SyScan360安全峰会:中美德俄等七国黑客专家神技大比拼
作者: 日期:2017年09月14日 阅:4,789

一切皆可编程,万物均要互联。大安全时代的网络安全已然打破了传统线上线下的界限。面对网络安全的新挑战,各国专家在安全领域研究的交流分享也变得更加重要。912日,为期两天的SyScan360国际前瞻信息安全会议在北京落下帷幕。作为亚洲最知名的安全会议之一,本届SyScan360邀请了中国、美国、德国、俄罗斯、匈牙利、以色列、新加坡等七个国家的顶级讲师分享12大前沿议题,囊括了系统、移动、网络、应用、虚拟机、密钥、物联网、工业互联网等全领域的安全热点,成为了全球安全领域的关注焦点。

对于安全研究者和爱好者来说,SyScan360两天就能带你览遍七个国家的安全前沿课题,绝对称得上最具性价比的干货盛会。别急,SyScan360的魅力绝不仅是百科全书式的议题丰富度,更是令人惊呼不可思议的黑客绝技和前所未见的安全机密!

迷雾丛生的悬案:影子经纪人为何成为美国国家安全局最可怕噩梦?

几个月前,想哭勒索病毒在席卷全球150多个国家的同时,也让一个黑客组织——影子经纪人一战成名。想哭勒索病毒被广泛认定为是根据美国国家安全局(NSA)此前泄露的黑客武器之一——永恒之蓝升级而来,而该武器正是影子经纪人早前窃取并公布于众的。

影子经纪人堪称现今网络时代最具争议的组织之一,它从20168月宣布攻破NSA防火墙开始初露锋芒,尽管在互联网上兴风作浪许久,但至今没有人知道影子经纪人究竟是谁。

SyScan360上,全球影子经纪人追踪第一人Mattieu Suiche给出了他的看法:它是一个运行着高度复杂的诱导和渗透技术的情报组织,还是斯诺登事件的重演,我们无从猜测。但可以肯定,影子经纪人是游戏规则的改变者,它让世界上最先进的政府情报机构陷入了尴尬而危险的局面,这种危险的游戏滋生了破坏性和传播速度极快的勒索病毒,而它酿出的安全恶果(如“Petya”等)还将持续。

Mattieu Suiche做主题为“The Shadow Brokers – Cyber Fear Game-Changers”的演讲

除了影子经纪人这一悬案外,俄罗斯安全公司Gleg创始人Yuriy Gurkin在《对ICS开发软件渗透测试,探寻其是否存在潜在毁灭性的攻击方式》中还提到了2015年大众汽车因柴油发动机控制器软件丑闻两天内损失30%2.5亿美元)的股份事件,虽然该事件的真相扑朔迷离,但可以肯定的是,控制软件的安全性正变得格外重要。议题中,Yuriy Gurkin利用开源代码的渗透测试展示了广泛应用于能源、工业级自动化技术领域的CODESYS编程软件存在的多个0day漏洞。

突破想象的攻击:美妙的海豚音竟成攻破iPhone黑手?

如今,智能手机、平板电脑、可穿戴设备以及智能汽车等都搭载着语音助手,SiriGoogle NowAlexa等语音助手变得越来越流行,但你觉得语音助手是安全的吗?也许你认为,攻击语音助手势必会产生声音而被发现,攻击的可能性很低,那你就大错特错了!

浙江大学教授徐文渊和360智能网联汽车信息安全实验室的刘健皓在SyScan360现场全球首次公开演示了使用超声波攻击智能系统的方法——海豚攻击。该攻击将语音命令转换成超音波信号,利用麦克风的硬件漏洞进行自动解调功能恢复出原始的语音命令,从而驱动语音助手执行相应的控制命令,让iPhone自动对外拨打电话、发短信,甚至可以远程操作汽车导航系统及智能家居。

类似海豚攻击这种突破想象的攻击方式,在SyScan现场并不少见。来自美国安全公司Check Point的两名白帽子展示了利用恶意字幕文件,在VLCKodiPopcorn Time等国外主流视频播放器上实现远程代码执行操作,甚至能控制整个字幕文件的供应链。来自360移动安全研究团队Alpha Team的龚广则还原了一场蝴蝶振翅引发的安全风暴,利用近乎不可能的漏洞(CVE-2016-9581)和多种奇特的利用技巧,最终用时不到60秒,就在PwnFest世界黑客大赛上实现了全球首破Pixel

核弹级别的危机:隐藏在iOS沙箱背后的漏洞天堂

还觉得苹果系统很安全?听完美国安全公司Trustwave研究员Nikias BassenTrustwave和国内著名越狱团队盘古的议题,你一定会刷新自己的想法!

苹果公司虽然已经在iOS系统中建立了新的安全标准以减少漏洞带来的负面影响,但现实效果却不尽人意。Nikias Bassen现场就揭示了iOS内核中的众多特权提升漏洞,这些漏洞能影响到数以百万计的iOS设备。无独有偶,盘古的王铁磊和徐昊在议题以简单的方式查找iOS漏洞也展示了苹果在修复漏洞方面趣味十足的作战史。

除了苹果系统,浏览器、Adobe等常用软件也被爆出了诸多高危漏洞。来自美国五角大楼网络安全服务商、趋势科技旗下ZDIZero Day Initiative)的三名白帽子通过对Adobe ReaderXSLT引擎测试,讲述了该引擎中发现漏洞的趋势。来自安全公司MRG Effitas的首席技术官Zoltan Balazs则深入分析了如何隐藏浏览器中的0day漏洞。

Zoltan Balazs 做主题为”How to hide your browser 0-Days”的演讲

除上述议题外,堪称百科全书的SyScan360还在偏小众的安全领域做了深入探讨。比如,来自新加坡的安全专家Maxwell Koh展示了绕过双因子认证窃取密钥的攻击场景,并提出相关保护私人密钥免遭盗窃的建议;360Gear Team的胡志斌和李强则在“Qemu中的Virtio安全性中全球首次对云平台默认使用的Virto设备安全性进行了深入探讨。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章