CanSecWest安全大会闭幕 几乎成为中国主场

北美地区最具影响力之一的信息安全大会 CanSecWest 2016 二个小时前在加拿大温哥华落下帷幕,中国***军团除了在Pwn2Own破解大赛中,斩获了28.5万美元的奖金之外,还先后攻破了Chrome浏览器、Adobe Flash Player和微软Edge浏览器,其中360Vulcan团队在所有参赛团队中独家攻破了此次大赛中难度最高的项目Chrome,连续两年攻克大赛最难项目,而腾讯派出的安全团队Sniper更是摘下了破解大师的桂冠。
此外,在今年的CanSecWest全球信息安全领域20个前沿技术议题中,其中4个议题来自360安全团队,占到议题总数的五分之一。

360
《虚拟化设备模拟测试技术》
《Docker平台的虚拟机逃逸》《用一个漏洞搞定Nexus设备》《高低频无线电***》
腾讯
《在安全软件的慷慨帮助上实现沙箱逃逸 》《别相信自己的眼睛:苹果图显已被***!》
在演讲中,360 Marvel Team 负责人 唐青昊 介绍了挖掘云系统安全漏洞的相关经验,以及如何通过使用半自动化的工具对安全漏洞进行快速挖掘。另外两个云安全虚拟化议题则谈到了,Docker平台与KVM-QEMU环境下的虚拟机逃逸。据了解,国内的时速云、灵雀云都在使用docker提供云服务,而KVM-QEMU是目前世界范围内公有云供应商,为亚马逊云、阿里云等云计算服务提供商提供虚拟化解决方案。
CanSecWest安全大会闭幕 几乎成为中国主场
唐青昊

会后,唐青昊 在接受安全牛远程采访中表示:
“同一安全团队的3大云计算安全议题同步入选Cansecwest,这在大会历史上还尚属首次,其实这与时下火热的云计算安全问题息息相关。”
“如果谈到中美实力差距的话,其实在部分领域中国安全专家的水平已经超越了欧美,但是国外在安全技术研究上依然有我们需要借鉴的地方,比如在涉及到国家安全、企业安全的相关领域,他们的研究方向非常务实,并且也有一些很有价值的成果。比如这次的 CSW 2016 上,我认为Execute My Packet (Exodus of Shells from a Firewall)这个议题就非常有价值,演讲者从漏洞的挖掘到漏洞的利用都有非常详细的讲解,作为听众,这个议题对我非常有启发。”
除了上述三个云计算安全的议题外, 360 Unicorn Team 带来的无线电安全议题《高低频无线电***工具包》,讲解了如何防御***复制银行卡片的窃取信息行为。这项***技术价值在于“小型化”和“信号无线回传”,上一版读卡器需要两秒才能读取数据的缺点,也在新的版本中得到了改良;而且加上了Zigbee模块以后,信息可以传输到十几米以外的地方,隐蔽性也大大增加。
除此以外,360 Unicorn Team 还现场展示了有其自主研发的“卡防”,并在讲台上剖析了这种防御介质的基本技术原理。
为什么Pwn2Own没有欧美***的参加
率领 360 Vulcan Team 拿下谷歌Chrome浏览器的 郑文彬(MJ) 表示:
“通过这次大会,我们能看出来中国在部分领域的网络安全***水平已经超越了欧美国家,举个例子,近几年最著名的国际老牌安全会议,比如Black Hat、Defcon、CansecWest等,几乎都变成了中国人的主场。此外在国际*安全挑战赛上,也是中国选手主导的居多。”


“之前有报道说可能是瓦森纳协议导致了欧美选手不来参赛,但其实并不是这样。以Pwn2own为例,比赛在加拿大举办,加拿大本身就是协议国,此外无论是协议国(韩国),还是非协议国(中国)都有人参加,这就说明了瓦森纳体系根本不是限制欧美选手参加这类比赛的原因。
再举个例子,瓦森纳体系在去年就已经通过了漏洞限制,而在去年的Pwn2own大赛上,依然有欧洲选手参与了一些低难度的项目,Firefox、Pdf等。
真正的原因在于目前这些比赛的难度非常高,只有在该领域具备全球顶尖实力的亚洲选手才能够顺利挑战。从2013年开始,就再也没有欧美选手能够攻破Chrome浏览器了。”


上一篇:Suspending MMON slave action kewrmapsa_ for 82800 seconds


下一篇:【RPA实例教学】UIbot——数据抓取功能(二)