2015 SyScan360国际前瞻信息安全大会
2015 SyScan360国际前瞻信息安全大会议题介绍
《ZigBee与智能设备安全》
李均   360Unicorn Team团队的安全研究员
ZigBee是一个开放性、全球性的无线通信标准,它为物联网提供了基础使得简单的智能设备可以相互协同工作从而提高日常生活的效率和舒适性。 但是随着物联网的发展,黑客有可能会在不需要你授权的情况下控制你的ZigBee设备。
《安卓系统服务漏洞 的挖掘与利用》
龚广   360手机卫士的安全研究员
在Android系统中,用户安装的应用程序都运行在一个被沙箱保护的进程中,拥有较少的用户权限,而Android系统服务进程则拥有更多、更高权限。其中,binder是Android中的进程间通信机制,不仅用于应用程序之间的通信,也用于低权限的应用程序与高权限的系统服务之间的通信。但因为对传递来的参数校验不严格,Android系统服务由此成为一个比较薄弱的攻击界面。
《见证汽车攻击从理论变成现实并努力探寻应对措施》
刘健皓   360汽车信息安全团队负责人,中国特斯拉破解第一人
比亚迪邀约360检测“秦”,发现的问题: 1. 未对车联网协议进行加密。 2. 车联网系统未对请求客户端进行身份验证。 3. 未对车联网发送指令终端类型进行验证。 4. 手机客户端没有进行混淆等加固措施。 5. 车联网系统用户身份会话不过期。 6. 汽车无钥匙启动系统未对射频进行身份验证。
《无人机的GPS欺骗》
袁舰   360 Unicorn Team 无线安全研究员
奇虎360旗下的Unicorn Team 包括了一批优秀的安全研究者。我们聚焦于使用无线电技术领域及相关硬件的信息安全研究,任何使用无线电通信技术的产品,小到射频卡、无线钥匙、大到无线医疗设备、交通信号灯、智能汽车、卫星通信、GPS导航系统。 该议题在现场展示了无人机破解。
《 程序分析工具 》
Edgar Barbosa   资深安全研究员
Edgar Barbosa是拥有十年以上经验的资深安全研究员,作者介绍了符号执行引擎、约束求解器、字符串约束求解器、污点分析、程序合成,以及如何创建工作流来联合这些工具进行静态和动态分析,并结合实际应用演示如何使用这些工具。
《攻击VxWorks:从石器时代到星际穿越》
Zhenhua 'Eric' Liu   Istuary安全研究团队首席研究员
Zhenhua 'Eric' Liu 是Istuary安全研究团队的首席研究员,Yannick Formaggio也来自同样的团队。作者展示了其团队开发的VxWorks评估工具,目标是通过实现WdbRPC协议来提供有效的渗透测试,同时会结合发现的bug来证明其效率。
《攻击VxWorks:从石器时代到星际穿越》
李康   美国乔治亚大学、360网络安全北美研究院负责人
Zhenhua 'Eric' Liu 是Istuary安全研究团队的首席研究员,Yannick Formaggio也来自同样的团队。作者展示了其团队开发的VxWorks评估工具,目标是通过实现WdbRPC协议来提供有效的渗透测试,同时会结合发现的bug来证明其效率。
《微软奖赏计划:入选MSRC TOP100榜单》
Jason Shirk   微软首席安全战略师,微软漏洞奖励计划人
Jason Shirk在微软担任首席安全战略师并负责Bug奖赏计划,作者围绕该项目介绍了新的评分和奖励机制。
《Unicorn:下一代CPU仿真器框架》
Nguyen Anh Quynh   资深安全研究员,Vnsecurity组织成员
Nguyen Anh Quynh首创了两款开源安全框架"Capstone" 和"Unicorn",该议题主要介绍了这款CPU仿真器框架Unicorn。
《远程利用未改装的载客汽车》
Charlie Miller   自动驾驶安全研究员
Charlie Miller是任职于Uber的安全工程师,Chris Valasek则是Uber Advanced Technology Centre的安全负责人,他们详细解释并演示了如何控制一辆智能汽车。
《远程利用未改装的载客汽车》
Chris Valasek   Uber Advanced Technology Centre安全负责人
Charlie Miller是任职于Uber的安全工程师,Chris Valasek则是Uber Advanced Technology Centre的安全负责人,他们详细解释并演示了如何控制一辆智能汽车。
《攻破Windows 8.1的64位IE - 分享Pwn2Own黑客大赛成果》
古河(Yuki)   360Vulcan核心成员
古河是360安全研究团队360Vulcan的核心成员,在本次演讲中公开了今年Pwn2Own比赛中所使用的两个IE漏洞的细节并详细讲解了exploit流程和所用到的技术。
《你的Apple中存在EFI威胁吗?》
Pedro Vilaça   Coseinc安全研究员
Pedro最近对提升OS X安全性和研究恶意软件很感兴趣,在几个月前曾公开披露了存在于AppleEFI固件的零日漏洞,通过该议题可以了解关于EFI的世界,并学习如何处理这类威胁
《深入思考语料库驱动的Fuzzing测试》
Ben Nagy   Coseinc高级安全分析员
Ben过去主要关注于网络安全、逆向工程和密码安全等方向,现在则致力于fuzzing测试的扩展性研究,在该议题中分享了最近几个月关于语料库驱动的Fuzzing测试的研究内容