SyScan360黑客大会为何招来FBI

2019-05-14 22:38:44 来源: 茂名信息港

要说今年看点的信息安全大会,非SyScan360莫属。这是国内厂商首次在海外举行技术峰会,阵势毫不含糊。微软、谷歌、Intel、McAfee、CheckPoint、360、盘古、常春藤名校等各门派的高手论道安全武林;两天的议程囊括了系统、移动、络、硬件、IoT、机器学习等全领域13大热点话题,堪称史上性价比的干货盛会。

黑客齐聚一堂,甚至引来FBI现场全程监控。FBI表示:此次活动虽然没有违法迹象,不过这么多黑客聚集在一起,我们是肯定要监控的。想知道大会中究竟有哪些猛料,让FBI都坐不住了?接下来,我们就为没能赶到现场的你解锁SyScan360弄的大事情。

图:外媒报道SyScan360引发FBI现场监控

吊诡:不可利用漏洞竟能实现全球首破谷歌Pixel

被称为谷歌亲儿子的智能Pixel可谓集万千宠爱于一身,对安全性极其重视的谷歌在Pixel的安全保护上重兵布阵。但铜墙铁壁的保护竟然被Chrome V8引擎中一个微不足道的逻辑毛病漏洞攻破了!

360卫士Alpha Team的龚广就是这场奇迹的幕后作者,在议题Butterfly Effect and Program Mistake- Exploit an Unexploitable Chrome Bug中,他还原了这场蝴蝶振翅引发的安全风暴,利用近乎不可能的漏洞(CVE-)和多种奇特的利用技能,终究用时不到60秒,就在PwnFest世界黑客大赛上实现了全球首破Pixel。

热点:除了战胜棋王,人工智能挖洞技术也很强悍!

近,世界围棋AIAlphaGo与中国围棋职业九段棋手柯洁的人机大战闭幕,人工智能完胜人类棋王,并又强硬地刷了一波热搜。如今,人工智能在各个领域逐渐深入,在挖漏洞方面也表现不俗。来自美国乔治亚大学的李康教授在Enhancing Symbolic Fuzzing with Learning中就现场传授了借助机器学习增强Fuzzing性能的前沿课题,并首次披露了实验人工智能技术进行漏洞发掘的实例。

惊悚:你盯着字幕时,字幕背后也有人盯着你

夜半时分,当你正盯着字幕看电影时,一双心怀叵测的眼睛正透过字幕紧紧盯着你。听到安全公司Check Point研究人员Omri Herscovici和Omer Gull带来的议题Pwned in Translation - from Subtitles to RCE时,即便是参会经验丰富的老江湖,也会一瞬间以为自己错走入恐怖片片场。

字幕为何成为黑客实施监控的新工具?实际上,现代字幕文件格式已经非常复杂,它允许支持大量的和功能,而各个播放器在实现字幕渲染时又没有统一的标准,代码的安全性完全由播放器开发者保证,这就给了黑客以可趁之机。通过字幕渲染漏洞,只需要一个字幕文件,就能完全控制播放器用户或播放平台系统,进而为所欲为。

科幻:1000美元监控全城,就算断也无处可逃!

《速度与豪情8》中,有个由多个联摄像头组成的天眼监控系统,它能整合全球所有的数据采集、监控装备,通过音频、监控摄像头再加上大数据和人脸识别技术,瞬间把要找的人定位出来。

听起来极其酷炫的黑客千里眼创意在SyScan360上演了现实版,而使人大跌眼镜的是,这套设备居然只需要1000美元。没错!你可能认为监听络数据需要投入的技术力量,但Securing Hardware的研究员Joe FitzPatrick却实现了低成本监控数字痕迹信息,即便从不使用数字设备的偏执狂们也难逃天眼追踪。

危急:全球服务器安全告急,谷歌全栈大神剖析内幕

谷歌安全工程团队负责人、络安全领域全能的黑客Fermin rna分享的是Linux系统层的基础库Glibc的漏洞(CVE-)的细节。由于Google服务器配置毛病发现的这一漏洞,如今已通过远程未经身份验证的方式影响了全球一半基于Linux的络。

正因威力巨大,Fermin凭该漏洞取得了2016年黑客奥斯卡Pwnie奖的金奖。当然,这不是Fermin次取得Pwnie的垂青,从Windows操作系统内核,到浏览器、Flash插件、服务器系统、库等多个领域发现大量安全漏洞,Fermin屡次取得黑客奥斯卡的青睐。

反差:三好学生Office化身APT狂魔

如果说软件也有性情,那末Office一定能上榜老实软件排行榜头几名。低调不张扬,务实不取宠应该是Office留给上班族和学生党的初印象。此外,微软在Office安全上也进行了大量投入,包括的白盒审计工具等,消灭了大量可利用的漏洞,真实可用的Office内存漏洞如今十分罕见。

不过,看起来无害的Office一旦出现漏洞,那可是威力惊人。来自McAfee的研究员、络安全行业杰出的华人代表Haifei Li和BingSun通过神奇的思维魔法,挖到了Office的逻辑漏洞,通过一个特殊的字符串,就可以远程控制Office,听说这1漏洞还可能被应用于APT攻击!

招:神隐级黑客上演Win10虚拟化逃逸屠龙绝技

说到黑客,不免给人一种大隐隐于市的神秘感,虽然黑客群像面目模糊,但混安全圈的谁要是不认识将要介绍的这位大神,恐怕就要露怯了。Alex Ionescu可能是全球Windows安全领域厉害的专家。他不满20岁就领导了完全复制Windows系统的ReactOS开源项目,如今他是安全公司CrowdStrike的战略副总裁,还是BlackHat等安全盛会的保留讲师。

这位神隐级大师在SyScan360上带来的压轴议题可谓难度超纲。他不仅向全球首次公然了微软的虚拟化技术内部细节,还实现了全球Win10虚拟机到宿主机的逃逸攻击。被认为黑客圈屠龙之术的虚拟机逃逸就被Alex在弹指间轻松完成,这一套行云流水的攻击让现场观众大饱眼福。

外阴瘙痒用什么好
产后感染不良后果
产后感染有什么危害
本文标签: