订阅业界RSS CSDN首页> 业界

看雪2018安全开发者峰会,圆满落幕!

发表于2018-07-23 14:20| 来源CSDN| 作者CSDN

摘要:2018年7月21日,看雪学院于北京国家会议中心迎来第二届安全开发者峰会

2018年7月21日,看雪学院于北京国家会议中心迎来第二届安全开发者峰会。本次峰会以“万物互联,安全开发”为主题,聚焦物联网及区块链的开发安全,聚合了安全和开发两大领域,旨在建立多领域、多维度的高端安全交流平台。


image.png

image.png


峰会现场有近1000位来自全国各地的安全和开发人员参加,10大议题覆盖物联网、智能设备、区块链、机器学习、WEB安全、逆向、安卓、iOS等前沿领域,汇聚业界顶尖大牛,促进了网络安全生态圈的健康发展,推动了技术领域的积极变革。此外,本次峰会还促成了BAT3J首次同台,探索物联网安全新风向。


image.png


车联网是物联网未来的重要组成部分,看雪也非常重视车联网的技术研究和发展,并和中国汽车研究中心进行了深入合作,希望能为该领域添砖加瓦。这次我们有幸邀请到中国汽车技术研究中心有限公司 数据资源中心软件测试部 部长 张亚楠女士为我们致辞。


image.png


看雪学院的创始人段钢先生介绍了大家期待已久的《加密与解密 第四版》动向,并简单介绍了看雪社区未来的发展规划。


十大精彩议题,干货满满!


端到端通信中危险的中间盒子:祝福还是诅咒?


image.png


本次看雪2018峰会现场清华大学网络研究院教授段海新结合团队近年的研究成果,介绍Web通信中的各种中间盒子存在的安全问题,包括注入广告或恶意内容、泄露用户隐私、缓存污染、大规模拒绝服务攻击等。


被“幽灵”所困扰的浏览器 


image.png


在本次峰会演讲中,腾讯安全玄武实验室的高级安全研究员宋凯与我们分享了如何在浏览器中利用"Spectre"漏洞,并介绍如何通过Javascript触发"Spectre"漏洞并且生成可以稳定刷新缓存的汇编指令。除此之外,还将展现在浏览器中,通过 "Spectre" 漏洞可能造成的实际危害,并讨论相关的缓解措施。


NLP机器学习模型安全性及实践


image.png


在本次看雪峰会上,吴鹤意从AI在自然语言处理领域NLP的实际应用出发,通过实例介绍AI问答机器人产品的业务安全问题,试图打破AI和业务安全之间的壁垒,推进AI在行业中的落地应用。


智能设备漏洞挖掘中几个突破点


image.png


来自绿盟科技的马良与大家分享针对智能设备固件提取的攻防手段。并从嵌入式系统的软硬件的基础架构、智能设备提取固件的十大方法两个方面,进行讲解,其中还将讲解涉及到的软件和硬件工具,及工具的作用和用法。


除此之外,马良对智能设备安全研究人员提取固件的常用方法进行梳理,也对开发者提出了一些安全方面的建议,避免厂家辛苦开发出的产品、想要保护的固件没有保护好,被轻易提取出固件分析。无论是开发者还是安全爱好者都值得一看。


iOS App 安全审计与案例分享


image.png


来自盘古实验室的黄涛分享了盘古实验室在针对iOS平台的App审计的工作过程中应用的技术手法和发现的常见问题。同时结合真实案例详细介绍在App审计过程中发现并利用ZipperDown的技术细节,包括ZipperDown对微博、qq音乐、陌陌等用户数量达到千万级别的APP的影响以及我们在构建ZipperDown完整攻击链的过程中遇到的问题和解决思路。


TCP的厄运,网络协议侧信道分析及利用


image.png


本次峰会上加州大学河滨分校 (University ofCalifornia,Riverside)副教授钱志云教授介绍了网络侧信道的前世今生,阐明网络侧信道作为一个小众和新型的漏洞类型,所带来的威胁和安全风险。此外,钱教授还将剖析TCP侧信道的漏洞成因和利用方法。


值得一提的是,该议题内容是国际顶级安全学术会议作品,这两项攻击的内容分别影响了Linux操作系统和无线802.11协议标准,受到业界的强烈关注。在此次议题中,将首次揭秘GeekPwn2017硅谷站TCP侧信道的漏洞及利用方法。此议题内容深入浅出,适合不同背景的受众。


自动逆向机器人 


image.png


分析软件、破解文件和协议、漏洞分析和利用,都需掌握逆向技能。 你想不想有一个机器人,能够:


1. 文件和协议格式的自动化逆向,把相关软件运行一遍就能分析的清清楚楚;


2. 再也不怕“不稳定重现的漏洞分析”,而且修改的每个字节,后序流程都一览无遗;


3. 发现wannacry在系统中残留的密钥(独家);


4. 无论多复杂的虚拟机壳,都能轻易找到算法的密钥。


本议题来自阿里巴巴安全部的弗为与大家分析了他们在自动化逆向能力上的部分进展。


潜伏在PHP Manual背后的特性及漏洞


image.png


在安全开发或者代码审计过程中,很多人认为官方手册的说明方法应该都是没有任何问题的,所以就直接拿过来使用或者跳过审计,然而这些标准的函数方法中也存在各种各样的安全风险,在某些场景下这些正常的非危险函数方法将被黑客恶意利用从而导致安全漏洞。


本次峰会,来自绿盟科技的邓永凯介绍了大量潜伏于PHP Manual中存在潜在安全风险的非危险函数方法,以及这些函数方法的非常有意思的Tricks。


对于开发者而言,这些看似正常但是存在潜在威胁的函数方法经常会出现项目代码中;对于安全人员而言,这些函数方法的Tricks经常被应用在代码审计、CTF挑战、漏洞利用Bypass当中。


从WPA2四次握手看KRACK密钥重装攻击


image.png


本议题主要围绕2017年年底爆出的WPA2协议的漏洞展开,该漏洞通过WPA2协议在实现四次握手过程中出现的缺陷,对该过程进行攻击从而导致密钥被重新安装,进而实现通信数据的劫持。


与平时经常爆出的漏洞不同的是,该漏洞属于协议层面,并不针对某一特定型号的设备或产品,因此任何接入WIFI的设备都有可能受到影响,由于攻击本身并不能获取WIFI密码也不针对WIFI密码,因此定期更换密码并不能抵御此类攻击,用户可以通过禁用客户端的某些功能来降低针对路由器和AP的攻击风险。


硬件钱包安全分析


image.png


随着区块链技术的兴起,国内国外出现很多硬件钱包厂家。由于大多厂家对安全理解不到位,出现很多设计架构问题。很多比特币硬件钱包基于手机平台开发(MTK),存在很多不安全性和脆弱性。


本次峰会上,来自北京知道创宇的胡铭德展示了如何暴力破解两个世界知名硬件钱包,并利用该平台USB接口的漏洞,对固件修改,对手机钱包App修改,从而打开WiFi蓝牙接口,进而完全控制钱包的私钥。


BAT3J 首次同台,引发头脑风暴


物联网安全


image.png

主持人:王琦

参与嘉宾(从左至右,依次为):杨卿、陈彪、黄眉、陈洋


碁震KEEN创始人兼CEO,王琦先生;360黑客研究院、无线电安全研究院负责人,杨卿;梆梆安全CTO陈彪先生;阿里巴巴安全部资深总监,基础安全负责人黄眉先生;小米首席安全官,陈洋先生。


区块链安全


image.png

主持人:万涛

参与嘉宾:(从左至右依次为)Tony Lee,方小顿,阎文斌,古河,zmworm


中国鹰派联盟网站创始人万涛先生;京东首席信息安全专家Tony Lee先生;乌云创始人方小顿先生;娜迦科技 CTO,阎文斌先生;360漏洞挖掘部技术总监,古河先生;币盈科技 zwmorm。


CTF 颁奖盛典,你pick哪个小哥哥?


image.png

CTF 获奖选手合影


从左至右依次为:段钢,Tony Lee,黄国彬,holing,李辉,宋智琪,韩数,孙心乾,陈红桥,邓静恒


历时一个月的看雪.京东2018 CTF在几天前落幕,看雪诚邀获奖的攻防双方选手莅临现场,并邀请京东首席安全官Tony Lee和看雪学院创始人段钢先生为选手颁奖。 


幸运抽奖环节,礼物抽不停


image.png


梆梆安全CTO 陈彪先生为获奖选手颁奖,奖品为5个价值500元的背包和5个树莓派。


image.png


小米安全研究员Rebecca 为获奖选手颁奖,奖品为3个小米手环、2个小米小爱音箱mini、5个米兔、5个指尖积木。


image.png


腾讯安全应急响应中心TSRC负责人 钟武强为选手颁奖,奖品为2台Kindle和1台价值6498元的Macbook Air。


现场图锦,场内场外一样精彩!


image.png

8点,参会者陆陆续续进场签到。


image.png

峰会当天日程板及赞助商、媒体合作伙伴、合作单位。


image.png

不一会,容纳1000多人的会场就已经坐满,大家都在互相的交流中,等待会议的开始。


image.png

十大议题干货满满,参会者都听得非常认真。


image.png

演讲间隙,不少参会者在场外展台处咨询、拍照,气氛活跃。


image.png

看雪特邀乐队,为大家带来了震撼的音乐现场,一扫夏日午间困意。


作为互联网更深层次的发展,物联网和区块链目前正在崭露头角,发展潜力巨大。区块链+物联网是否能够解决当前互联网发展的局限,并对人们的生活产生更深层次的影响,本次峰会所邀请的各位嘉宾们给出了他们的回答。


18岁的看雪,风华正茂,我们将紧抓时代的脉搏,奋力前行。感谢各位朋友们莅临现场。看雪将不负初心,砥砺前行,继续为信息安全事业的发展贡献自己的力量。为期一天的看雪2018安全开发者峰会,至此圆满落幕!我们明年再见!


声明:CSDN登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。