ACM CCS 2017 會議每日報道：Day 3 & 4

11月2日大會報道

11月2號是CCS大會的最後一天（但是3號還有一天的workshop），這一天有很多的Attack相關文章，也隨著產生了許許多多的八卦，我們會用一種更為輕鬆的方式回顧這一天的精彩內容。

上午第一個時間段的報告裡面頗為引人關注的是拿到了「現實世界影響力」獎的論文The Return of Coppersmith"s Attack: Practical Factorization of Widely Used RSA Moduli，儘管作者看起來非常的萌，但是台下幾個正襟危坐神態緊張的男人，讓人覺得有什麼事情要發生。果然，當作者講完針對Infineon的RSA大素數安全攻擊的報告之後，提問的人剛剛問完問題，發現有人搶走了話筒作答，再一看，這不就是那幾個西裝革履的人中的一個嗎？再仔細聽一下介紹，原來這是英飛凌來救火的PR呀，（代作者）回答完問題（囧），下一篇論文一開始，他們就立馬離開了……實際上這個session的另一篇通過激光照射，開展硬體逆向工程的論文On the Power of Optical Contactless Probing: Attacking Bitstream Encryption of FPGAs也非常有趣（也入選了最佳論文候選list）

和上一個session並行開展的Code Reuse Attacks session的論文也必須推薦，第一篇論文The Dynamics of Innocent Flesh on the Bone: Code Reuse Ten Years Later其實呼應了前一天晚上CCS頒發的Test of Time Award：The Geometry of Innocent Flesh on the Bone: Return-into-libc without Function Calls (on the x86)，而來自Google和SAP的研究人員的論文Code-reuse attacks for the Web: Breaking Cross-Site Scripting Mitigations via Script Gadgets討論了如何在XSS攻擊上也可以利用code reuse來繞過防禦！

11月2日這天上午的Tutorial環節非常的「硬」，三名業內頂尖的研究人員（Taesoo Kim, Zhiqiang Lin, Chia-Che Tsai）組成了一個「東亞男子天團」，共同做了一個關於SGX安全的精彩培訓。如果你沒有機會到現場，不要擔心，CCS的主會報告和Tutorial全程都有錄像，可以關注大會組委會什麼時候將錄像上傳到Youtube上

可能是擔心大家提前返程，CCS大會把很多令人感興趣的session放在了最後一天的下午，包括所有關於Fuzz的內容（Session 2J: Fun with Fuzzing & 2K: Fuzzing Finer and Faster），關於程序分析的內容（Session 3K: Program Analysis），以及關於硬體和SGX相關的內容（Session 4J: Flash Security & 4K: Secure Enclaves）。值得一提的是，GoSSIP畢業生許文同學（目前在喬治亞理工學院就讀）繼2015年之後再一次發表CCS論文！這一次他的論文設計了一個裁剪過的系統，能幫助fuzzer更快更好地運行。

在150餘篇論文報告之後，在最後一個報告時間，韓國研究人員在介紹自己的論文IMF: Inferred Model-based Fuzzer之餘，給大家介紹他們利用這個研究成果發現了很多程序的脆弱點，他們的報告最後會給大家展示一個發現的能讓macOS崩潰的bug，於是在全場的觀眾熱烈的掌聲中，伴隨著研究人員的macbook的重啟，套用一句Eliot的詩：This is the way the CCS ends, not with a closing ceremony but a crash.

其實CCS大會到晚上還有一個business meeting，面向全體參會人員開放，討論的是CCS未來的發展，包括是否應該follow Oakland的投稿模式，如何改善審稿的質量，是否需要引入兩輪的審稿機制（以及第二輪是否要換一批審稿人）等等。因為參與人員太少（據稱只有40餘人參加），一切估計都尚無定論

11月3日Workshop報道

儘管CCS大會結束，但是在11月3日仍然有7個主題各異、非常有趣的workshop從早上一直持續到晚上，它們分別是關於如何在網路空間防禦中引入科學方法的SafeConfig：Applying the Scientific Method to Active Cyber Defense Research；關於Cyber-Physical System安全和隱私的CPS-SPC：Cyber-Physical System Security & Privacy；關於IoT安全隱私的IoT S&P：Internet of Things Security and Privacy；關於硬體安全攻防的ASHES：Attacks and Solutions in Hardware Security；關於雲計算安全的CCSW：Cloud Computing Security Workshop；關於人工智慧安全的AISec：Artificial Intelligence and Security；以及關於關注程序變換的FEAST：Forming an Ecosystem Around Software Transformation。儘管是workshop，參會人員的熱情都很高，FEAST還請來了LLVM的作者一起參會討論。我們實驗室今年在IoT S&P上發表了一篇介紹智能家居的開發套件中存在安全問題的論文，引起了參會人員的廣泛關注，實際上，我們發現ofo小黃車已經佔領了達拉斯街頭（當然達拉斯還有其他兩三種不同的共享單車！），看來IoT安全領域確實有非常多值得研究之處。

照片分享

最後，分享一些隨手拍的參會照片

會場：

中國聲音：

感謝大家關注，2018多倫多CCS，希望我們還能帶著論文去進行報道！