iOS 11將於9月20上線 360防騷擾大師將同步推出 | 數據驅動安全邁向2.0時代 齊向東強調人是新一代安全運營核心 | 騰訊音樂娛樂集團亮相Music Matters,中國音樂成世界級主場 | 360發佈軟體供應鏈攻擊報告:針對性防範是核心 | 安全訓練營拉開ISC序幕 生物駭客Patrick展示“特異功能” | IDC觀點:下一代防火牆將守護數字化轉型企業網路安全 | 一杯好水,凈愛中國——海爾凈水全國巡展踏爽而來 | 美團旅行啟動多流量入口模式,獨立app上線 | 99公益日打造史上最強公益玩法:收快遞、直播…都能做公益 | 愛奇藝舉辦《河神》慶功會 將與工夫影業再度攜手打造《河神2》 |
 
當前位置: 新聞>頭條新聞>

SyScan360看點回顧:中美德俄七國駭客專家神技大比拼

發佈時間:2017-09-13 14:45:36  |  來源:中國網  |  作者:   |  責任編輯:科學頻道

一切皆可編程,萬物均要互聯。大安全時代的網路安全已然打破了傳統線上線下的界限。面對網路安全的新挑戰,各國專家在安全領域研究的交流分享也變得更加重要。9月12日,為期兩天的SyScan360國際前瞻資訊安全會議在北京落下帷幕。作為亞洲最知名的安全會議之一,本屆SySan360邀請了中國、美國、德國、俄羅斯、匈牙利、以色列、新加坡等七個國家的頂級講師分享12大前沿議題,囊括了系統、移動、網路、應用、虛擬機、密鑰、物聯網、工業網際網路等全領域的安全熱點,成為了全球安全領域的關注焦點。

對於安全研究者和愛好者來説,SyScan360兩天就能帶你覽遍七個國家的安全前沿課題,絕對稱得上最具性價比的“幹貨”盛會。別急,SyScan360的魅力絕不僅是百科全書式的議題豐富度,更是令人驚呼不可思議的駭客絕技和前所未見的安全機密!

image.png 

迷霧叢生的懸案:“影子經紀人”為何成為美國國家安全局最可怕噩夢?

幾個月前,“想哭”勒索病毒在席捲全球150多個國家的同時,也讓一個駭客組織——影子經紀人一戰成名。“想哭”勒索病毒被廣泛認定為是根據美國國家安全局(NSA)此前洩露的駭客武器之一——永恒之藍升級而來,而該武器正是影子經紀人早前竊取並公布於眾的。

影子經紀人堪稱現今網路時代最具爭議的組織之一,它從2016年8月宣佈攻破NSA防火牆開始初露鋒芒,儘管在網際網路上興風作浪許久,但至今沒有人知道影子經紀人究竟是誰。

SyScan360上,全球“影子經紀人”追蹤第一人Mattieu Suiche給出了他的看法:它是一個運作著高度複雜的誘導和滲透技術的情報組織,還是斯諾登事件的重演,我們無從猜測。但可以肯定,影子經紀人是遊戲規則的改變者,它讓世界上最先進的政府情報機構陷入了尷尬而危險的局面,這種危險的遊戲滋生了破壞性和傳播速度極快的勒索病毒,而它釀出的安全惡果(如“Petya”等)還將持續。

image.png 

圖:Mattieu Suiche做主題為“The Shadow Brokers – Cyber Fear Game-Changers”的演講

除了“影子經紀人”這一懸案外,俄羅斯安全公司Gleg創始人Yuriy Gurkin在《對ICS開發軟體滲透測試,探尋其是否存在潛在毀滅性的攻擊方式》中還提到了2015年大眾汽車因柴油發動機控制器軟體醜聞兩天內損失30%(2.5億美元)的股份事件,雖然該事件的真相撲朔迷離,但可以肯定的是,控制軟體的安全性正變得格外重要。議題中,Yuriy Gurkin利用開源代碼的滲透測試展示了廣泛應用於能源、工業級自動化技術領域的CODESYS編程軟體存在的多個0day漏洞。

突破想像的攻擊:美妙的“海豚音”竟成攻破iPhone黑手?

如今,智慧手機、平板電腦、可穿戴設備以及智慧汽車等都搭載著語音助手,Siri、Google Now、Alexa等語音助手變得越來越流行,但你覺得語音助手是安全的嗎?也許你認為,攻擊語音助手勢必會産生聲音而被發現,攻擊的可能性很低,那你就大錯特錯了!

浙江大學教授徐文淵和360智慧網聯汽車資訊安全實驗室的劉健皓在SyScan360現場全球首次公開演示了使用無聲音波攻擊智慧系統的方法——海豚攻擊。該攻擊將語音命令轉換成超音波信號,利用麥克風的硬體漏洞進行自動解調功能恢復出原始的語音命令,從而驅動語音助手執行相應的控制命令,讓iPhone自動對外撥打電話、發短信,甚至可以遠端操作汽車導航系統及智慧家居。

image.png 

類似海豚攻擊這種突破想像的攻擊方式,在SyScan現場並不少見。來自美國安全公司Check Point的兩名白帽子展示了利用惡意字幕文件,在VLC、Kodi、Popcorn Time等國外主流視頻播放器上實現遠端代碼執行操作,甚至能控制整個字幕文件的供應鏈。來自360移動安全研究團隊Alpha Team的龔廣則還原了一場蝴蝶振翅引發的安全風暴,利用近乎不可能的漏洞(CVE-2016-9581)和多種奇特的利用技巧,最終用時不到60秒,就在PwnFest世界駭客大賽上實現了全球首破Pixel。

核彈級別的危機:隱藏在iOS沙箱背後的“漏洞天堂”

還覺得蘋果系統很安全?聽完美國安全公司Trustwave研究員Nikias BassenTrustwave和國內著名越獄團隊盤古的議題,你一定會刷新自己的想法!

蘋果公司雖然已經在iOS系統中建立了新的安全標準以減少漏洞帶來的負面影響,但現實效果卻不盡人意。Nikias Bassen現場就揭示了iOS內核中的眾多特權提升漏洞,這些漏洞能影響到數以百萬計的iOS設備。無獨有偶,盤古的王鐵磊和徐昊在議題“以簡單的方式搜尋iOS漏洞”也展示了蘋果在修復漏洞方面趣味十足的作戰史。

除了蘋果系統,瀏覽器、Adobe等常用軟體也被爆出了諸多高危漏洞。來自美國五角大樓網路安全服務商、趨勢科技旗下ZDI(Zero Day Initiative)的三名白帽子通過對Adobe Reader的XSLT引擎測試,講述了該引擎中發現漏洞的趨勢。來自安全公司MRG Effitas的首席技術官Zoltan Balazs則深入分析了如何隱藏瀏覽器中的0day漏洞。

image.png 

圖:Zoltan Balazs做主題為”How to hide your browser0-Days”的演講

除上述議題外,堪稱百科全書的SyScan360還在偏小眾的安全領域做了深入探討。比如,來自新加坡的安全專家Maxwell Koh展示了繞過雙因子認證竊取密鑰的攻擊場景,並提出相關保護私人密鑰免遭盜竊的建議;360Gear Team的胡志斌和李強則在“Qemu中的Virtio安全性”中全球首次對雲平臺默認使用的Virto設備安全性進行了深入探討。