• 联系我们
  • 地址:湖北武汉三环科技园
  • 电话:159116031100
  • 传真:027-68834628
  • 邮箱:mmheng@foxmail.com
  • 当前所在位置:首页 - 德法日系
  • SyScan360看点回顾:中美德俄七国黑客专家神技大比拼
  •   一切皆可编程,均要互联。大安全时代的网络安全已然打破了传统线上线下的界限。面对网络安全的新挑战,专家在安全领域研究的交流分享也变得更加重要。9月12日,为期两天的SyScan360国际前瞻信息安全会议在落下帷幕。作为亚洲最知名的安全会议之一,本届SySan360邀请了中国、美国、、俄罗斯、匈牙利、以色列、新加坡等七个国家的分享12大前沿议题,囊括了系统、移动、网络、应用、虚拟机、密钥、物联网、工业互联网等全领域的安全热点,成为了全球安全领域的关注焦点。

      对于安全研究者和爱好者来说,SyScan360两天就能带你览遍七个国家的安全前沿课题,绝对称得上最具性价比的“干货”盛会。别急,SyScan360的魅力绝不仅是百科全书式的议题丰富度,更是令人惊呼不可思议的黑客绝技和前所未见的安全机密!

      几个月前,“想哭”病毒在席卷全球150多个国家的玉米地里的大嫂同时,也让一个黑客组织——影子经纪人一战成名。“想哭”病毒被广泛认定为是根据美国局(NSA)此前泄露的黑客武器之一——之蓝升级而来,而该武器正是影子经纪人早前窃取并公布于众的。

      影子经纪人堪称现今网络时代最具争议的组织之一,它从2016年8月宣布攻破NSA防火墙开始初露锋芒,尽管在互联网上兴风作浪许久,但至今没有人知道影子经纪人究竟是谁。

      SyScan360上,全球“影子经纪人”追踪第一人Mattieu Suiche给出了他的看法:它是一个运行着高度复杂的和渗透技术的情报组织,还是登事件的重演,我们无从猜测。但可以肯定,影子经纪人是游戏规则的改变者,它让世界上最先进的情报机入了尴尬而的局面,这种的游戏滋生了性和速度极快的病毒,而它酿出的安全(如“Petya”等)还将持续。

      除了“影子经纪人”这一悬案外,俄罗斯安全公司Gleg创始人Yuriy Gurkin在《对ICS开发软件渗透测试,探寻其是否存在潜在性的方式》中还提到了2015年大众汽车因柴油发动机控制器软件丑闻两天内损失30%(2.5亿美元)的股份事件,虽然该事件的扑朔迷离,但可以肯定的是,控制软件的安全性正变得格外重要。议题中,Yuriy Gurkin利用开源代码的渗透测试展示了广泛应用于能源、工业级自动化技术领域的CODESYS编程软件存在的多个0day漏洞。

      如今,智能手机、平板电脑、可穿戴设备以及智能汽车等都搭载着语音助手,Siri、Google Now、Alexa等语音助手变得越来越流行,但你觉得语音助手是安全的吗?也许你认为,语音助手势必会产生声音而被发现,的可能性很低,那你就大错特错了!

      浙江大学教授徐文渊和360智能网联汽车信息安全实验室的刘健皓在SyScan360现场全球首次公开演示了使用无声音波智能系统的方法——海豚。该将语音命令转换成超音波信号,利用麦克风的硬件漏洞进行自动解调功能恢复出原始的语音命令,从而驱动语音助手执行相应的控制命令,让iPhone自动对外拨打电话、发短信,甚至可以远程操作汽车系统及智能家居。

      类似海豚这种突破想象的方式,在SyScan现场并不少见。来自美国安全公司Check Point的两名白帽子展示了利用恶意字幕文件,在VLC、Kodi、Popcorn Time等国外主流视频播放器上实现远程代码执行操作,甚至能控制整个字幕文件的供应链。来自360移动安全研究团队Alpha Team的龚广则还原了一场蝴蝶振翅引发的安全风暴,利用近乎不可能的漏洞(CVE-2016-9581)和多种奇特的利用技巧,最终用时不到60秒,就在PwnFest世界黑客大赛上实现了全球首破Pixel。

      还觉得苹果系统很安全?听完美国安全公司Trustwave研究员Nikias BassenTrustwave和国内著名越狱团队盘古的议题,你一定会刷新自己的想法!

      苹果公司虽然已经在iOS系统中建立了新的安全标准以减少漏洞带来的负面影响,但现实效果却不尽人意。Nikias Bassen现场就了iOS内核中的众多提升漏洞,这些漏洞能影响到数以百万计的iOS设备。无独有偶,盘古的王铁磊和徐昊在议题“以简单的方式查找iOS漏洞”也展示了苹果在修复漏洞方面趣味十足的作战史。

      除了苹果系统,浏览器、Adobe等常用软件也被爆出了诸多高危漏洞。来自美国五角大楼网络安全服务商、趋势科技旗下ZDI(Zero Day Initiative)的三名白帽子通过对Adobe Reader的XSLT引擎测试,讲述了该引擎中发现漏洞的趋势。来自安全公司MRG Effitas的首席技术官Zoltan Balazs则深入分析了如何隐藏浏览器中的0day漏洞。

      除上述议题外,堪称百科全书的SyScan360还在偏小众的安全领域做了深入探讨。比如,来自新加坡的安全专家Maxwell Koh展示了绕过双因子认证窃取密钥的场景,并提出相关私人密钥免遭盗窃的;360Gear Team的胡志斌和则在“Qemu中的Virtio安全性”中全球首次对云平台默认使用的Virto设备安全性进行了深入探讨。