站長資訊網第四屆互聯網安全領袖峰會(CSS 2018)將于2018年8月27日-28日在北京召開。作為CSS最具技術含量、專業深度及學術影響力的分會場,第二屆騰訊安全探索論壇(TSec)也將在大會第二天登場亮相。全球頂尖安全專家將在此首次分享重磅研究,共同瓜分22萬優秀議題獎金池。
在經過近一個月議題篩選、評議之后,目前CSS官網已公布入選本屆TSec的議題及演講嘉賓。來自清華大學、中科院、荷蘭埃因霍芬理工大學、騰訊安全聯合實驗室等海內外高校、科研機構和企業將帶來十場主題演講,涉及區塊鏈、智能音箱、人工智能等時下大熱的安全議題,讓我們先睹為快。
善解人意的智能音箱如何變身竊聽利器?
既能播放音樂,又能聊天講故事、控制家電,時不時還能賣萌逗樂的智能音箱在近兩年已經成為最流行的物聯網設備。隨著智能音箱的普及度逐漸提高,其安全性也受到了眾多關注。
來自騰訊安全平臺部的安全專家伍惠宇將帶來題為《竊聽風云:智能音箱安全》的演講。他將介紹并展示如何使用多個漏洞來實現遠程攻破一些最為暢銷的智能音箱設備,如怎樣獲取智能音箱的Root權限、靜默監聽、控制音箱說話的內容等。
從Edge瀏覽器堡壘最堅固處突破防御
Edge作為搭載在Win10系統上的全新瀏覽器,微軟在其安全防護上投入了大量精力,引入了安全沙盒模式,啟用Win32k filter大大增強了瀏覽器抵御遠程攻擊的能力。
Edge的沙盒果真做到固若金湯,無懈可擊了嗎?騰訊安全湛瀘實驗室的安全專家陳楠、Rancho Han帶來“打破Win10嘆息之壁:利用3D加速突破Edge沙盒”議題,將分享其團隊如何利用發現的Windows內核漏洞突破Edge安全沙盒。而來自荷蘭埃因霍芬理工大學的安全專家也將介紹基于Adobe上的兩個沙盒漏洞。
自動化攻擊有了最新研究進展!
從各家安全廠商的各類報告來看,網絡攻擊的自動化已經成為一個不可阻擋的趨勢。作為曾經美國國防部Cyber Grand Challenge項目的技術領隊,清華大學和中科院的研究人員張超和王琰將分享其在自動化漏洞利用研究中的最新成果,展示如何在簡單防御情形下自動化生成漏洞利用樣本,探討自動化利用的未來方向。這雖然是自動化攻擊研究的一小步,但卻是整個網絡安全形勢的一大步。
USB漏洞和100個CVE的故事
安全測試中,模糊測試(fuzz testing)是一種介于完全的手工滲透測試與完全的自動化測試之間的安全性測試類型。能夠在一項產品投入市場使用之前對潛在的應當被堵塞的攻擊渠道進行提示。來自騰訊安全玄武實驗室的馬卓將分享不使用任何硬件對設備驅動進行漏洞挖掘的思路和成果,值得期待。
“蓋棺定論”之Windows CFG
微軟在Windows 8.1 Update 3中率先引入了內核級的CFG功能,并且一路延續至Windows 10操作系統。微軟將 CFG 描述為“經過高度優化的平臺安全特性,用以對抗內存破壞類漏洞”。其通過代碼中插樁檢查間接的調用和跳轉的合法,從而使用攻擊者更難實現任意代碼執行。但事實上, 以今天的視角看, Windows CFG的實際效果是遠不如預期的。滴滴Labs資深研究員楊軍鋒將在論壇上分享其對于CFG的研究和理解,并分享相關案例。
數字鑰匙比傳統鑰匙更安全嗎?
智能家居的發展給人們的生活帶來了極大地便利,諸如智能門鎖、數字鑰匙之類的設備和應用似乎有替代傳統鑰匙的可能性。但是,但是智能門鎖所使用的數字鑰匙,從安全性角度考慮,是否足夠可靠呢?
上海交通大學密碼與計算機安全實驗室(LoCCS)的金宣成和宋瑩燕將在本次騰訊安全探索論壇上分享其關于數字鑰匙安全性的深入研究。并對如何設計安全的協議給出建議。
區塊鏈自身機制漏洞讓黑客盜竊易如反掌
近年來各種關于區塊鏈的技術和應用探索等集中爆發,在成為創業與資本共同追逐的風口的同時,其身機制漏洞也逐漸暴露。全球第二大加密貨幣“以太幣”就因其生態缺陷,造成網絡上賬戶被黑客大規模竊取。
騰訊安全湛瀘實驗室安全專家王凱就以太坊RPC漏洞攻擊為例,透視當前區塊鏈安全現狀與攻防技術,就如何維護區塊鏈安全給出建議。
以子之盾,攻子之盾——利用緩解措施自身缺陷突破防線
緩解措施是Windows防御體系中的重要環節,通過阻斷漏洞利用技術來增加攻擊的難度與成本。隨著漏洞利用技術的發展,微軟也在持續的補充和完善Windows的緩解措施。來自綠盟科技的張云海將分享其關于Windows緩釋措施、CFG漏洞的研究,回顧Windows緩解措施的演進歷史,分析新近加入的一項緩解措施中存在的問題,并演示如何利用這一問題繞過所有緩解措施、實現任意代碼執行。
有沒有更安全的網站安全解決方案?
面對網絡攻擊,當前主流的防火墻檢測手段存在局限性。企業安全團隊面對頻發的黑客攻擊疲于應對。針對這種困境,騰訊安全云鼎實驗室安全專家劉少東帶來的分享將展示如何將機器學習應用到WAF攻擊檢測中,完美解決當前傳統WAF面臨的難題,幫助企業安全團隊從被動防護的困局中突破出來。
目前,CSS 2018的購票渠道已經全面開啟,對信息安全感興趣的用戶可登陸購票網址選購。
(http://www.4hou.com/piao/pc/web/index.php?r=api%2Findex&activity_id=59)
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
