查看原文
其他

【BlackHat2016】 第一天会议精彩议题回顾

2016-08-04 E安全 E安全

E安全8月4日讯 Blackhat 2016第一天已经结束,做为顶级的世界安全大会吸引了全球上万安全从业者参加。整个会议精彩不断,而随着中国的发展,也有越来越的中国的安全研究者加入了Black Hat。

在辗转23小时后,E安全特派记者到达了赌城,Black Hat 2016的主会场。


和往年一样,主会场同样在拉斯维加斯的Mandalay Bay Convention Center会议中心进行。
同样的,会有100个以上的全球顶级黑客带来的演讲、展示。

Black Hat 2016议题介绍

议题类型

  • Android,iOS和移动安全

  • 加密技术

  • 数据取证和应急响应技术(DFIR)

  • 企业安全

  • 攻击程序的开发与应用

  • 安全硬件/嵌入式

  • 人际安全

  • 物联网安全

  • 恶意软件

  • 网络防御技术

  • 平台安全(虚拟机、操作系统、主机以及其他平台)

  • 政策法规

  • 逆向工程

  • 安全开发

  • 智能电网与工控安全

  • Web应用安全

今年议题侧重点所有变化, 前几年的大数据分析,人工智能相关的议题似乎有所减少,而Web、协议、PWN相关的议题似乎有所增加,而且这几方面深度也增加不少。

重点议题介绍

由于议题内容较多,无法参加所有议题,E安全特派记者只对部分感兴趣的进行一些介绍,作为重点关注。

度量商业软件漏洞现状-政府推动的非营利性的安全实验室

  • 演讲者麦基从接到白宫电话讲起,政府希望简历一个独立的机构来分析各类软件产品的安全性,麦基毅然放弃了google的高薪投入独立非盈利实验室的中来。

  • 实验室运营以来对多种重要应用软件(safri ,chrome firefox)进行的科学的安全测评,并形成了一套科学的评价标准。


网络战角度下的乌克兰危机

“网络战”已经成为俄罗斯和乌克兰之间冲突的一部分,两国在信息技术和计算机黑客的专业领域都有极强的攻击能力。但是需要多少网络战的军队士兵?电脑黑客对战争有什么影响影响?战争时期和非战争时期如何开展?

演讲者举例说明:如果战争中,忽然交战一方掌握了0day攻击对方的操作系统、应用或是通讯网络,战争的优势是不言而喻的。演讲者还提出了“网络珍珠港”的概念,在著名的珍珠港事件中,山本五十六就是赢得了时间和空间上的优势,差一点决定了第二次世界大战的走向。在现代战争中,网络战会起到完全相同的战争优势。科幻小说战争游戏(1983)和攻壳机动队中令人不安的科幻技术已经逐渐成为现实。

北约资助的研究项目说明,“网络战争”已经来了。


JAVA消息服务反序列化攻击
由Matthias Kaiser带来的JAVA 消息服务(JMS)导致的反序列化漏洞。深入地介绍 各种JMS API实现机制以及它们导致反序列化漏洞的原因。(相关详细信息可以参看E安全今日发布的【BlackHat2016】专为防御与攻击打造的9款免费安全工具)



Viral Video – Exploiting SSRF in Video Converters
众多的Web应用程序中存在允许用户上传视频的功能,Web程序常通过FFMPEG以及他的分支来处理视频转换。该议题介绍通过介绍FFMPEG的原理以及存在的漏洞缺陷,并通过漏洞缺陷进行SSRF攻击,深入介绍SSRF的多种攻击面,并通过多个大型互联网站点的实例来演示该漏洞的影响范围、危害以及防护措施。(相关详细信息可以参看E安全今日发布的【BlackHat2016】专为防御与攻击打造的9款免费安全工具)



Unleash the infection Monkey:A Modern Alternative to Pen-Tests
Ofri Ziv介绍了目前通过人工渗透测试存在的一些不足,比如容易存在测试盲点,并向大家介绍其团队开发的“Infection Monkey”,通过自动化方式对目标系统进行反复地渗透测试,并现场展示了效果。



HTTP/2 & QUIC
HTTP/2 和 QUIC(Quick UDP Internet Connections)做为更优化的http传输协议协议,今后可能会出现更加普遍的部署应用,而议题则描述了其存在的问题的和需要关注的安全性。在国内绝大部分用户都不会关心这块,而如果使用了这个功能,目前可能导致大部分的安全设备失效。(相关详细信息可以参看E安全今日发布的【BlackHat2016】专为防御与攻击打造的9款免费安全工具)



破解硬盘的PIN码
似乎国内加密硬盘用的不多,但思路绝对可以借鉴。当然去年blackhat交大的老师也似乎使用类似方法破解4g sim卡。方法就是利用边信道的方式破AES算法,从而获取到硬盘的PIN码。


更多Black Hat 2016大会精彩内容请持续关注E安全的专题报道!

黑帽大会联系方式

  • Twitter: twitter.com/BlackHatEvents- #BlackHat #BHUSA

  • Facebook: facebook.com/blackhat

  • LinkedIn: linkedin.com/groups?home=&gid=37658  

  • Flickr: flickr.com/photos/blackhatevents/

未来黑帽大会的日程

  • 2016 Black Hat欧洲黑帽大会:英国伦敦商业设计中心

  • 2017 Black Hat亚洲黑帽大会:新加坡滨海湾金沙酒店  2017年3月28-31

相关阅读:

E句话:供国内同行们参考!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存