查看原文
其他

带你了解 日本最大的安全会议 Code Blue

小雪 看雪学院 2019-05-26

最近几年,国内的安全会议不仅数量越来越多,规模也越来越大。隔壁的霓虹国最近也办了一场国际安全会议。


10月29日~11月2日,日本最大的安全会议CodeBlue在东京召开。大部分人对Code Blue并不是很熟悉。就连百度搜索Code Blue,搜索结果都只是一部同名的日本电视剧,集齐了大家的男神和女神。不过,这并不影响Cude Blue成为日本最大的安全会议。



Code Blue的创始人是一位名为篠田佳奈的女性。这并不多见。1998年她结束美国留学学习计算机后,便返回日本,成功进入企业的安全部门。


 


常常会有人问她Blackhat什么时候可以在日本举办?她没办法回答,毕竟这也不是她一个人说了算的……于是2014年,她便邀请了国内外的安全专家,前往日本,在分享技术,也就创建了Code Blue。会议设有同声传译,有日语和英语,解决了讲不同语言的人无法听懂的问题。


为什么叫Code Blue呢?


官网如是介绍:

CODE BLUE aims to be a place where international connections and communities form and grow, and will contribute to a better Internet world by connecting people through CODE (technology), beyond and across the BLUE (oceans).


Code Blue 旨在成为一个国际交流和社区形成和发展的地方,并将通过 code (技术),将 海洋(Blue)彼岸以外的人们连接起来,为更美好的互联网世界做出贡献。


相比较太平洋彼岸的Defcon和Blackhat,Code Blue 的名气还略显逊色,不过并不影响它致力于成为国际顶尖安全会议的想法。


那日本的安全大会,有哪些精彩看点呢?


会议分为三个部分:培训、演讲、比赛,10月29、30号为培训。11月1号、2号为演讲、比赛同步进行。



CTF 比赛



此次CTF 比赛分为线上和线下两个部分,面向全球。线上初赛过后,留下10支决赛队伍,前往Code Blue现场 参加决赛。


现场图片


十支决赛队伍分别为:Dragon Sector(波兰)、CyKOR(韩国)、!SpamAndHex(奥地利)、TSG(日本)、LeaveCat-PLUS(韩国)、blue-lotus(中国)、hxp(德国)、LC·BC(俄罗斯)、0daysober(法国、瑞士)、PPP(美国)。




比赛现场,还有主办方对DEF CON的无情吐槽


感谢 WDEIL 来自前线的图片


除此之外,比赛现场还有4个其他同时进行的比赛。



以上便是比赛列表,除了有常见的CTF比赛外,还涉及到了自动化网络攻击挑战、智能合约攻击挑战、汽车黑客挑战和破冰挑战。



会上有哪些中国人的身影?



此次会议汇聚了全球颇具影响力的安全安全专家,和大家分享最新最前沿的技术。在为期两天的会议中,共约有45项议题,内容涉及物联网、区块链、网络犯罪等前沿领域。在众多安全专家中,其中也不乏中国安全研究员的身影。




Android蓝牙的安全性剖析


360阿尔法团队的龚广和戴建军给大家分享了议题《Android蓝牙的安全性剖析》。他们提到,从Android 4.2开始,Google采用了名为Bluedroid的蓝牙组件,取代之前的BlueZ。Bluedroid支持多种协议和配置,由于其复杂性,自然也引入了很多安全问题。



戴建军介绍,攻击者只需要一台带有蓝牙适配器的笔记本,就可以通过各种蓝牙协议通道,发送不同类型的数据包,欺骗蓝牙服务,绕过多种代码层面的限制,触发漏洞。介绍完典型的漏洞和攻击方法之后,戴建军还提出了其他层面的安全问题,并给出了相应的改进意见。同时,360阿尔法团队也已经向Google的Android安全团队报告了这些问题和改进措施,Android安全团队接受并采用,表示将会在以后的代码中修复。


远程控制联网汽车的方法论


360智能网联汽车安全实验室的高级安全研究员严敏睿和李嘉豪带来的关于智能网联车的议题《远程控制联网汽车的方法论》,针对现代联网汽车的信息安全进行了分析,提出了一套信息安全测试方法论,并与当地车厂就汽车信息安全的发展和改善进行了讨论。



严敏睿表示,在如今什么都讲究智能的时代,智能联网汽车也越来越受到大家欢迎。但是,智能化和联网化就意味着更多的攻击面,其中最可能受到攻击的就是车联网中的车端车机、车端联网模块和云平台。越来越多的互联网公司正在参与汽车行业并试图开发和生产联网汽车,但普遍缺乏严格的安全思想来建立安全系统,这就需要智能汽车厂商、安全厂商协作,提高安全意识,努力构建更完善的安全系统。


利用无线强制门户实现远程代码执行


无线网络已经事实上成为了大多数企业的重要基础设施,其安全性对于我们来说不言而喻。专注于无线安全攻防的360天马安全团队柴坤哲、王永涛和杨芸菲,在此次会议上带来了关于企业无线网络安全的议题《利用无线强制门户实现远程代码执行》(RCE with Captive Portal)。在议题中,他们介绍了一种组合攻击方法,利用无线网络强制门户的特性与Windows系统的一系列漏洞来达到远程代码执行的效果,并提出了一些防范方法。



杨芸菲介绍,无线强制门户常见于公共Wi-Fi网络,移动设备会强制弹出登录网页,需要用户以短信验证码或微信认证的方式进行登录才可以上网。由于Wi-Fi网络在协议上存在许多安全问题,导致用户很容易遭受同名钓鱼热点攻击,配合无线强制门户会在用户设备上强制弹出窗口的特性,攻击者很容易对用户发起多种攻击,议题中展示的方式仅仅是对企业用户的一种攻击方式。



门票究竟多少钱?



最后是大家关心的票价问题,确认过眼神,是去不起的会议.......



培训


如果报名人数达不到最低人数,课程就会取消。


  • 《实践DevSecOps和AppSec自动化 专家讲习班》

    2天,175,000日元,折合人民币约 10679元


  • 《攻击和防御容器化的应用程序和无服务器技术》

    2天,160,000日元,折合人民币约 9764元


  • 《用于恶意软件分析的Windows DBI》

    1天,80,000日元,折合人民币约 4882元



大会门票


  • 早鸟票:41,800日元,约人民币 2550元

  • 正常票价:74,800 日元,约人民币 4564元

  • 现场买:132,000日元,约人民币 8055元


其中一些分会场需要再次购买门票进入。


看完这些门票价格,不得不感慨,看雪峰会的门票价格,真的是良心价啊!



参考来源:

  • 文中部分图片由 WDEIL 友情提供,非常感谢!

  • Code Blue 官网:https://codeblue.jp/2018/en/

  • 奇虎360



- End -



往期热门资讯:                                        




公众号ID:ikanxue
官方微博:看雪安全

商务合作:wsc@kanxue.com

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存