本文讲的是 : SyScan360:大腕云集 共话网络安全新势 , 【IT168 资讯】12月17日消息,日前,由亚洲知名安全组织SyScan主办、奇虎360承办的SyScan360前瞻信息安全会议(The Symposium on Security for Asia Network)在京成功召开。自2004年在新加坡首次举办以来,每年都选择在亚洲一线城市举办,迄今为止,已经举办了8次会议。
SyScan大会邀请世界各地优秀网络黑客及安全专家分享最新的信息安全研究成果,展现亚洲信息安全需求的演进课题,发表最新的国际安全消息。本届在中国举办的SyScan360大会持续两天,吸引了来自世界各地的安全牛人,来自微软、Google、迈克菲、趋势科技等的安全组织的专家分享了当前众多的热点话题。下面让我们来重温SyScan360热点!
▲SyScan360前瞻信息安全会议现场
国外黑客详解Windows内核漏洞
来自国际安全组织COSEINC 高级安全分析员Ben Nagy在主题为《Windows内核Fuzzing入门》的演讲中分享了系统内核缺陷错误挖掘技术以及系统的bug分类。Ben Nagy拥有五年的Windows内核研究以及模糊测试经验,并且非常痴迷Ruby语言。Ben毫无保留地透露了内核模糊测试的秘诀,包括选择正确的目标、必要的知识储备以及各种模糊测试的方法,如切入、生成测试用例以及如何扩展等。
Ben特别指出,模糊测试需要进行反馈驱动测试、错误注入深度插桩测试以及崩溃样本分析。而优秀的工具链有助于目标的快速重定位,他认为测试者必须了解自己认为有用的漏洞是什么,这样才能寻找到对自己最有用的信息。
Windows 内核漏洞种类多种多样。Ben将此分为三大类:本地到本地(包括提权、沙盒穿透等)、远程到远程、远程到本地(需要用户操作,通过电子邮件、文档、网页地址等进行攻击)。
Google漏洞奖励计划经验分享
来自谷歌安全专家Kevin介绍到,“漏洞奖励计划”是谷歌专门为发现Google软件及产品漏洞发现者而设的奖励计划,漏洞发现者将获得谷歌支付的现金奖励以及其他额外鼓励。谷歌此后还推出Chrome浏览器漏洞奖励计划。这些漏洞奖励计划吸引了全球安全爱好者的关注,也帮谷歌公司大幅提升了产品及服务的安全性。
“我们不会支付钱去修复漏洞”,Kevin称谷歌漏洞奖励机制不是去买Bugs,而是奖励用户在寻找漏洞时花费的时间。Kevin表示,谷歌漏洞的范围不包含DoS、Corp infrastructure、SEO blackhat以及Acquisitions(if<6 months)的攻击。
那么究竟什么才是谷歌在寻找的漏洞呢?Kevin详细介绍验证“合格漏洞”的四大步骤:合理的通知,私下的信息披露,适当的测试,第一个提出的、最好的解决。通过验证分析漏洞,谷歌将给予用户相应的奖励。
Kevin笑称,并不是所有的漏洞报告都由技术人员发来,普通的网民也会参与到寻找漏洞的娱乐的过程中去。据介绍,有用户冒着信用卡被刷爆的风险去寻找谷歌免费电影的漏洞,而谷歌为找个漏洞支付1337美元,希望该用户能够还清信用卡。
Kevin表示,85.2%的漏洞由新人发现,仅14.8%的漏洞由老用户发现,而且是前20%的人发现了80%的漏洞。但谷歌漏洞奖励机制也面临一些挑战。Kevin表示,谷歌经常会接到一些劣质报告,需要处理枯燥的文字,为分类和管理消耗大量的资源,而且一些人不喜欢为金钱而找Bug,或是有人希望用非Bug来取得奖金,这让谷歌漏洞奖励机制受到部分人的质疑。
原文发布时间为:2015年7月6日
本文作者:kaduo
原文标题 :SyScan360:大腕云集 共话网络安全新势