看雪2018 安全开发者峰会,7月21日盛大来袭 !燃爆整个夏天!
这个夏天,看雪2018安全开发者峰会,携9大前沿议题,覆盖物联网、智能设备、区块链、硬件钱包、机器学习、WEB通信、逆向、PHP、侧信道、iOS等领域火热来袭!此外,看雪还诚邀数十位业界顶尖大牛与你面对面交流,更有BAT3J 首次同台,头脑风暴。
本次峰会以“万物互联,安全开发”为主题,聚焦开发与安全,旨在以“防”为基准,安全开发为主旨,引导广大企业和开发者关注移动、智能设备、物联网等领域的安全,提高开发和安全技巧,创造出更安全的产品。
此外峰会将展现当前最新、最前沿技术成果,汇聚年度最强实践案例,为中国软件开发者们呈献了一份年度技术实战解析全景图。
本次峰会受到了梆梆安全、娜迦、阿里安全、腾讯安全、百度安全、Wifi万能钥匙、京东安全、360公司、几维安全、爱加密、金山毒霸(猎豹旗下品牌)、腾讯TSRC、科锐培训、同盾科技、15派培训等等数十家公司的大力支持和赞助。
峰会日程
时间 | 议题题目 | 演讲嘉宾 |
9:00-9:05 | 致辞 | 张亚楠 |
9:05-9:10 | 看雪社区发展规划 | 段钢 |
9:10-9:55 | 端到端通信中危险的中间盒子:祝福还是诅咒? | 段海新 |
9:55-10:25 | 被“幽灵”所困扰的浏览器 | 宋凯 |
10:25-10:45 | NLP机器学习模型安全性及实践 | 吴鹤意 |
10:45-11:30 | 智能设备漏洞挖掘中几个突破点 | 马良 |
11:30-12:00 | 圆桌会议( IoT 安全) 参与嘉宾:谭晓生、陈彪、黄眉、陈洋 | 主持人:王琦 |
12:00-12:05 | 抽奖 | |
12:05-13:30 | 午餐 | |
13:30-14:10 | iOS App安全审计与案例分享 | 黄涛 |
14:10-14:55 | TCP的厄运,网络协议侧信道分析及利用 | 钱志云 |
14:55-15:40 | 自动逆向机器人 | 弗为 |
15:40-15:41 | 抽奖 | |
15:41-16:00 | 休息 | |
16:00-16:45 | 潜伏在PHP Manual背后的特性及漏洞 | 邓永凯 |
16:45-17:05 | 从WPA2四次握手看KRACK密钥重装攻击 | 石冰 |
17:05-17:35 | 硬件钱包安全分析 | 胡铭德 |
17:35-18:05 | 圆桌会议(区块链安全) 参与嘉宾:万涛(老鹰)、Tony Lee、马杰、剑心、阎文斌(玩命)、古河 | 主持人:TK |
18:05-18:10 | 颁奖盛典 | |
18:10-18:15 | 抽奖(神秘大奖) |
十大议题,干货满满
1、端到端通信中危险的中间盒子:祝福还是诅咒?
议题简介:
将结合团队近年的研究成果,介绍Web通信中的各种中间盒子存在的安全问题,包括注入广告或恶意内容、泄露用户隐私、缓存污染、大规模拒绝服务攻击等。
演讲嘉宾:段海新
清华大学网络研究院教授,清华大学(网络研究院)-360企业安全联合研究中心主任。在网络安全领域有20多年的教学、科研和管理经验,多项研究成果发表在国际竞争最为激烈四大安全顶级学术会议上,曾获国际顶级安全会议NDSS杰出论文奖、中央网信办首届“网络安全优秀人才”奖。世界知名攻防战队“蓝莲花”、网络安全研究国际学术论坛(InForSec)的联合创始人。
2、被“幽灵”所困扰的浏览器
议题简介:
在本次峰会演讲中,宋凯将与我们分享如何在浏览器中利用"Spectre"漏洞,并介绍如何通过Javascript触发"Spectre"漏洞并且生成可以稳定刷新缓存的汇编指令。除此之外,还将展现在浏览器中,通过 "Spectre" 漏洞可能造成的实际危害,并讨论相关的缓解措施。
演讲嘉宾:宋凯
腾讯安全玄武实验室的高级安全研究员。对于软件漏洞挖掘与利用有着丰富的研究经验,主要关注浏览器及操作系统相关的安全研究。在Fuzzing与其它漏洞挖掘技术上也有着丰富的经验。曾代表腾讯安全玄武实验室赢得Pwn2Own 2017 Edge 浏览器项目。曾连续三年入选微软 MSRC 全球 Top 100 贡献者榜单,最高排名第12位。赢得2016年微软 Mitigation Bypass Bounty 项目。分别赢得2015年和2016年 EdgeBounty 项目。曾在AsiaSecWest、HITCON、中国互联网安全大会、XKungFoo等安全会议发表演讲。
3、NLP机器学习模型安全性及实践
议题简介:
在本次看雪峰会上,吴鹤意将从AI在自然语言处理领域NLP的实际应用出发,通过实例介绍AI问答机器人产品的业务安全问题,试图打破AI和业务安全之间的壁垒,推进AI在行业中的落地应用。
演讲嘉宾:吴鹤意
网络安全爱好者,拥有大型政企单位安全应急与运维经验,多次参与中央部委安全事件解析工作,研究领域现集中于AI+SDN。
4、智能设备漏洞挖掘中几个突破点
议题简介:
本此看雪峰会,演讲嘉宾马良将与大家分享针对智能设备固件提取的攻防手段。并从嵌入式系统的软硬件的基础架构、智能设备提取固件的十大方法两个方面,进行讲解,其中还将讲解涉及到的软件和硬件工具,及工具的作用和用法。
本议题对智能设备安全研究人员提取固件的常用方法进行梳理,也对开发者提出了一些安全方面的建议,避免厂家辛苦开发出的产品、想要保护的固件没有保护好,被轻易提取出固件分析。无论是开发者还是安全爱好者都值得一看。
演讲嘉宾:马良
硬件爱好者、编程爱好者。就职于绿盟科技,研究领域为物联网和工控安全。擅长嵌入式系统,在进入安全行业前,曾有十年嵌入式软件开发经历,4年物联网产品开发经验,3年LTE开发经验,3年工控系统开发经验。2016 XPwn 西门子PLC工控蠕虫演示者。
5、iOS App 安全审计与案例分享
议题简介:
本议题将会分享盘古实验室在针对iOS平台的App审计的工作过程中应用的技术手法和发现的常见问题。同时结合真实案例详细介绍在App审计过程中发现并利用ZipperDown的技术细节,包括ZipperDown对微博、qq音乐、陌陌等用户数量达到千万级别的APP的影响以及我们在构建ZipperDown完整攻击链的过程中遇到的问题和解决思路。
演讲嘉宾:黄涛
看雪ID:dirge,3年软件开发经验,4年信息安全从业经验。不仅拥有丰富的开发经验,还擅长MacOS/iOS漏洞挖掘、分析,逆向工程,iOS App安全审计。曾在看雪论坛及个人站点发表大量技术文章。在macOS/iOS的漏洞研究积累了大量的经验,目前在盘古实验室从事macOS、iOS漏洞挖掘、分析与iOS App应用审计工作。
6、TCP的厄运,网络协议侧信道分析及利用
议题简介:
介绍网络侧信道的前世今生,阐明网络侧信道作为一个小众和新型的漏洞类型,所带来的威胁和安全风险。此外,钱教授还将剖析TCP侧信道的漏洞成因和利用方法。
值得一提的是,该议题内容是国际顶级安全学术会议作品,这两项攻击的内容分别影响了Linux操作系统和无线802.11协议标准,受到业界的强烈关注。在此次议题中,将首次揭秘GeekPwn2017硅谷站TCP侧信道的漏洞及利用方法。此议题内容深入浅出,适合不同背景的受众。
演讲嘉宾:钱志云
加州大学河滨分校 (University of California,Riverside)副教授。研究兴趣在于网络、操作系统,以及软件安全,其中涉及到TCP/IP协议的设计与实现,安卓操作系统的漏洞挖掘和分析,以及侧信道在网络系统领域中的安全性研究。曾获得GeekPwn 2016最大脑洞奖和GeekPwn 2017优胜奖。
7、自动逆向机器人
议题简介:
分析软件、破解文件和协议、漏洞分析和利用,都需掌握逆向技能。 你想不想有一个机器人,能够:
1. 文件和协议格式的自动化逆向,把相关软件运行一遍就能分析的清清楚楚;
2. 再也不怕“不稳定重现的漏洞分析”,而且修改的每个字节,后序流程都一览无遗;
3. 发现wannacry在系统中残留的密钥(独家);
4. 无论多复杂的虚拟机壳,都能轻易找到算法的密钥。
本议题会和大家分析我们在自动化逆向能力上的部分进展。
演讲嘉宾:弗为
弗为,阿里巴巴安全部·猎户座攻防实验室成员,主要关注二进制程序分析与漏洞挖掘、软件供应链安全。在结合工业界传统人工分析经验,以及学术界方法论成果上,进行多种尝试和工具规模化、自动化研究。
8、潜伏在PHP Manual背后的特性及漏洞
议题简介:
在安全开发或者代码审计过程中,很多人认为官方手册的说明方法应该都是没有任何问题的,所以就直接拿过来使用或者跳过审计,然而这些标准的函数方法中也存在各种各样的安全风险,在某些场景下这些正常的非危险函数方法将被黑客恶意利用从而导致安全漏洞。
本议题将介绍大量潜伏于PHP Manual中的存在潜在安全风险的非危险函数方法,以及这些函数方法的非常有意思的Tricks。
对于开发者而言,这些看似正常但是存在潜在威胁的函数方法经常会出现项目代码中;对于安全人员而言,这些函数方法的Tricks经常被应用在代码审计、CTF挑战、漏洞利用Bypass当中。
演讲嘉宾:邓永凯
看雪ID:xfkxfk,绿盟科技工业物联网安全实验室研究员,从事安全产品开发、漏洞挖掘研究、安全应急响应等工作7年,目前从事工业物联网安全研究。擅长Web安全,物联网安全,代码审计,漏洞挖掘,安全开发等,在国内多个漏洞提交平台及SRC为互联网厂商、通用应用程序厂商、IoT及安防设备厂商提交大量漏洞并获官方致谢。
知名安全电子期刊《安全参考》、《书安》创始人兼负责人,逢魔安全实验室创始人。曾在SSC2017安全大会,看雪2017安全开发者峰会发表相关议题演讲。
9、从WPA2四次握手看KRACK密钥重装攻击
议题简介:
本议题主要围绕2017年年底爆出的WPA2协议的漏洞展开,该漏洞通过WPA2协议在实现四次握手过程中出现的缺陷,对该过程进行攻击从而导致密钥被重新安装,进而实现通信数据的劫持。
与平时经常爆出的漏洞不同的是,该漏洞属于协议层面,并不针对某一特定型号的设备或产品,因此任何接入WIFI的设备都有可能受到影响,由于攻击本身并不能获取WIFI密码也不针对WIFI密码,因此定期更换密码并不能抵御此类攻击,用户可以通过禁用客户端的某些功能来降低针对路由器和AP的攻击风险。
演讲嘉宾:石冰
CISP-PTE注册渗透测试工程师,OWASP中国分会项目研究小组研究员,i春秋平台安全讲师,数学与信息安全爱好者,CTF竞赛爱好者。本科信息安全专业大三在读,擅长软件逆向,目前主攻密码学。平时喜爱研究渗透、逆向、取证等各类安全技术。
10、硬件钱包安全分析
议题简介:
随着区块链技术的兴起,国内国外出现很多硬件钱包厂家。由于大多厂家对安全理解不到位,出现很多设计架构问题。很多比特币硬件钱包基于手机平台开发(MTK),存在很多不安全性和脆弱性。
本次峰会上将展示如何暴力破解两个世界知名硬件钱包,并利用该平台USB接口的漏洞,对固件修改,对手机钱包App修改,从而打开WiFi蓝牙接口,进而完全控制钱包的私钥。
演讲嘉宾:胡铭德
硬件、编程爱好者,从事信息安全20余年。曾在XPwn 2016 发表Sony 笔记本电脑后门口令破解演讲。
现担任北京知道创宇先进技术部总监、工业控制系统信息安全国家安全技术国家工程实验室分部主任。
BAT3J 首度同台,探索物联网新风向!
看雪诚邀业内大咖,亲临现场,各种独到、前沿的思想在现场碰撞,并为观众朋友们答疑解惑。
圆桌会议(IoT安全)
区块链安全
嘉宾简介:
王琦,江湖人称「大牛蛙」,GeekPwn(极棒)大赛发起创办人,第一个获得世界顶级黑客大赛冠军的亚洲团队碁震(KEEN)创始人、碁震公司 CEO。前微软美国总部以外第一个区域性安全响应中心 China MSRC 创始人之一和技术负责人,微软亚太区第一个漏洞研究领域专家级研究员。
谭晓生,360集团技术总裁、首席安全官、高级工程师,CCF理事、副秘书长,CCF YOCSEF 2015-2016总部主席,ACM从业者理事会理事,中关村高端领军人物。2003年进入互联网行业,先后工作于3721、Yahoo!China、MySpaceChina。2009年加入360公司,任技术副总裁、首席隐私官、首席安全官。兼任重庆邮电大学计算机学院兼职教授、校董,西安电子科技大学兼职教授、北京邮电大学企业导师。擅长的技术领域:网络安全技术、云计算平台技术、运维自动化技术、搜索引擎技术。
陈彪,现任梆梆安全首席技术官(CTO),负责公司整体研发工作,包括基于云的服务平台和个人用户产品的研发等。他曾任职于Intel和Sun等公司,负责企业级和移动等领域的前瞻性研究,并带领团队实现多个技术难点的突破。
陈彪先生拥有北京航空航天大学计算机应用专业的硕士学位,参与北京航空航天大学软件开发环境国家重点实验室的多个研究项目,并获得多项全球和国家发明专利。
陈洋,小米科技首席安全官,前新浪安全总监。1999年进入安全领域,网名cy07,大学期间创立安全站点。2004年加入新浪,2015年加入小米。在IoT安全等多个安全领域有着深刻的理解。
黄眉,阿里巴巴资深总监,从事安全行业十余载,于2006年加入阿里巴巴,现为阿里巴巴集团基础安全负责人。在电商安全、云安全、金融安全、安全管理等多个领域有深度认知,是阿里巴巴双11节日的安全总负责人,也是阿里安全实验室的总负责人。
于旸,现任腾讯安全玄武实验室总监。从事网络安全研究近二十年,一直关注各类攻防相关技术。曾获国家互联网应急中心颁发的“奥运信息安全保障支持个人一等奖”、微软漏洞缓解绕过技术挑战十万美元大奖。
万涛,IDF极安客(益云)实验室联合创始人。互联网安全老兵,前IBM大中华区云计算服务部首席安全顾问,中国计算机取证专委会委员。专注互联网威胁情报、区块链与智能安全(物联网)。长期支持技术公益,关注儿童安全和科技救灾,曾获联合国开发计划署社会创新奖和2014年度CCTV十大慈善人物。
Tony Lee,京东首席信息安全专家、CISO,IEEE国际行业执行理事。Tony毕业于美国加州大学伯克利分校电子工程和计算机科学系,在加州大学洛杉矶分校计算机科学系获得硕士学位,主攻数据挖掘的研究。
加入京东前,Tony曾任百度云安全部首席架构师,与国内第一家云安全服务厂商:安全宝的联合创始人兼CTO;Tony还曾服务于微软美国,主管开发企业级和家庭用户的云计算产品,产品覆盖了数十亿个人用户和数百万企业用户,并拥有多个美国和全球云计算专利。
马杰,百度安全及流程信息事业部总经理,反病毒与网络安全专家,亚洲反病毒研究者组织(AVAR)理事,CSDN CTO 俱乐部 《信息安全专委会》 会长,北京市信息办《计算机病毒预警处理专家组》专家。曾担任李开复创新工场技术总监,在瑞星主持开发过覆盖数亿个人与数万家企业用户的安全产品。
阎文斌(玩命),现任北京娜迦信息科技发展有限公司 CTO,同时身为国内著名安全论坛“看雪学院”版主,有深厚的安全领域背景,长期研究计算机病毒与软件保护技术,并深耕密码学研究领域。曾负责国家信息技术安全研究中心的多个网络安全相关项目,参与多家政府网站的风险评估工作。此外,阎文斌连续多年在XCon会议上进行安全演讲。
方小顿,网络ID剑心,乌云创始人,在中国信息安全界中广为人知,曾发现多个知名底层和脚本安全漏洞。
古河,360 Vulcan team成员,漏洞挖掘部技术总监。研究方向为二进制漏洞挖掘和利用,在微软、苹果、Adobe、谷歌等公司软件中发现超过200个高位漏洞。今年五月全球首次发现并利用EOS虚拟机内存破坏漏洞实现了远程代码执行,EOS官方已累计向360 Vulcan团队发放漏洞赏金超过百万。
CTF 颁奖盛典
看雪CTF是看雪社区自建立以来,一直延续的传统活动。自2000年至今,看雪CTF 已经历了数十年的发展,汇聚了来自国内众多的安全人才,高手对决,精彩异常。历年来CTF中人才辈出,CTF的题目也愈加丰富多彩,题目涵盖二进制、Web、Pwn等众多领域,突出了看雪论坛复合型人才多的优势,成为企业挑选人才的重要途径。
颁奖盛典,是本次峰会的特别环节,看雪诚邀2018看雪.京东CTF攻防双方获奖选手莅临峰会现场,并为其颁发证书及大奖。
这场等待已久的安全盛会,一触即发!
这个夏天,还有什么比参加一场头脑风暴更让人心潮澎湃,我们邀你加入一场知识的饕餮盛宴!
❈
购票指南
1、购票:https://www.bagevent.com/event/1134294
2、扫码买票
购票二维码
识别二维码,立即购票哦!