尤其是在中、美、俄三国关系上,进行“等边三角形”外交。

从哈萨克斯坦的SSL证书的国家分布也可以看到,中国、美国、德国等国家的证书占比要远高于其本国的证书比例。一方面是因为其国民用来上网的光猫是中国生产的 GPON Home Gateway,该光猫使用的SSL证书地区是中国,另一方面其https网站的SSL证书签名来自国外,例如Let's Encrypt 等。同样也可以看出来,哈萨克斯坦本土网络发展进度较慢。仅有4349个SSL证书的国家为KZ。

从解析后IP地址位于哈萨克斯坦境内的域名所属顶级域入手(为了防止泛解析影响最终的统计结果,所以子域名都归类到对应的二级域名下,计数为1),哈萨克斯坦本地的.kz顶级域占据了绝对的多数,其次是.com域和.ru域,而.cn顶级域的数量仅为三条。这也从侧面说明了多国在哈萨克斯坦投资的侧重点不尽相同。

3.png

三、断网前后哈萨克斯坦网络空间设备的变化情况

根据ZoomEye网络空间搜索引擎的探测结果,2022年1月5日16时开始,仅能探测到极少量哈萨克斯坦主机。该时间略早于新闻报道中所述的2022年1月5日晚。

4.jpeg

在意识到哈萨克斯坦切断网络这一事件爆发后,ZoomEye网络空间搜索引擎在2022年1月6日12时、2022年1月7日15时、2022年1月7日20时、2022年1月8日9时、2022年1月9日11时、2022年1月11日9时、2022年1月12日11时、2022年1月14日18时进行了多轮探测。

5.jpeg

3.1 动乱爆发地点特点

在动乱初期,网上流传有一张哈萨克斯坦发生大规模游行抗议的城市图,和2.1节中的分布图相比较不难发现,大部分爆发游行抗议的城市互联网都较为发达。

6.jpeg

图源网络

https://twitter.com/theragex/status/1478446431421845506

但仔细对比之下也出现了一些细节上的差异:

1. 哈萨克斯坦西部的曼格斯套州仅有极少的网络设备,但却包含抗议活动的发起地区扎瑙津,以及另外两个抗议爆发地点。

2. 哈萨克斯坦北部靠近俄罗斯边界的彼得罗巴甫尔、东部塞米伊、东部厄斯克门(俄语旧语:乌斯季卡缅诺戈尔斯克)虽然也存在网络设备聚集,但没有发生抗议游行等活动。

对于哈萨克斯坦西部的曼格斯套州,存在丰富的石油气资源,但是现代化发展有限,网络设备较少。从地理位置和经济发展上来看,哈萨克斯坦西部距离政治/经济中心较远、贫富差距不断拉大、油气收入分配不均都是引发抗议活动的原因。丰富资源产出分配不均和现代化的缓慢发展之间的冲突在这些城市蔓延发酵。

哈萨克斯坦同样是一个多民族的国家,根据外交部的数据,截至2021年7月,哈萨克斯坦约有140个民族,其中哈萨克族占68%,俄罗斯族占20%(https://www.fmprc.gov.cn/web/gjhdq_676201/gj_676203/yz_676205/1206_676500/1206x0_676502/)。由于多方面的历史原因,哈萨克斯坦的俄罗斯族人主要聚集在哈萨克斯坦北部地区。从2021年哈萨克斯坦俄罗斯族人各城市的占比图中可以看到,哈萨克斯坦北部彼得罗巴甫尔、东部塞米伊、东部厄斯克门(俄语旧语:乌斯季卡缅诺戈尔斯克)均是俄罗斯族占比极高的地区。这也许是这些地区没有发生抗议游行活动的原因之一。

7.jpeg

图源网络

https://tr.wikipedia.org/wiki/Kazakistan%27ın_Etnik_Demografisi#/media/Dosya:Russians_in_Kazakhstan_Rus.png

结合事后的哈萨克斯坦总统托卡耶夫给这场动荡定性为未遂政变来看,本次动乱可能主要集中发生在哈萨克族人自身,作为哈萨克斯坦境内第二大名族俄罗斯族则牵涉较少。

3.2 断网恢复期间的差异性

在对多轮探测的数据进行分析后,哈萨克斯坦境内各城市的网络恢复大致呈现出三种状态:

8.jpeg

1. 以哈萨克斯坦现首都努尔苏丹为代表,在第五轮扫描时就已经恢复了大部分网络设备。下图中红色圆圈表示。

2. 以哈萨克斯坦前首都阿拉木图为代表,在第四轮到第六轮扫描期间网络在持续恢复。下图中蓝色三角表示。

3. 以动乱爆发地附近阿克套地区为代表,在多轮扫描的过程中,网络设备没有明显变化。下图中绿色五角星表示。

在2.1节中的分布图基础上,分别标记出上述三类城市的地理分布:

9.jpeg

图片根据Google地图绘制

可以看到,哈萨克斯坦中部偏北、以现首都为中心的主要城市网络最快恢复,哈萨克斯坦东边(包括前首都阿拉木图)和西边的城市恢复的较慢,而动乱最先爆发的石油重镇扎瑙津附近,网络设备并没有明显变化。

这似乎也能说明这场动乱最先在以哈萨克斯坦首都为中心的主要城市被平息,然后在哈萨克斯坦全国范围内平息。而动乱最开始爆发的扎瑙津附近地区,也仅仅只是引信被点燃的地区,而不是动乱爆发最激烈的地区。

3.3 断网及恢复期间CIDR段变化情况

根据2.2节的结论,我们将对比整个哈萨克斯坦以及GPON Home Gateway所涉及网段在恢复期间的变化情况。

根据后缀为24的CIDR段去分割哈萨克斯坦的网络空间(注:下文所述CIDR段均指后缀为24的CIDR段),对比多轮探测中出现和消失的IP段,可以得出两个结论:


10.jpeg

1. 在第六轮扫描(2022年1月11日9时)时,哈萨克斯坦的大部分网络已经重新和互联网连接,回到动乱前的状态。在第一轮扫描的数据中,也就意味着相较于历史记录,断网时有8592个的CIDR段消失,但在第五轮和第六轮一共有6961个(81.01%)CIDR段重新出现。

2. 在第七轮扫描(2022年1月12日11时)之前,哈萨克斯坦人民的日常网络连接也恢复正常。GPON 相关的CIDR段在第七轮(2022年1月12日11时)出现292个,消失206个,在第八轮(2022年1月14日18时)出现234个消失200个,说明GPON相关的CIDR段已经开始动态变化,符合GPON使用的正常规律,出现GPON设备频繁上下线网段变化的情况。

在第二轮的数据中,出现了 282 个CIDR段,但只出现了4个和GPON有关的CIDR段,这部分CIDR段还需要继续关注。

四、思考和总结

根据已知的报道,哈萨克斯坦动乱被定性为未遂政变,但在整个事件中,能找到多方势力闻风而动的影子。断网可能是切断恐怖分子进行沟通协调途径的办法之一,但也要警惕可能产生的应对方案:破坏者依旧可以使用蓝牙、无线电的方式在断网的情况下快速传递信息,实现破坏最大化。

对于我们的邻国哈萨克斯坦,我们了解的资料的确有限。消息也存在一定的滞后性。希望能从这篇文章中拓展出一种动态测绘某个地区的思路,通过网络空间和现实空间事件的结合,从而开启另一个角度的思考。

文中部分结论可能受时间、地区、IP库的精准度等多个条件影响,如有错误,欢迎指正。

本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1862/

一、背景介绍

2022年伊始,哈萨克斯坦西部石油重镇扎瑙津爆发抗议活动,随后迅速蔓延到包括阿拉木图在内的其他城市。抗议从抵制液化石油气价格飙升逐渐发展为暴力骚乱。部分示威者甚至闯进前首都阿拉木图市政府,阿拉木图市政府和检察院遭纵火。但随着集体安全条约组织成员国向哈萨克斯坦派遣军队提供援助,哈萨克斯坦的局势逐渐得到控制。

在整个动乱事件的背景中,哈萨克斯坦政府切断全国网络成为了控制局势稳定的重要一环。哈萨克斯坦数字发展与航空工业部代理部长穆兴表示:网络的关闭是由于恐怖分子利用网络来进行协调和沟通。

根据新闻报道,2022年1月5日晚,哈萨克斯坦政府切断了全国的网络。2022年1月7日,哈萨克斯坦总统托卡叶夫表示政府已决定恢复部分地区的网络服务。2022年1月10日,阿拉木图市和其它部分地区的移动网络与有线网络恢复、即时通信软件和社交网站也恢复运行。

在切断网络和网络恢复的这几天时间内,哈萨克斯坦的局势得以控制,全国各地的宪法秩序已大体恢复。在此,我们也将从网络空间的视角入手,看一看在动乱发生前后,哈萨克斯坦的网络有哪些变化。

注:本文部分引用的部分数据可能因各种原因导致判断不准确,本文关于IP地址的位置解析主要依赖于IP库的数据,在部分地区的位置可能存在误差,故本报告所含信息仅供参考。

二、动乱前的哈萨克斯坦网络空间

2.1 哈萨克斯坦网络设备分布情况

截至2022年1月5日24时,ZoomEye网络空间搜索引擎一共收录哈萨克斯坦1712153个ip和356427个域名的4786464条历史数据,其中 4786341 条数据可以定位到具体的地理位置。根据地理位置信息进行统计,前首都阿拉木图北部、现首都努尔苏丹、卡拉干达都是网络设备大量聚集的地区。

1.jpeg

本图根据Google地图绘制

2.2 哈萨克斯坦的互联网发展情况以及GPON路由的占比情况

2017年,哈萨克斯坦政府通过“数字哈萨克斯坦”国家规划,旨在依靠数字技术加快国家经济发展,提高居民生活质量。从哈萨克斯坦的整体数据来看,哈萨克斯坦已经达到较高的互联网普及率,但互联网相关产业仍在发展中:

1. 互联网已经走进了哈萨克斯坦的千家万户。根据网络设备类型进行统计,哈萨克斯坦端口数据中 GPON Home Gateway 占比超过 22.04%,实际数量超过 1055345 条。GPON Home Gateway 是一款常见的 GPON 设备,也就是所谓的光猫。GPON Home Gateway 所属的网络自制域多是 AS9198(哈萨克斯坦电信公司)。

2. 互联网相关行业仍有很大发展空间。根据AS自治域的统计结果,排名前列的也多是网络运营商、VPS提供商,其中甚至出现了俄罗斯的抗DDoS自治域。整体来说,互联网接入、互联网服务提供商居多,利用互联网进行各类商务活动的企业占比较少。这类企业仍有很大的发展空间。

哈萨克斯坦的自治系统分布如下:大致和上述的互联网提供商一致,但也出现了俄罗斯的抗DDoS网段。

2.png

在本次分析中,我们结合以下两条外部数据,决定通过额外关注 GPON Home Gateway 的数量变化来了解哈萨克斯坦的网络恢复情况:

1. 根据世界银行的统计数据,哈萨克斯坦2019年总人口为 18513673。

2. 根据联合国关于哈萨克斯坦《消除对妇女一切形式歧视公约》中的内容可知,2009年哈萨克斯坦每个家庭由3.5个成员组成。

(GPON设备数量 * 家庭成员数量) /(哈萨克斯坦人口总数 * 哈萨克斯坦电信公司份额占比) = 32.03%

这说明接近三分之一的哈萨克斯坦家庭使用哈萨克斯坦电信公司网络和互联网紧密相连。GPON Home Gateway在网络上恢复也就意味着对应地区的秩序已经恢复。

2.3 哈萨克斯坦外交政策和SSL证书信息/域名的关联

哈萨克斯坦在大国之间奉行政治上“多元平衡”与经济上积极合作的政策,尤其是在中、美、俄三国关系上,进行“等边三角形”外交。

从哈萨克斯坦的SSL证书的国家分布也可以看到,中国、美国、德国等国家的证书占比要远高于其本国的证书比例。一方面是因为其国民用来上网的光猫是中国生产的 GPON Home Gateway,该光猫使用的SSL证书地区是中国,另一方面其https网站的SSL证书签名来自国外,例如Let's Encrypt 等。同样也可以看出来,哈萨克斯坦本土网络发展进度较慢。仅有4349个SSL证书的国家为KZ。

从解析后IP地址位于哈萨克斯坦境内的域名所属顶级域入手(为了防止泛解析影响最终的统计结果,所以子域名都归类到对应的二级域名下,计数为1),哈萨克斯坦本地的.kz顶级域占据了绝对的多数,其次是.com域和.ru域,而.cn顶级域的数量仅为三条。这也从侧面说明了多国在哈萨克斯坦投资的侧重点不尽相同。

3.png

三、断网前后哈萨克斯坦网络空间设备的变化情况

根据ZoomEye网络空间搜索引擎的探测结果,2022年1月5日16时开始,仅能探测到极少量哈萨克斯坦主机。该时间略早于新闻报道中所述的2022年1月5日晚。

4.jpeg

在意识到哈萨克斯坦切断网络这一事件爆发后,ZoomEye网络空间搜索引擎在2022年1月6日12时、2022年1月7日15时、2022年1月7日20时、2022年1月8日9时、2022年1月9日11时、2022年1月11日9时、2022年1月12日11时、2022年1月14日18时进行了多轮探测。

5.jpeg

3.1 动乱爆发地点特点

在动乱初期,网上流传有一张哈萨克斯坦发生大规模游行抗议的城市图,和2.1节中的分布图相比较不难发现,大部分爆发游行抗议的城市互联网都较为发达。

6.jpeg

图源网络

https://twitter.com/theragex/status/1478446431421845506

但仔细对比之下也出现了一些细节上的差异:

1. 哈萨克斯坦西部的曼格斯套州仅有极少的网络设备,但却包含抗议活动的发起地区扎瑙津,以及另外两个抗议爆发地点。

2. 哈萨克斯坦北部靠近俄罗斯边界的彼得罗巴甫尔、东部塞米伊、东部厄斯克门(俄语旧语:乌斯季卡缅诺戈尔斯克)虽然也存在网络设备聚集,但没有发生抗议游行等活动。

对于哈萨克斯坦西部的曼格斯套州,存在丰富的石油气资源,但是现代化发展有限,网络设备较少。从地理位置和经济发展上来看,哈萨克斯坦西部距离政治/经济中心较远、贫富差距不断拉大、油气收入分配不均都是引发抗议活动的原因。丰富资源产出分配不均和现代化的缓慢发展之间的冲突在这些城市蔓延发酵。

哈萨克斯坦同样是一个多民族的国家,根据外交部的数据,截至2021年7月,哈萨克斯坦约有140个民族,其中哈萨克族占68%,俄罗斯族占20%(https://www.fmprc.gov.cn/web/gjhdq_676201/gj_676203/yz_676205/1206_676500/1206x0_676502/)。由于多方面的历史原因,哈萨克斯坦的俄罗斯族人主要聚集在哈萨克斯坦北部地区。从2021年哈萨克斯坦俄罗斯族人各城市的占比图中可以看到,哈萨克斯坦北部彼得罗巴甫尔、东部塞米伊、东部厄斯克门(俄语旧语:乌斯季卡缅诺戈尔斯克)均是俄罗斯族占比极高的地区。这也许是这些地区没有发生抗议游行活动的原因之一。

7.jpeg

图源网络

https://tr.wikipedia.org/wiki/Kazakistan%27ın_Etnik_Demografisi#/media/Dosya:Russians_in_Kazakhstan_Rus.png

结合事后的哈萨克斯坦总统托卡耶夫给这场动荡定性为未遂政变来看,本次动乱可能主要集中发生在哈萨克族人自身,作为哈萨克斯坦境内第二大名族俄罗斯族则牵涉较少。

3.2 断网恢复期间的差异性

在对多轮探测的数据进行分析后,哈萨克斯坦境内各城市的网络恢复大致呈现出三种状态:

8.jpeg

1. 以哈萨克斯坦现首都努尔苏丹为代表,在第五轮扫描时就已经恢复了大部分网络设备。下图中红色圆圈表示。

2. 以哈萨克斯坦前首都阿拉木图为代表,在第四轮到第六轮扫描期间网络在持续恢复。下图中蓝色三角表示。

3. 以动乱爆发地附近阿克套地区为代表,在多轮扫描的过程中,网络设备没有明显变化。下图中绿色五角星表示。

在2.1节中的分布图基础上,分别标记出上述三类城市的地理分布:

9.jpeg

图片根据Google地图绘制

可以看到,哈萨克斯坦中部偏北、以现首都为中心的主要城市网络最快恢复,哈萨克斯坦东边(包括前首都阿拉木图)和西边的城市恢复的较慢,而动乱最先爆发的石油重镇扎瑙津附近,网络设备并没有明显变化。

这似乎也能说明这场动乱最先在以哈萨克斯坦首都为中心的主要城市被平息,然后在哈萨克斯坦全国范围内平息。而动乱最开始爆发的扎瑙津附近地区,也仅仅只是引信被点燃的地区,而不是动乱爆发最激烈的地区。

3.3 断网及恢复期间CIDR段变化情况

根据2.2节的结论,我们将对比整个哈萨克斯坦以及GPON Home Gateway所涉及网段在恢复期间的变化情况。

根据后缀为24的CIDR段去分割哈萨克斯坦的网络空间(注:下文所述CIDR段均指后缀为24的CIDR段),对比多轮探测中出现和消失的IP段,可以得出两个结论:


10.jpeg

1. 在第六轮扫描(2022年1月11日9时)时,哈萨克斯坦的大部分网络已经重新和互联网连接,回到动乱前的状态。在第一轮扫描的数据中,也就意味着相较于历史记录,断网时有8592个的CIDR段消失,但在第五轮和第六轮一共有6961个(81.01%)CIDR段重新出现。

2. 在第七轮扫描(2022年1月12日11时)之前,哈萨克斯坦人民的日常网络连接也恢复正常。GPON 相关的CIDR段在第七轮(2022年1月12日11时)出现292个,消失206个,在第八轮(2022年1月14日18时)出现234个消失200个,说明GPON相关的CIDR段已经开始动态变化,符合GPON使用的正常规律,出现GPON设备频繁上下线网段变化的情况。

在第二轮的数据中,出现了 282 个CIDR段,但只出现了4个和GPON有关的CIDR段,这部分CIDR段还需要继续关注。

四、思考和总结

根据已知的报道,哈萨克斯坦动乱被定性为未遂政变,但在整个事件中,能找到多方势力闻风而动的影子。断网可能是切断恐怖分子进行沟通协调途径的办法之一,但也要警惕可能产生的应对方案:破坏者依旧可以使用蓝牙、无线电的方式在断网的情况下快速传递信息,实现破坏最大化。

对于我们的邻国哈萨克斯坦,我们了解的资料的确有限。消息也存在一定的滞后性。希望能从这篇文章中拓展出一种动态测绘某个地区的思路,通过网络空间和现实空间事件的结合,从而开启另一个角度的思考。

文中部分结论可能受时间、地区、IP库的精准度等多个条件影响,如有错误,欢迎指正。

本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1862/

暗网,隐藏的是身份,暴露的,却是更真实的动机和欲望。

俄乌冲突从2月24日开始,在网络空间中,“网络战”也一直持续。知道创宇凭借其全球测绘能力,在往期推送中还原了真实的俄乌冲突“战场”(《ZoomEye赛博空间测绘,拨开俄乌战争迷雾》)。而在暗网中虽然攻击者隐藏了身份,其攻击流量流向却未加伪装,基于此,知道创宇安全智脑为您揭露俄乌冲突中汹涌的暗网流量。

创宇安全智脑通过对俄乌冲突之前和俄乌冲突之后的暗网流量进行监测,总结目前在此次冲突事件中暗网的流量观测数据报告。此次流量观测分析是基于2022年3月3日至2022年3月14日时间段内实时出口流量的0.13%的比例进行采样分析,通过遥测能清晰地感受到暗网流量的变化态势。

以俄罗斯为目标的暗网流量排名第一

根据对出口节点流量连接数的目的地地区Top20变化进行观测,总结排名变化如下:

俄乌冲突前暗网流量采样(2021年9月19日至2021年9月30日)

图片1.png

俄乌冲突期间暗网流量采样(2022年3月3日至2022年3月14日)

图片2.png

创宇安全智脑监测发现暗网出口节点流量去往俄罗斯的占比在俄乌冲突中显著上升,由第三位跃升至第一位,连接数connection由冲突前539,759(占比6.79%)上升至冲突后2,378,098(占比29.30%),与此同时作为对比的乌克兰出口访问流量基本变化不大。

图片3.png

针对俄罗斯境内IP与服务的攻击变化

在俄乌冲突期间的暗网出口流量中,创宇安全智脑统计了排名前10的出口节点访问IP地址,其中有7个都是俄罗斯的IP。

图片4.png

紧接着统计了暗网出口节点流量访问HTTP(S)协议-主机名Top10,发现大部分流量都去往了俄罗斯联邦安全局官网fsb.ru,它是俄罗斯的主要安全机构。

图片5.png

再结合3月6日,匿名者黑客组织(The Anonymous)在Twitter上发布消息,声明他们已经让fsb.ru不能访问的消息来看,匿名者黑客组织同时利用了大量的暗网流量来发动了此次成功的CC攻击。

图片6.png

通过对暗网节点攻击fsb.ru流量的详细分析,可以看出匿名者组织通过遍布全球的互联网搜索引擎及CDN厂商以大型互联网企业提供的服务接口经由暗网对俄罗斯fsb.ru发起了大规模的CC攻击,攻击成功导致fsb.ru网站不能访问。

图片7.png

综述

通过创宇安全智脑对于暗网流量的监测及分析可以明确感觉到,暗网无疑是网络空间中激烈交战的另一“战场”,同时基于暗网中攻击者身份隐藏的特征,因此攻击流量及攻击目标完全不加掩饰与隐藏,大都集中针对于国家的关键信息基础设施。

可见,对于国家的关键信息基础设施而言,对于暗网攻击的防御同样不容忽视,知道创宇一直致力于通过技术手段对暗网进行持续的测绘及分析,追踪来自暗网的安全威胁,并将这些信息进行分析利用,用以协助国家和企业用户发现、阻断暗网中的攻击与犯罪,共同构建安全的全球网络空间。

关于此次俄乌冲突中暗网流量的完整监测分析,请关注我们后续发布的专题报告。

暗网,隐藏的是身份,暴露的,却是更真实的动机和欲望。

俄乌冲突从2月24日开始,在网络空间中,“网络战”也一直持续。知道创宇凭借其全球测绘能力,在往期推送中还原了真实的俄乌冲突“战场”(《ZoomEye赛博空间测绘,拨开俄乌战争迷雾》)。而在暗网中虽然攻击者隐藏了身份,其攻击流量流向却未加伪装,基于此,知道创宇安全智脑为您揭露俄乌冲突中汹涌的暗网流量。

创宇安全智脑通过对俄乌冲突之前和俄乌冲突之后的暗网流量进行监测,总结目前在此次冲突事件中暗网的流量观测数据报告。此次流量观测分析是基于2022年3月3日至2022年3月14日时间段内实时出口流量的0.13%的比例进行采样分析,通过遥测能清晰地感受到暗网流量的变化态势。

以俄罗斯为目标的暗网流量排名第一

根据对出口节点流量连接数的目的地地区Top20变化进行观测,总结排名变化如下:

俄乌冲突前暗网流量采样(2021年9月19日至2021年9月30日)

图片1.png

俄乌冲突期间暗网流量采样(2022年3月3日至2022年3月14日)

图片2.png

创宇安全智脑监测发现暗网出口节点流量去往俄罗斯的占比在俄乌冲突中显著上升,由第三位跃升至第一位,连接数connection由冲突前539,759(占比6.79%)上升至冲突后2,378,098(占比29.30%),与此同时作为对比的乌克兰出口访问流量基本变化不大。

图片3.png

针对俄罗斯境内IP与服务的攻击变化

在俄乌冲突期间的暗网出口流量中,创宇安全智脑统计了排名前10的出口节点访问IP地址,其中有7个都是俄罗斯的IP。

图片4.png

紧接着统计了暗网出口节点流量访问HTTP(S)协议-主机名Top10,发现大部分流量都去往了俄罗斯联邦安全局官网fsb.ru,它是俄罗斯的主要安全机构。

图片5.png

再结合3月6日,匿名者黑客组织(The Anonymous)在Twitter上发布消息,声明他们已经让fsb.ru不能访问的消息来看,匿名者黑客组织同时利用了大量的暗网流量来发动了此次成功的CC攻击。

图片6.png

通过对暗网节点攻击fsb.ru流量的详细分析,可以看出匿名者组织通过遍布全球的互联网搜索引擎及CDN厂商以大型互联网企业提供的服务接口经由暗网对俄罗斯fsb.ru发起了大规模的CC攻击,攻击成功导致fsb.ru网站不能访问。

图片7.png

综述

通过创宇安全智脑对于暗网流量的监测及分析可以明确感觉到,暗网无疑是网络空间中激烈交战的另一“战场”,同时基于暗网中攻击者身份隐藏的特征,因此攻击流量及攻击目标完全不加掩饰与隐藏,大都集中针对于国家的关键信息基础设施。

可见,对于国家的关键信息基础设施而言,对于暗网攻击的防御同样不容忽视,知道创宇一直致力于通过技术手段对暗网进行持续的测绘及分析,追踪来自暗网的安全威胁,并将这些信息进行分析利用,用以协助国家和企业用户发现、阻断暗网中的攻击与犯罪,共同构建安全的全球网络空间。

关于此次俄乌冲突中暗网流量的完整监测分析,请关注我们后续发布的专题报告。

当今时代正踏着数字化的浪潮飞速前进,延绵不断的疫情更是让“线上”接触成为常态化。

2020年,人类社会到达虚拟化的临界点

2021年被称为“元宇宙”元年

2022年初,俄乌冲突网络战先行

……

网络空间,已经成为既独立又与现实世界密不可分的重要领域。网络空间安全,早已上升到国家安全的高度。网络安全攻防技术,作为保障网络空间安全的重要手段,亦成为各国不可忽视的战略储备。

在此背景下,KCon大会亦从新的起点,开启全新征程:

这一次,我们将继续聚焦前沿技术,不忘初心,以追求极致引领网安行业发展与变革;

这一次,我们亦持续关注实践案例,聚力前行,以应用落地护航数字时代建设与进阶。

这一次,我们将全新改版,以免费线上直播的形式,让更多热爱网络攻防技术的人士能够参与进来,共享技术盛宴。

KCon大会,知道创宇出品,始终秉承“追求干货、有趣”,是国际网络安全圈最年轻、最具活力与影响力的前沿网络安全攻防技术交流平台。

本届大会举办时间相比往年将有所提前,暂定为7月中下旬,我们期待痴迷于网络安全攻防技术研究、热衷交流分享的你成为第11届 KCon 大会线上舞台上的耀眼明星!

PS:本届议题将开放少量商业赞助席位,如有兴趣,请与会务组联系~非商业议题将严格控制商业露出。

现将演讲者及议题招募相关事宜公布如下:

一、KCon 2022 举办时间

2022年7月中下旬。

二、议题招募时间

即日起至 2022年5月7日下午18:00。

三、议题评审及公布时间

2022年5月中下旬。

四、议题提交内容

1、基本内容

(1)议题名称

(2)明确的议题内容描述

  • 包括但不仅限于研究思路、研究发现、研究成果及解决方案;

  • 需同时说明该议题是否在其他地方有过相关发布及发布范围。

(3)演讲者介绍及联系方式

  • 若演讲者以个人名义提交议题,需对自身和工作经历进行描述;

  • 若以团队名义提交议题,除以上演讲者自身介绍外,还需另外增加详细的团队介绍。

(以上信息将作为议题评审的参考信息,不用做商业宣传)

(4)演讲过程中的细节

  • 演讲时长(不超过40min);

  • 是否发布新的工具;

  • 是否发布新漏洞;

  • 是否需要发布新的 Exploit 代码。

2、完整议题 PPT

3、议题范围

包括但不局限于应用层或底层、传统或新型领域等各种安全攻防技术、实践案例等高质量内容分享。请注意,以企业宣传、产品推广或销售为目的的议题将不被采纳。

4、议题提交方式

请将包含上述信息的议题说明发送至 KCon 会务组邮箱:[email protected]

无论您的议题是否被选中,我们都会在评审结束后邮件反馈您审核结果。

五、演讲者权益

1、终身 KCon 免费参会资格;

2、2022 KCon 大会期间线下演播厅行程及住宿安排,地点北京;

3、获得 KCon 2022 讲师证书+精美伴手礼;

4、加入 KCon 历届讲师俱乐部。

前沿技术与落地实践并重

着眼数字时代,护航未来进阶

这个夏天,火热继续,等你来!

当今时代正踏着数字化的浪潮飞速前进,延绵不断的疫情更是让“线上”接触成为常态化。

2020年,人类社会到达虚拟化的临界点

2021年被称为“元宇宙”元年

2022年初,俄乌冲突网络战先行

……

网络空间,已经成为既独立又与现实世界密不可分的重要领域。网络空间安全,早已上升到国家安全的高度。网络安全攻防技术,作为保障网络空间安全的重要手段,亦成为各国不可忽视的战略储备。

在此背景下,KCon大会亦从新的起点,开启全新征程:

这一次,我们将继续聚焦前沿技术,不忘初心,以追求极致引领网安行业发展与变革;

这一次,我们亦持续关注实践案例,聚力前行,以应用落地护航数字时代建设与进阶。

这一次,我们将全新改版,以免费线上直播的形式,让更多热爱网络攻防技术的人士能够参与进来,共享技术盛宴。

KCon大会,知道创宇出品,始终秉承“追求干货、有趣”,是国际网络安全圈最年轻、最具活力与影响力的前沿网络安全攻防技术交流平台。

本届大会举办时间相比往年将有所提前,暂定为7月中下旬,我们期待痴迷于网络安全攻防技术研究、热衷交流分享的你成为第11届 KCon 大会线上舞台上的耀眼明星!

PS:本届议题将开放少量商业赞助席位,如有兴趣,请与会务组联系~非商业议题将严格控制商业露出。

现将演讲者及议题招募相关事宜公布如下:

一、KCon 2022 举办时间

2022年7月中下旬。

二、议题招募时间

即日起至 2022年5月7日下午18:00。

三、议题评审及公布时间

2022年5月中下旬。

四、议题提交内容

1、基本内容

(1)议题名称

(2)明确的议题内容描述

  • 包括但不仅限于研究思路、研究发现、研究成果及解决方案;

  • 需同时说明该议题是否在其他地方有过相关发布及发布范围。

(3)演讲者介绍及联系方式

  • 若演讲者以个人名义提交议题,需对自身和工作经历进行描述;

  • 若以团队名义提交议题,除以上演讲者自身介绍外,还需另外增加详细的团队介绍。

(以上信息将作为议题评审的参考信息,不用做商业宣传)

(4)演讲过程中的细节

  • 演讲时长(不超过40min);

  • 是否发布新的工具;

  • 是否发布新漏洞;

  • 是否需要发布新的 Exploit 代码。

2、完整议题 PPT

3、议题范围

包括但不局限于应用层或底层、传统或新型领域等各种安全攻防技术、实践案例等高质量内容分享。请注意,以企业宣传、产品推广或销售为目的的议题将不被采纳。

4、议题提交方式

请将包含上述信息的议题说明发送至 KCon 会务组邮箱:[email protected]

无论您的议题是否被选中,我们都会在评审结束后邮件反馈您审核结果。

五、演讲者权益

1、终身 KCon 免费参会资格;

2、2022 KCon 大会期间线下演播厅行程及住宿安排,地点北京;

3、获得 KCon 2022 讲师证书+精美伴手礼;

4、加入 KCon 历届讲师俱乐部。

前沿技术与落地实践并重

着眼数字时代,护航未来进阶

这个夏天,火热继续,等你来!