0
如果要在國內(nèi)找一支名震世界的黑客戰(zhàn)隊,Keen Team (碁震安全研究團隊)絕對榜上有名。
可以毫不夸張的說,在過去的數(shù)十年中,這個戰(zhàn)隊的數(shù)百項安全成果已經(jīng)應(yīng)用于世界上每一臺 Windows PC、每一臺蘋果設(shè)備和每一臺安卓終端。其首席科學(xué)家吳石連續(xù)三年獲得ZDI(零日計劃)全球漏洞計算機挖掘白金貢獻獎,被福布斯雜志評價“發(fā)現(xiàn)的漏洞是蘋果整個安全團隊的兩倍還多”。
2015年 Pwn2Own 世界黑客大賽中,Keen Team、騰訊電腦管家聯(lián)合團隊以IE的 Flash 和 PDF 插件作為主要攻擊目標(biāo),最終奪冠。
在隨后的2016年,Keen Team 被騰訊收至麾下,成立“騰訊安全科恩實驗室”。此后,這支團隊開始屢屢出現(xiàn)在大眾媒體上,很多原本對黑客并不了解的國人逐漸看到了炫酷的特斯拉破解視頻,看到了離我們生活非常近的極棒破解秀。
除了這些“接地氣”的破解秀,科恩實驗室每年還會舉辦一場高水平的國際安全會議--TenSec(騰訊安全國際技術(shù)峰會),邀請全世界最擅長挖漏洞的安全研究員,分別上臺講講自己的研究成果。就像武林中各大門派的高手總是要時不時開個武林大會切磋武功,看看又有哪些新的招式。去年,雷鋒網(wǎng)也曾報道過(點這里)。
在今年的10月10日至11日,這場高水平的“武林大會”如約而至,不過,與前兩年所不同的是,這次大會是由騰訊安全科恩實驗室和騰訊安全平臺部聯(lián)合主辦,騰訊安全學(xué)院協(xié)辦。
不變的是,今年的峰會依然延續(xù)了高質(zhì)量的議題和頂尖的安全研究人員,在15個議題中,涵蓋了物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、云計算、區(qū)塊鏈、iOS、人工智能、安卓操作系統(tǒng)等時下最熱的研究領(lǐng)域,同時云集了高通、ARM、微軟、英特爾、NXP、趨勢科技、知道創(chuàng)宇等全球一線頭部廠商的頂級安全研究員,包括“黑客奧斯卡” Pwnie Award 得主、世界黑客大賽 Pwn2Own 四屆冠軍戰(zhàn)隊主力成員、全球首個“寶馬集團數(shù)字化及IT研發(fā)技術(shù)獎”得主等。
接下來,雷鋒網(wǎng)就帶大家一同看看頂級安全研究員的腦洞長啥樣,以下是這兩天會議的15個議題。
演講者:高通柏林團隊的高級工程師Tomasz
Fuzzing 是一種基于缺陷注入的自動軟件測試技術(shù)。
對于基帶這類底層但復(fù)雜度又不斷提高的系統(tǒng),業(yè)界一直缺乏有效的Fuzzing手段——往往依賴于代碼審查。
高通作為移動設(shè)備最主要的基帶供應(yīng)商,非常需要一套高效率的Fuzzer來保證代碼的安全性。在本屆TenSec的現(xiàn)場,來自高通柏林團隊的高級工程師Tomasz將介紹高通在這方面的探索和嘗試。
在他看來,往往開發(fā)過程中的效率和安全無法兩全其美,為了確保安全性,傳統(tǒng)的以安全團隊為核心的開發(fā)是有很大的弊端,他比較推崇“分布式”的開發(fā)方式,即安全團隊中有人把可能的風(fēng)險點告訴開發(fā)團隊,當(dāng)然,如果開發(fā)團隊中有人懂安全再好不過。
與此同時,要會使用工具,如下圖,測試的工具有很多,但如何使用是一個難題。
安全人員要知道那些工具是針對那些特定語言使用的,各自有哪些長處和短處,如何為目前的產(chǎn)品挑選最合適的測試工具,并根據(jù)功能的不同來博采眾長,是非常有挑戰(zhàn)性的工作。
演講者:騰訊安全科恩實驗室的高級研究員 Marco Grassi
黑完高通,當(dāng)然也不能放過它在基帶領(lǐng)域的老對手三星。這個對于三星基帶的破解曾在 Mobile Pwn2Own 2017 大放異彩,也是當(dāng)時單項分?jǐn)?shù)最高的破解項目。
這個題目原本的演講嘉賓是“非洲第一黑客”、美國著名CTF戰(zhàn)隊Shellphish前主力隊員、Securin科技創(chuàng)始人Amat Insa Cama,但他當(dāng)天沒有到現(xiàn)場,該題目的演講者變?yōu)閬碜则v訊安全科恩實驗室的高級研究員 Marco Grassi。在現(xiàn)場,他基于去年MP2O上攻破三星基帶的細節(jié),解讀三星基帶的安全性。
在演講之初, Marco Grassi 首先為普及了一波蜂窩網(wǎng)絡(luò)的知識。蜂窩網(wǎng)絡(luò)是一個非常復(fù)雜的系統(tǒng),需要有多種標(biāo)準(zhǔn)、文件進行描述,現(xiàn)在有很多不同的技術(shù)、不同組織都在維持這些系統(tǒng)。這些組織一般來說都是國際組織,會發(fā)布標(biāo)準(zhǔn)。而基帶呢,則是手機中處理移動網(wǎng)絡(luò)的關(guān)鍵部位,它們也會做一些非常低層級的信號處理。一般來說基帶也會支持很多不同的標(biāo)準(zhǔn),至少有GSM、3G、4G、5G、cdmaOne,也有可能支持CDMA2000。
了解了關(guān)于基帶和蜂窩網(wǎng)絡(luò)的基礎(chǔ)知識后,我們來認(rèn)識一下Shannon。這是三星手機基帶的名字。Marco在接下來的演示中為現(xiàn)場觀眾們展示了一些Bug,并著重講解了一下Shannon的安全測試要點。
對于GSM和GPRS可以采用不同的測試技術(shù),這些技術(shù)已經(jīng)非常成熟了。如果我們偵測到了Bug應(yīng)該怎么辦?首先要依托雙盲測試,在這里你也可以暫時停機測試,并且生成日志。比如三星基帶出現(xiàn)崩潰,就能夠在完整內(nèi)存存儲的情況下進行停機測試,使用注冊信息或內(nèi)存檢測的信息進行輔助。
他認(rèn)為,很多案例的問題出在流程上,由于安全測試的流程不嚴(yán)格,會出現(xiàn)眾多破綻。
演講者:騰訊云高級研究員 陳炳文
“薅羊毛”等行為正在嚴(yán)重影響企業(yè)正常的營銷開展,思考反欺詐和營銷風(fēng)控的結(jié)合逐漸成為破局之道。
隨著互聯(lián)網(wǎng)上的業(yè)務(wù)呈爆發(fā)式的增長,無論是互金、廣告還是傳統(tǒng)銀行,業(yè)務(wù)安全跟場景的關(guān)系越來越密切,這對安全解決方案提出了更多樣的要求,
陳炳文在現(xiàn)場通過介紹與黑產(chǎn)初階、中階和高階階段的對抗,介紹了視頻、電商等業(yè)務(wù)平臺方在流量營銷、線上線下活動營銷中碰到的“羊馬?!焙诋a(chǎn)演變情況,以及騰訊云天御如何運用基于大數(shù)據(jù)無監(jiān)督平臺的反欺詐技術(shù)對抗黑產(chǎn)團伙的作惡。
不過,無論是反欺詐還是營銷風(fēng)控,都存在著道高一尺,魔高一丈的現(xiàn)象,風(fēng)控模型再出色,也得通過不斷進化來同黑產(chǎn)PK。
演講者:趨勢科技安全研究員Jasiel Spelman
你是否遇到過這樣的狀況,當(dāng)你用手機打開瀏覽器時,它竟然會自動來下載東西,然后手機就會崩潰,重啟之后發(fā)現(xiàn)新增了一個陌生的APP了。
如果這種手段被黑產(chǎn)掌握了,大家可以想象會發(fā)生怎樣的事情。
近年來,腳本引擎的 JIT 相關(guān)漏洞在持續(xù)引發(fā)業(yè)內(nèi)關(guān)注。在Pwn2Own 2017上,多支頂尖國際安全團隊都曾使用了 Chakra JIT 相關(guān)的漏洞,完成對目標(biāo)對象的破解。趨勢科技安全研究員Jasiel Spelman會上解讀這個大熱領(lǐng)域的最新研究成果。
JIT是一種誕生于2010年的漏洞利用技術(shù),可將Shellcode嵌入到JIT引擎生成的可執(zhí)行代碼中。目前,包括Chakra在內(nèi)的各JIT引擎幾乎都針對該技術(shù)采取了防御措施,包括隨機插入空指令、立即數(shù)加密等。
DFG又叫數(shù)據(jù)流程圖,表示在一個函數(shù)中的數(shù)據(jù)流動的方向。比如一個指令1定義了一個新變量%a,而另一個指令2用到了變量%a,此時就存在從指令1到指令2的邊。llvm IR的表示形式是SSA,簡單的來說SSA表示形式就是一個變量只能定義一次。
Jasiel在演講中分享了他發(fā)現(xiàn)的幾個漏洞,并指出DFG與FTL是當(dāng)前最可能出現(xiàn)漏洞或稱為攻擊目標(biāo)的,有趣的是這些漏洞會互相影響,導(dǎo)致新的漏洞觸發(fā)。
那如何解決呢?他認(rèn)為,首先第一點,安全人員在找漏洞的時候,最好自動化,不要花太多的時間,要好好規(guī)劃一下用多長時間做自動化,多長時間找bug。
與此同時,如果找到了邏輯漏洞千萬不要丟掉,要好好研究整個鏈條。安卓在多樣化中是噩夢,APP有很多互相溝通的方法,它們通過互相溝通、分享信息,渠道變得越來越多,這些APP能夠互相溝通的方法越多,遇到的安全問題就越復(fù)雜。所以當(dāng)程序員寫一個程序的時候,必須要保證不會有漏洞讓人襲擊,否則肯定會有問題的。
演講者:ARM高級主管Samuel Chiang
“萬物互聯(lián)”帶給人類全新體驗的同時,物聯(lián)網(wǎng)設(shè)備也面臨著更大的碎片化。因此ARM公司希望從源頭開始整合資源,提出了首個業(yè)內(nèi)通用框架——平臺安全架構(gòu)(PSA),旨在為萬物互聯(lián)奠定可信基礎(chǔ)。
會上,來自ARM的高級主管Samuel Chiang深度解讀了PSA架構(gòu)的搭建過程,提出了他對行業(yè)物聯(lián)網(wǎng)安全的認(rèn)知和建議。
他認(rèn)為,沒有哪些安全是百分之百的,如果一個黑客的資源和時間都是無限的,他永遠能黑到某臺設(shè)備。但是他們會不會有無限的時間和資源?肯定沒有,要權(quán)衡。作為設(shè)計師也需要考慮時間和精力問題,我們也要考慮資產(chǎn)價值到底是多少,最后再想想這個黑客到底有多麻煩,讓黑客黑進去無利可圖。
PSA的搭建有三個原則。第一是基于隔離的原則。比如有密鑰服務(wù),確保軟件、固件的安全;再比如有一個設(shè)備可以進行分區(qū),包括IPC在不同空間中的通信。另外是設(shè)備的管理軟件,能跟互聯(lián)網(wǎng)進行通信。如果要使用不同的技術(shù)在硬件層進行隔離,就要使用IPC,進行一個內(nèi)存的地址管理,不同的襲擊只能對內(nèi)存的特定進行干預(yù);第二種,內(nèi)核可進行使用;第三種,在可信任區(qū)域進行處理器使用,能達到折中方法,或者是使用硬件為基礎(chǔ)的方法,可以進行安全和非安全的分區(qū)。
演講者:MWR 信息安全顧問Georgi Georgiev Geshev
每年的Pwn2Own都是見證全球白帽黑客腦洞的時刻,而來自MWR的信息安全顧問Georgi Georgiev Geshev曾在2017年 Mobile Pwn2Own的比賽中,上演了用邏輯洞破解目標(biāo)的精妙操作,最終,Georgi 收獲了該賽事的兩個單項冠軍。
2018年,Georgi 不僅在 Pwn2Own中斬獲一個單項冠軍,還憑借一個技驚四座的邏輯漏洞利用鏈獲得了“黑客奧斯卡”之稱的Pwnie Award 最佳客戶端漏洞獎。
在現(xiàn)場,Georgi 結(jié)合此前研究帶來議題《串點成鏈:用邏輯漏洞構(gòu)漏洞利用鏈》。
你是否遇到過這樣的狀況,當(dāng)你用手機打開瀏覽器時,它竟然會自動來下載東西,然后手機就會崩潰,重啟之后發(fā)現(xiàn)新增了一個陌生的APP了。
如果這種手段被黑產(chǎn)掌握了,大家可以想象會發(fā)生怎樣的事情。
Georgi認(rèn)為,首先第一點,安全人員在找漏洞的時候,最好自動化,不要花太多的時間,要好好規(guī)劃一下用多長時間做自動化,多長時間找bug。
與此同時,如果找到了邏輯漏洞千萬不要丟掉,要好好研究整個鏈條。安卓在多樣化中是噩夢,APP有很多互相溝通的方法,它們通過互相溝通、分享信息,渠道變得越來越多,這些APP能夠互相溝通的方法越多,遇到的安全問題就越復(fù)雜。所以當(dāng)程序員寫一個程序的時候,必須要保證不會有漏洞讓人襲擊,否則肯定會有問題的。
演講者:騰訊安全平臺部總監(jiān) Lake Hu
騰訊安全平臺部總監(jiān)、Tencent Blade Team負(fù)責(zé)人Lake Hu將帶來有關(guān)智能設(shè)備安全的演講,分享團隊研究過的智能設(shè)備漏洞案例,如智能家居設(shè)備破解、智能樓宇設(shè)備破解、智能音箱竊聽等。要知道,他們剛剛在DEF CON 2018上帶來了攻破亞馬遜音箱的精彩演講。
演講者:微軟MSRC高級安全研究員Nicolas Joly(紅衣)、微軟軟件安全工程師Joseph Bialek(白衣)
本屆TenSec上,微軟安全工程師、MSRC高級安全研究員Nicolas Joly和主攻漏洞防御方向的Joseph Bialek將合作帶來《A Dive in to Hyper-V Architecture & Vulnerabilities》議題分享。
Nicolas Joly曾率隊蟬聯(lián)2011-2014 四屆Pwn2Own比賽冠軍,離開戰(zhàn)隊后Nicolas Joly加入了微軟,是抗擊WannaCry勒索病毒事件的主力工程師。
在現(xiàn)場,他們著重介紹了一下Hyper-V。Hyper-V中有Hypervisor,可以進行管理,讓Hypervisor執(zhí)行分區(qū)中的有效任務(wù),讓分區(qū)看到對方的內(nèi)存,所以他們是各自為政,是安全的,并且能攔截不同分區(qū)的嘗試,進行專有、專屬執(zhí)行,他們希望能進行硬件之間的通話,能攔截惡意逃逸或嘗試竊取內(nèi)存的舉動或程序。這里要強調(diào)隔離,Hypervisor可以提供客機處理和虛擬化設(shè)置。
人們都希望從Hypervisor中找到bug,但他們的觀點是不要寄太大希望不從這里面找到bug,成效非常有限,他們在三年之內(nèi)只找到了其中的一個bug。
演講者:NXP汽車安全部門總監(jiān) Timo van Roermund
車聯(lián)網(wǎng)逐漸成為安全技術(shù)峰會愈加關(guān)注的議題之一,主辦此次峰會的騰訊安全科恩實驗室就曾發(fā)布過特斯拉、寶馬等國際一流車企的安全研究成果。
此次峰會上,來自NXP汽車安全部門總監(jiān)Timo van Roermund帶來了議題《汽車信息安全整體解決方案》,從行業(yè)角度入手闡釋為什么汽車信息安全性很重要。
在車聯(lián)網(wǎng)的圈子里,他很有名氣,他一手負(fù)責(zé)了 NXP 汽車信息安全功能架構(gòu)規(guī)劃,領(lǐng)導(dǎo)了公司車載娛樂,安全門禁,車載網(wǎng)絡(luò),車身與底盤安全類產(chǎn)品的信息安全布局,使得NXP在未來汽車自動駕駛及安全互聯(lián)浪潮下繼續(xù)保持全球第一大汽車電子的地位。Timo 在汽車安全領(lǐng)域有很深入的研究,尤其擅長在 V2X 通訊系統(tǒng),車載網(wǎng)絡(luò)通訊,智能家電,智能手機和可穿戴設(shè)備等領(lǐng)域。
他介紹,目前在市場上,有這樣幾種安全解決方案,首先是新上一個子系統(tǒng),專為安全所用。第二是能有一個特殊功能的 IC 來保護,IC上會有一些解析單元的應(yīng)用,它們必須非常安全,一定要是被加密的。第三種就是專屬解決方案,目前,NXP用過的就是這種信息加密解決方案。如果進行了程序?qū)W習(xí)和機器學(xué)習(xí)的漏洞防護,會基于CAN ID進行攻擊,這樣就會有一些無線電出現(xiàn)障礙,出現(xiàn)問題后就會通知接收器,能在通知里表明之前只有一個ID有權(quán)限發(fā)送信息。所以如果有其他的來源再通過總線發(fā)送信息,就能在中線通知所有的旁路,如果總線受到了影響,不會影響其他的控制單元。
演講者:騰訊企業(yè)IT部安全運營中心負(fù)責(zé)人 蔡晨
云計算、大數(shù)據(jù)、人工智能等新技術(shù)在掀起數(shù)字化轉(zhuǎn)型浪潮的同時,也改變了傳統(tǒng)的網(wǎng)絡(luò)邊界,帶來了全新的威脅風(fēng)險。來自騰訊企業(yè)IT部安全運營中心的蔡晨,介紹了騰訊從IT安全到業(yè)務(wù)創(chuàng)新、從有界到無界的新一代企業(yè)安全防御之道,分享騰訊是如何快速響應(yīng)市場趨勢變化,將“零信任”安全完整落地。
這部分內(nèi)容雷鋒網(wǎng)之前也有過介紹,可以參考這篇文章:給黑客30分鐘,他能對你的辦公電腦做什么
演講者:Intel科學(xué)研究員Hongliang Tian
在云計算領(lǐng)域,Intel科學(xué)研究員Hongliang Tian帶來了使用英特爾 SGX 及其 Library OSes 在云中實現(xiàn)加密計算的主題演講,這也是Intel首次對外演講SGX與云計算安全加密相關(guān)的議題。
他認(rèn)為,SGX是機密計算背后的關(guān)鍵技術(shù),Occlumency項目用來實現(xiàn)內(nèi)存安全,同時支持多進程的庫操作系統(tǒng)。我們的關(guān)鍵是能實現(xiàn)SIP的新辦法,它通過SFI技術(shù)做到。
他們未來的工作,一方面是還在開發(fā) LibOS 的內(nèi)核。另一方面是開發(fā)獨立的Verifier,尤其獨立驗證是他們重點開發(fā)的部分。
演講者:知道創(chuàng)宇CEO 趙偉
騰訊安全聯(lián)合知道創(chuàng)宇發(fā)布《2018上半年區(qū)塊鏈安全報告》顯示,2018年上半年,區(qū)塊鏈因安全問題損失的金額已超過27億美元,區(qū)塊鏈的安全問題已迫在眉睫。作為國內(nèi)的安全廠商,知道創(chuàng)宇近年來持續(xù)關(guān)注區(qū)塊鏈安全,今年還發(fā)起中國區(qū)塊鏈安全聯(lián)盟。
趙偉在現(xiàn)場給出了他對區(qū)塊鏈的五個佛系認(rèn)知。
首先,現(xiàn)實社會和數(shù)字孿生。區(qū)塊鏈系統(tǒng)所呈現(xiàn)的運行機制和模式就像是現(xiàn)實社會在數(shù)字世界數(shù)學(xué)化、算法化的孿生體。
第二,傳統(tǒng)經(jīng)濟和通證經(jīng)濟。我們發(fā)現(xiàn)區(qū)塊鏈已高度達成數(shù)字化,比如交易、數(shù)字黃金、數(shù)字金融,通證經(jīng)濟是權(quán)益,一個公司的小股東很容易被大股東欺負(fù),但通證經(jīng)濟的股權(quán)都Token化了,所以可以在市場流動。傳統(tǒng)經(jīng)濟的很多東西自己都沒數(shù)字化,很難搬上通證經(jīng)濟。
第三,人治社會和算法社會。一致性機制都是為了沒有中間商賺差價,是無人化的中介?,F(xiàn)在政府在做這種算法社會,還挺創(chuàng)意的。
第四,實體化和數(shù)字化?,F(xiàn)在區(qū)塊鏈行業(yè)很佛系的來說,還不能達到數(shù)字化階段,更別說進入智能階段,然后進入?yún)^(qū)塊鏈階段、Token化階段,還沒有完成。
第五,剛性安全和柔性安全。經(jīng)濟虛擬到鏈上,涉及數(shù)學(xué)、算法、經(jīng)濟、治理機制各個方面,安全非常難保證。從治理機制、人的問題、算法問題上來說,生態(tài)問題很難解決,以前的安全失效,所以他們在探索柔性安全如何插入?yún)^(qū)塊鏈的安全生態(tài)。
最后,知己知彼要攻守有道,要詳細了解黑產(chǎn)是怎么獲利的,才能更好的防御。
演講者:Luca Todesco
如果要在現(xiàn)實世界尋找一個天才極客的形象,那么或許意大利的Luca Todesco能滿足你的所有想象:19歲之前,一共發(fā)了3個iOS越獄工具,2次越獄了PS4以及1次任天堂Switch越獄。更令人驚訝的是,他還入選了福布斯2017年歐洲科技類30 Under 30 名單。這次,分享的議題正是他的拿手好戲——iOS 越獄。
雖然他戰(zhàn)果赫赫,但他對于越獄的未來是悲觀的,他認(rèn)為iOS的攻擊者們打的是必輸之仗,雖然現(xiàn)在還不是這樣,但未來越獄終將消失,他自己作為一名“果粉”,認(rèn)為蘋果的安全已經(jīng)做得很不錯了。
演講者:Corellium聯(lián)合創(chuàng)始人: Christopher Wade、 Yiduo David Wang
在這次TenSec上分享iOS 研究的還有Corellium的兩位聯(lián)合創(chuàng)始人: Christopher Wade和 Yiduo David Wang。他們有一串驚人的頭銜:最早的iOS越獄開發(fā)者;iPhone Dev team核心成員;Evad3rs的主要成員;福布斯2014年30 Under30全球科技類;Pwnie Award的“最佳提權(quán)漏洞”獲得者,并在2014年再次被提名。
這次在現(xiàn)場,他們探討了運行在iOS底層的SEPOS安全問題。SEPOS作為主要的master,主要是用在iPhone里的解密,它是基于4個OS,但不幸的是可能有一些信息的缺失,也有其他能找到來源的信息,但并不能匹配SEP,所以,我們認(rèn)為蘋果已經(jīng)對它進行了大量的更改。
在現(xiàn)場, Wade著重分享了SEP的啟動流程,而David則介紹了固件本身的安全性。
演講者:科恩實驗室高級安全研究員James Fang
說起科恩實驗室,大家的印象更多的集中在“攻”,比如在車聯(lián)網(wǎng)安全、iOS安全研究等方面的成果備受矚目。
其實,雷鋒網(wǎng)發(fā)現(xiàn),科恩實驗室也在積極地將研究成果應(yīng)用于信息安全行業(yè)解決方案。本次峰會上,科恩實驗室高級安全研究員James Fang將挑選安卓生態(tài)作為一個切入點,展現(xiàn)科恩實驗室在保護用戶安全方面所做的努力。
在2016年年初時,他們發(fā)現(xiàn)越來越多的安卓系統(tǒng),可以讓黑客通過內(nèi)核的應(yīng)用獲得用戶手機的權(quán)限,這會讓黑產(chǎn)在很好的偽裝之下,有更多的可趁之機。
目前,安卓的eco-system包括非常多的東西在里面,對它進行一個完整的保護也需要除了像系統(tǒng)加固這種傳統(tǒng)的方式之外,還需要各種創(chuàng)新的工具和方法來做。Keen Lab目前從應(yīng)用角度在做ApkPecker和IOTScanner,目前在騰訊內(nèi)部試用,希望年底對外公布這兩個工具,可以保護更廣大的用戶和更多的業(yè)界同行。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。