當(dāng)?shù)貢r間8月3日-11日，素有黑客圈“奧斯卡”之稱的世界頂級安全大會Blackhat和DEFCON在美國拉斯維加斯舉行。騰訊安全平臺部Tencent Blade Team共投中五個參選議題，涵蓋移動互聯(lián)網(wǎng)、手機(jī)基帶、物聯(lián)網(wǎng)、智能家居、基礎(chǔ)軟件庫等安全領(lǐng)域。

此次騰訊一共有十一大議題入選，成為本屆議題入圍最多的國內(nèi)企業(yè)，也刷新國內(nèi)議題入圍數(shù)的歷史記錄，再次展示了騰訊對安全研究的重視和安全能力的儲備。

再亮相賭城，黑客“奧斯卡”五提五中

Blackhat素有黑客“奧斯卡”之稱，是最受全球安全圈矚目的頂級盛會。緊隨其后召開的DEFCON與之齊名，每次兩大頂級安全盛會的召開，均會吸引全球眾多政企機(jī)構(gòu)、安全研究員的目光。其中的議題分享環(huán)節(jié)，更是因其篩選難度、演講質(zhì)量被當(dāng)做安全人檢驗自己實力的終極舞臺。

此次騰訊共有十一大議題入選，分別來自騰訊安全玄武實驗室、騰訊安全科恩實驗室。和騰訊安全平臺部Tencent Blade Team。

其中騰訊安全平臺部Tencent Blade Team一共投出五個參選議題，在眾多高水準(zhǔn)的議題篩選中，五個議題全部脫穎而出，無疑是對團(tuán)隊研究水平的又一佐證。此次Tencent Blade Team五個議題覆蓋領(lǐng)域廣泛，既包括移動互聯(lián)網(wǎng)、手機(jī)基帶等傳統(tǒng)安全領(lǐng)域，也有物聯(lián)網(wǎng)、智能家居等新興領(lǐng)域，還包括基礎(chǔ)軟件庫等影響面廣泛的基礎(chǔ)安全領(lǐng)域。

其中《Bypassing the Maginot Line: Remotely Exploit the Hardware Decoder on Smartphone》講述了如何巧妙繞過“馬奇諾防線”，避開手機(jī)硬件編碼器設(shè)置的安全系統(tǒng)實現(xiàn)直接攻擊，對手機(jī)硬件安全有重要啟示作用。《Exploring the New world: Remote Exploitation of SQLite and Curl》討論了對適用面最廣泛的兩個軟件數(shù)據(jù)庫的多個關(guān)鍵漏洞，據(jù)悉這組漏洞將影響包括谷歌Chrome瀏覽器在內(nèi)的一系列系統(tǒng)和軟件；此外，Tencent Blade Team還在接下來的三個議題中講述了如何利用這些漏洞遠(yuǎn)程攻破高通基帶、破解谷歌home等一系列智能家居產(chǎn)品。

據(jù)悉，Tencent Blade Team也在第一時間向高通、谷歌等受影響廠商報告了漏洞并協(xié)助進(jìn)行修復(fù)。截止到發(fā)表議題演講之前，所有漏洞均已完成修復(fù)，并向用戶推送了安全補(bǔ)丁。

此外，《0-days & Mitigations: Roadways to Exploit and Secure Connected BMW Cars》議題首度公開了騰訊安全科恩實驗室2018年對寶馬多款車型的遠(yuǎn)程無接觸式和物理接觸式研究的技術(shù)細(xì)節(jié)，并與寶馬安全專家同臺分享了雙方在車聯(lián)網(wǎng)漏洞披露與處理方面的創(chuàng)新方案；素有“漏洞挖掘機(jī)”之稱的騰訊安全玄武實驗室?guī)砹藢indows 10系統(tǒng)服務(wù)權(quán)限提升漏洞的最新研究，分享通過構(gòu)建邏輯漏洞的自動發(fā)現(xiàn)和初步分析系統(tǒng)來提升漏洞挖掘效率，對于擴(kuò)寬安全研究思路具有重要價值。

萬物互聯(lián)，安全責(zé)任刻不容緩

隨著我們和互聯(lián)網(wǎng)的關(guān)系日益緊密，網(wǎng)絡(luò)安全的重要性越發(fā)凸顯。

萬物互聯(lián)、產(chǎn)業(yè)互聯(lián)的同時，也意味著每一個數(shù)據(jù)傳輸通路、每一個連接互通接口都能成為惡意黑客攻擊的入口。這并不是假想，此前Tencent Blade Team在另一個國際知名安全峰會HITB上就曾經(jīng)分享過對智能樓宇的研究成果，并現(xiàn)場演示了如何控制智能樓宇。

一次入侵可能會讓一家工廠的生產(chǎn)線停擺，一次數(shù)據(jù)傳輸失敗可能會讓一場手術(shù)失敗，一輛自動駕駛汽車的失控可能會讓整條道路癱瘓。而體育場館、機(jī)場、核電站等這些大型公共場所系統(tǒng)中智能樓宇系統(tǒng)的安全漏洞被黑客利用，則可能造成巨大經(jīng)濟(jì)、社會、乃至政治層面的影響，后果不堪設(shè)想。

但所幸的是，這是最壞的時代，也是最好的時代。當(dāng)網(wǎng)絡(luò)安全問題走向全面升級的同時，以騰訊為代表的互聯(lián)網(wǎng)企業(yè)也展示出了在安全領(lǐng)域沉淀已久的儲備能力，承擔(dān)起了安全的責(zé)任。正是因為有了居安思危的前瞻性攻擊研究，才會帶來人們安全意識的提升；正是有了未雨綢繆的安全能力儲備，才會導(dǎo)致全行業(yè)安全措施的加強(qiáng)。

騰訊安全平臺部不僅孵化出了頂尖前沿安全團(tuán)隊Tencent Blade Team，現(xiàn)在也已形成完整的安全體系，提供業(yè)務(wù)安全生命周期的全流程支持。自主研發(fā)了“宙斯盾”DDoS攻擊防護(hù)系統(tǒng)，“門神”WEB防火墻、“洞犀”WEB漏洞掃描系統(tǒng)、“洋蔥”反入侵系統(tǒng)等多款內(nèi)部安全工具，構(gòu)建了完備的數(shù)據(jù)安全內(nèi)部體系，組建騰訊藍(lán)軍多次展開內(nèi)部攻防演練，并建立國內(nèi)首個企業(yè)自建應(yīng)急響應(yīng)中心Tsrc，形成及時有效的應(yīng)急響應(yīng)機(jī)制，并在全行業(yè)推廣。

zhangnn