當(dāng)?shù)貢r間8月3日-11日,素有黑客圈“奧斯卡”之稱的世界頂級安全大會Blackhat和DEFCON在美國拉斯維加斯舉行。騰訊安全平臺部Tencent Blade Team共投中五個參選議題,涵蓋移動互聯(lián)網(wǎng)、手機(jī)基帶、物聯(lián)網(wǎng)、智能家居、基礎(chǔ)軟件庫等安全領(lǐng)域。

此次騰訊一共有十一大議題入選,成為本屆議題入圍最多的國內(nèi)企業(yè),也刷新國內(nèi)議題入圍數(shù)的歷史記錄,再次展示了騰訊對安全研究的重視和安全能力的儲備。

再亮相賭城,黑客“奧斯卡”五提五中

Blackhat素有黑客“奧斯卡”之稱,是最受全球安全圈矚目的頂級盛會。緊隨其后召開的DEFCON與之齊名,每次兩大頂級安全盛會的召開,均會吸引全球眾多政企機(jī)構(gòu)、安全研究員的目光。其中的議題分享環(huán)節(jié),更是因其篩選難度、演講質(zhì)量被當(dāng)做安全人檢驗自己實力的終極舞臺。

此次騰訊共有十一大議題入選,分別來自騰訊安全玄武實驗室、騰訊安全科恩實驗室。和騰訊安全平臺部Tencent Blade Team。

其中騰訊安全平臺部Tencent Blade Team一共投出五個參選議題,在眾多高水準(zhǔn)的議題篩選中,五個議題全部脫穎而出,無疑是對團(tuán)隊研究水平的又一佐證。此次Tencent Blade Team五個議題覆蓋領(lǐng)域廣泛,既包括移動互聯(lián)網(wǎng)、手機(jī)基帶等傳統(tǒng)安全領(lǐng)域,也有物聯(lián)網(wǎng)、智能家居等新興領(lǐng)域,還包括基礎(chǔ)軟件庫等影響面廣泛的基礎(chǔ)安全領(lǐng)域。

其中《Bypassing the Maginot Line: Remotely Exploit the Hardware Decoder on Smartphone》講述了如何巧妙繞過“馬奇諾防線”,避開手機(jī)硬件編碼器設(shè)置的安全系統(tǒng)實現(xiàn)直接攻擊,對手機(jī)硬件安全有重要啟示作用。《Exploring the New world: Remote Exploitation of SQLite and Curl》討論了對適用面最廣泛的兩個軟件數(shù)據(jù)庫的多個關(guān)鍵漏洞,據(jù)悉這組漏洞將影響包括谷歌Chrome瀏覽器在內(nèi)的一系列系統(tǒng)和軟件;此外,Tencent Blade Team還在接下來的三個議題中講述了如何利用這些漏洞遠(yuǎn)程攻破高通基帶、破解谷歌home等一系列智能家居產(chǎn)品。

據(jù)悉,Tencent Blade Team也在第一時間向高通、谷歌等受影響廠商報告了漏洞并協(xié)助進(jìn)行修復(fù)。截止到發(fā)表議題演講之前,所有漏洞均已完成修復(fù),并向用戶推送了安全補(bǔ)丁。

此外,《0-days & Mitigations: Roadways to Exploit and Secure Connected BMW Cars》議題首度公開了騰訊安全科恩實驗室2018年對寶馬多款車型的遠(yuǎn)程無接觸式和物理接觸式研究的技術(shù)細(xì)節(jié),并與寶馬安全專家同臺分享了雙方在車聯(lián)網(wǎng)漏洞披露與處理方面的創(chuàng)新方案;素有“漏洞挖掘機(jī)”之稱的騰訊安全玄武實驗室?guī)砹藢indows 10系統(tǒng)服務(wù)權(quán)限提升漏洞的最新研究,分享通過構(gòu)建邏輯漏洞的自動發(fā)現(xiàn)和初步分析系統(tǒng)來提升漏洞挖掘效率,對于擴(kuò)寬安全研究思路具有重要價值。

萬物互聯(lián),安全責(zé)任刻不容緩

隨著我們和互聯(lián)網(wǎng)的關(guān)系日益緊密,網(wǎng)絡(luò)安全的重要性越發(fā)凸顯。

萬物互聯(lián)、產(chǎn)業(yè)互聯(lián)的同時,也意味著每一個數(shù)據(jù)傳輸通路、每一個連接互通接口都能成為惡意黑客攻擊的入口。這并不是假想,此前Tencent Blade Team在另一個國際知名安全峰會HITB上就曾經(jīng)分享過對智能樓宇的研究成果,并現(xiàn)場演示了如何控制智能樓宇。

一次入侵可能會讓一家工廠的生產(chǎn)線停擺,一次數(shù)據(jù)傳輸失敗可能會讓一場手術(shù)失敗,一輛自動駕駛汽車的失控可能會讓整條道路癱瘓。而體育場館、機(jī)場、核電站等這些大型公共場所系統(tǒng)中智能樓宇系統(tǒng)的安全漏洞被黑客利用,則可能造成巨大經(jīng)濟(jì)、社會、乃至政治層面的影響,后果不堪設(shè)想。

但所幸的是,這是最壞的時代,也是最好的時代。當(dāng)網(wǎng)絡(luò)安全問題走向全面升級的同時,以騰訊為代表的互聯(lián)網(wǎng)企業(yè)也展示出了在安全領(lǐng)域沉淀已久的儲備能力,承擔(dān)起了安全的責(zé)任。正是因為有了居安思危的前瞻性攻擊研究,才會帶來人們安全意識的提升;正是有了未雨綢繆的安全能力儲備,才會導(dǎo)致全行業(yè)安全措施的加強(qiáng)。

騰訊安全平臺部不僅孵化出了頂尖前沿安全團(tuán)隊Tencent Blade Team,現(xiàn)在也已形成完整的安全體系,提供業(yè)務(wù)安全生命周期的全流程支持。自主研發(fā)了“宙斯盾”DDoS攻擊防護(hù)系統(tǒng),“門神”WEB防火墻、“洞犀”WEB漏洞掃描系統(tǒng)、“洋蔥”反入侵系統(tǒng)等多款內(nèi)部安全工具,構(gòu)建了完備的數(shù)據(jù)安全內(nèi)部體系,組建騰訊藍(lán)軍多次展開內(nèi)部攻防演練,并建立國內(nèi)首個企業(yè)自建應(yīng)急響應(yīng)中心Tsrc,形成及時有效的應(yīng)急響應(yīng)機(jī)制,并在全行業(yè)推廣。

分享到

zhangnn

相關(guān)推薦