時間:2017-05-31 來源:互聯網 瀏覽量:
要說今年最具看點的信息安全大會,非SyScan360莫屬。這是國內廠商首次在海外舉辦技術峰會,陣勢毫不含糊。微軟、穀歌、Intel、McAfee、CheckPoint、360、盤古、常春藤名校等各門派的頂尖高手論道安全武林;兩天的議程囊括了係統、移動、網絡、硬件、IoT、機器學習等全領域13大熱點話題,堪稱史上最具性價比的“幹貨”盛會。
頂尖黑客齊聚一堂,甚至引來FBI現場全程監控。FBI表示:此次活動雖然沒有違法跡象,不過這麼多黑客聚集在一起,我們是肯定要監控的。想知道大會中究竟有哪些猛料,讓FBI都坐不住了?接下來,我們就為沒能趕到現場的你解鎖SyScan360搞的大事情。
圖:外媒報道SyScan360引發FBI現場監控
最吊詭:“不可利用”漏洞竟能實現全球首破穀歌Pixel
被稱為“穀歌親兒子”的智能手機Pixel可謂集萬千寵愛於一身,對安全性極為重視的穀歌在Pixel的安全保護上重兵布陣。但銅牆鐵壁的保護竟然被Chrome V8引擎中一個微不足道的邏輯錯誤漏洞攻破了!
360手機衛士Alpha Team的龔廣就是這場奇跡的幕後作者,在議題“Butterfly Effect and Program Mistake- Exploit an ‘Unexploitable’ Chrome Bug”中,他還原了這場蝴蝶振翅引發的安全風暴,利用近乎不可能的漏洞(CVE-2016-9581)和多種奇特的利用技巧,最終用時不到60秒,就在PwnFest世界黑客大賽上實現了全球首破Pixel。
最熱點:除了戰勝棋王,人工智能挖洞技術也很強悍!
最近,“世界第一圍棋AI”AlphaGo與中國圍棋職業九段棋手柯潔的人機大戰落幕,人工智能完勝人類棋王,並又強硬地刷了一波熱搜。如今,人工智能在各個領域逐漸深入,在挖漏洞方麵也表現不俗。來自美國喬治亞大學的李康教授在“Enhancing Symbolic Fuzzing with Learning”中就現場傳授了借助機器學習增強Fuzzing性能的前沿課題,並首次披露了實驗人工智能技術進行漏洞挖掘的實例。
最驚悚:你盯著字幕時,字幕背後也有人盯著你
夜半時分,當你正盯著字幕看電影時,一雙心懷叵測的眼睛正透過字幕緊緊盯著你。聽到著名安全公司Check Point研究人員Omri Herscovici和Omer Gull帶來的議題“Pwned in Translation - from Subtitles to RCE”時,即便是參會經驗豐富的老江湖,也會一瞬間以為自己錯走入恐怖片片場。
字幕為何成為黑客實施監控的新工具?實際上,現代字幕文件格式已經非常複雜,它允許支持大量的特效和功能,而各個播放器在實現字幕渲染時又沒有統一的標準,代碼的安全性完全由播放器開發者保證,這就給了黑客以可趁之機。通過字幕渲染漏洞,隻需要一個字幕文件,就能完全控製播放器用戶或者播放平台係統,進而為所欲為。
最科幻:1000美元監控全城,就算斷網也無處可逃!
《速度與激情8》中,有個由多個聯網攝像頭組成的“天眼”監控係統,它能整合全球所有的數據采集、監控設備,通過手機音頻、監控攝像頭再加上大數據和人臉識別技術,瞬間把要找的人定位出來。
聽起來極為酷炫的黑客“千裏眼”創意在SyScan360上演了現實版,而令人大跌眼鏡的是,這套設備竟然隻需要1000美元。沒錯!你可能認為監聽網絡數據需要投入國家級的技術力量,但Securing Hardware的研究員Joe FitzPatrick卻實現了低成本監控數字痕跡信息,即便從不使用數字設備的偏執狂們也難逃天眼追蹤。
最危急:全球服務器安全告急,穀歌全棧大神剖析內幕
穀歌安全工程團隊負責人、網絡安全領域最全能的頂級黑客Fermin J.Serna分享的是Linux係統最底層的基礎庫Glibc的漏洞(CVE-2015-7547)的細節。由於Google服務器配置錯誤發現的這一漏洞,如今已通過遠程未經身份驗證的方式影響了全球一半基於Linux的網絡。
正因威力巨大,Fermin憑該漏洞獲得了2016年“黑客奧斯卡”——Pwnie獎的金獎。當然,這不是Fermin第一次獲得Pwnie的垂青,從Windows操作係統內核,到瀏覽器、Flash插件、服務器係統、庫等多個領域發現大量安全漏洞,Fermin多次獲得“黑客奧斯卡”的青睞。
最反差:三好學生Office化身APT狂魔
如果說軟件也有性格,那麼Office一定能上榜“最老實軟件排行榜”頭幾名。低調不張揚,務實不取寵應該是Office留給上班族和學生黨的最初印象。此外,微軟在Office安全上也進行了大量投入,包括著名的白盒審計工具等,消滅了大量可利用的漏洞,真實可用的Office內存漏洞如今十分罕見。
不過,看起來無害的Office一旦出現漏洞,那可是威力驚人。來自McAfee的資深研究員、網絡安全行業傑出的華人代表Haifei Li和BingSun通過神奇的思維魔法,挖到了Office的邏輯漏洞,通過一個特殊的字符串,就可以遠程控製Office,據說這一漏洞還可能被應用於APT攻擊!
最高招:“神隱級”黑客上演Win10虛擬化逃逸屠龍絕技
說到黑客,不免給人一種“大隱隱於市”的神秘感,雖然黑客群像麵目模糊,但混安全圈的誰要是不認識將要介紹的這位大神,恐怕就要露怯了。Alex Ionescu可能是全球Windows安全領域最厲害的專家。他不滿20歲就領導了完全複製Windows係統的ReactOS開源項目,如今他是安全公司CrowdStrike的戰略副總裁,還是BlackHat等安全盛會的保留講師。
這位“神隱級”大師在SyScan360上帶來的壓軸議題堪稱難度“超綱”。他不僅向全球首次公開了微軟最新的虛擬化技術內部細節,還實現了全球首個Win10虛擬機到宿主機的逃逸攻擊。被認為黑客圈屠龍之術的虛擬機逃逸就被Alex在彈指間輕鬆完成,這一套行雲流水的攻擊讓現場觀眾大飽眼福。
