2016 FreeBuf互联网安全创新大会(FIT)精彩全纪录(上)

2016-01-11 984630人围观 ,发现 12 个不明物体 头条活动

1月8日,经过两个多月紧张筹备的FreeBuf互联网安全创新大会(FIT)终于和大家见面了!FreeBuf把魔都浅水湾文化艺术中心化作一座充满魔力的城堡,互联网安全的神秘力量在这个角落迸发出无穷的光芒。

FIT大会会程两天,每日参会人次近2000,场场爆满,全网在线直播峰值更是突破30万。

会前花絮

作为主办方的FreeBufer们一大早就来到会场,精神抖擞迎接各位嘉宾、观众的到来!

8:30起,观众们排队验票,有序进场。会场内很快就坐满了行业专家、安全大牛以及各色爱好信息安全人士,坐等大会的开始。

会场一角设置了吧台区,有FreeBuf黑客特供啤酒,人气很旺的哟!

首先登台的暖场嘉宾是上海深蓝乐队,他们是由黑客组成的摇滚乐队,女歌手的亮相更是瞬间点燃全场观众的热情!

一曲作罢,二位主持人走到台上,男主持人圈内人可能会比较熟悉,是来自武汉安天移动安全业务副总裁 李兆星(Billy),女主持也是资深主持人,二人共同宣布大会正式开始。首先请出的是FreeBuf&漏洞盒子联合创始人兼COO谢忱登台进行开幕致辞,介绍并感谢参与本次大会的各位贵宾。

9日的精彩议题由FreeBuf&漏洞盒子创始人兼CEO袁劲松的演讲正式开场,作为安全界创业新锐的他带来演讲《从FreeBuf到漏洞盒子 :见证互联网安全变革的6年》

袁劲松(昵称树哥)从2010年FreeBuf的成立讲起,一个“边缘”网络安全资讯论坛是如何发展至今天对业界影响深远的国内首屈一指的网络安全媒体。改变以迎接时代的挑战,未来FreeBuf仍将作为网络安全的先锋,巩固安全行业的瞭望台之位。

他还介绍了漏洞盒子作为新一代安全服务、从过去安全服务的几大痛点着手,力图解决“服务”、“透明”、“价格”的疑难杂症。漏洞盒子4.0将是国内第一个基于业务场景的安全测试,同时推出“人(白帽子)+机(网藤系统)结合”的测试模式,必将给安全测试领域带来新一轮的变革。最后,树哥向所有伟大的白帽子致以浓烈的敬意!

首个登场演讲的重量级“外宾”是360公司副总裁谭晓生,他带来的议题是《企业安全之威胁态势感知》。谭校长从2015年的IT热点事件中看到背后的安全挑战:由“防护”到“检测”的转变。谭校长提出传统安全感知存在误区,他总结了隐藏在安全态势感知能力背后的四点:海量情报数据、存储计算能力、数据挖掘技术,以及可视化分析技术,还为我们着力介绍了360态势感知系统。

最后,谭校长说安全最终、最重要的,还是人!此话极有深意,大家可以慢慢体会。

IBM大中华区移动互联、信息安全、物联网技术总经理,IBM全球技术理事,全球科技学院院士林育震带来的议题叫做《从过去到未来:30年IT和安全产业变革的思考》

“让我们来谈谈计算机的演变、安全保护的进步,风险与隐私。”

人类的通讯史告诉我们:未来有无限可能。林育震让我们看到“30年IT系统的变化,到了认知运算时代”,经过了指标系统、可程序系统,达到了现在的认知系统。林育震继续说:安全的威胁从来没有停过,从电报的篡改到电子邮件蠕虫。攻击者每天都在打破传统的保护。据统计,检测APT平均需要256天,而在美国数据泄露造成的损失每次平均超过四千万人民币。

前微软可信赖计算部总监、现华为陈恺为我们带来《网络安全防护之重》的议题。

“我们都看到世界正在不断改变...构成一个充满机遇的世界...但是安全格局已经改变。”

他现场带来“一图解密Windows安全功能的发展史”。高能!更是为我们提出了一条网络安全保障防护之路。

随处可在的风险、持续感知、应急预案、全方位探测,以及应急响应、风险消除。

Palo Alto Networks中国区技术总监程文杰的议题则是《大数据安全》。数据怎么为王?答案在这里:分布性、相关性、实时性。相关的数据又有哪些呢?网络数据、SSL解密、终端End Point、FEEDS以及其他相关数据…数据…数据…

pan.jpg

程文杰引用了《孙子兵法》中“知彼知己,百战不殆”。而安全的战斗里涉及了事件的优先级、事件的相关性以及快速主动的响应三个方面。

上午大会的最后一个环节:行业探讨圆桌——由主持人Billy协同上海信息安全行业协会会长谈剑锋、360副总裁谭晓生、IBM技术总经理林育震、百度云安全首席架构师Tony Lee以及安永大中华区信息科技风险咨询服务合伙人阮祺康为我们带来的思想碰撞。

大佬们纷纷表示看好2016的安全行业,尽管面临仍然比较缺乏人才、对威胁意识不足等劣势,静下心、踏实、勿弃情怀还是有希望的。

下午#年度公开课#环节,帅气的演讲嘉宾白帽黑客Only_guest张瑞冬,张老师题为《我的十年白帽黑客路》的课程。

已经豪饮了一打黑客啤酒的Only_guest难以抑制心头的悸动,段子频出,引得台下笑声连连。

“骨子里热爱自由。”因此创办了网络仲裁者组织,为净化网络世界而干!后来又成立了破壳网络。而不为大众所知道的是,原来PKAV的logo是个犀牛!

阿里巴巴资深安全专家王伟(@_alert7_)带来《组织视角的威胁情报》议题。曾任McAfee高级研究员、原瀚海源联合创始人&技术总监、Aka alert7及xfocus核心成员的他,带来的绝对干货!

王伟引用了痞子蔡曾说的:你永远不知道对面坐着的是一个人还是一只狗。然而,现在……

王伟与我们分享了千里眼数据架构图:

他重申了基础信息、知识、威胁情报概念。从美国网络情报能力解析进行借鉴。

数据+处理=信息 信息+内容=知识 知识+应用=情报

那么威胁情报又能解决什么问题?王伟带着我们回到威胁情报的定义,重新审视了这一概念及其应用。最后他总结道:组织视角的威胁情报要以威胁为中心,为组织服务,最终为组织获得竞争优势。

百度开放云&百度云安全资深架构师程岩(d4okwind)的议题为《从二维进化立体:全息安全技术解析》。光看题目就感觉很高大上了!他从全息定义、企业全息安全、技术解析和未来,四个角度为我们带来“全息”透视!

程岩表示全息即反应物体在空间存在时的全部情况的信息。投影则意为洞穴之中的世界相应于可感世界,而洞穴外面的世界则比作理智世界。而全息理念的安全观既扬长(高维优势),也避短(单点/兵器库对抗)。

猎豹移动技术总监邹义鹏为大家揭秘席卷全球的病毒“幽灵推”《Ghost Push揭秘》

它都干了些什么?1、自带Root模块,无法卸载;2、推送广告;3、静默安装应用。

幽灵推是这么干的:首先从云端获取root模块;替换系统文件,设置开机启动;释放文件,安装病毒体;执行前述的后续动作。

走遍世界也不容易,它如何遍布全球?答案就是:在这个移动移动互联网大时代,应用推广所引申出的灰色产业链。问题的根源便是逐利!

邹义鹏最后总结道Ghost Push可能只是冰山一角,利益的驱使催生了灰色产业;而对于安全从业者而言,移动端安全问题仍是一个挑战,保护用户设备及信息,任重而道远。

Hack Demo

终于等到最本次大会特色环节:Hack Demo。首先“第一帅黑客”杨卿登台,和小伙伴集体演示了如何在不接触身体的情况下,将对方银行卡信息投放至屏幕上面。

情景重现:一个人和你打招呼,say hello。现场响起了神探夏洛克的伴奏。然后银行卡的信息怎么就出现在大屏幕上了?

据杨卿介绍,凡是具有“Quick pass”功能的卡都会受此影响,堪称个人黑历史的末日。现场还拿主持人Billy的银行卡小试了一下,结果……不便透露。

接着是来自360的刘健皓团队将现场带来《迷失的智能音响》破解秀。收到移动终端控制的智能音响,在他神奇的魔力之下鬼使神差地听从了电脑操作,说停就停了!

设备现场调试

电脑远程控

接下来是自盘古团队徐昊的议题是《从越狱角度看iOS系统的安全机制改进》。议程将分为iOS安全体系、完美越狱常用技术、iOS8/9安全机制改进以及总结四部分。

徐昊现场分享了iOS安全架构发展时间轴:

徐昊透露完美越狱攻击流程可以分为绕过沙盒、溢出内核、修补内核,以及重启后绕过签名并重复攻击内核。至于内核常见漏洞类型则有堆溢出、越界访问、Use-After-Free和类型混淆。

徐昊最后总结道:相对于单纯的修补漏洞,苹果更倾向于通过安全机制的改进来阻止越狱中使用的一些技术。

平安科技银行实验室成员姜若芾(NANO姜)讲述了《解锁iOS手势密码的正确姿势》,他从手势密码介绍、解锁姿势和加固手势密码锁三个角度进行剖析。

他解释说:手势密码具有中度安全性、优秀的用户体验,因此主要出现在带有金钱、用户隐私信息的app中。

姜若芾介绍了0-5,六种解锁姿势。

姜若芾最后总结了加固手势密码的几种姿势:优化敏感信息本地保存及密码校验逻辑;应用层面可以采用隐藏关键代码、代码混淆及反调试三法;行为验证则可以通过绘制时间、屏幕触摸事件及功能点日志分析进行;而反暴力破解则可采用延时验证、联网验证或添加节点。

至此,8日当天所有议题项全部结束完毕。演讲嘉宾的PPT会在后面几天进行分享!

1月9日,大会除了正常的议题分享之外,还会举行“2015 WitAwards互联网安全年度评选颁奖典礼”。2015年有哪些卓越安全创新产品和杰出人物,将在此次颁奖典礼上进行揭晓!

传送门(下篇 & PPT下载)‍‍

*FB编辑部,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

‍‍

这些评论亮了

发表评论

已有 12 条评论

取消
Loading...
css.php