如何評價2017年11月18日看雪在北京舉辦的安全開發者峰會?

附上回顧鏈接:[推薦] 2017 看雪安全開發者峰會 圓滿結束!


作為第一個演講者,心裡倍感壓力山大。同時時間上只有30分鐘,很多漏洞攻防對抗技術又無法一一展開,做了一個比較水的議題演講,爭取在下一次的時候能夠奉獻更加精彩的內容。

在台下見到來很多前輩,「小四」,羅雲彬,陸麟,TK,老楊,alert7,等等等等,無法一一列舉。他們每一人都在網路安全中有著舉足輕重的地位。

跟前輩聊天,受益良多,希望能有更多的機會一起暢談技術。


作為剛剛參加完會議的騰訊安全聯合實驗室,談談對這次峰會的看法。

這次安全開發者峰會是看雪學院舉辦的第一屆峰會,現場氛圍很好,以技術交流為主,面基大佬為輔。峰會涉及了移動安全、智能設備、物聯網安全等多個時下熱門安全領域。內容前沿、深刻,不僅展現了當前最新、最前沿的技術成果,還分享了年度最強實踐案例,為安全人員與開發者人員們呈現了一份年度技術實戰解釋全景圖。

具體議題方面,看雪主辦方精心策划了安全編程、軟體安全測試、智能設備安全、物聯網安全、車聯網安全、漏洞挖掘、APP加密與解密、系統安全等專題,吸引了多位業內頂尖的開發者和技術專家,為安全人員、軟體開發者、廣大互聯網人士及行業相關者認識提供了極有價值的交流平台。

而非常有幸,我們的玄武實驗室負責人於暘(TK教主)、湛瀘實驗室負責人袁仁廣(yuange)、雲鼎實驗室負責人董志強(killer)、反病毒實驗室負責人馬勁松均受邀出席本次大會,擔任嘉賓。

此次峰會全程高能,乾貨滿滿,每位演講者都是攜技術「尖貨」上台。比如我們反病毒實驗室安全專家楊經宇,他就IoT設備安全問題發表了《開啟IoT設備的上帝模式》主題演講,還首度公開了兩個危險等級較高的IoT設備漏洞,此漏洞目前已經報送國家信息安全漏洞庫(CNNVD)。

考慮到有不少行業朋友沒有去到現場,我們簡單梳理了楊經宇的演講內容,為大家分享物聯網安全最新的技術研究和發展機制。

500億IoT設備下的新安全隱患

伴隨著IoT設備大量湧入智能家居領域,大眾的安全也將面臨更嚴峻的挑戰。楊經宇在會上指出,IoT設備因為自身與傳統PC設備在硬體和軟體上的巨大差異,引發了新的安全問題。

現場,楊經宇以攝像頭固件校驗漏洞為例,著重介紹了一種偽造固件繞過固件校驗演算法進行Root設備的方法,該漏洞也被CNNVD收錄,並被評級為中危漏洞。

而IoT設備被破解之後,帶來的安全隱患也不僅局限於監聽監控。楊經宇指出,IoT設備最大的安全威脅是在殭屍網路的操控下發起大規模分散式拒絕服務攻擊(DDoS),去年半個美國斷網事件的始作俑者就是Mirai殭屍網路。楊經宇還以一個DDNS智能硬體的root漏洞為例,詳細講解了如何將一個原本不具備WiFi功能的IoT設備開啟WiFi功能,這將可能引發更多意想不到的攻擊。

IoT安全發展「守強攻弱」是必然趨勢

經過楊經宇的介紹,現場參會者對IoT設備發展潛伏的安全隱患有了更深層的認識,而作為安全行業從業者,大家對其未來安全發展和技術應對措施提起了極高關注。對此,楊經宇認為,IoT設備的安全發展會符合一種自然規律,即從攻強守弱到相互焦灼,最終實現守強攻弱。

他表示,在IoT產業發展的初期,大部分安全隱患的產生都來源於我們對攻擊的陌生,而這正是以騰訊安全聯合實驗室反病毒實驗室為代表的安全廠商,開啟IoT設備上帝模式(root模式)等還原不法分子破解手法的目的所在。通過這種模式,安全廠商能夠實現「知己知彼」,最終佔據攻防主動。

在演講最後,楊經宇結合騰訊安全聯合實驗室反病毒實驗室的研究,對IoT安全的緩解機制提出建議,即通過固件簽名、保護種子、物理手段,能夠對固件校驗、密碼生成、WiFi掃描過程中出現的IoT設備漏洞進行有效防禦。

------------------------------------------------------------------------

除此之外,來到峰會的還包括安全領域大家耳熟能詳的幾位重量級大佬,包括看雪論壇二進位漏洞版塊版主仙果、威脅獵人創始人兼CEO畢裕、騰訊遊戲安全高級工程師胡和君等,也同樣為大家帶來了時下最流行的技術乾貨。而後續的座談環節,TK教主還客串了一把主持,與安全行業領頭人們一起對中國信息安全的形勢、未來發展給出了自己的看法和預判。

最後,作為峰會參與者與分享者,我們由衷感謝看雪為安全行業打造了一場純粹的技術交流盛宴,也期待未來有更多這樣的機會同行業安全人員、軟體開發者、廣大互聯網人士及行業相關者交流、分享前沿技術經驗和趨勢見解,與大家一起推動網路安全事業的進步和更好發展。


本文為騰訊安全聯合實驗室知乎機構賬號原創內容,轉載請註明出處。

想要獲取更多官方資訊請關注騰訊安全聯合實驗室微信公眾號txaqlhsys

更多騰訊安全聯合實驗室官方回答:

  • 騰訊安全部門的幾個實驗室老大是誰?分別做哪方面研究呀?
  • 個人信息的泄露在今天已經嚴重到了什麼地步?對普通人的生活有多大的影響?
  • 有哪些看似很傻,實則聰明的行為?
  • 微軟宣布Office 2007今年10月10日停止服務,真的有此事嗎?微軟為什麼要這麼做?
  • 安全團隊發現漏洞而獲得廠商公開致謝是什麼意思?
  • Mobile Pwn2Own是什麼比賽?有中國戰隊參賽么?
  • WPA2 被黑客破解,可以通過 Wi-Fi 竊聽任何聯網設備,這會帶來什麼影響?
  • 最近在東歐爆發的新型勒索軟體Bad Rabbit是怎麼回事?對國內用戶影響大么?
  • 國內信息安全行業真的很有前途,職位空缺很大嗎?
  • 有哪些需要提高警覺的網路詐騙案例?
  • 你經歷過怎樣的騙局?
  • 養成哪些上網習慣可以避免泄露重要的個人隱私?
  • 怎樣看待央視紀錄片《我是黑客》?
  • 有哪些小眾又高逼格的競技類比賽?

這次大會來了太多太多大佬,也只有看雪能聚集這麼多老頑童啦,好多都是中國安全的奠基人。好些部分都是基本不露面的,作為會上的演講者,感到壓力山大。

聽著其他人的演講,有些方向雖然不一致,但是思路是一致的,研究的方法論也是相似的,可以簡單得從一個攻擊面拓展至其他攻擊面。典型的就是我講的反序列化議題,就是二進位中rop的體現。這也更加堅定了我拿出一些精力放到二進位上,然後將web,二進位結合,我相信大有裨益。

從各位會談的大佬中也看出了安全行業的發展機制,很典型的就是IoT相關漏洞,大家都在弄,這也是一個新的漏洞金庫,但是這些研究有時候挺茫然的,找出了這些漏洞又能幹什麼呢?家電廠商對價格如此敏感,如果沒有國家層面的推動,對安全行業又什麼促進作用呢?

從一些同行的交流來看,2017年安全創業團隊黃了不少,也了解到安全專業的學生很多去找了開發工作,國家隊這個行業收得越來越緊,這個行業還需要大家的繼續努力。


看雪Android安全訓練營舉辦也非常成功,縱觀國內各大安全會議的訓練營,看雪是最給力的!

這次看雪訓練營的價格比起其它會議的訓練營價格都低,每個學員贈送一部用於日常調試的手機、星級酒店自助午餐券,場地為星級酒店高檔會議室。

看雪Android訓練從早上九點開講,一直到晚上七點,比起其它會議的訓練營,這時間是相當給力的!在訓練營結束後,有不少學員留下來請教老師問題,直到所有學員離開後老師才離開。

這次訓練營準備有許多實戰實驗,安排了學員自由實驗的時間,在自由實驗的時候,兩位講師穿梭在學員之間,手把手輔導每一位有困難的學員。

來幾張圖片吧!

利益相關,看雪訓練營講師。


hello,作為一個註冊看雪多年的ID,我是個無名小卒!多圖預警,如果流量不夠慎重打開,謝謝!

有幸參與了第一屆看雪安全開發者峰會,見到了很多ID很熟悉的大佬。我就按演講順序講一講我的收穫吧。我目前的崗位是惡意代碼分析工程師,工作中PDF、SWF、OFFICE漏洞這塊是我的短板,所以本次其實就是來聽仙果大大給我們講解的Flash 之殤。

整體:就像前面幾位的評價差不多,整個大會以技術交流為主要。而每個議題時間很緊湊,例如演講者PPT最後一張的二維碼我每次都還沒來得及掃,就嗖一下沒有了。T_T

眼界方面:【 業務安全發展趨勢及對安全研發的挑戰】分享了當前黑產利用的方式以及提到了反黑產的手法。【移動APP灰色產業案例分析與防範】提到了當今灰色產業中利用的技術點與知識缺失的地方。

漏洞知識: 本次大會據說放出了三個值得關注的Nday, 【Windows 10新子系統*新挑戰】提到的win新業務帶來新的安全隱患,例如:Windows和Linux大小寫敏感區別所識別的文件名。【Java Json 反序列化之殤】這個可以深入講解一些的課題放了很多代碼,但是沒有單步調的情況理解還是有些費腦筋。【那些年,你怎麼寫總會出現的漏洞】講了代碼審計中出現的漏洞是如何產生的,好一段時間沒有關注這個方向的知識了,通過這次聽講打開了自己的眼界(可能是因為我太菜,嘿嘿)。

其他領域:因為本人方向原因,WEB安全編程和IOT相關、遊戲反外掛與移動平台相關領域的知識我聽得不夠仔細。

看雪的參會卡

跳過前面發言環節,剛好趕技術演講。講了flash漏洞發展、軟體利用過程和展示漏洞利用的代碼。Flash漏洞利用的代碼,as3的代碼。詳情可以等待整理好PPT後看PPT,這裡我只是放出了自己拍照的部分代碼。提前爆料了,原諒我。

淺析WEB安全編程

WEB安全編程這塊很慚愧,其實早期我就是製造安全問題的開發者。所以才轉到安全方向從製造問題變為發現問題。

熟悉的17173

情報結合的撞庫識別方案

Windows 10新子系統*新挑戰

智能化的安全: 設備應用ICS

這一演講,暴露了某些現狀的問題,使用了第三方廠商的組件,當第三方廠商出現問題然後幾個使用組件的公司都會暴露出問題。還有這麼運營公司的。全流程代工。。

吃飯前,看大佬們的嘮嗑。

移動APP灰色產業案例分析與防範

開啟IoT設備的上帝模式

這樣PPT,讓我想起了曾經在哪裡看到的一句話,安全不在於你防護的地方有多強,而在於你看不到的地方有多薄弱。繞過目前重點防護的城牆找到最薄弱的環節。

那些年,你怎麼寫總會出現的漏洞

java json 反序列化之殤

嗯,我感興趣的,我就會多拍幾張照!可是放那個小視頻的時候,有點黑乎乎的,沒看清。

一石多鳥——擊潰全線移動平台瀏覽器

安卓下擊潰瀏覽器,講如何穿透js解析引擎,擊潰和攻擊瀏覽器。嗯,PPT上的字有點多。然後坐得太后面有點看不清。


參加這麼多大會,感覺這個大會絕對是一股清流啊,近乎全程代碼教學議題,太厲害了!乾貨滿滿的!明年一定會更好!!!


這次展會內容很深刻,很前衛,很尖端,涉及到了開發、應用的很多場景、領域,是非常難得的論劍活動。如果現場能夠增加一些PK、跟講師等的互動活動,相信效果會更好。

希望這樣的活動更多些,活動時長更長些,希望我們的峰會越辦越好!

建議將培訓活動做得頻繁一些(例如1季度舉辦1屆),配以培訓證書、結業證書,全國各地巡迴舉辦,穿插一些視頻會議方式的教學活動和競技活動,等等等等。


會議地點在北京,我現在正在合肥的計程車上。很遠,高鐵來回10小時。

之前決定去是因為——陣容
會議聽完果然沒讓大家失望是因為——內容

TK說:會議進行到最後一個環節還能有這麼多人(幾乎滿坐)實在難得

看雪提供了一個很好的平台,知識共享的平台、技術交流的平台。

希望看雪可以越來越好!


第一次親臨現場參加如此高層次的峰會,真的學到了很多東西,作為一個在校信息安全學生,可以聽到時下最流行的東西,聽到各位dalao說了他們曾經日了啥,現在在日啥,準備日啥……現在在學校主要還是打一些CTF比賽,主攻逆向方面,一直覺得方向太局限,覺得各個方面都應該會一些。果然dalao們,web、逆向、二進位並行運作,向日啥日啥。還有各位行業領頭人的座談,對中國信息安全行業形勢、未來發展趨向的點評和預測。筆記記了很多,受益匪淺。

最重要的,是抽到了一個360行車記錄儀。

明年還要去!


看雪峰會,安全峰會中的一股清流,乾貨很多,號召力很強,很多難得一見的安全大牛老牛都悉數現身,若干個0Day在峰會中被安全大牛和老牛首次曝光,BAT、360等安全企業更是積極大力贊助,足見看雪在中國安全技術和安全社區領域不可撼動的地位,很開眼界!感謝看雪!


老師很專業,但是感覺這次會議時間不夠。留給大家提問的時間沒有。


占沙發,傳幾張大會現場照片

發幾張第一代安全大佬的照片

下午是6點結束的,座位基本滿滿的


第一次參加這樣的會議,真的是乾貨滿滿,而且有幸見到了很多大神,看雪從線上到線下的發展非常成功。
在看雪也好幾年了,不常發帖,基本都在學習別人的帖子,這是一個比較純粹的技術平台。
在看雪學到了很多,也認識了很多朋友,感謝看雪為我們提供的平台和資源。
希望未來的看雪越來越好,相約明年的看雪峰會。


註冊知乎已經快三年了,登陸也沒超過五次。看雪有可能成為我混跡知乎的一個新的開始~~下面談點想法,如果表達不足的地方,請大神們勿噴~~

0x01

每次參加安全大會,都會有不同的收穫,包括技術、人脈、還有個人成長方向。這次報名看雪開發峰會要感謝廈門一個表哥的邀請。本來到了年底單位里各種忙不太好請假,但是表哥從廈門飛北京,我心中還是一陣感動,抱著來膜拜表哥的心態也就匆匆買票。

0x02

就像樓上xxlegend大表哥說的「也只有看雪能聚集這麼多老頑童啦,好多都是中國安全的奠基人」,確實在其他大會上很少會露面的,能如此近距離的膜拜各位大佬,也是一件非常榮幸的事情,這要感謝段院長。

0x03

在講究「打碼藝術」的今天,看雪大會能夠很直接的分享乾貨,實屬難得,雖然很多方向不太熟悉,但是思路上還是給了很多啟發,包括後續個人能力的一個發展方向。

0x04

看雪大會參加完以後還是給人非常好的歸屬感,這個我覺得是參加了很多會議後最重要的一個感受。之前參加很多會議的群,開完會以後也就再沒有什麼消息了,唯一能做的操作就是退出群聊。看雪大會段院長親自建群,還親切與群友們交流,這個真的很難得。

0x05

祝看雪越來越好,和看雪一起成長。


自己沒時間去,介紹同學過去的。看雪這麼多年一直專註網路安全公益交流,論壇培養的人說支撐起國內網路安全半邊天也不為過。非常佩服!


從9:00-18:00,會場人數一直很多,說明會議不錯。當然,吃晚飯的人也不少。我提幾個反饋。

  1. kanxue本人應該提高演講水平。除了開幕辭,他還有幾次拿話筒,但是,稍微靠後一點位置就聽不清了。可能與他本人是個真技術人員出身強相關,但既然已經開始站台,就得提高站台新技藝啊。
  2. 中間那塊大屏幕沒有利用好,多次給人感覺不知所云的導播節奏。
  3. 演講超時這個問題,大會考慮得比較周到,不斷有個小哥手持提示板進行倒計時提示。對於演講者,一定要注意超時問題。如果內容過於夯實,就要在參會前進行適度刪減,畢竟組織這樣一場會,是一個相對嚴密的系統工程,不是開放式頭腦風暴會。還要考慮受眾分布問題,畢竟不是更進一步的細分專項技術大會。30分鐘是個合理區間。
  4. 會上有兩個環節,一是老版主座談,二是嘉賓座談。這兩個環節見仁見智。談,是沒問題的,但讓幾個人被強光燈照著面朝聽眾,個人覺得有種尷尬症要犯的節奏。或許可以換個方向、換個方式啥的。

讚美的話,不少人已經提了,不再湊熱鬧。總的來說,個人因為一些其他原因,覺得這次沒白去,有些超出預期,蠻開心地離開。祝看雪的公司及各種技術活動、技術影響力蒸蒸日上。


非常給力的一次安全開發者峰會。看雪這樣老牌的論壇早該有一次這樣的聚會了,實現了多少年的念想。希望明年能有兩天!


主持人很精彩!


覺得這次大會絕對是乾貨很多,很給力,見到了不少大牛,可謂是不虛此行,收穫頗豐。個人是本科快畢業了(:幸好是有2.5折的票~ 之前打過CTF,弄過的東西很多,最近一年才真的開始專攻逆向,這次大會裡的議題涉及的方面不少,也因為自己了解的廣泛,基本上哪個都能有不少收穫~(幸好前兩年弄過web開發,不然看那些代碼多少會有些費勁 :P ~ 雖然有些是之前知道或想到過的,但學到的新東西依舊很多~ 如果明年不出意外,一定還來~


強烈點贊,該有的全都有,有乾貨,有最新的漏洞分享,有最新的行業前沿信息的分享,有安全屆的大佬到場,還有抽獎,每個細節都貼心的考慮到了。還有對安全行業現狀的的分析,給了每個安全開發人員莫大的鼓勵。大家都很期待安全行業會影響整個國家安全戰略。以後還會不斷的支持看雪老師的活動,看雪老師給安全行業帶來很深刻的影響。


推薦閱讀:

無人機炸機、墜機、取人首級等事故的原因有哪些?
如何看待「中國天網」監控準確識別行人年齡、性別、穿著?
有哪些簡單易行的方法可以保護自己的上網隱私?
如何發現和防範雙面鏡偷窺?

TAG:網路安全 | 信息安全 | 安全 | 白帽黑客WhiteHat | CTFCaptureTheFlag |