SyScan360黑客大会七宗"最"招来FBI关注
发布日期:2017-06-05要说今年最具看点的信息安全大会,非SyScan360莫属。北京时间5月31日凌晨,为期两天的SyScan360在美国西雅图开幕,来自谷歌、微软、Intel、McAfee、360、盘古等众多国内外公司的网络安全专家和顶级黑客齐聚一堂,分享安全圈备受关注的前沿话题。
这是国内厂商首次在海外举办技术峰会,阵势毫不含糊。微软、谷歌、Intel、McAfee、CheckPoint、360、盘古、常春藤名校等各门派的顶尖高手论道安全武林;两天的议程囊括了系统、移动、网络、硬件、IoT、机器学习等全领域13大热点话题,堪称史上最具性价比的“干货”盛会。
顶尖黑客齐聚一堂,甚至引来FBI现场全程监控。FBI表示:此次活动虽然没有违法迹象,不过这么多黑客聚集在一起,我们是肯定要监控的。想知道大会中究竟有哪些猛料,让FBI都坐不住了?接下来,我们就为没能赶到现场的你解锁SyScan360搞的大事情。
最吊诡:“不可利用”漏洞竟能实现全球首破谷歌Pixel
被称为“谷歌亲儿子”的智能手机Pixel可谓集万千宠爱于一身,对安全性极为重视的谷歌在Pixel的安全保护上重兵布阵。但铜墙铁壁的保护竟然被Chrome V8引擎中一个微不足道的逻辑错误漏洞攻破了!
360手机卫士Alpha Team的龚广就是这场奇迹的幕后作者,在议题“Butterfly Effect and Program Mistake- Exploit an ‘Unexploitable’ Chrome Bug”中,他还原了这场蝴蝶振翅引发的安全风暴,利用近乎不可能的漏洞(CVE-2016-9581)和多种奇特的利用技巧,最终用时不到60秒,就在PwnFest世界黑客大赛上实现了全球首破Pixel。
最热点:除了战胜棋王,人工智能挖洞技术也很强悍
最近,“世界第一围棋AI”AlphaGo与中国围棋职业九段棋手柯洁的人机大战落幕,人工智能完胜人类棋王,并又强硬地刷了一波热搜。如今,人工智能在各个领域逐渐深入,在挖漏洞方面也表现不俗。来自美国乔治亚大学的李康教授在“Enhancing Symbolic Fuzzing with Learning”中就现场传授了借助机器学习增强Fuzzing性能的前沿课题,并首次披露了实验人工智能技术进行漏洞挖掘的实例。
最惊悚:你盯着字幕时,字幕背后也有人盯着你
夜半时分,当你正盯着字幕看电影时,一双心怀叵测的眼睛正透过字幕紧紧盯着你。听到著名安全公司Check Point研究人员Omri Herscovici和Omer Gull带来的议题“Pwned in Translation - from Subtitles to RCE”时,即便是参会经验丰富的老江湖,也会一瞬间以为自己错走入恐怖片片场。
字幕为何成为黑客实施监控的新工具?实际上,现代字幕文件格式已经非常复杂,它允许支持大量的特效和功能,而各个播放器在实现字幕渲染时又没有统一的标准,代码的安全性完全由播放器开发者保证,这就给了黑客以可趁之机。通过字幕渲染漏洞,只需要一个字幕文件,就能完全控制播放器用户或者播放平台系统,进而为所欲为。
最科幻:1000美元监控全城,就算断网也无处可逃
《速度与激情8》中,有个由多个联网摄像头组成的“天眼”监控系统,它能整合全球所有的数据采集、监控设备,通过手机音频、监控摄像头再加上大数据和人脸识别技术,瞬间把要找的人定位出来。
听起来极为酷炫的黑客“千里眼”创意在SyScan360上演了现实版,而令人大跌眼镜的是,这套设备竟然只需要1000美元。没错!你可能认为监听网络数据需要投入国家级的技术力量,但Securing Hardware的研究员Joe FitzPatrick却实现了低成本监控数字痕迹信息,即便从不使用数字设备的偏执狂们也难逃天眼追踪。
最危急:全球服务器安全告急,谷歌全栈大神剖析内幕
谷歌安全工程团队负责人、网络安全领域最全能的顶级黑客Fermin J.Serna分享的是Linux系统最底层的基础库Glibc的漏洞(CVE-2015-7547)的细节。由于Google服务器配置错误发现的这一漏洞,如今已通过远程未经身份验证的方式影响了全球一半基于Linux的网络。
正因威力巨大,Fermin凭该漏洞获得了2016年“黑客奥斯卡”——Pwnie奖的金奖。当然,这不是Fermin第一次获得Pwnie的垂青,从Windows操作系统内核,到浏览器、Flash插件、服务器系统、库等多个领域发现大量安全漏洞,Fermin多次获得“黑客奥斯卡”的青睐。
最反差:三好学生Office化身APT狂魔
如果说软件也有性格,那么Office一定能上榜“最老实软件排行榜”头几名。低调不张扬,务实不取宠应该是Office留给上班族和学生党的最初印象。此外,微软在Office安全上也进行了大量投入,包括著名的白盒审计工具等,消灭了大量可利用的漏洞,真实可用的Office内存漏洞如今十分罕见。
不过,看起来无害的Office一旦出现漏洞,那可是威力惊人。来自McAfee的资深研究员、网络安全行业杰出的华人代表Haifei Li和BingSun通过神奇的思维魔法,挖到了Office的逻辑漏洞,通过一个特殊的字符串,就可以远程控制Office,据说这一漏洞还可能被应用于APT攻击!
最高招:“神隐级”黑客上演Win10虚拟化逃逸屠龙绝技
说到黑客,不免给人一种“大隐隐于市”的神秘感,虽然黑客群像面目模糊,但混安全圈的谁要是不认识将要介绍的这位大神,恐怕就要露怯了。Alex Ionescu可能是全球Windows安全领域最厉害的专家。他不满20岁就领导了完全复制Windows系统的ReactOS开源项目,如今他是安全公司CrowdStrike的战略副总裁,还是BlackHat等安全盛会的保留讲师。
这位“神隐级”大师在SyScan360上带来的压轴议题堪称难度“超纲”。他不仅向全球首次公开了微软最新的虚拟化技术内部细节,还实现了全球首个Win10虚拟机到宿主机的逃逸攻击。被认为黑客圈屠龙之术的虚拟机逃逸就被Alex在弹指间轻松完成,这一套行云流水的攻击让现场观众大饱眼福。
相关资讯:
3月30日,2017补天白帽大会在深圳举行,我国国家网络安全主管单位、中美三大白帽平台、上千精英白帽及安全爱好者、30多家企业SRC代表齐聚一堂,共同解读当前网络安全...
12月16日,第二届互联网大会在乌镇召开,共有来自120多个国家的2000多名嘉宾出席论道。其中包括国家主席习近平与俄罗斯总理梅德韦杰夫等重要中外领导人,以及马云、...
RSA信息安全大会是全球顶级的安全盛会,但这并不意味着会场一定安全。安全测试厂商Pwnie Express扫描RSA大会无线电波后,就发现多起EvilAP攻击。