補天漏洞響應平臺是中國最大網絡安全公司之一奇安信集團旗下平臺。今年5月10日,隨著央企中國電子的戰略投資,奇安信已正式躋身網絡安全「國家隊」行列。這一嶄新的身份,將更有助於補天漏洞響應平臺匯聚民間網絡安全人才力量,加強對民間漏洞的廣泛收集和深度分析,進一步解決各類網絡安全隱患,共同守護網絡安全的城牆,為政企機構的網絡安全創造更大價值。
2019年5月29日
上海雅居樂萬豪酒店
官網連結:https://www.butian.net/whc/2019
補天白帽大會由補天漏洞響應平臺主辦,由公安部網絡安全保衛局、國家計算機網絡應急技術處理協調中心(CNCERT/CC)、中國信息安全測評中心、國家信息技術安全研究中心、中共上海市委網絡安全和信息化委員會辦公室共同指導,聯合知名國際安全組織以及國內外多家企業安全運營響應中心(SRC),是面向民間安全群體(白帽子)和安全從業者、技術精英開放的,專注於漏洞響應與防護的全球性安全行業盛會。
會議九點開始,八點半籤到處就已經排起長隊啦
今年安全客也在大會現場設置了展臺,並為參會小夥伴準備了好玩兒有趣的遊戲和禮物!
可愛的公仔抱枕等你帶回家
期待補天漏洞平臺不斷創新發展,為中國網絡安全社會做出貢獻,預祝大會圓滿成功
(公安部網絡安全保衛局副處長-範春玲)網絡安全的許多問題會投射到現實問題中,影響國家社會經濟運行和社會穩定,網絡安全的本質就是攻防對抗,新的網絡安全時代以人為核心。
(奇安信集團總裁吳雲坤)
主辦方致辭
補天平臺提出口號「安全新高峰,從此奇安信」平臺每年加入10000+白帽子,提出的漏洞影響70000+企業。呼籲更多的企業加入補天,構建更完善的企業網絡安全體系。
同時補天漏洞獎勵全面升級, 2018年平臺發放了千萬獎金,排名第一的白帽子獎金已過百萬,實現了讓網絡安全人才靠自己的技術獲得收益和財富。並完善白帽子培養計劃,包括技術幫助指導,技術社區交流等等。
2019年補天平臺獎金計劃2000萬,平臺入駐付費企業500餘家 平臺承諾企業所有投入都會變成白帽子獎金。
與此同時補天正式發布5星計劃
所謂五星,對應漏洞響應的五大方向:WEB、IOT、工控、移動APP、作業系統,隨著網絡安全態勢不斷演進,深入剖析漏洞行業業態分布的補天平臺將啟動整體升級,把漏洞響應的範圍精細化到上述五大方向。可以預見,升級後的補天平臺將網聚更多白帽子力量,保障更多廠商的網絡安全。
現場頒發了最具公益能量獎(累計維護近萬加廠商網絡安全)、最具價值能力獎(年度獎金過一百萬)、最具潛力白帽獎(一年間進步6000餘名)等三個重量級白帽獎項。
漏洞獵手們的饗宴古 河 360公司高級總監
JIT漏洞值得關注和研究,沙盒繞過難度普遍超過RCE,甚至成為瓶頸,需要加大投入研究沙河提權,另外思考在沙河內能做些什麼。
虛擬機也不能保證絕對的安全,在文檔類漏洞利用中,如果沒有腳本引擎(或者類似功能)的輔助(內存布局,DEP/ASLR Bypass)利用將會變得十分困難,撞洞也是常態。另外,只要肯花功夫大多數目標最終都是可以搞定的。
王鐵磊-盤古實驗室首席科學家
網絡平臺沒有絕對安全,我們要做的就是儘量 將攻擊場景複雜化,攻擊能力具體化。
案例分析:騰訊NOW直播/QQ瀏覽器
直接使用了Mongoose Deamon庫
在8080埠啟用HTTP伺服器
通過該HTTP伺服器可直接訪問用戶
移動生態系統安全研究的再思考
作業系統安全架構設計時需要變換視角,包括最終用戶、系統開發者、應用開發者、安全架構師;
面向生態正向支持的安全質量評估體系
平臺相關的軟體敏感行為表彰方法
安全驗證的形式化方法與驗證技術
基於意圖理解的惡意軟體檢測技術
智能的漏洞挖掘和危害評估藝術
攻擊可感的作業系統主動防禦技術
中場休息會場的精美小茶點
Kevin2600 銀基安全研究員
邊信道攻擊是一種針對軟體或硬體設計缺陷,劍走偏鋒的攻擊方式,攻擊途徑通常採用被動監聽,或者通過特殊渠道發送隱蔽數據信號。
攻擊點不在暴力破解,而是通過功耗,時序,電磁洩露等方式達到破解目的,在很多物理隔絕的環境中,往往也能出奇制勝。
百分百安全的系統並不存在,邊信道分析與防禦是硬體安全的必備技能。
DCS系統的劍與盾
Laucyun 工控安全研究員
背景:某煉化廠遭到挖礦病毒攻擊,病毒名稱Ddrivers,觸發器首次觸發後,無期限的每隔50分鐘重複一次。
欺騙誘捕防禦機制:使用騙局或假動作的方式來阻撓或者推翻攻擊者的認知過程、擾亂攻擊者的自動化工具;延遲或阻斷攻擊者的活動,通過使用虛假的響應,有意混淆,以假動作、誤導等偽造信息達到欺騙的目的。
Jonathan Levin -Technologeeks CTO
移動安全面臨的挑戰:
mobile devices are most personal personal computers ever
行動裝置是有史以來最私人的個人電腦
hold extremely personal data (messaging,mail...)
保存非常私人的數據(消息、郵件……)
always carried along everywhere (and tracking location)
隨身攜帶(並跟蹤位置)
used for electronic payments
可用於電子支付
rich application ecosystem provids virtually unlimted extensibility
豐富的應用程式生態系統提供了幾乎無限的可擴展性
柳本金&Eack -代碼衛士核心安全研究員
固件安全狀況統計
數字貨幣挖礦:西班牙MWC大會上,捷克網絡安全公司Avast實際演示了15000臺小件聯網設備四天內的「挖礦」過程。結果顯示15000臺小件聯網設備可在四天內挖出價值1000美元的加密貨幣。
Mirai DDos攻擊:近期,由惡意軟體Mirai組織的殭屍網絡成為黑客DDos攻擊的助力,殭屍網絡遍布世界上160多個國家,通過Mirai感染網絡攝像頭等IOT設備後向企業發動大規模DDos攻擊
固件漏洞挖掘技術
如何高效的開始協議Fuzzing?
國士無雙-圈子社區創始人
知行合一:大型內網滲透的五大能力和指導方向,是內網滲透的基礎理論知識。
內網潛伏:明確目標,摸清網絡架構、人員管理狀況,本地做好預案,遠程才會順利。
對抗殺軟:簡單介紹幾種基於shellcode變形的高級免殺技巧。
外網突破:多撕口子,多留出口,內外印證,留好後路要和後期拿到的源碼,供應商等形成殺傷鏈。手握多個web或者其他應用的0day,出入無憂。
成果保衛:找到通往目標寶庫的金鑰匙是最關鍵的。
補天白帽大會作為國內極具規模的白帽盛典,備受社會各界的關注。在歷年的補天白帽大會上,國內外網絡安全專家、業界大咖、安全廠商、研究機構齊聚一堂,針對當前企業的安全建設提出了各種觀點和理念,並對民間白帽群體的發展和價值體現進行了探討與交流。
本屆嘉賓(部分)
主會場及分會場:
本屆補天白帽大會,是奇安信正式躋身「國家隊」後首次舉辦的白帽大會,也是國內規模最大白帽盛典。
作為首個面向民間安全群體(白帽子)和安全從業者、技術精英開放的,專注於漏洞響應與防護的全球性安全行業盛會——補天白帽大會(2019),將邀請國內外知名黑客、安全大牛、企業安全負責人及知名學者到場,針對Web安全、移動安全、物聯網安全、工控安全、密碼安全、系統安全、二進位漏洞挖掘技術、軟體逆向技術、關鍵信息基礎設施保護、安全技術發展趨勢等前沿話題進行技術乾貨分享。
相比前三屆補天白帽大會,今年在議題中,會更加深入探討系統、IOT、工控、移動等4類漏洞技術議題。屆時,盤古實驗室首席科學家王鐵磊、獨立安全研究員kevin2600、iOS和MacOS領域專家jonathanlevin等業內大咖將現身會場,就漏洞技術和具體安全事件進行分享。
在2019補天白帽大會上,除了圍繞漏洞技術和安全事件分析外,針對關鍵信息基礎設施的攻防演練和安全體系建設以及紅藍對抗設有分論壇,國家電網、中石化等客戶代表將分享央企及相關機構的網絡安全體系建設經驗,技術專家也將分享大型廠商應對APT級別攻擊時的縱深防禦能力建設和最前沿技術。
此外,以「匯聚白帽力量,重塑漏洞價值」為主旨的「補天五星計劃」也將在現場發布。作為補天漏洞平臺戰略升級的重要內容,漏洞響應的範圍精細化為Web、IOT、工控、移動APP、作業系統等五大方向。可以預見,升級後的補天平臺將網聚更多白帽子力量,保障更多廠商的網絡安全。
據了解,補天白帽大會由補天漏洞響應平臺主辦,由公安部網絡安全保衛局、國家計算機網絡應急技術處理協調中心(CNCERT/CC)、中國信息安全測評中心、國家信息技術安全研究中心、中共上海市委網絡安全和信息化委員會辦公室共同指導,聯合知名國際安全組織以及國內外多家企業安全運營響應中心(SRC)參與。