7月20日,看雪2019 第三屆安全開發(fā)者峰會(2019 SDC)在北京國家會議中心圓滿落幕!
會議內(nèi)容聚焦新時代、新技術(shù)、新進展,看雪峰會榮幸邀請到多位重量級嘉賓,為來自全國各地近1000名參會者,帶來關(guān)于Android、iOS、Windows內(nèi)核、智能硬件、隱私保護等領(lǐng)域十大精彩干貨分享。此外,峰會還邀請到了5位重磅嘉賓就“5G時代下的汽車安全”進行深入交流。
除了主會場的精彩議題分享,2019 SDC分會場還開設(shè)有CTF小棧、企業(yè)公開課兩大主題分享;會場外,還有極客市集,為大家?guī)硪淮蟛裂鄣暮诳萍?.....
2019 安全開發(fā)者峰會(SDC)是由擁有19年悠久歷史的老牌安全技術(shù)社區(qū)——看雪學(xué)院主辦,CSDN、開源中國、博客園協(xié)辦,會議面向開發(fā)者、安全人員及高端技術(shù)從業(yè)人員,是國內(nèi)開發(fā)者與安全人才的年度盛事。
作為開發(fā)與安全領(lǐng)域內(nèi),最具影響力的互聯(lián)網(wǎng)安全合作交流盛會之一,SDC始終致力于建立一個多領(lǐng)域、多維度的高端安全交流平臺,推動互聯(lián)網(wǎng)安全行業(yè)的快速成長與廣泛合作。
自2017年7月份開始舉辦第一屆峰會以來,會議始終秉承著技術(shù)與干貨的原則,議題內(nèi)容覆蓋物聯(lián)網(wǎng)、智能設(shè)備、區(qū)塊鏈、機器學(xué)習(xí)、WEB安全、逆向、安卓、iOS等前沿領(lǐng)域,吸引了業(yè)內(nèi)眾多頂尖的開發(fā)者和技術(shù)專家。
在此,我們也對熱情支持活動的合作伙伴表示誠摯的感謝,他們是梆梆安全、奇虎360科技、百度安全、WiFi萬能鑰匙安全應(yīng)急響應(yīng)中心以及科銳、豹趣科技、愛加密、OPPO SRC、同盾科技、網(wǎng)易易盾、騰訊TSRC、騰訊安全、京東安全等。
現(xiàn)在就讓我們一起來回顧下現(xiàn)場的精彩瞬間吧!
致辭
本次大會我們特別邀請到了IDF極安客(益云)實驗室聯(lián)合創(chuàng)始人萬濤和CSDN劉晶晶來擔(dān)任主持人。
萬濤先生、劉晶晶女士
在主持人慷慨激昂的開場之后,由CSDN創(chuàng)始人&董事長、極客幫創(chuàng)始人蔣濤先生來為大會進行致辭。
蔣濤先生
在此次大會上,作為主要協(xié)辦方之一的CSDN創(chuàng)始人&董事長蔣濤發(fā)表了開場致辭,他表示,今年是看雪的二十年,也是CSDN二十年,這二十年,安全也變得越來越重要,特別是現(xiàn)在數(shù)據(jù)已經(jīng)成為企事業(yè)單位數(shù)字資產(chǎn)的今天,安全的重要性已經(jīng)毋庸置疑。但是,即使到了今天,眾多企事業(yè)單位的安全意識仍然非常薄弱,對安全的重視程度仍顯不足。因此,編寫更安全的代碼,幫助公司管理層在安全方面提升意識,也是未來企業(yè)發(fā)展必須要做的事情。
啟動看雪啟程創(chuàng)投計劃
接下來,由看雪學(xué)院創(chuàng)始人段鋼先生進行簡短致辭??囱┘磳⒂瓉?0周年,從2000年到2019年,看雪一直致力于技術(shù)分享的核心理念,把培養(yǎng)安全人才作為重點,推動了中國網(wǎng)絡(luò)安全和信息安全的發(fā)展。
在致辭中,段鋼先生強調(diào)了開發(fā)與安全的相互關(guān)系,他說道:“在過程中引導(dǎo)更多開發(fā)人員做安全,從開發(fā)角度上、從源頭把安全做好,這樣才能把國內(nèi)網(wǎng)絡(luò)安全、信息安全建立得更好。”
緊接著,看雪合伙人胡勇先生向大家詳細(xì)的介紹了看雪啟程創(chuàng)投計劃。
“看雪‘啟程’創(chuàng)投計劃”專注于信息安全領(lǐng)域,打造全方位的創(chuàng)新項目孵化平臺,項目案例有看雪接入KSA 、看雪安卓應(yīng)用容器等。為看雪會員創(chuàng)業(yè)團隊提供包括資金、技術(shù)支持、人脈資源、市場拓展、品牌支撐等在內(nèi)的全方位服務(wù),為創(chuàng)新項目及團隊賦能!
啟動儀式
看雪啟程創(chuàng)投計劃啟動儀式,由看雪學(xué)院創(chuàng)始人段鋼、看雪科技合伙人胡勇、CSDN總裁蔣濤、上海市信息安全行業(yè)協(xié)會秘書長 王強 、北京賽博英杰科技有限公司 CEO譚曉生,聯(lián)合共同啟動!
十大議題
01、新威脅對策:TSCM | 技術(shù)反竊密
楊叔(Longas),RC2反竊密實驗室負(fù)責(zé)人,ZerOne無線安全團隊創(chuàng)始人,“商業(yè)安全&隱私保護”系列認(rèn)證課程的創(chuàng)始人與推廣人,《無線網(wǎng)絡(luò)攻防實戰(zhàn)》系列書籍原創(chuàng)作者。
在安全題材電影里,我們常??梢钥吹阶铎抛羁岬?mdash;—反竊密技術(shù)。本次議題楊叔便針對反竊密技術(shù)(TSCM),從典型的技術(shù)竊密手段與案例,對企業(yè)所面臨的威脅、竊密手段等進行了深入講解,并提出了企業(yè)物理風(fēng)控防護的要素,有效防范各種利用技術(shù)手段開展的竊密及非法監(jiān)控行為。
02、安全研究視角看macOS平臺EDR安全能力建設(shè)
豐生強 (id:非蟲),奇安信安全威脅情報中心安全研究員,專注軟件安全領(lǐng)域。《Android軟件安全與逆向分析》、《macOS軟件安全與逆向分析》、《Android軟件安全權(quán)威指南》作者。
10多年前,終端安全曾被認(rèn)為是“安全最后一公里”,經(jīng)過16年的演繹,這個話題技術(shù)已經(jīng)延展成為成熟型企業(yè)的必然選擇。經(jīng)過16年的演繹,這個話題技術(shù)延展成為成熟型企業(yè)必然要選擇的。
然而針對macOS平臺產(chǎn)品化思路在國內(nèi)大會上討論比較少,本次峰會上豐生強(非蟲)帶領(lǐng)大家打開macOS平臺安全產(chǎn)品的安全思路,并從安全研究與Agent實現(xiàn)的視角,講解了macOS平臺的EDR安全能力建設(shè)。
03、基于云數(shù)據(jù)的司法取證技術(shù)
程勛德,萬興首席安全架構(gòu)師。《加密與解密(第4版)》聯(lián)合作者,從事PC Android逆向工作8年。
程勛德老師為大家講解了iOS、Android云備份、云同步和TOKEN機制,并講解了數(shù)據(jù)獲取技術(shù)難點,提供了相應(yīng)的解決方案,讓大家了解到目前最新的智能手機取證技術(shù)。整個演講過程風(fēng)趣幽默,多次引發(fā)觀眾的熱烈掌聲,廣受好評。
04、RDP: 從補丁到遠(yuǎn)程代碼執(zhí)行
楊杰韜,騰訊科恩實驗室安全研究員,主要研究二進制分析、漏洞挖掘與利用,騰訊eee戰(zhàn)隊成員,A*0*E聯(lián)隊成員,曾與團隊成員多次參與國內(nèi)外頂尖CTF比賽。
今年5月份有一個漏洞,會讓人想起2017年的永恒之藍(lán)。本次楊杰韜為大家詳細(xì)的講述了該漏洞從補丁對比,相關(guān)服務(wù)二進制分析到最后遠(yuǎn)程代碼執(zhí)行的全過程,并介紹漏洞了相關(guān)的RDP協(xié)議內(nèi)容、遠(yuǎn)程桌面服務(wù)的攻擊面,以及攻擊緩解策略及其原理。相信大家聽完后,可以了解到低版本W(wǎng)indows內(nèi)核漏洞利用方法。
05、汽車安全——有效地提取并分析汽車固件
Ramiro Pareja是Riscure安全測試實驗室的技術(shù)負(fù)責(zé)人,在硬件安全方面擁有豐富的經(jīng)驗,專注于嵌入式系統(tǒng)和SoC安全。
外籍嘉賓Ramiro Pareja為我們演示了如何使用故障注入等硬件攻擊手法來從不存在軟件漏洞的安全ECU中提取固件,并探討了有效分析汽車固件的成功方法。隨后,進行了多個炫酷的演示。最后,還就這些問題所導(dǎo)致的可擴展攻擊,以及保護汽車的方法。
06、Android容器和虛擬化
鄧維佳(ID:virjar),畢業(yè)于四川大學(xué)軟件工程專業(yè)。目前致力于Android安全相關(guān)技術(shù)研究,包括App加固脫殼、Android群控技術(shù)、Android多開容器等。
各種開發(fā)框架非常流行,特別是在安卓多開容器應(yīng)用也有很多新玩法。鄧維佳圍繞Android容器,介紹了目前開源的容器方案和實現(xiàn),展現(xiàn)了多種思路,通過他的演講,觀眾可以深入理解多開機制,以及如何通過容器的方式,繞過安全軟件的檢測等等......
07、Android漏洞檢測沙箱的設(shè)計與實現(xiàn)
李月鋒(moony li ), 趨勢科技技術(shù)架構(gòu)師,移動安全威脅研究組項目組長,10年安全開發(fā)經(jīng)驗,精通Windows、Mac安全沙箱開發(fā);熟悉Android,iOS等平臺漏洞挖掘與利用,紅藍(lán)攻防對抗。
李月鋒為大家詳細(xì)的介紹了業(yè)界落地的0day攻擊檢測的Android安全沙箱的設(shè)計與實現(xiàn),以及基于Frida Hook以及內(nèi)核代碼插樁技術(shù)實現(xiàn)典型的0day漏洞利用技術(shù)的檢測,包括Heap Spray,ROP等檢測技術(shù)。
08、是誰推開我的“窗”:iOS App接口安全分析
張一峰,北京長亭科技移動安全負(fù)責(zé)人,負(fù)責(zé)移動APP安全審計、源碼審計等漏洞挖掘工作。全球互聯(lián)網(wǎng)技術(shù)大會網(wǎng)絡(luò)安全專場演講嘉賓,2018華為終端安全獎勵計劃大會圓桌會議嘉賓,2018 DEFCON Demo Labs speaker。
本次演講,張一峰首次披露了由于iOS APP URL Scheme和JSBridge接口導(dǎo)致的安全漏洞,完美的體現(xiàn)了“不知攻焉知防”。通過把過程接口調(diào)用可以利用的方式,在iOS平臺上實現(xiàn)可攻擊的效果和cookie注入等方式,最后還幫我們做了防范和總結(jié),希望大家注意iOS開發(fā)里的那幾點。
09、工業(yè)集散控制系統(tǒng)的脆弱性分析
劍思庭,復(fù)旦大學(xué)軟件工程碩士,暗影安全團隊工控安全高級研究員,中國自動化協(xié)會常任理事,Kcon 2018講師,開發(fā)Ethernet/IP協(xié)議設(shè)備嗅探工具。
工業(yè)集散系統(tǒng)是公共系統(tǒng)的一個種類 ,主要分布在石油化工水系統(tǒng)等,特別是制造環(huán)節(jié)。劍思庭為大家介紹了工業(yè)集散系統(tǒng)架構(gòu)、工業(yè)網(wǎng)拓?fù)湟约按嗳跣苑治觯瑸榇蠹掖蜷_了風(fēng)控領(lǐng)域的新視野。
10、IoT中的SE芯片安全
潘少華,江蘇知道創(chuàng)宇負(fù)責(zé)人、物聯(lián)網(wǎng)安全研究團隊負(fù)責(zé)人,中國區(qū)塊鏈應(yīng)用研究中心理事,中國互聯(lián)網(wǎng)站狀況及其安全報告編委會指導(dǎo)委員。
很多選購IoT產(chǎn)品時,都會看到是“芯片級加密”、“芯片級通訊”等等,那么實際如何?潘少華從SE芯片特性及SE芯片在IoT設(shè)備中提供的功能及加密引擎方面進行安全性的分析,來剖析如何通過恰當(dāng)?shù)氖褂肧E芯片來實現(xiàn)更安全有效的IoT安全環(huán)境,帶給大家很多新的啟迪與思考。
圓桌會談--5G時代,車聯(lián)網(wǎng)安全的未來與展望
圓桌會議主持人:TK 騰訊安全玄武實驗室負(fù)責(zé)人
特邀嘉賓:中國鷹派聯(lián)盟網(wǎng)站創(chuàng)始人 萬濤、360集團智能網(wǎng)聯(lián)汽車安全事業(yè)部負(fù)責(zé)人劉健皓、梆梆研究院院長 盧佐華、小鵬汽車物聯(lián)安全高級專家 程紫堯
行業(yè)大咖、重磅嘉賓,就主題“5G時代,車聯(lián)網(wǎng)安全的未來與展望”,展開了深入探討。首先各位嘉賓先針對車聯(lián)網(wǎng)安全目前的研究階段與問題展開討論,隨后,針對5G時代的特點,以及其對車聯(lián)網(wǎng)所帶來深遠(yuǎn)影響進行探討。思想火花的碰撞,相信會給大家?guī)硇碌乃悸放c思考。
CTF小棧/企業(yè)公開課
CTF小棧
看雪CTF是圈內(nèi)知名度最高的技術(shù)競技,從原CrackMe攻防大賽中發(fā)展而來,采取線上PK的方式,規(guī)則設(shè)置嚴(yán)格周全,題目涵蓋Windows、Android、iOS、Pwn、智能設(shè)備、Web等眾多領(lǐng)域。2019年看雪KCTF開賽以來,已有近600支戰(zhàn)隊參加到我們的隊伍之中。
行走江湖已良久,相逢一笑泯恩仇。身懷絕技意氣發(fā),奪旗小棧共交流。
KCTF Q2第十題 設(shè)計思路講解—readyu(CTF 選手)
一名CTF逆向選手的成長歷程—王晨宇(CTF 選手)
PWN萌新的養(yǎng)成—王眾(CTF 選手)
安全人才培養(yǎng)—錢林松(武漢科銳創(chuàng)始人)
企業(yè)公開課
我們特別在下午開設(shè)了企業(yè)安全公開課環(huán)節(jié),邀請到信息安全領(lǐng)域領(lǐng)頭企業(yè)的安全專家蒞臨現(xiàn)場,探討關(guān)于企業(yè)安全的最新態(tài)勢與情報,促進企業(yè)與企業(yè)、企業(yè)與用戶之間的溝通與交流。
側(cè)信道自動點擊識別 — 劉一鳴(梆梆安全 高級安全研究員)
云上webshell檢測實踐 — 李子奇(京東安全響應(yīng)團隊負(fù)責(zé)人)
新一代程序靜態(tài)應(yīng)用安全測試技術(shù) — 劉新銘(鑒釋聯(lián)合創(chuàng)始人兼首席架構(gòu)師)
傳統(tǒng)安全技術(shù)在智能風(fēng)控領(lǐng)域的應(yīng)用 — 肖劍(同盾科技 安全部資深安全專家)
基于人工智能的有害移動端程序識別 — 馬勇(北理工網(wǎng)絡(luò)空間安全博士)
漫談企業(yè)安全痛點問題 — 高洪亮 (網(wǎng)易易盾 企業(yè)安全高級解決方案工程師)
幸運抽獎
精彩的峰會干貨接連不斷,讓你受益匪淺,更有緊張刺激的幸運大抽獎環(huán)節(jié),到底大獎花落誰家?讓我們一起來看看吧。
獎品有:樹莓派(5個)、《Android軟件安全權(quán)威指南》(10本)、《加密與解密(第四版)》(10本)、補天書包(5個)、梆梆旅行5件套(10個)、kindle 2部。
終極大獎—macbook 一部,由梆梆安全研究院院長盧佐華女士頒獎。
最后終極大獎——macbook
現(xiàn)場精彩圖錦
清晨,大家早早來到簽到處,等待入場~
展臺火爆場面,熱鬧非凡~
展臺 人潮涌動
極客市集炫酷黑科技在這里~
史上最小的參會嘉賓,還是一個可愛的小女孩
峰會寄語
隨著大數(shù)據(jù)、人工智能、5G等新技術(shù)應(yīng)用等快速發(fā)展,全球網(wǎng)絡(luò)安全態(tài)勢發(fā)生了巨大的變化,網(wǎng)絡(luò)安全更是成為了保障產(chǎn)業(yè)數(shù)字化和數(shù)字產(chǎn)業(yè)化的中堅力量,為了進一步促進網(wǎng)絡(luò)安全技術(shù)交流,看雪將繼續(xù)關(guān)注在網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的最新發(fā)展。
20歲的看雪,風(fēng)華正茂,我們將緊抓時代的脈搏,奮力前行。感謝各位朋友們蒞臨現(xiàn)場。看雪將不負(fù)初心,砥礪前行,繼續(xù)為信息安全事業(yè)的發(fā)展貢獻自己的力量。我們明年再會!