第四屆CSS騰訊安全探索論壇（TSec）入圍議題大揭秘

第四屆互聯網安全領袖峰會(CSS 2018)將于2018年8月27日-28日在北京召開。作為CSS最具技術含量、專業(yè)深度及學術影響力的分會場，第二屆騰訊安全探索論壇(TSec)也將在大會第二天登場亮相。全球頂尖安全專家將在此首次分享重磅研究，共同瓜分22萬優(yōu)秀議題獎金池。

在經過近一個月議題篩選、評議之后，目前CSS官網已公布入選本屆TSec的議題及演講嘉賓。來自清華大學、中科院、荷蘭埃因霍芬理工大學、騰訊安全聯合實驗室等海內外高校、科研機構和企業(yè)將帶來十場主題演講，涉及區(qū)塊鏈、智能音箱、人工智能等時下大熱的安全議題，讓我們先睹為快。

善解人意的智能音箱如何變身竊聽利器?

既能播放音樂，又能聊天講故事、控制家電，時不時還能賣萌逗樂的智能音箱在近兩年已經成為最流行的物聯網設備。隨著智能音箱的普及度逐漸提高，其安全性也受到了眾多關注。

來自騰訊安全平臺部的安全專家伍惠宇將帶來題為《竊聽風云：智能音箱安全》的演講。他將介紹并展示如何使用多個漏洞來實現遠程攻破一些最為暢銷的智能音箱設備，如怎樣獲取智能音箱的Root權限、靜默監(jiān)聽、控制音箱說話的內容等。

從Edge瀏覽器堡壘最堅固處突破防御

Edge作為搭載在Win10系統(tǒng)上的全新瀏覽器，微軟在其安全防護上投入了大量精力，引入了安全沙盒模式，啟用Win32k filter大大增強了瀏覽器抵御遠程攻擊的能力。

Edge的沙盒果真做到固若金湯，無懈可擊了嗎?騰訊安全湛瀘實驗室的安全專家陳楠、Rancho Han帶來“打破Win10嘆息之壁：利用3D加速突破Edge沙盒”議題，將分享其團隊如何利用發(fā)現的Windows內核漏洞突破Edge安全沙盒。而來自荷蘭埃因霍芬理工大學的安全專家也將介紹基于Adobe上的兩個沙盒漏洞。

自動化攻擊有了最新研究進展!

從各家安全廠商的各類報告來看，網絡攻擊的自動化已經成為一個不可阻擋的趨勢。作為曾經美國國防部Cyber Grand Challenge項目的技術領隊，清華大學和中科院的研究人員張超和王琰將分享其在自動化漏洞利用研究中的最新成果，展示如何在簡單防御情形下自動化生成漏洞利用樣本，探討自動化利用的未來方向。這雖然是自動化攻擊研究的一小步，但卻是整個網絡安全形勢的一大步。

USB漏洞和100個CVE的故事

安全測試中，模糊測試(fuzz testing)是一種介于完全的手工滲透測試與完全的自動化測試之間的安全性測試類型。能夠在一項產品投入市場使用之前對潛在的應當被堵塞的攻擊渠道進行提示。來自騰訊安全玄武實驗室的馬卓將分享不使用任何硬件對設備驅動進行漏洞挖掘的思路和成果，值得期待。

“蓋棺定論”之Windows CFG

微軟在Windows 8.1 Update 3中率先引入了內核級的CFG功能，并且一路延續(xù)至Windows 10操作系統(tǒng)。微軟將 CFG 描述為“經過高度優(yōu)化的平臺安全特性,用以對抗內存破壞類漏洞”。其通過代碼中插樁檢查間接的調用和跳轉的合法，從而使用攻擊者更難實現任意代碼執(zhí)行。但事實上, 以今天的視角看, Windows CFG的實際效果是遠不如預期的。滴滴Labs資深研究員楊軍鋒將在論壇上分享其對于CFG的研究和理解，并分享相關案例。

數字鑰匙比傳統(tǒng)鑰匙更安全嗎?

智能家居的發(fā)展給人們的生活帶來了極大地便利，諸如智能門鎖、數字鑰匙之類的設備和應用似乎有替代傳統(tǒng)鑰匙的可能性。但是，但是智能門鎖所使用的數字鑰匙，從安全性角度考慮，是否足夠可靠呢?

上海交通大學密碼與計算機安全實驗室(LoCCS)的金宣成和宋瑩燕將在本次騰訊安全探索論壇上分享其關于數字鑰匙安全性的深入研究。并對如何設計安全的協議給出建議。

區(qū)塊鏈自身機制漏洞讓黑客盜竊易如反掌

近年來各種關于區(qū)塊鏈的技術和應用探索等集中爆發(fā)，在成為創(chuàng)業(yè)與資本共同追逐的風口的同時，其身機制漏洞也逐漸暴露。全球第二大加密貨幣“以太幣”就因其生態(tài)缺陷，造成網絡上賬戶被黑客大規(guī)模竊取。

騰訊安全湛瀘實驗室安全專家王凱就以太坊RPC漏洞攻擊為例，透視當前區(qū)塊鏈安全現狀與攻防技術，就如何維護區(qū)塊鏈安全給出建議。

以子之盾，攻子之盾——利用緩解措施自身缺陷突破防線

緩解措施是Windows防御體系中的重要環(huán)節(jié)，通過阻斷漏洞利用技術來增加攻擊的難度與成本。隨著漏洞利用技術的發(fā)展，微軟也在持續(xù)的補充和完善Windows的緩解措施。來自綠盟科技的張云海將分享其關于Windows緩釋措施、CFG漏洞的研究，回顧Windows緩解措施的演進歷史，分析新近加入的一項緩解措施中存在的問題，并演示如何利用這一問題繞過所有緩解措施、實現任意代碼執(zhí)行。

有沒有更安全的網站安全解決方案?

面對網絡攻擊，當前主流的防火墻檢測手段存在局限性。企業(yè)安全團隊面對頻發(fā)的黑客攻擊疲于應對。針對這種困境，騰訊安全云鼎實驗室安全專家劉少東帶來的分享將展示如何將機器學習應用到WAF攻擊檢測中，完美解決當前傳統(tǒng)WAF面臨的難題，幫助企業(yè)安全團隊從被動防護的困局中突破出來。

目前，CSS 2018的購票渠道已經全面開啟，對信息安全感興趣的用戶可登陸購票網址選購。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。