注册
闽南网 > 新闻中心 > 数码科技 > 正文

SyScan360看点回顾:中美德俄七国黑客专家神技大比拼

来源:牛华网 2017-09-13 18:18 http://www.mnw.cn/

­  一切皆可编程,万物均要互联。大安全时代的网络安全已然打破了传统线上线下的界限。面对网络安全的新挑战,各国专家在安全领域研究的交流分享也变得更加重要。9月12日,为期两天的SyScan360国际前瞻信息安全会议在北京落下帷幕。作为亚洲最知名的安全会议之一,本届SySan360邀请了中国、美国、德国、俄罗斯、匈牙利、以色列、新加坡等七个国家的顶级讲师分享12大前沿议题,囊括了系统、移动、网络、应用、虚拟机、密钥、物联网、工业互联网等全领域的安全热点,成为了全球安全领域的关注焦点。

­  对于安全研究者和爱好者来说,SyScan360两天就能带你览遍七个国家的安全前沿课题,绝对称得上最具性价比的“干货”盛会。别急,SyScan360的魅力绝不仅是百科全书式的议题丰富度,更是令人惊呼不可思议的黑客绝技和前所未见的安全机密!

­  迷雾丛生的悬案:“影子经纪人”为何成为美国国家安全局最可怕噩梦?

­  几个月前,“想哭”勒索病毒在席卷全球150多个国家的同时,也让一个黑客组织——影子经纪人一战成名。“想哭”勒索病毒被广泛认定为是根据美国国家安全局(NSA)此前泄露的黑客武器之一——永恒之蓝升级而来,而该武器正是影子经纪人早前窃取并公布于众的。

­  影子经纪人堪称现今网络时代最具争议的组织之一,它从2016年8月宣布攻破NSA防火墙开始初露锋芒,尽管在互联网上兴风作浪许久,但至今没有人知道影子经纪人究竟是谁。

­  SyScan360上,全球“影子经纪人”追踪第一人Mattieu Suiche给出了他的看法:它是一个运行着高度复杂的诱导和渗透技术的情报组织,还是斯诺登事件的重演,我们无从猜测。但可以肯定,影子经纪人是游戏规则的改变者,它让世界上最先进的政府情报机构陷入了尴尬而危险的局面,这种危险的游戏滋生了破坏性和传播速度极快的勒索病毒,而它酿出的安全恶果(如“Petya”等)还将持续。

­  图:Mattieu Suiche做主题为“The Shadow Brokers – Cyber Fear Game-Changers”的演讲

­  除了“影子经纪人”这一悬案外,俄罗斯安全公司Gleg创始人Yuriy Gurkin在《对ICS开发软件渗透测试,探寻其是否存在潜在毁灭性的攻击方式》中还提到了2015年大众汽车因柴油发动机控制器软件丑闻两天内损失30%(2.5亿美元)的股份事件,虽然该事件的真相扑朔迷离,但可以肯定的是,控制软件的安全性正变得格外重要。议题中,Yuriy Gurkin利用开源代码的渗透测试展示了广泛应用于能源、工业级自动化技术领域的CODESYS编程软件存在的多个0day漏洞。

­  突破想象的攻击:美妙的“海豚音”竟成攻破iPhone黑手?

­  如今,智能手机、平板电脑、可穿戴设备以及智能汽车等都搭载着语音助手,Siri、Google Now、Alexa等语音助手变得越来越流行,但你觉得语音助手是安全的吗?也许你认为,攻击语音助手势必会产生声音而被发现,攻击的可能性很低,那你就大错特错了!

­  浙江大学教授徐文渊和360智能网联汽车信息安全实验室的刘健皓在SyScan360现场全球首次公开演示了使用无声音波攻击智能系统的方法——海豚攻击。该攻击将语音命令转换成超音波信号,利用麦克风的硬件漏洞进行自动解调功能恢复出原始的语音命令,从而驱动语音助手执行相应的控制命令,让iPhone自动对外拨打电话、发短信,甚至可以远程操作汽车导航系统及智能家居。

­  类似海豚攻击这种突破想象的攻击方式,在SyScan现场并不少见。来自美国安全公司Check Point的两名白帽子展示了利用恶意字幕文件,在VLC、Kodi、Popcorn Time等国外主流视频播放器上实现远程代码执行操作,甚至能控制整个字幕文件的供应链。来自360移动安全研究团队Alpha Team的龚广则还原了一场蝴蝶振翅引发的安全风暴,利用近乎不可能的漏洞(CVE-2016-9581)和多种奇特的利用技巧,最终用时不到60秒,就在PwnFest世界黑客大赛上实现了全球首破Pixel。

­  核弹级别的危机:隐藏在iOS沙箱背后的“漏洞天堂”

­  还觉得苹果系统很安全?听完美国安全公司Trustwave研究员Nikias BassenTrustwave和国内著名越狱团队盘古的议题,你一定会刷新自己的想法!

­  苹果公司虽然已经在iOS系统中建立了新的安全标准以减少漏洞带来的负面影响,但现实效果却不尽人意。Nikias Bassen现场就揭示了iOS内核中的众多特权提升漏洞,这些漏洞能影响到数以百万计的iOS设备。无独有偶,盘古的王铁磊和徐昊在议题“以简单的方式查找iOS漏洞”也展示了苹果在修复漏洞方面趣味十足的作战史。

­  除了苹果系统,浏览器、Adobe等常用软件也被爆出了诸多高危漏洞。来自美国五角大楼网络安全服务商、趋势科技旗下ZDI(Zero Day Initiative)的三名白帽子通过对Adobe Reader的XSLT引擎测试,讲述了该引擎中发现漏洞的趋势。来自安全公司MRG Effitas的首席技术官Zoltan Balazs则深入分析了如何隐藏浏览器中的0day漏洞。

­  图:Zoltan Balazs做主题为”How to hide your browser 0-Days”的演讲

­  除上述议题外,堪称百科全书的SyScan360还在偏小众的安全领域做了深入探讨。比如,来自新加坡的安全专家Maxwell Koh展示了绕过双因子认证窃取密钥的攻击场景,并提出相关保护私人密钥免遭盗窃的建议;360Gear Team的胡志斌和李强则在“Qemu中的Virtio安全性”中全球首次对云平台默认使用的Virto设备安全性进行了深入探讨。

责任编辑:李晓灵
相关阅读:
新闻 娱乐 福建 泉州 漳州 厦门
猜你喜欢:
已有0条评论
热门评论:
频道推荐
  • 上周全台湾发生诈骗案超3700件 财产损失逾2
  • 今日(6月10日)最新油价查询:92号,95号
  • 2025年1号台风最新消息路径预报:台风“蝴
  • 新闻推荐
    @所有人 多项民生礼包加速落地快来查收 三峡大坝变形?专家:又有人在恶意炒作 北京新一波疫情为什么没出现死亡病例? 戴口罩、一米线 疫情改变了哪些习惯? 呼伦贝尔现幻日奇观 彩虹光带环绕太阳
    视觉焦点
    石狮:秋风起,紫菜香 石狮:秋风起,紫菜香
    石狮环湾生态公园内粉黛乱子草盛放 石狮环湾生态公园内粉黛乱子草盛放
    精彩视频
    【视频】现场直击!高考首日泉州学子奔赴考场
    【视频】现场直击!高考首日泉州学子奔赴考场
    泉州晋江:特色民俗迎端午 水上掠鸭趣味多(视频)
    泉州晋江:特色民俗迎端午 水上掠鸭趣味多(视频)
    专题推荐
    关注泉城养老服务 打造幸福老年生活
    关注泉城养老服务 打造幸福老年生活

    闽南网推出专题报道,以图、文、视频等形式,展现泉州在补齐养老事业短板,提升养老服

    新征程,再出发——聚焦2021年全国两会
    2020福建高考招录
     
    48小时点击排行榜
    南靖县领导调研集体土地入市和土楼确权工 基辅市长:基辅遭“大规模”无人机袭击 电视剧《生逢其时》杀青 关晓彤王子奇错 中方敦促国际社会帮助中部非洲国家遏制安 《紫川之光明王》剧情介绍 电视剧故事背 外资企业在华以创新助推“在中国、为世界 甜馨回应是否希望父母复合:不劝了 已习 永春桃城派出所48小时破获跨区域盗窃电动