AsiaSecWest 2018首日紀實，黑客與極客界的最強大腦

新聞 06-09

2018年6月6日-7日，全球頂級信息安全峰會CanSecWest正式登陸中國香港。作為中外信息安全界兩大教父級人物，騰訊安全玄武實驗室負責人於暘（TK）和CanSecWest創始人Dragos Ruiu將率領中外頂尖高手，進行一場國際級的黑客大比拼。

簡單的說，這就是一場黑客與極客的最強大腦。

CanSecWest及Pwn2Own創始人Dragos Ruiu

為什麼是騰訊？

說到全球最老牌的安全會議，CanSecWest一定位列其中。如果沒聽說過這個會，有著黑客世界盃美稱的Pwn2Own你總知道吧，就是由CanSecWest組織的。TK對CanSecWest的評價是商業氣氛比較低（聽了一天純技術分享，我覺得應該刪除「比較」），技術氛圍比較強，一句話就是乾貨多。香港這次延續了CanSecWest的優良傳統，第一次來中國，選中西合璧的香港，沒毛病。

說實話，大會的規模比我想像中小。不過作為純技術人員的交流會，議題中科普性質的東西並不多

Dragos提到，其實他們與騰訊合作已經有年頭了。

過去幾年的安全大會上，騰訊曾多次分享有價值的研究成果，TK也有過精彩的演講。作為業內領先的互聯網公司，騰訊一直把安全作為重中之重，為止付出了卓越的努力。所以選擇與騰訊一起，把AsiaSecWest帶到中國，這是自然而然的事兒。

另外，兩位大佬還互贈了小禮物，TK送給Dragos一台通過發射激光到條形碼來實現遠程控制的小設備（2015年PacSec上，玄武實驗室曾經展示過該攻擊手段，可以說這是騰訊與Dragos的第一次不解之緣），而Dragos則送給TK一頂帽子和一個書包。

將編碼了BadBarcode信息的激光束照射在條碼閱讀器上，可以讓條碼閱讀器認為自己正在讀取條碼

GDPR與數據安全

GDPR全稱General Data Protection Regulation，即《通用數據保護條例》。這項法案在2012年1月份就已經起草，經過4年的探討與協商，歐盟於2016年4月正式通過這一條例並宣布試行，到2018年5月25日正式全面施行。由於GDPR規定，企業一旦違反這一條例，最高可面臨全球營業額4%的罰款，因此被冠以「史上最嚴數據保護條例」的稱號。

GDPR正式實施，對我們來說到底影響有多大？

騰訊坐擁數億用戶，自然對數據安全很看重。

騰訊十幾年前就考慮到了用戶隱私及數據安全問題，不會以明文保存用戶密碼，沒有必要的用戶數據都不存。任何互聯網公司都需要遵從所在國家的法律法規，不同的國家在數據隱私上會有不同的規定，相應的互聯網公司經營之後也會根據這些規定調整自己的策略。舉個例子，大知道Windows的掃雷，都玩過，Windows在有些國家的版本裡面沒有掃雷，把掃雷換成了掃菊花。因為他們覺得「掃雷」會冒犯那些被地雷傷害過的人。

Dragos提到，他們同樣在學習和評估GDPR對全球的影響，他也舉了個例子：

今天早上登錄Facebook帳戶的時候跳出一個彈框，讓我進行選擇。我當時想上傳一張照片，它問我是否允許Facebook就這張照片進行面部識別，我當時第一想法是「不要」，這張照片我只想低調發出去，不想讓別人知道。我選這個選項的時候，系統卻提示「如果你選擇同意的話會放棄部分權利，今後有人偽造你的帳戶使用你的照片的話，你將無法使用圖像識別，視為自動放棄 Facebook幫助你識別虛假帳戶的權利。

從此事例不難看出，用戶隱私和安全問題實在是很複雜，對個人和業界都是如此。Dragos的觀點是，我們不應該幫用戶做選擇，應該把自主權還給用戶。

從婦科聖手到黑客教父

很多人都知道，TK教主當過學校記者團團長、考上過電台主持人、畢業於醫科專業、獲得微軟10w獎勵、還是微博和知乎的雙料網紅……究竟他是怎樣從婦科聖手轉職為黑客教父的呢？

想轉行信息安全？先拿出自己的主觀能動性來

其實國內的老一輩信息安全大牛，科班出身的還真沒幾個（計算機專業的都不多，更別說信息安全了，十幾年前還沒有這個專業呢），基本都是本著自身對技術的熱愛去投入，去自學。

我也是這樣，我也愛醫學，只是後來發現信息安全更有意思，可以說是變心了吧，哈哈……

TK提到現在的年輕人學習信息安全，比他們當年的條件好了不知道多少倍。無論你想學什麼方向，只要你願意，都可以在網上找到相關資料。

但我發現很多人都問我，「我應該學習什麼？從哪裡入手？」其實知道這一點正是開始學習的第一步，自己去找到學習點及學習資料，如果這個都做不到的話，是很難走的長遠的。

Dragos也補充道，對於年輕人來說，從心（Follow Your Heart）、好奇心、永葆初心都很重要，如果對信息安全沒有愛，相信他也不會在這條路上走一直走到今天，還把CanSecWest帶到中國來吧。至於今天真正的主角們，他們正站在舞台上，分享自己的實踐經驗與智慧結晶。

下面就摘錄幾段最有意思的內容，看看大佬們的最新研究成果吧。

別被廠商忽悠了，來看看你的安卓手機漏打了多少關鍵補丁

安卓系統長期以佛系安全著稱，出現各種神奇的漏洞屢見不鮮。儘管安卓是基於開源軟體開發，但對於大多數用戶來說其安全性仍是一個黑匣子，用戶對安全補丁了解甚少，不得不盲目信任手機廠商的補丁。前些日子的HITB荷蘭站上，來自德國的研究員公開了一項令人驚訝的發現——許多安卓手機廠商並不會向用戶提供補丁更新，或者會推遲補丁的發布時間。甚至部分廠商在明知有系統更新的情況下，仍會告訴用戶「你的固件已經是最新狀態」。

很顯然，許多安卓廠商的補丁能力並不值得信任

來自Security Research Labs的首席科學家Karsten Nohl通過新穎的分析方法在大量預先編譯的樣本中查找函數特徵，在手機或固件文件中發現漏打的安卓系統補丁。根據對數萬個手機固件的分析結果，他們對漏打的安卓系統補丁進行了調查和量化。

大家可以通過Google Play下載SnoopSnitch，測試一下你的安卓手機，看看自己的手機漏打了幾個補丁。

下面是筆者自行測試的幾台手機，某星某錘和某米。

筆者的某星Galaxy S8，截至2017-8月的系統，存在1例漏打補丁現象。

請忽視After Claimed Patch Level 38，這是由於本人的S8系統版本過低，不是某星的鍋，至於為什麼停留在去年8月版本就不再更新，那是另一個故事了

Andy同學的某錘堅果Pro，截至2017-10月的系統，共漏打了8個補丁，同樣有8個未更新版本的補丁。

真的只是隨手一測，某品牌粉絲不要打我

Karsten點名表揚了某米的社區完整性做的好，近期補丁更新狀況也不錯，實測確實如此。

感謝淺黑科技史中老師提供截圖

你們的手機漏打補丁了嗎？歡迎在留言區討論，記得留下你的機型和版本。

又見Chakra漏洞

聽了一天老外，終於等到中國隊登場了。

來自騰訊安全玄武實驗室安全研究員宋凱和秦策，圍繞「繞過所有系統緩解措施的Chakra漏洞和利用」為主題進行了分享，提出將瀏覽器內存安全漏洞轉化為任意代碼執行的新方法。

非技術出身的筆者說沒有聽懵，你們信嗎？

演講中，兩位大牛針對Chakra的一個漏洞進行了詳細講解，並針對漏洞利用技術介紹了可以繞過所有防護的新方法。這項發現意味著，雖然Windows已經引入了許多針對漏洞利用的緩解措施，但是通過該漏洞利用技術依然能夠繞過安全防範入侵設備，在瀏覽器內執行任意代碼，甚至與其他提權漏洞進一步結合，在目標設備上對漏洞實現完全利用。

其實早在2015年，TK教主就已經針對Chakra的漏洞利用進行了詳細的介紹。此次AsiaSecWest，宋凱與秦策分別就Chakra的漏洞利用的技術及其緩解方案進行了進一步總結，並在此前研究成果的基礎上進行改進，披露了能夠繞過Windows修復方案的「所有系統緩解措施的漏洞」，從整體上將Chakra漏洞利用研究又向前推動了一步。

聯合國際智慧，輸出中國能力

除了技術問題本身，全球網路空間安全態勢也呈現出多種新變化。

新型網路威脅全球蔓延，物聯網安全、網路黑產、互聯網金融詐騙、數據隱私泄露等問題伴隨著全球經濟發展成為網路安全的新焦點。如何應對網路安全新形勢，聯合全球技術力量促進各方交流以儘可能維護網路信任度，是目前包括研究者、網路廠商、程序工程師，乃至於相關政府部門及企業在內的從業者必須面臨的問題。

就像TK所說的那樣，未來聯網的設備輕鬆突破十億級，靠自己能應付的了嗎（將來靠人類也不夠用，因此AI技術必然是未來信息安全行業擁抱的核心主題之一）？