0
無論是不久前雷鋒網報道的國內的特大侵犯公民個人信息案,某部委醫療服務信息系統遭“黑客”入侵,超過7億條公民信息遭泄露,還是美國信用評估機構遭黑客入侵,泄露半數美國消費者重要信息,比如姓名、出生日期、家庭地址、社會安全號 SSN、駕駛執照 ID、信用卡信息……
安全問題已不容忽視,對企業負責人或研發人員而言,安全事故頻發無疑是一場災難。而解決安全問題的根本在于做到安全開發。安全設計應在一開始就作為項目開發的一部分來考慮,列入項目計劃和開發成本中,并在保護強度、成本、易用性之間進行折衷考慮,選擇一個合適的平衡點。
基于此,看雪學院將于11月18日在北京舉行2017《安全開發者峰會》,峰會聚焦“安全開發”,旨在以“防”為基準,安全開發為主旨,引導廣大企業和開發者關注移動、智能設備、物聯網等領域的安全,提高開發和安全技巧,創造出更安全的產品。
會議時間:2017年11月18號
會議地點:北京朝陽區悠唐皇冠假日酒店
峰會嘉賓
段鋼:看雪科技創始人及CEO,國內內信息安全領域具有廣泛知名度和影響力的安全網站看雪學院(www.kanxue.com)的創始人和運營管理者,信息安全領域的知名作者,所著圖書多次獲獎。長期致力于信息安全技術研究,對當前安全技術的發展有深入思考。2016年創建上海看雪科技有限公司,致力于PC、移動、物聯網安全研究及逆向工程相關的發展,為企業提供智能設備的安全測試等產品和服務。
王軍:中國信息安全測評中心總工程師
談劍峰:現任上海市信息安全行業協會會長,中國中小企業協會副會長,全國信息安全標準化技術委員會委員。上海眾人網絡安全技術有限公司(簡稱:眾人科技)創始人、董事長,是信息安全領域的資深專家。中國網絡信息安全產業新一代領軍人物。
譚曉生:360公司CTO兼VP、CPO(首席隱私官),前myspace中國CTO。現任奇虎360副總裁兼首席隱私官(CPO ),負責公司網站技術、技術運維、數據分析與挖掘等工作。
季昕華:中國首代黑客代表人物,UCloud創始人之一,現任UCloud首席執行官。
潘柱廷:北京啟明星辰信息技術有限公司首席戰略官,主要負責公司技術部門管理及公司經營戰略的規劃。
馬杰:百度安全事業部總經理,原安全寶創始人兼CEO,亞州反病毒研究者組織(AVAR)理事。
龔蔚:ID Goodwell,中國黑客教父,早期十大黑客之一,綠色兵團創始人,COG發起人,1999年創立了上海綠盟信息技術有限公司。先任WiFi萬能鑰匙CSO。
TK(于旸):江湖外號婦科圣手,騰訊玄武實驗室掌門人,安全焦點核心成員,全球最為知名的幾位白帽子之一,對 Windows 操作系統漏洞方面研究非常深入。
陳彪:現任梆梆安全CTO。曾任職于Intel、Sun等國際知名公司,專注于虛擬機、移動應用保護等領域,獲得多項全球和國家發明專利。
高春輝:ID Polo 高,DOS 時代的 Cracker,中國個人站長第一人,成功創辦過手機之家、ECShop、IPIP.net 等項目,連續創業的互聯網老將,被圈內譽為中國互聯網活化石。
韓爭光(TB):上海犇眾信息技術有限公司創始人 & CEO,國際頂級安全團隊盤古核心。
董志強:“七劍”之一的騰訊云鼎實驗室掌門人 Killer 。
袁仁廣(袁哥):騰訊湛瀘實驗室袁哥,2008北京奧運會特聘信息安全專家,中國國家信息安全漏洞庫特聘專家。
段海新:清華大學網絡科學與網絡空間研究院,網絡與信息安全實驗室主任。
彭瀛:愛加密的創始人及董事長。
譚萬里:硬土殼安全創始人,新安全生態實踐者
范俊偉:幾維安全聯合創始人、CEO
陸麟:ID:lu0,早期十大黑客之一,Windows 內核專家,驅動專家。
楊冀龍:ID老楊,早期十大黑客之一,安全焦點創始人,《網絡滲透技術》作者,知道創宇公司副總、CTO,著名安全組織XFOCUS的核心成員。
峰會日程
演講者及議題介紹
議題1:業務安全發展趨勢及對安全研發的挑戰
議題概要:
業務安全在2012年之前還只是以阿里、騰訊及攜程等為主的局部戰場,近些年隨著垂直電商、社交、移動游戲和O2O等領域的快速發展,業務安全及反欺詐被更多的視線關注,但多數廠商并沒有像阿里和騰訊一樣與黑產相愛相殺一起成長,面對黑產的攻擊會一時無措。作為防守方,除了對抗技術外,也要增強對黑產的認知,了解當前在一些業務核心問題上的對抗階段和思路。
從我們接觸的多個案例表明多數甲方在業務安全及反欺詐上很被動的主要原因是缺乏對黑產的認知,這個議題會從國內業務安全發展過程來幫助甲方研發梳理業務安全對抗思路并對當前主要的一些風險場景具體說明。
演講嘉賓介紹:
畢裕,威脅獵人創始人兼CEO。曾任職于騰訊和獵豹移動,2011年起負責騰訊相關黑產研究及對抗。2015年起在臺北負責獵豹移動海外安全團隊,負責海外移動安全的相關產業鏈研究及打擊。2016年與團隊創業,專注互聯網黑產研究及業務安全防護。
議題2:java json 反序列化之殤
議題概要:
隨著REST API的流行,JSON的使用也越來越多,但是其中存在的安全問題卻不容忽視,特別是由于反序列化導致的遠程代碼執行更是威力十足。在這次演講中,主要闡述java json庫的反序列化特性導致的RCE。首先會介紹Gson,Jackson和Fastjson這三個最常用的JSON序列化庫的序列化和反序列的操作,接著分析其安全機制,從其安全機制上發現哪些潛在的安全漏洞。然后會公布一些未公開的反序列化的的payload(以Fastjson舉例說明),當然也可能包括0day,并且會對這些payload分類解讀,從field類型,property類型的觸發機制加以概括歸納。最后會從開發,運維的角度來防御這類安全問題。
本議題可以讓更多的開發者理解Java反序列化漏洞,做好安全編碼,做好安全防護,減少被黑客騷擾的機會。
演講嘉賓介紹:
廖新喜(xxlegend),綠盟科技網絡安全攻防實驗室安全研究員,擅長代碼審計,Web漏洞挖掘,擁有豐富的代碼審計經驗,曾在Pycon 2015 China大會上分享Python安全編碼。安全行業從業六年,做過三年開發,先后擔任綠盟科技極光掃描器的開發和開發代表,目前專注于Web漏洞挖掘,Java反序列化漏洞挖掘,給RedHat,Amazon提交多份漏洞報告。2016年網絡安全周接受央視專訪。
議題3: 一石多鳥——擊潰全線移動平臺瀏覽器
議題概要:
瀏覽器早已成為我們日常生活中不可或缺的一部分,這種攻擊可以造成大范圍的用戶信息泄露,不僅局限于網站上手機上填寫的姓名電話、信用卡銀行卡等用戶基礎信息,更包括了我們日常生活中頻繁使用的淘寶購物,“掃一掃”、“公眾號”、“小程序”、共享單車H5、餓了么H5等等貼近生活的一線App,所有App均不同程度的使用了某種Webview的實現。一旦被意圖不軌者掌握并利用,后果非常嚴重。針對應用層的攻擊頻次連年增長,攻擊方式更加多元,而越來越多企業的業務又依靠互聯網來實現,防止應用層安全失守成為企業不可回避的問題,做好應用層安全也成為廠商和企業不可或缺乃至不可推卸的責任。
演講嘉賓介紹:
Roysue,看雪iOS板塊版主,iOS獨立安全研究員,《iOS黑客養成筆記:數據挖掘與提權基礎》電子工業出版社今年11月出版,《JavaScript內核逆向與爆破指南》正在撰寫中。
議題4:Flash 之殤 - 漏洞之王 Flash Player 的末路
議題概要:
Flash Player 作為最受歡迎的多媒體軟件,一直以來都受到大眾的軟件,遙想當年的閃客精靈時代,何其風光。自從Flash Player 榮登"漏洞之王"的寶座之后,Flash 就成了"千夫所指"的對象,本議題就以Flash player為題,為大家帶來Flash Player漏洞利用史,展現Flash 漏洞利用技術和攻防對抗技巧。
演講嘉賓介紹:
仙果,十年以上的網絡安全從業經驗,致力于網絡攻防對抗技術研究,專注軟件漏洞的分析與利用,看雪論壇二進制漏洞版主。
議題5:一種以IOT漏洞對抗IOT僵尸網絡的方法
議題概要:
由于安全機制的缺失,現有的iot設備往往存在較多安全問題。
另外現網中有大量OEM設備,當IOT設備的安全問題被發現后,這些OEM的IOT設備的安全補丁往往得不到廠家及時開發。
另外由于用戶安全意識不夠,IOT設備的安全補丁也沒有得到用戶的及時更新。
這些問題使得大量的IOT設備已經被僵尸網絡所控制。
在對抗僵尸網絡的過程中,人們采用的方法較多的是進行流量清洗和關閉c&c服務器的方法。
但是這些方法并不能有效地幫助有問題的IOT設備避免受到僵尸網絡的下一次控制。
如何在大規模僵尸網絡發動攻擊前,快速主動地修復被僵尸網絡控制的IOT設備安全漏洞,從而削弱僵尸網絡的破壞能力?
演講者提出了一種以IOT漏洞對抗IOT僵尸網絡的方法。
演講嘉賓介紹:
王啟澤,看雪ID(ggggwwww),啟明星辰ADLab(積極防御實驗室)安全研究員&看雪智能硬件小組成員。他所研究的領域涵蓋移動通信安全、IOT安全,曾在移動通信安全領域有15年的工作經驗。
議題6: Windows 10新子系統*新挑戰
議題概要:
本演講課題講述Windows10系統因對Linux系統的支持所帶來改變以及伴隨而來的安全挑戰。
演講嘉賓介紹:
陸麟,中國最老的十大黑客之一,Windows系統內核專家!原NEC中科院軟件研究所專家。現任上海高重信息科技有限公司CIO。長期研究系統內核。多年耕耘信息安全領域。
議題7: 移動APP灰色產業案例分析與防范
議題概要:
移動互聯網時代,互聯網業務飛速發展,在這樣的大背景下滋潤了一條以刷單、倒賣、刷榜、引流、推廣為主的灰色產業鏈。他們以低成本換取了高額的利潤,給互聯網企業以及用戶都帶來了巨大的損失。加固技術、風險控制、設備指紋、驗證碼等技術也都在飛速發展,但實際效果并不能讓人滿意。
本議題將揭露多個真實案例的技術細節,開發流程,運營流程,并提出一些防護建議,協議安全需要從體系上進行加強。
演講嘉賓介紹:
無名俠 陳愉鑫 移動安全愛好者,看雪論壇會員
議題8: 游戲外掛對抗的安全實踐
議題概要:
介紹什么是定制化對抗,以及定制化對抗在騰訊安全方案中的作用和定位。定制化對抗的運營方式,被動的定制化對抗,基于游戲邏輯的對抗,實時介入游戲邏輯的方案能力介紹。主動的定制化對抗,游戲運營前的安全評審和運營期的漏洞挖掘。游戲運營前進行安全性提升的技術點分享,游戲漏洞挖掘的經驗分享。定制化對抗方案的建設方法、定制化對抗方案的成本代價、定制化方案的其他應用。
演講嘉賓介紹:
胡和君,騰訊游戲安全高級工程師,從事PC端游外掛對抗工作8年,近期主要負責FPS類游戲安全對抗工作,擅長定制化應對FPS類游戲外掛風險。
議題9: 開啟IoT設備的上帝模式
議題概要:
當今IoT設備大量涌入智能家居領域,IoT安全和大眾的生活息息相關。本議題計劃關注IoT設備開啟上帝模式(即root模式)的相關安全問題,包括root設備的技術手段, 獲得root權限后引發的潛在安全威脅,和緩解安全威脅的一些方法。為了提升效果,會分享兩個未公開的IoT設備的root漏洞。演講主要內容如下:
1. Root IoT設備的常見技術手段: 除介紹常規的弱密碼和RCE漏洞外,會以一個中興攝像頭固件校驗漏洞為例,介紹偽造固件繞過固件校驗算法進行Root設備的方法。
2. Root IoT設備之后潛在的安全威脅:除介紹常見的DDoS, DNS劫持, 監聽監控等安全威脅外,會以一個DDNS智能硬件花生棒2的root漏洞為例,介紹如何將一個原本不具備wifi功能的IoT設備開啟wifi功能。
3. 緩解機制:分享常見的IoT安全機制,例如固件加密與簽名,防火墻等方法。
IoT設備因為自身與傳統PC設備在硬件和軟件上的巨大差異,引發了新的安全問題,本次分享專注于討論IoT設備被root后面臨的相關安全問題。
演講嘉賓介紹:
楊經宇(Jingle)畢業于倫敦大學信息安全專業,就職于騰訊反病毒實驗室,從事惡意代碼研究工作。開發的騰訊哈勃分析系統開源版入選過BlackHat兵器譜。熱愛IoT安全,病毒分析等領域的研究。
議題10:淺析WEB安全編程
議題概要:
這次想分享的話題是,安全編碼;這次分享當中,會把開發中容易忽略又比較常見的安全問題做一些介紹,之后指導在開發中如何避免安全問題的產生。
演講嘉賓介紹:
湯青松 中國婚博會PHP高級工程師,2017 Devlink PHP開發者大會 安全話題演講嘉賓,2015年在網利寶,擔任系統研發以及系統安全建設工作,2014年在烏云網,負責烏云眾測開發。
議題11:那些年,你怎么寫總會出現的漏洞
議題概要:
針對開發者在編碼時產生的意料之外的漏洞愿意以及漏洞分析,例如:PHP自身函數,PHP正則缺陷,php和mysql的不一致,格式化字串,各種防御及缺陷繞過等一系列問題。內容包括thinkphp,WordPress,metinfo,ctf題目等各種例子
演講嘉賓介紹:
鄧永凱,web安全研究員,綠盟科技從事安全工作5年,主要負責web漏洞掃描器的開發,web漏洞挖掘及分析,web安全研究工作。現在為綠盟科技應急響應中心從事web安全研究工作,曾創辦《安全參考》,《書安》等免費電子安全雜志,白帽子。
如何參加看雪2017安全開發者峰會?
售票官網:https://www.bagevent.com/event/863807?bag_track=lf
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
