导语:大家期盼已久的全球顶尖极客大会DEF CON CHINA已于5月11日拉开帷幕,置身在人山人海的会议现场,每一个从你身边走得过的人都有可能是极客大神,随随便便就能把你身上的电子产品破解个干净。
大家期盼已久的全球顶尖极客大会DEF CON CHINA已于5月11日拉开帷幕,置身在人山人海的会议现场,每一个从你身边走得过的人都有可能是极客大神,随随便便就能把你身上的电子产品破解个干净。这种刺激的氛围是小编不曾感受过的,兴奋的心情溢于言表。
DEF CON是全球安全领域的顶级会议之一,被誉为安全界“奥斯卡”,由Jeff Moss创办,迄今已有25年历史。本届DEF CON CHINA延续了DEF CON传统议程和赛制,分为议题演讲,BCTF比赛、Hack Villages、Workshop等多个板块。召集全球网络顶尖安全专家与技术爱好者汇集于此,分享时下前沿安全技术与课题研究成果。
让生活更美好是所有极客共同的目标
好不容易从人群中挤入早已人满为患的主会场,小编终于见到了传说中极客界的神话人物Jeff Moss,他就是DEF CON 的创始人。11:30主会场已成正式开始,Jeff Moss首先上台致开幕词,他表示在中国有很多的极客,让人有种宾至如归的感觉。当他参加过XCon和KCon后,Jeff Moss发现,中国大众对安全有着更多得关注。这也是他将DEF CON引入中国的原因之一,让DEF CON可以直接和中国的伙伴有更多的合作,会让DEF CON更了解中国,也会让中国的极客更了解DEF CON。从本质上说,大家都是极客,让生活更美好是所有极客共同的目标。
大神Jeff Moss
百度总裁张亚勤在演讲中指出,早在三年前他参加DEF CON的时候,就和Jeff Moss达成了一致,两人对中国网络安全领域发展的观点一拍即合,这也促成了首届DEF CON CHINA的成功召开,让中国极客不出国门也能看世界。
百度总裁张亚勤
DEF CON CHINA的灵魂——主议题干货满满
主会场首日的首个议题是《用谷歌传播恶意软件》,两名演讲者 Fabian Cuchietti 和 Gonzalo sanchez 来自西班牙,长期以红队身份从事互联网安全审计工作。谷歌虽然在安全方面一直比较可靠,但它的产品依然有可被利用的问题。例如,使用MKL文件进行攻击,MKL全称为Keyhole Markup Language;或是使用KML+zip的形式进行攻击。最终会影响 Google Earth Windows,实现谷歌会话劫持、远程代码执行(远程shell)以及利用 JavaScript 挖矿(门罗币)。两位演讲者还在现场进行了演示,不过由于网络等原因没能成功,但是还是通过之前录制的成功试验,复现了这个问题。
Fabian Cuchietti 和 Gonzalo sanchez
大会第二个议题《你上了我的账号》让参会者眼前一亮。演讲者“呆子不开口”让我们见识到了攻击者更为高端的攻击方式。一般情况下,攻击者都是主动攻击受害人的账号进行信息窃取,但呆子不开口告诉我们,如果受害者无意间登陆了攻击者的账号,攻击者依然可以控制账号对受害者进行攻击,例如钓鱼攻击、隐私窃取、资源盗取、影响风控、冒用身份等等。攻击者甚至可以通过使用第三方网站登陆的方式进行跨区域攻击。在互联网中,也许你一不小心就会被诱导登录到攻击者的账号,具体有login csrf、Setcookie接口用于设置登录cookie、链接传递登陆凭证、二维码扫描登录、第三方授权登录(这种比较普遍)以及社会工程学等等。因此用户一定要警觉,在登录网站等等需要用户账号密码的界面使用显示登陆信息的操作,以免在不经意间登陆攻击者账号。
演讲者“呆子不开口”
下午14:00,来自百度安全实验室的第三个议题《当内在安全语言不在安全》正式开讲。由非内存安全的编程语言带来的致命 bug 是计算机安全史上最古老、最长久的安全问题。近年出现了使用内存安全语言(例如 Rust、Go、Swift 等)重构安全要求高的组件。但是开发者在使用这些语言的时候会有一种错觉,认为只要用这些语言编写的程序就能100% 保证类型安全、内存安全以及线程安全。但是他们的研究表明上述假设并不成立,并且有可能导致危险的后果。他们在研究中发现几乎所有的Rust 程序都依赖 libc 库,并且至少 25% 的 Rust库都依赖其它 C/C++ 的库。这些库破坏了 Rust的内存安全特性,暴露了一些潜在的威胁。更加不幸的是,开发者并不知道程序使用了这些 C/C++库,也没有注意这些威胁的存在。
百度安全实验室的《当内在安全语言不在安全》
下午的第二个议题是由多年CTF运营商Vito Genovese进行的《5年CTF比赛运营经验》主题演讲。CTF是对黑客技能的终极测试,而DEF CON是历史最悠久同时也是最负盛名的CTF场地。在和Legitimate Business Syndicate合作的DEF CON CTF运行五年之际,我们在这里学到了很多。这个演讲将涵盖了CTF组织的各方面的主题:CTF的历史,组建多年稳定的跨职能组织团队,建立一个可以承受参赛者猛烈攻击的比赛架构,和一些CTF挑战背后的故事。有兴趣的小伙伴可以来现场感受下BCTF的比赛盛况。
《5年CTF比赛运营经验》主题演讲
下午的第三个演讲是陈威伯(banananappletw)的《在 GDB 上的TRITON 和符号执行》。他介绍了符号执行的原理和 Triton 框架,详细阐述他设计和编写 SymGDB(https://github.com/SQLab/symgdb) 的过程,以及当初如何设计架构、在过程中所遇到的困难和如何解决除错的技巧。
陈威伯
5月11日的最后一个议题是来自360Alpha团队的向小波和杨文林带来的《几种通用安卓平台路径穿越漏洞的挖掘与利用姿势》。他们详细阐述了安卓系统路径穿越漏洞详情,以及如何发现这些漏洞。关于路径穿越漏洞有可能出现的地方,请看小图下图:
以上便是本届DEF CON CHINA 首日主会场议题的干货分享,没来参加的小伙伴是不是有点后悔了呢?这干活的质量可是杠杠的,会议还有两天,如果不想继续错过顶尖信息安全技术内容,就赶紧来报名参加吧!小编我也会第一时间更新会议内容,请大家持续关注“嘶吼专业版”微信公众号,或登陆嘶吼官方网站查看更多DEF CON CHINA精彩内容。