XCon编辑本段回目录
国内著名网络安全研究者flashsky、funnyway等都做过多次精彩报告,发表了最新研究成果。 会议嘉宾也不乏Richard Stallman 等大师级人物。
美国黑客赴北京搞民间切磋编辑本段回目录
据8月3日出版的《环球时报》报道,4日,美国黑客将在北京与中国黑客进行一次“东西方的会面”。在美国拉斯韦加斯,两个对立团体刚刚分别举行了各自的大会。他们是网络安全专家和黑客。网络安全专家再次发出警告称,由于能够轻而易举地获得高端恶意软件,中国已迅速成为黑客犯罪的热点地区。美国黑客则反驳说,中国也有好黑客。
美国一家网络安全公司的创始人瓦尔·史密斯说,黑客们在中国发展恶意软件“几乎同商业性生产没什么区别”,这些“产品”具备配套的版本号、产品广告、终端用户许可协议和24小时支持服务。
瓦尔基-X安全研究小组(设在中国香港的非赢利公司)中的一名网络安全研究员安东尼·赖说,在中国购买和销售恶意软件大多是公开进行的,顾客只要需要,就能用少于20美元的价钱轻易买到恶意软件。
据法新社2日报道,很多黑客老手已经赶到北京,准备参加4日在这里举行的“XCon”民间信息安全会议。即将参加会议的科林·埃姆斯说:“我们想在两种黑客文化间创造相互理解,说所有的中国黑客都是邪恶的以及他们为中国政府服务纯属无稽之谈。”也有人表示,和其他国家一样,中国也有好的黑客,这是一次东西方的会面,希望这种文化能扩展到其他国家。
Xcon 2009亮点频频编辑本段回目录
这是我第四次参加 Xcon(安全焦点信息安全技术峰会),并且是第三次担任演讲者。Xcon 是中国规模最大也是最具影响力的非政府计算机安全技术会议。
实际上,对于大多数中国安全研究人员而言,这不仅是一场技术盛会,而且是一个大 party,他们可以与老朋友聚会、结交新朋友,并且与一大群安全技术精英交流真知灼见。
受北京奥运会影响,Xcon 2008 被推迟到 11 月举行;并且出席人数略少于往年。8 月 18 日至 19 日 Xcon 2009 如期举行;不过,在全球经济危机的大背景下,我没能看到很多熟悉的面孔,尤其是我的一些外国朋友。幸运的是,Tomas Lim、Vangelis 和 Kana 来了。他们都是其他一些安全会议的知名组织者,我曾荣幸地受邀在一些此类会议上发表演讲。
今年,总共有十场演讲,内容涵盖几乎所有的计算机安全(如下所示)热点问题。全球知名的安全研究人士 Kris Kaspersky 本来计划就 Linux rootkit 这一主题发表演讲,但由于签证问题未能成行。我的演讲是会议首日的最后一场,演讲的题目是“深入剖析固件更新安全问题”(Go Deep Into The Security of Firmware Update),内容侧重各类 PC 组件固件更新安全,包括系统 BIOS、笔记本电脑的嵌入式控制器、Intel AMT 等。总体而言,演讲进行的很顺利,尽管在演示部分出了点小茬子,因为大型 LCD 投影仪无法像我的电脑屏幕一样正常显示 BIOS 加电自更新流程。当 OS 内核和相应的驱动程序加载后,就工作正常了,这一点是我之前没有想到的。有趣的是,有人告诉我在 BIOS 引导过程中按下热键有可能解决这一问题。
演讲主题统计:
漏洞/攻击:4
Web安全:2
固件/硬件:2
密码学:1
虚拟化技术:1
在今年的 Xcon 上有许多重要的主题被谈及,但我所关注的主题之一是硬件和虚拟化技术。Nguyen Anh Quynh(为 AIST Japan 工作的越南研究员)已是第二次在 Xcon 上演讲了,这一次他在题为“在虚拟机中检测 rootkit”(Detecting Rootkits Inside Virtual Machines)的演讲中谈及了 VM 安全。他在一个 VM(Xen’s Dom0)中运行了新的名为 eKimono 的rootkit 检测工具,以扫描guest VM 的内存查找可疑问题。
这一演讲使我联想起最近的另一场有关 VM 的讨论 — Matt Conover 在 Syscan 上的演讲“SADE:将代理注入 VM guest OS”(SADE: Injecting Agents into VM Guest OS)。看起来,VM 技术应用已不仅仅是“纸上谈兵”,而是正变为一种越来越常见的防御手段(过去两年超热的“虚拟化 rootkit”就是此类主题之一)。Antiy Lab 的演讲“重新发现设备和信号攻击”(Rediscovery on the Attack of Equipment and Signal)同样受到欢迎;演讲者现场演示了如何远程截获和破解由一个无线键盘设备发出的键击信号。我依然记得他们在 Xcon 2008 上所做的有关物理攻击的演讲。他们展示了如何通过将 USB 设备插入禁用 AutoPlay 功能的受害者机器来执行任意代码。这一问题背后的原理并未披露,他们只是表示这肯定不是通过设备的总线主控 DMA 操作来修改物理内存实现的。据我所知,与火线 (1394) 不同,它是一种扩展总线架构,USB 设备不具备此功能。
由于我对脚本不是很感兴趣,因此,没有参与一些有关Web 安全的讨论。(我是一位二进制小子 )。但我认真聆听了 Funny wei的演讲“异常状况下可用性分析”(Abnormity Usability Analysis)和王铁雷(Wang Tielei)的“整数溢出漏洞自动挖掘”(Integer Overflow Vulnerability Auto-Mining)。尤其是魏博士的演讲更是极具启发性,他开发了一种原型工具能够跟踪可控制数据和执行流,这些数据和执行流有助于分析异常状况下的可用性。
在今年的峰会上,我注意到一个现象,大多数的主题都围绕着漏洞挖掘与分析,但没有任何讨论是直接涉及如何应对漏洞攻击。例如,最受关注和期待的主题 —“规避Windows 7中的内存保护”(Memory Protection Bypassing on Windows 7)。我记得在去年的峰会上,Alexander Sotirov 做了针对 Windows Vista 的类似演讲,我希望明年峰会上在这一方面会有突破。
期待与大家聚首在北京举行的 xKungFoo 2009。
参考文献编辑本段回目录
http://security.zdnet.com.cn/security_zone/2009/1207/1541459.shtml
