ACM CCS 2017 會議每日報道:Day 3 & 4
11月2日大會報道
11月2號是CCS大會的最後一天(但是3號還有一天的workshop),這一天有很多的Attack相關文章,也隨著產生了許許多多的八卦,我們會用一種更為輕鬆的方式回顧這一天的精彩內容。
上午第一個時間段的報告裡面頗為引人關注的是拿到了「現實世界影響力」獎的論文The Return of Coppersmith"s Attack: Practical Factorization of Widely Used RSA Moduli,儘管作者看起來非常的萌,但是台下幾個正襟危坐神態緊張的男人,讓人覺得有什麼事情要發生。果然,當作者講完針對Infineon的RSA大素數安全攻擊的報告之後,提問的人剛剛問完問題,發現有人搶走了話筒作答,再一看,這不就是那幾個西裝革履的人中的一個嗎?再仔細聽一下介紹,原來這是英飛凌來救火的PR呀,(代作者)回答完問題(囧),下一篇論文一開始,他們就立馬離開了……實際上這個session的另一篇通過激光照射,開展硬體逆向工程的論文On the Power of Optical Contactless Probing: Attacking Bitstream Encryption of FPGAs也非常有趣(也入選了最佳論文候選list)
和上一個session並行開展的Code Reuse Attacks session的論文也必須推薦,第一篇論文The Dynamics of Innocent Flesh on the Bone: Code Reuse Ten Years Later其實呼應了前一天晚上CCS頒發的Test of Time Award:The Geometry of Innocent Flesh on the Bone: Return-into-libc without Function Calls (on the x86),而來自Google和SAP的研究人員的論文Code-reuse attacks for the Web: Breaking Cross-Site Scripting Mitigations via Script Gadgets討論了如何在XSS攻擊上也可以利用code reuse來繞過防禦!
11月2日這天上午的Tutorial環節非常的「硬」,三名業內頂尖的研究人員(Taesoo Kim, Zhiqiang Lin, Chia-Che Tsai)組成了一個「東亞男子天團」,共同做了一個關於SGX安全的精彩培訓。如果你沒有機會到現場,不要擔心,CCS的主會報告和Tutorial全程都有錄像,可以關注大會組委會什麼時候將錄像上傳到Youtube上
可能是擔心大家提前返程,CCS大會把很多令人感興趣的session放在了最後一天的下午,包括所有關於Fuzz的內容(Session 2J: Fun with Fuzzing & 2K: Fuzzing Finer and Faster),關於程序分析的內容(Session 3K: Program Analysis),以及關於硬體和SGX相關的內容(Session 4J: Flash Security & 4K: Secure Enclaves)。值得一提的是,GoSSIP畢業生許文同學(目前在喬治亞理工學院就讀)繼2015年之後再一次發表CCS論文!這一次他的論文設計了一個裁剪過的系統,能幫助fuzzer更快更好地運行。
在150餘篇論文報告之後,在最後一個報告時間,韓國研究人員在介紹自己的論文IMF: Inferred Model-based Fuzzer之餘,給大家介紹他們利用這個研究成果發現了很多程序的脆弱點,他們的報告最後會給大家展示一個發現的能讓macOS崩潰的bug,於是在全場的觀眾熱烈的掌聲中,伴隨著研究人員的macbook的重啟,套用一句Eliot的詩:This is the way the CCS ends, not with a closing ceremony but a crash.
其實CCS大會到晚上還有一個business meeting,面向全體參會人員開放,討論的是CCS未來的發展,包括是否應該follow Oakland的投稿模式,如何改善審稿的質量,是否需要引入兩輪的審稿機制(以及第二輪是否要換一批審稿人)等等。因為參與人員太少(據稱只有40餘人參加),一切估計都尚無定論
11月3日Workshop報道
儘管CCS大會結束,但是在11月3日仍然有7個主題各異、非常有趣的workshop從早上一直持續到晚上,它們分別是關於如何在網路空間防禦中引入科學方法的SafeConfig:Applying the Scientific Method to Active Cyber Defense Research;關於Cyber-Physical System安全和隱私的CPS-SPC:Cyber-Physical System Security & Privacy;關於IoT安全隱私的IoT S&P:Internet of Things Security and Privacy;關於硬體安全攻防的ASHES:Attacks and Solutions in Hardware Security;關於雲計算安全的CCSW:Cloud Computing Security Workshop;關於人工智慧安全的AISec:Artificial Intelligence and Security;以及關於關注程序變換的FEAST:Forming an Ecosystem Around Software Transformation。儘管是workshop,參會人員的熱情都很高,FEAST還請來了LLVM的作者一起參會討論。我們實驗室今年在IoT S&P上發表了一篇介紹智能家居的開發套件中存在安全問題的論文,引起了參會人員的廣泛關注,實際上,我們發現ofo小黃車已經佔領了達拉斯街頭(當然達拉斯還有其他兩三種不同的共享單車!),看來IoT安全領域確實有非常多值得研究之處。
照片分享
最後,分享一些隨手拍的參會照片
會場:
中國聲音:
感謝大家關注,2018多倫多CCS,希望我們還能帶著論文去進行報道!
推薦閱讀: