當?shù)貢r間8月3日-11日,素有黑客圈“奧斯卡”之稱的世界頂級安全大會Blackhat和DEFCON在美國拉斯維加斯舉行。騰訊安全平臺部Tencent Blade Team共投中五個參選議題,涵蓋移動互聯(lián)網、手機基帶、物聯(lián)網、智能家居、基礎軟件庫等安全領域。

此次騰訊一共有十一大議題入選,成為本屆議題入圍最多的國內企業(yè),也刷新國內議題入圍數(shù)的歷史記錄,再次展示了騰訊對安全研究的重視和安全能力的儲備。

再亮相賭城,黑客“奧斯卡”五提五中

Blackhat素有黑客“奧斯卡”之稱,是最受全球安全圈矚目的頂級盛會。緊隨其后召開的DEFCON與之齊名,每次兩大頂級安全盛會的召開,均會吸引全球眾多政企機構、安全研究員的目光。其中的議題分享環(huán)節(jié),更是因其篩選難度、演講質量被當做安全人檢驗自己實力的終極舞臺。

此次騰訊共有十一大議題入選,分別來自騰訊安全玄武實驗室、騰訊安全科恩實驗室。和騰訊安全平臺部Tencent Blade Team。

其中騰訊安全平臺部Tencent Blade Team一共投出五個參選議題,在眾多高水準的議題篩選中,五個議題全部脫穎而出,無疑是對團隊研究水平的又一佐證。此次Tencent Blade Team五個議題覆蓋領域廣泛,既包括移動互聯(lián)網、手機基帶等傳統(tǒng)安全領域,也有物聯(lián)網、智能家居等新興領域,還包括基礎軟件庫等影響面廣泛的基礎安全領域。

其中《Bypassing the Maginot Line: Remotely Exploit the Hardware Decoder on Smartphone》講述了如何巧妙繞過“馬奇諾防線”,避開手機硬件編碼器設置的安全系統(tǒng)實現(xiàn)直接攻擊,對手機硬件安全有重要啟示作用?!禘xploring the New world: Remote Exploitation of SQLite and Curl》討論了對適用面最廣泛的兩個軟件數(shù)據(jù)庫的多個關鍵漏洞,據(jù)悉這組漏洞將影響包括谷歌Chrome瀏覽器在內的一系列系統(tǒng)和軟件;此外,Tencent Blade Team還在接下來的三個議題中講述了如何利用這些漏洞遠程攻破高通基帶、破解谷歌home等一系列智能家居產品。

據(jù)悉,Tencent Blade Team也在第一時間向高通、谷歌等受影響廠商報告了漏洞并協(xié)助進行修復。截止到發(fā)表議題演講之前,所有漏洞均已完成修復,并向用戶推送了安全補丁。

此外,《0-days & Mitigations: Roadways to Exploit and Secure Connected BMW Cars》議題首度公開了騰訊安全科恩實驗室2018年對寶馬多款車型的遠程無接觸式和物理接觸式研究的技術細節(jié),并與寶馬安全專家同臺分享了雙方在車聯(lián)網漏洞披露與處理方面的創(chuàng)新方案;素有“漏洞挖掘機”之稱的騰訊安全玄武實驗室?guī)砹藢indows 10系統(tǒng)服務權限提升漏洞的最新研究,分享通過構建邏輯漏洞的自動發(fā)現(xiàn)和初步分析系統(tǒng)來提升漏洞挖掘效率,對于擴寬安全研究思路具有重要價值。

萬物互聯(lián),安全責任刻不容緩

隨著我們和互聯(lián)網的關系日益緊密,網絡安全的重要性越發(fā)凸顯。

萬物互聯(lián)、產業(yè)互聯(lián)的同時,也意味著每一個數(shù)據(jù)傳輸通路、每一個連接互通接口都能成為惡意黑客攻擊的入口。這并不是假想,此前Tencent Blade Team在另一個國際知名安全峰會HITB上就曾經分享過對智能樓宇的研究成果,并現(xiàn)場演示了如何控制智能樓宇。

一次入侵可能會讓一家工廠的生產線停擺,一次數(shù)據(jù)傳輸失敗可能會讓一場手術失敗,一輛自動駕駛汽車的失控可能會讓整條道路癱瘓。而體育場館、機場、核電站等這些大型公共場所系統(tǒng)中智能樓宇系統(tǒng)的安全漏洞被黑客利用,則可能造成巨大經濟、社會、乃至政治層面的影響,后果不堪設想。

但所幸的是,這是最壞的時代,也是最好的時代。當網絡安全問題走向全面升級的同時,以騰訊為代表的互聯(lián)網企業(yè)也展示出了在安全領域沉淀已久的儲備能力,承擔起了安全的責任。正是因為有了居安思危的前瞻性攻擊研究,才會帶來人們安全意識的提升;正是有了未雨綢繆的安全能力儲備,才會導致全行業(yè)安全措施的加強。

騰訊安全平臺部不僅孵化出了頂尖前沿安全團隊Tencent Blade Team,現(xiàn)在也已形成完整的安全體系,提供業(yè)務安全生命周期的全流程支持。自主研發(fā)了“宙斯盾”DDoS攻擊防護系統(tǒng),“門神”WEB防火墻、“洞犀”WEB漏洞掃描系統(tǒng)、“洋蔥”反入侵系統(tǒng)等多款內部安全工具,構建了完備的數(shù)據(jù)安全內部體系,組建騰訊藍軍多次展開內部攻防演練,并建立國內首個企業(yè)自建應急響應中心Tsrc,形成及時有效的應急響應機制,并在全行業(yè)推廣。

分享到

zhangnn

相關推薦