五月份的最后两天,SyScan360将在太平洋彼岸的美国西雅图召开。作为国际知名的黑客技术大会之一,本次大会汇集了来自世界各地的黑客大牛、技术大咖,和知名安全专家。
安全牛在本次黑客技术大会即将召开之际,分别采访了SyScan创始人托马斯·利姆和360首席安全官谭晓生。
一、亚洲黑客技术盛会SyScan
SyScan会议最早是由新加坡安全公司COSEINC的创始人 Thomas Lim 于2004年创立,这也是新加坡第一个技术性质的安全/黑客会议。
较为知名的一次演讲是2006年,COSEINC的研究人员在SyScan上发布了第一个基于硬件的rookit,可以作为hypervisor的身份执行,获得对计算机资源的控制权,无需重启也不会降低服务速度,因此非常难于检测,该恶意软件被命名为蓝色药丸。
2012年,SyScan首次在上海举办,由360企业安全赞助,后者于2015年买下之SyScan的品牌,并改名为SyScan360。
我很早就知道奇虎360,有许多优秀的黑客技术研究人员,并且是一家非常好的安全公司。所以我决定与他们合作,把SyScan带到中国,并扩展到全世界。
——Thomas Lim
二、SyScan360精彩回顾
360收购SyScan之后,2012年至2016年,SyScan360共举办了6次,其中4次在北京,另外两次分别在上海和新加坡,并且这两次是在同一年,2016年举办。
这6次会议,共分享了80余个Keynotes,演讲人员分别来自美国、俄罗斯、德国、新西兰、巴基斯坦、新加坡、中国等,包括了微软、谷歌、Chcek Point、趋势、360、迈克菲、飞塔、Uber,甚至还有曾为NSA工作的技术专家。研究方向涵盖了办公软件/浏览器/系统内核/账户权限/移动应用/编程语言/虚拟机/沙箱/代码审计/恶意软件/逆向工程/车联网/智能设备/等技术领域。
SyScan360的定位是纯技术的,比较吸引中高端的安全技术研究者,偏高端的黑客圈会议。SyScan这个品牌的风格一贯如此,每次开会都能请来全世界比较牛的破解人才。
——谭晓生
三、西雅图的SyScan360
除了首次在美国举办SyScan以外,本次会议与往年最不一样的地方是增加了前期的技术培训。培训分为四天和五天两种,虽然培训费用高达5000到7000美元,但仍然还有不少人报名参加。其中仅已经购买SyScan会议门票的听众中就有十余人另外报名参加培训。
值得一提的是,中国盘古团队的高级iOS内核利用课程最为火爆,吸引了不少美国黑客。
在被问及此次为什么要在美国召开SyScan360的时候,谭晓生表示,对于一直在亚洲举办的SyScan,360希望能够进一步扩大其在国际上的影响力。而360之前经过几年的努力,在国际上的各种黑客大赛和大会上露面,也取得了一些不俗的成绩,包括 Black Hat, DefCon 上的演讲,和 Pwn2Own, CanSecWest, POC等破解比赛上的突出表现,已经初步具备了扩大影响力的基础。
我们希望360的安全研究人员具有国际上的影响力,不仅仅是在中国把国外高手请到中国来,我们还希望中国的安全人员也能走出去。
2017 SyScan360的几个亮点议题:
1. 用机器学习加强模糊测试
利用机器学习,快速挖掘漏洞。据悉,这种方法已经帮助研究人员发现了21个之前从未发现过的漏洞,其中7个漏洞被CVE收录。该议题由乔治亚大学计算机科学教授,网络免疫实验室主任李康主讲。李康教授还是去年人机黑客大CGC的七支决赛队伍之一的领队。
2. 翻译中的破解
从Subtitles到RCE。通过构造恶意的文本字幕,实现远程代码执行。演讲者为 Omri Herscovici,Check Piont 的研究员,之前曾在以色列情报部门担任了七年的研发负责人。
3. Windows容器中的惰性气体
该议题亮点在于,全球首次公开微软最新的虚拟化/容器化技术内部和细节,首次公开微软 Windows 10 容器到宿主的逃逸攻击。演讲者 Alex Ionescu,Windows内核和安全领域最知名的专家之一,BlackHat 等安全会议每年的保留讲师,目前任 Crowd Strike 的首席架构师和EDR战略副总裁。
4. 蝴蝶效应和程序错误
在 PwnFest 2016 上攻破Chrome浏览器使用的一个“近乎不可能”的漏洞利用。在普通人的思路中,这个漏洞几乎不可能被利用。360团队结合多种非常规利用技巧,全球首次攻破了谷歌的最新手机 Google Pixel。本次为首次公开,高技术含量的漏洞利用和思路。演讲者龚广为360阿尔法团队高级研究员,研究领域包括 Windows rootkits、安卓漏洞挖掘和利用,以及虚拟化和云计算。在黑帽大会、CanSecWest、PHDays、SysCan360、MOSEC、PacSec等知名安全会议发表过演讲,并在多次在Pwn2Own破解大赛上获奖。
5. Glibc漏洞与谷歌
Glibc漏洞(CVE-2015-7547),通过远程未经身份验证的方式影响了一半的互联网(基于 Linux)。其中涉及有关 DNS 的高级概念、通过绕过堆栈 cookie、ASLR 等利用漏洞的不同情景。本次也会有新的未公开的利用技巧。演讲者为 Fermin J. Serna 为谷歌资深安全研究人员,业界非常罕见和知名的全栈安全研究员。2016年PwnIE年度最佳客户端漏洞的获得者,此前也多次被 Pwnie奖项提名。
安全牛评
360已经在北美建了自己的网络安全研究院,因此也需要与当地的人和文化接轨。同时,安全研究的全球化趋势已很明显,通过在国外举办相关活动,无疑可以很大的促进安全研究的本土化战略布局。从本次会议的赞助方,微软、谷歌和苹果,就可以从中看出这一发展方向。
相关阅读
