ZDI的Brian、Jasiel和Abdul的演讲题目为《$hell on Earth: From Browser to System Compromise(地球的地狱:从浏览器到系统妥协)》。这三位大神讲述了黑客大赛中的浏览器攻击如何在现实中加以防范,相关安全公司如何利用比赛成果来为用户做出安全产品。他们提到了沙箱技术的应用,微软对零日漏洞防护的积极行动,腾讯科恩的团队追踪Flash漏洞,Pwn2Own黑客大赛让业内更加关注网络安全。另外,Abdul还重点讲了Windows10的Edge浏览器曾经的漏洞,通过JavaScript实现,沙箱可以让浏览器通信的安全性提升。他们表示现在漏洞越来越不容易利用,但安全问题仍然不能小觑。
之后加州大学圣塔芭芭拉分校的Nicholas Dean Stephens讲述了“自动漏洞挖掘”技术,这是一个全新的概念,通过自动化的方式去攻击目标,发现漏洞,然后还要做出漏洞修复。
Intel资深安全研究员李晓宁在《Windows漏洞攻击防御技术探讨》中也提到了关于Win10和Edge浏览器的漏洞和防御问题。但他主要讲述的还是底层硬件级的防御技术。
在下午的议程中,来自谷歌的James Forshaw做了开场演讲,以Chrome浏览器为例介绍了如何让浏览器更加安全。他提到了Win10增加了Win32 API的复杂性,以及Windows API技术对于了解系统漏洞的帮助。他最后表示,API文件记录对于提升浏览器安全性有很大帮助。
来自思科的Mariano讲述了《The Spraying Attacks Slayer》,他表示Spraying是一个非常有价值的技术,在64位的操作系统里面,可以更好的发挥作用。他在讲述中用了Win7、Linux3.2等作例子,说明了恶意软件防范的实例。之后,他对未来的安全情况进行了展望,称我们建议应该有更强有力的,比现在更好的体系,需要更好的浏览器版本,也需要这个内核的Spraying。
Intel McAfee的李海飞从用户角度分析微软Office的攻击界面,他提到了Outlook附件处理问题,基本上可以分为三类,第一类就是一些不安全的后缀名,比如说exe、vbs、psl、js等,在Outlook当中不可能被打开。还有html、pub、zip要用户双击以后保存,保存到硬盘上,双击打开这个文件再打开。
在Outlook看来比较安全的文件例如Word、PowerPoint、Excel等,实际上是最危险的东西,攻击性远远大于其他文件,因此外来文件最好在受保护视图中打开。还有就是在网盘中打开上述文件同样存在风险,服务提供商必须提供保护视图才能够确保用户安全。
另外,xla文件同样充满危险,因为里面可以嵌入Flash文件。IT之家老用户应该都清楚,这种类型的文件被称为“漏洞之王”或者“无底洞”,漏洞似乎是永远也修不完的,因此业内倡导抛弃Flash,推广HTML5。
李海飞还提醒用户,不用的Office软件就别安装,因为这会增加潜在风险,更多的软件就包含更多的漏洞。微软现在的Office 365默认安装很多Office 2016组件,用户最好还是自定义安装自己需要的即可。
来自于Pwn2Own的资深研究员王宇针对黑客比赛当中安全漏洞进行了深入分析,并且他提到中国团队在解决漏洞问题上的实力还是非常值得欣慰的,今后这方面能力应该可以推广到智能汽车等更多的技术领域。
最后腾讯科恩实验室的聂森、刘令研究员介绍了无物理接触的远程控制控制特斯拉的方法中汽车网关的部分。汽车网关也是一个单片机,它的作用就是在不同的CAN上面,它要处理以太网的数据和CANBus是怎么交付的,这个工作是由汽车网关完成的。
国际安全技术峰会结束之后,为期两天的第二届中国互联网安全领袖峰会也随之告一段落。本次峰会总结了一年来互联网安全界的最新最顶级的成果,也为今后网络安全行业的发展指明了方向。IT之家期待明年的峰会更加精彩。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。