2018年7月21日,看雪學(xué)院于北京國(guó)家會(huì)議中心迎來(lái)第二屆安全開(kāi)發(fā)者峰會(huì)����。本次峰會(huì)以“萬(wàn)物互聯(lián)�,安全開(kāi)發(fā)”為主題,聚焦物聯(lián)網(wǎng)及區(qū)塊鏈的開(kāi)發(fā)安全,聚合了安全和開(kāi)發(fā)兩大領(lǐng)域�,旨在建立多領(lǐng)域�、多維度的高端安全交流平臺(tái)�����。
峰會(huì)現(xiàn)場(chǎng)有近1000位來(lái)自全國(guó)各地的安全和開(kāi)發(fā)人員參加,10大議題覆蓋物聯(lián)網(wǎng)���、智能設(shè)備、區(qū)塊鏈���、機(jī)器學(xué)習(xí)、WEB安全����、逆向�、安卓�����、iOS等前沿領(lǐng)域���,匯聚業(yè)界頂尖大牛�����,促進(jìn)了網(wǎng)絡(luò)安全生態(tài)圈的健康發(fā)展,推動(dòng)了技術(shù)領(lǐng)域的積極變革�����。此外��,本次峰會(huì)還促成了BAT3J首次同臺(tái)�����,探索物聯(lián)網(wǎng)安全新風(fēng)向���。
車(chē)聯(lián)網(wǎng)是物聯(lián)網(wǎng)未來(lái)的重要組成部分����,看雪也非常重視車(chē)聯(lián)網(wǎng)的技術(shù)研究和發(fā)展,并和中國(guó)汽車(chē)研究中心進(jìn)行了深入合作��,希望能為該領(lǐng)域添磚加瓦��。這次我們有幸邀請(qǐng)到中國(guó)汽車(chē)技術(shù)研究中心有限公司 數(shù)據(jù)資源中心軟件測(cè)試部 部長(zhǎng) 張亞楠女士為我們致辭��。
看雪學(xué)院的創(chuàng)始人段鋼先生介紹了大家期待已久的《加密與解密 第四版》動(dòng)向,并簡(jiǎn)單介紹了看雪社區(qū)未來(lái)的發(fā)展規(guī)劃�。
十大精彩議題�����,干貨滿(mǎn)滿(mǎn)!
端到端通信中危險(xiǎn)的中間盒子:祝福還是詛咒?
本次看雪2018峰會(huì)現(xiàn)場(chǎng)清華大學(xué)網(wǎng)絡(luò)研究院教授段海新結(jié)合團(tuán)隊(duì)近年的研究成果��,介紹Web通信中的各種中間盒子存在的安全問(wèn)題,包括注入廣告或惡意內(nèi)容���、泄露用戶(hù)隱私、緩存污染����、大規(guī)模拒絕服務(wù)攻擊等����。
被“幽靈”所困擾的瀏覽器
在本次峰會(huì)演講中�����,騰訊安全玄武實(shí)驗(yàn)室的高級(jí)安全研究員宋凱與我們分享了如何在瀏覽器中利用"Spectre"漏洞���,并介紹如何通過(guò)Javascript觸發(fā)"Spectre"漏洞并且生成可以穩(wěn)定刷新緩存的匯編指令。除此之外�����,還將展現(xiàn)在瀏覽器中�����,通過(guò) "Spectre" 漏洞可能造成的實(shí)際危害�����,并討論相關(guān)的緩解措施。
NLP機(jī)器學(xué)習(xí)模型安全性及實(shí)踐
在本次看雪峰會(huì)上,吳鶴意從AI在自然語(yǔ)言處理領(lǐng)域NLP的實(shí)際應(yīng)用出發(fā)�,通過(guò)實(shí)例介紹AI問(wèn)答機(jī)器人產(chǎn)品的業(yè)務(wù)安全問(wèn)題�,試圖打破AI和業(yè)務(wù)安全之間的壁壘��,推進(jìn)AI在行業(yè)中的落地應(yīng)用��。
智能設(shè)備漏洞挖掘中幾個(gè)突破點(diǎn)
來(lái)自綠盟科技的馬良與大家分享針對(duì)智能設(shè)備固件提取的攻防手段。并從嵌入式系統(tǒng)的軟硬件的基礎(chǔ)架構(gòu)、智能設(shè)備提取固件的十大方法兩個(gè)方面�����,進(jìn)行講解��,其中還將講解涉及到的軟件和硬件工具��,及工具的作用和用法。
除此之外,馬良對(duì)智能設(shè)備安全研究人員提取固件的常用方法進(jìn)行梳理,也對(duì)開(kāi)發(fā)者提出了一些安全方面的建議�,避免廠家辛苦開(kāi)發(fā)出的產(chǎn)品�、想要保護(hù)的固件沒(méi)有保護(hù)好��,被輕易提取出固件分析����。無(wú)論是開(kāi)發(fā)者還是安全愛(ài)好者都值得一看��。
iOS App 安全審計(jì)與案例分享
來(lái)自盤(pán)古實(shí)驗(yàn)室的黃濤分享了盤(pán)古實(shí)驗(yàn)室在針對(duì)iOS平臺(tái)的App審計(jì)的工作過(guò)程中應(yīng)用的技術(shù)手法和發(fā)現(xiàn)的常見(jiàn)問(wèn)題。同時(shí)結(jié)合真實(shí)案例詳細(xì)介紹在App審計(jì)過(guò)程中發(fā)現(xiàn)并利用ZipperDown的技術(shù)細(xì)節(jié)�����,包括ZipperDown對(duì)微博�、qq音樂(lè)、陌陌等用戶(hù)數(shù)量達(dá)到千萬(wàn)級(jí)別的APP的影響以及我們?cè)跇?gòu)建ZipperDown完整攻擊鏈的過(guò)程中遇到的問(wèn)題和解決思路��。
TCP的厄運(yùn)��,網(wǎng)絡(luò)協(xié)議側(cè)信道分析及利用
本次峰會(huì)上加州大學(xué)河濱分校 (University ofCalifornia,Riverside)副教授錢(qián)志云教授介紹了網(wǎng)絡(luò)側(cè)信道的前世今生�����,闡明網(wǎng)絡(luò)側(cè)信道作為一個(gè)小眾和新型的漏洞類(lèi)型,所帶來(lái)的威脅和安全風(fēng)險(xiǎn)����。此外�����,錢(qián)教授還將剖析TCP側(cè)信道的漏洞成因和利用方法。
值得一提的是����,該議題內(nèi)容是國(guó)際頂級(jí)安全學(xué)術(shù)會(huì)議作品���,這兩項(xiàng)攻擊的內(nèi)容分別影響了Linux操作系統(tǒng)和無(wú)線(xiàn)802.11協(xié)議標(biāo)準(zhǔn)���,受到業(yè)界的強(qiáng)烈關(guān)注��。在此次議題中���,將首次揭秘GeekPwn2017硅谷站TCP側(cè)信道的漏洞及利用方法。此議題內(nèi)容深入淺出����,適合不同背景的受眾���。
自動(dòng)逆向機(jī)器人
分析軟件���、破解文件和協(xié)議���、漏洞分析和利用���,都需掌握逆向技能�����。 你想不想有一個(gè)機(jī)器人,能夠:
1. 文件和協(xié)議格式的自動(dòng)化逆向����,把相關(guān)軟件運(yùn)行一遍就能分析的清清楚楚����;
2. 再也不怕“不穩(wěn)定重現(xiàn)的漏洞分析”���,而且修改的每個(gè)字節(jié)����,后序流程都一覽無(wú)遺;
3. 發(fā)現(xiàn)wannacry在系統(tǒng)中殘留的密鑰(獨(dú)家)����;
4. 無(wú)論多復(fù)雜的虛擬機(jī)殼,都能輕易找到算法的密鑰。
本議題來(lái)自阿里巴巴安全部的弗為與大家分析了他們?cè)谧詣?dòng)化逆向能力上的部分進(jìn)展。
潛伏在PHP Manual背后的特性及漏洞
在安全開(kāi)發(fā)或者代碼審計(jì)過(guò)程中����,很多人認(rèn)為官方手冊(cè)的說(shuō)明方法應(yīng)該都是沒(méi)有任何問(wèn)題的����,所以就直接拿過(guò)來(lái)使用或者跳過(guò)審計(jì)�,然而這些標(biāo)準(zhǔn)的函數(shù)方法中也存在各種各樣的安全風(fēng)險(xiǎn),在某些場(chǎng)景下這些正常的非危險(xiǎn)函數(shù)方法將被黑客惡意利用從而導(dǎo)致安全漏洞。
本次峰會(huì)�,來(lái)自綠盟科技的鄧永凱介紹了大量潛伏于PHP Manual中存在潛在安全風(fēng)險(xiǎn)的非危險(xiǎn)函數(shù)方法��,以及這些函數(shù)方法的非常有意思的Tricks。
對(duì)于開(kāi)發(fā)者而言,這些看似正常但是存在潛在威脅的函數(shù)方法經(jīng)常會(huì)出現(xiàn)項(xiàng)目代碼中���;對(duì)于安全人員而言,這些函數(shù)方法的Tricks經(jīng)常被應(yīng)用在代碼審計(jì)、CTF挑戰(zhàn)�、漏洞利用Bypass當(dāng)中����。
從WPA2四次握手看KRACK密鑰重裝攻擊
本議題主要圍繞2017年年底爆出的WPA2協(xié)議的漏洞展開(kāi)�����,該漏洞通過(guò)WPA2協(xié)議在實(shí)現(xiàn)四次握手過(guò)程中出現(xiàn)的缺陷�,對(duì)該過(guò)程進(jìn)行攻擊從而導(dǎo)致密鑰被重新安裝����,進(jìn)而實(shí)現(xiàn)通信數(shù)據(jù)的劫持。
與平時(shí)經(jīng)常爆出的漏洞不同的是,該漏洞屬于協(xié)議層面�����,并不針對(duì)某一特定型號(hào)的設(shè)備或產(chǎn)品,因此任何接入WIFI的設(shè)備都有可能受到影響���,由于攻擊本身并不能獲取WIFI密碼也不針對(duì)WIFI密碼�,因此定期更換密碼并不能抵御此類(lèi)攻擊����,用戶(hù)可以通過(guò)禁用客戶(hù)端的某些功能來(lái)降低針對(duì)路由器和AP的攻擊風(fēng)險(xiǎn)���。
硬件錢(qián)包安全分析
隨著區(qū)塊鏈技術(shù)的興起,國(guó)內(nèi)國(guó)外出現(xiàn)很多硬件錢(qián)包廠家。由于大多廠家對(duì)安全理解不到位,出現(xiàn)很多設(shè)計(jì)架構(gòu)問(wèn)題�����。很多比特幣硬件錢(qián)包基于手機(jī)平臺(tái)開(kāi)發(fā)(MTK)�����,存在很多不安全性和脆弱性���。
本次峰會(huì)上�����,來(lái)自北京知道創(chuàng)宇的胡銘德展示了如何暴力破解兩個(gè)世界知名硬件錢(qián)包,并利用該平臺(tái)USB接口的漏洞,對(duì)固件修改����,對(duì)手機(jī)錢(qián)包App修改�,從而打開(kāi)WiFi藍(lán)牙接口���,進(jìn)而完全控制錢(qián)包的私鑰��。
BAT3J 首次同臺(tái)���,引發(fā)頭腦風(fēng)暴
物聯(lián)網(wǎng)安全
主持人:王琦
參與嘉賓(從左至右�����,依次為):楊卿�、陳彪、黃眉���、陳洋
碁震KEEN創(chuàng)始人兼CEO,王琦先生����;360黑客研究院�����、無(wú)線(xiàn)電安全研究院負(fù)責(zé)人,楊卿���;梆梆安全CTO陳彪先生;阿里巴巴安全部資深總監(jiān)�����,基礎(chǔ)安全負(fù)責(zé)人黃眉先生�;小米首席安全官,陳洋先生���。
區(qū)塊鏈安全
主持人:萬(wàn)濤
參與嘉賓:(從左至右依次為)Tony Lee,方小頓��,閻文斌�,古河,zmworm
中國(guó)鷹派聯(lián)盟網(wǎng)站創(chuàng)始人萬(wàn)濤先生��;京東首席信息安全專(zhuān)家Tony Lee先生����;烏云創(chuàng)始人方小頓先生;娜迦科技 CTO��,閻文斌先生����;360漏洞挖掘部技術(shù)總監(jiān),古河先生����;幣盈科技 zwmorm��。
CTF 頒獎(jiǎng)盛典,你pick哪個(gè)小哥哥���?
CTF 獲獎(jiǎng)選手合影
從左至右依次為:段鋼,Tony Lee���,黃國(guó)彬,holing�����,李輝����,宋智琪,韓數(shù)����,孫心乾��,陳紅橋,鄧靜恒
歷時(shí)一個(gè)月的看雪.京東2018 CTF在幾天前落幕����,看雪誠(chéng)邀獲獎(jiǎng)的攻防雙方選手蒞臨現(xiàn)場(chǎng)���,并邀請(qǐng)京東首席安全官Tony Lee和看雪學(xué)院創(chuàng)始人段鋼先生為選手頒獎(jiǎng)。
幸運(yùn)抽獎(jiǎng)環(huán)節(jié),禮物抽不停
梆梆安全CTO 陳彪先生為獲獎(jiǎng)選手頒獎(jiǎng),獎(jiǎng)品為5個(gè)價(jià)值500元的背包和5個(gè)樹(shù)莓派。
小米安全研究員Rebecca 為獲獎(jiǎng)選手頒獎(jiǎng),獎(jiǎng)品為3個(gè)小米手環(huán)���、2個(gè)小米小愛(ài)音箱mini、5個(gè)米兔、5個(gè)指尖積木���。
騰訊安全應(yīng)急響應(yīng)中心TSRC負(fù)責(zé)人 鐘武強(qiáng)為選手頒獎(jiǎng),獎(jiǎng)品為2臺(tái)Kindle和1臺(tái)價(jià)值6498元的Macbook Air。
現(xiàn)場(chǎng)圖錦�����,場(chǎng)內(nèi)場(chǎng)外一樣精彩���!
8點(diǎn)��,參會(huì)者陸陸續(xù)續(xù)進(jìn)場(chǎng)簽到��。
峰會(huì)當(dāng)天日程板及贊助商、媒體合作伙伴、合作單位��。
不一會(huì)��,容納1000多人的會(huì)場(chǎng)就已經(jīng)坐滿(mǎn)�����,大家都在互相的交流中,等待會(huì)議的開(kāi)始。
十大議題干貨滿(mǎn)滿(mǎn),參會(huì)者都聽(tīng)得非常認(rèn)真。
演講間隙���,不少參會(huì)者在場(chǎng)外展臺(tái)處咨詢(xún)、拍照,氣氛活躍�。
看雪特邀樂(lè)隊(duì)��,為大家?guī)?lái)了震撼的音樂(lè)現(xiàn)場(chǎng),一掃夏日午間困意。
作為互聯(lián)網(wǎng)更深層次的發(fā)展����,物聯(lián)網(wǎng)和區(qū)塊鏈目前正在嶄露頭角���,發(fā)展?jié)摿薮蟆^(qū)塊鏈+物聯(lián)網(wǎng)是否能夠解決當(dāng)前互聯(lián)網(wǎng)發(fā)展的局限�����,并對(duì)人們的生活產(chǎn)生更深層次的影響��,本次峰會(huì)所邀請(qǐng)的各位嘉賓們給出了他們的回答����。
18歲的看雪,風(fēng)華正茂,我們將緊抓時(shí)代的脈搏,奮力前行���。感謝各位朋友們蒞臨現(xiàn)場(chǎng)。看雪將不負(fù)初心,砥礪前行�����,繼續(xù)為信息安全事業(yè)的發(fā)展貢獻(xiàn)自己的力量����。為期一天的看雪2018安全開(kāi)發(fā)者峰會(huì),至此圓滿(mǎn)落幕!我們明年再見(jiàn)���!
鉆石贊助
鉑金贊助
黃金贊助
