看雪2020第四届安全开发者峰会顺利结束!
发布时间:2021-11-14 14:12:15 所属栏目:安全 来源:互联网
导读:在5G新基建的浪潮下,网络攻击手段不断升级,攻击范围也扩大到各个领域,新时代的网络安全将面临更复杂严峻的挑战。 10月23日,看雪2020第四届安全开发者峰会(看雪2020 SDC)顺应时代的变化,聚焦全新的网络安全挑战,以新安全,新未来为主题,在上海浦东喜来登由由大
|
在5G新基建的浪潮下,网络攻击手段不断升级,攻击范围也扩大到各个领域,新时代的网络安全将面临更复杂严峻的挑战。 10月23日,看雪2020第四届安全开发者峰会(看雪2020 SDC)顺应时代的变化,聚焦全新的网络安全挑战,以“新安全,新未来”为主题,在上海浦东喜来登由由大酒店为大家带来一场技术的饕餮盛宴。 新基建时代,网络安全相关的前沿技术已覆盖到更多领域,包括IoT安全、移动安全、漏洞挖掘、病毒分析、AI安全、工控安全、软件保护等,本次峰会上,看雪就邀请多位重量级嘉宾为广大安全爱好者带来紧抓时下最热门最前沿技术的十大精彩干货议题。此外,峰会还邀请到6位重磅嘉宾就“新安全,新未来”进行深入探讨。 除了主会场的精彩议题分享,2020 SDC分会场还开设安卓高研班线下交流会;会场外,还有极客市集,为大家带来一大波亮眼的黑科技…… 现在就让我们一起来回顾下现场的精彩瞬间吧! 第一篇章:期许 近年来随着各类网络攻击和新型网络诈骗案件的日益增多,网络安全更是越来越受到社会、政府与公众的高度重视。在当下这个互联网时代,网络安全对于国家安全来说,牵一发而动全身,没有网络安全就难以保障国家的安全。 看雪学院举办安全开发者峰会的目的正是为了给关注网络安全的专业人士提供一个分享交流的窗口,也力争让更多普通人开始关注网络安全,助推我国互联网安全的高速发展。 首先,看雪创始人段钢先生发表本次峰会开幕词。 段钢先生讲到截至2020年,中国网络安全人才需求量预计达到160万关注在全球范围内网络安全人才仍是稀缺资源,未来安全市场规模将持续增大,将为安全人才带来更多机遇。 随后,百度副总裁马杰先生也对本届峰会送上了美好的祝愿。 马杰讲到过去20年,整个技术形态都产生了很大的变化,我们已经进入了一种智能经济的时代,非常幸运。AI时代的变革将是一次非常重大的革命,其带来的安全问题需要安全人员共同的努力。希望大家一起把AI时代整个产业做大。 第二篇章:初心 每年的安全开发者峰会上,大家最关注的就是看雪邀请行业大牛们分享的精彩议题。每个议题都经过看雪专家团队层层把关,严格保障分享内容绝对够前沿够干货。 “议题只分享纯干货技术”是看雪多年来的初心,也是始终不变的原则。下面,就让我们一起来回顾今年各有千秋的十大干货议题吧! 1、逃逸IE浏览器沙箱:在野0Day漏洞利用复现 今年5月,在一起针对韩国某公司的APT攻击中,研究人员发现黑客集团使用了两个在野0day漏洞:Internet Explorer的远程代码执行漏洞和Windows的特权提升漏洞。本次峰会上,曹磊为我们介绍了这两个0Day漏洞逃逸IE浏览器沙箱的原理和过程。最后,他还向我们现场演示了漏洞在Windows10 2004版本下的完整利用过程,为广大技术人员更好地研究漏洞提供了参考。 点评:逃逸沙箱一直是计算机安全领域令人感兴趣的研究方向,其难点在于不仅需要对操作系统有着深刻的理解,而且还需要熟悉编译原理,因为浏览器在渲染网页时会使用一些优化技术来加速代码的执行。这次的演讲深入细节,让人印象深刻,也让人感受到网络攻击背后的复杂性。 2、LightSpy:Mobile间谍软件的狩猎和剖析 iOS封闭的生态系统真的足够安全吗?殊不知,今年1月,就有间谍软件LightSpy锁定特殊iOS用户进行“Water Hole”攻击。在本议题中,Lilang Wu就为我们分享了其团队发现的该全新手机间谍软件LightSpy,以及同样针对Android设备的相似恶意软件家族dmsSpy的整体功能及传播方式。相信广大安全研究员能通过本议题对全新的手机间谍软件有所了解,在今后的攻击来临前有所准备。 点评:没想到吧?即使是最安全的iPhone,仍旧有可能遭受到最新的间谍软件的攻击!只要你点击了不明链接,手机瞬间不再属于你。间谍软件可以监控浏览器、聊天软件,甚至插入后门、解密聊天记录。Android也不能幸免。听了这次演讲,我们可以知道以后要少点击不明链接,也要经常更新操作系统到最新版本。 3、Dex格式消亡史——最新Dex保护技术:流式编码 当下常用的DexVmp虚拟保护技术,某种程度上抑制了脱壳的自动化,但是随着攻防的演进已暴露出不足之处。对现有的Dex加固方案进行革新很有必要。在该演讲中,曹阳为我们介绍了一种开创性的全新Dex保护方案,通过对字节码重新编码,自定义变长指令,而非以往的映射表形式。这种升级之后的DexVmp方案,使基于映射表完美还原代码成为历史。全新方式吸引了众多安全爱好者的目光,有助于大家的安卓防守和加固认知,达到新的水平。 点评:和PC壳的发展路径类似,安卓平台软件壳的发展从文件粒度、函数粒度、到指令粒度。对应的技术随着破壳技术的升级而不断迭代,形成了较为成熟且复杂的体系,目前已进入最高强度的VMP对抗。它们保护着我们日常所用的App,为阻挡黑灰产立下了赫赫战功。 4、Android WebView安全攻防指南2020 WebView已成为Android App中最容易出现重大漏洞的薄弱环节。为此,本次峰会上,何恩基于自身漏洞挖掘所积累的丰富案例,对WebView安全配置、白名单校验、Js2Java接口安全、Intent Scheme校验等典型漏洞案例进行了介绍和分析。通过本演讲,开发者能了解到Android WebView最新的典型漏洞类型及其利用手法,从而获得安全编程方面的指南。 点评:可能大家都试过在一个App中点开网页链接吧?殊不知,这其中也包含着一定的风险。Android系统中,这一功能由Webview实现。Webview需要处理不受信任的网络输入,同时又和App有着交互的过程。这场演讲告诉我们浏览恶意网页可能导致Webview被攻破。 (编辑:财气旺网 - 财气网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐