返回 登录
0

2017看雪安全开发者峰会在京召开 共商网络安全保障之策

11月的北京,寒风初上。泠冽的空气中,透露着北京这座古都的庄严。

11月18号,2017看雪安全开发者峰会在北京悠唐皇冠假日酒店举行。来自全国各地的开发人员、网络安全爱好者及相应领域顶尖专家,在2017看雪安全开发者峰会汇聚一堂,只为这场“安全与开发”的技术盛宴。

图片描述

大会现场

本次大会在北京启明星辰ADLab副总监、集团首席技术组成员侯浩俊的主持下正式开始。他幽默风趣的主持风格,使现场的气氛越发火热起来。

图片描述

北京启明星辰ADLab副总监、集团首席技术组成员侯浩俊

中国信息安全测评中心总工程师王军在致辞中表达了对我国网络安全严峻现状的担忧。他提到了三点,“第一,习近平总书记在十九大报告里面,把网络安全、恐怖主义、新生疾病以及气候变化作为人类所面临的威胁之一,这突出了我们对于网络安全进行深入探讨的意义。 第二,可以看到,带来网络安全根本性问题有几个:系统复杂性、系统存在漏洞及对手的威胁。在这几个问题当中,如何解决,需要从问题的根源,也就是从开发阶段,从产品以及系统的生产阶段解决,这是我们解决问题的根本途径之一。因此,看雪论坛组织安全开发的讨论是非常有意义的。”

图片描述

中国信息安全测评中心总工程师 王军

接着,看雪学院的创始人段钢发表大会致辞。在致辞中,他向大家介绍了看雪的由来和发展经历。这是看雪成立公司以来所开的第一届峰会,在致辞中向大家说明了看雪正在做的事情,以及未来的发展蓝图。

图片描述

看雪学院创始人 段钢

十二大议题,细数网络安全之患及应对之策

7月份,Adobe 公司正式宣布于 2020 年底停止支持 Flash Player,较之“老兵不死,只是逐渐凋零”平添了几分悲情。时光倒回几年前,那时对挖漏洞的人来说, Flash 是再熟悉不过了,每次更新都伴随着一堆 CVE 的修复,此外 Flash 漏洞还备受黑客组织的青睐,被集成到了各种 EK 工具包中。但事物的发展总有其特定规律,无法做到适应的终将被历史所淘汰。看雪“二进制漏洞”版主、来自兴华永恒的仙果在《Flash之殇:漏洞之王Flash Player的末路》主题演讲中,回顾了 Flash 漏洞的繁华往昔及作为漏洞之王的陨落过程。跟着演讲者过一遍 Flash 漏洞的利用思想,也许会为你在研究其它类型漏洞时带来新的灵感。

图片描述

兴华永恒 仙果

曾问过一位搞 Web 安全的人为什么 PHP 是世界上最好的语言,他的回答是 PHP 网站漏洞多,有饭吃。结合目前黑灰产业中借助 Web 漏洞进行各种薅羊毛的现状,不禁触发了我们的深切反思。问题究竟出在什么地方,为什么网站会存在 SQL 注入、XSS 跨站、CSRF 这些漏洞,我们应该如何避免在代码中产生这些错误?中国婚博会PHP 高级工程师汤青松为我们带来了《浅析 Web 安全编程》主题演讲。作为开发人员你会发现其中有许多点值得我们学习借鉴,安全问题必须引起每一位开发者的重视。

图片描述

中国婚博会PHP高级工程师 汤青松

正如暗网之于互联网世界,现实生活中的黑灰产业远比你想象中得要复杂。在利益的驱动下,这些隐形产业逐步发展壮大并形成了各自的体系,如接码平台、撞库等,这些都给社会造成了严重的危害,特别是对企业的业务提出了极大挑战,如何对抗黑灰产业自然也就成了安全从业者迫切需要解决的问题。在《业务安全发展趋势及对安全研发的挑战》主题演讲中,威胁猎人产品总监彭巍为我们带来了有关企业业务安全的发展及相应对抗实践,重点揭露了无孔不入的地下暗黑世界,震惊之余也引发了我们对业务安全的思考。

图片描述

威胁猎人产品总监彭巍

上海高重CIO陆麟是知名的Windows系统内核专家,长期研究系统内核。本次大会上,他分享了Windows中使用Linux的一些研发成果,即可以直接在Windows下直接执行的Linux,及一个Windows 10的0day漏洞,引发了大家的关注。

图片描述

上海高重CIO 陆麟

IoT现在为什么这么火?究其原因还是与它所处的发展阶段有关,这同最初移动端刚兴起时如出一辙,即相关的防护措施没跟上,机会自然也就多了。很大一部分为智能设备做开发的程序员往往只关注如何实现功能,而忽略了其中的安全问题,对安全研究者来说会发现世界原来如此简单。此外,工控安全问题也日渐凸显了出来,一旦这些基础设施出了事情,那么所带来的后果往往是灾难性的,例如之前的乌克兰电网被黑事件。启明星辰ADLab西南团队负责人王东在主题演讲中为我们带来有关智能化安全的探讨,相信各位对所处的这个万物智能世界中存在的安全问题有更深刻的认识。

图片描述

启明星辰ADLab西南团队负责人王东

在移动互联网时代,互联网业务飞速发展,在这样的大背景下滋生了一条以刷单、倒卖、刷榜、引流、推广为主的灰色产业链。山寨APP遍地开花,给原APP的开发者带来了很大的冲击,这些人往往被称为“打包党”。他们以低成本换取了高额的利润,给互联网企业以及用户都带来了巨大的损失。虽然加固技术、风险控制、设备指纹、验证码等技术也都在飞速发展,但实际效果并不能让人满意。本次峰会上,移动安全爱好者陈愉鑫揭露了多个真实案例的技术细节、开发流程、运营流程,描述了一条以刷单、倒卖、刷榜、引流、推广为主的灰色产业链,并提出了一些防护建议,协议安全需要从体系上进行加强。

图片描述

移动安全爱好者 陈愉鑫

伴随着IoT设备大量涌入智能家居领域,大众的安全也将面临更严峻的挑战。IoT设备因为自身与传统PC设备在硬件和软件上的巨大差异,引发了新的安全问题。峰会现场,腾讯反病毒实验室安全研究员杨经宇以摄像头固件校验漏洞为例,着重介绍了一种伪造固件绕过固件校验算法进行Root设备的方法,该漏洞也被CNNVD收录,并被评级为中危漏洞。

而IoT设备被破解之后,带来的安全隐患也不仅局限于监听监控。杨经宇还以一个DDNS智能硬件的root漏洞为例,详细讲解了如何将一个原本不具备WiFi功能的IoT设备开启WiFi功能,这将可能引发更多意想不到的攻击。在演讲最后,杨经宇对IoT安全的缓解机制提出建议,即通过固件签名、保护种子、物理手段,能够对固件校验、密码生成、WiFi扫描过程中出现的IoT设备漏洞进行有效防御。

图片描述

腾讯反病毒实验室安全研究员杨经宇

源代码作为软件的最初原始形态,其安全缺陷是导致软件漏洞的直接根源。与之相对的是,解决代码的完整性与安全性,实现安全编码也成为减少漏洞的根本解决办法。但让人无奈的是,在编写数量繁多且关系复杂的代码过程中,难免会出现各种各样的问题,即使是具有多年开发经验的老司机也是一样。这些问题就像是高考英语易错短语一样,成为每个程序员编写代码的“必经之路”。

本峰会上,绿盟科技应急响应中心安全研究员邓永凯对开发者在开发编码时最容易产生的漏洞以及意料之外的漏洞进行了分析,阐述其原因以及应该注意的地方。通过没有防御到防御绕过、错误的防御姿势、错误的使用方法、错误的修复方法、系统及语言自身特性、设计缺陷、二次漏洞、程序员的惰性导致的漏洞等方面进行实例讲解。

图片描述

绿盟科技应急响应中心安全研究员 邓永凯

如今很大一部分人会通过游戏来进行适当的娱乐放松,在这个过程中玩家最关心的就是游戏的公平性问题,然而由于外挂的存在使得一些玩家轻轻松松就开启了“上帝模式”,因此如何反外挂就成了众多游戏公司最头疼的问题。腾讯游戏安全高级工程师胡和君在主题分享中,以FPS类型游戏的自瞄外挂功能的对抗为例,通过对自瞄外挂实现原理的解析,阐述了如何使用定制化的技术思想,达到对外挂作弊功能的持续压制。分享中还谈及游戏漏洞挖掘的核心思路和方法技巧,游戏开发者自身提升游戏安全性的技术手段,安全防守方定制化方案分析、开发、实现的方法和技巧等内容,相信能给相关工作者带来一定的启发。

图片描述

腾讯游戏安全高级工程师胡和君

随着REST API的流行,JSON的使用也越来越多,但其中存在的安全问题却不容忽视,特别是由于反序列化导致的远程代码执行更是威力十足。虽然反序列化漏洞出来已有一段时间,前期的一些防御方案随着时间的推移不再有效,但是却传播广泛。

绿盟科技网络安全攻防实验室安全研究员廖新喜为大家阐述了由Java JSON库的反序列化特性导致的RCE,议题内容涉及Gson、Jackson和Fastjson这三个最常用的JSON序列化库的序列化和反序列的操作,并分析其安全机制,从安全机制上发现其潜在的安全漏洞。另外,他还公布了部分未公开的反序列化payload、0day。

图片描述

绿盟科技网络安全攻防实验室安全研究员廖新喜

浏览器早已成为我们日常生活中不可或缺的一部分,这种攻击可以造成大范围的用户信息泄露。一旦被意图不轨者掌握并利用,后果非常严重。针对应用层的攻击频次连年增长,攻击方式更加多元,而越来越多企业的业务又依靠互联网来实现,防止应用层安全失守成为企业不可回避的问题,做好应用层安全也成为厂商和企业不可或缺乃至不可推卸的责任。本峰会上,看雪iOS小组组长陈佳林从Pegasus间谍软件所披露的漏洞开始谈起,由Webkit中JavaScript内核漏洞出发,通过实验来深入探讨JIT编译器机制,分析漏洞成因,阐述JavaScript内核的堆风水、垃圾回收器及利用方式,综合利用地址泄漏、对象伪造、指针劫持、暴力枚举等技巧,结合堆喷(Heap Spray)和ROP实现过沙盒,完成任意代码执行的漏洞提权。

图片描述

看雪iOS小组组长陈佳林

最近两年越来越多的安全人员开始投入到IoT设备的研究热中,常见的研究方向包括路由器、摄像头、汽车等。本演讲是由阿里安全IoT安全研究团队Leader谢君为我们带来的如何黑掉无人机。他介绍了某品牌无人机的架构体系、功能模块、传感器等,包括各个组件的攻击面、安全防护体系、软硬件反调技术及其绕过方法,并深度解读无线宽带通信等。

此外,在峰会现场谢君还介绍了一个不需要通过软件漏洞就能Root无人机的方法,并演示了如何远程劫持一台无人机。其中就涉及了诸如飞控系统等专业领域的研究。而从最初的设备拆解到各个芯片子系统的深入剖析,都展现了他求索与收获的一段心路历程,相信现场很多听众对于这种钻研态度都是由衷的钦佩,再考虑到目前国内外这方面的公开资料都很少,其中的难度可想而知。

图片描述

阿里安全IoT安全研究团队Leader 谢君

追忆往昔,眺望网络安全发展未来

图片描述

论坛版主座谈会

峰会中的看雪论坛版主座谈还邀请到看雪学院创始人kanxue、中国个人站长第一人高春辉(左二)、看雪版主飞速(左三)、看雪老坛主CCdebuger(右三)、 “外文翻译”版主zmworm(右二)、“智能设备”gjden(右一),讲述了他们与看雪的这十几年的成长史及对互联网安全发展的期望。

看雪论坛各位版主陪伴看雪走过了十几年春秋,共同见证了中国互联网的起起伏伏。在不断发展、前进的互联网安全面前,过去的先驱成为现在的“老人”。他们有些已经淡出了这个圈子,有些继续在圈子里发光发热。在此次峰会上,几位版主再聚首,原来青葱岁月眨眼间已过,但谈起反病毒、软件破解、密码学、算法、智能硬件……他们的热情依旧。谈起网络安全未来的发展,他们见解独到、一针见血。

领域大咖,共话IoT与安全

图片描述

嘉宾座谈

腾讯玄武实验TK(左一)、梆梆安全CTO陈彪(右一)、百度安全事业部总经理马杰(左二)、奇虎360首席安全官谭晓生(左三)、知道创宇CTO、COO杨冀龙(右三)、犇众信息(盘古团队) CSO李小军(右二)也受邀参加了本峰会。在TK的主持下,各位嘉宾围绕“IoT与安全”展开了热烈讨论。

TK表示,“从去年开始,一系列的像摄像头和路由器构成的物联网Botnet,对整个网络发起攻击,造成了非常大的影响,前几年是老安全人所谈的话题,变为整个社会所关注的问题。现在我们再看这个物联网安全事件时,虽感觉事情比较复杂,有很多地方可以部署,但仿佛又无从下手。”在这样的一个困境之下,安全该何去何从?各位嘉宾展开了头脑风暴,思想的火花在现场碰撞。

2017看雪安全开发者峰会更多精彩内容:

评论