美国当地时间8月4日,一年一度的美国黑帽大会(Black Hat USA)在赌城拉斯维加斯落下帷幕。安恒信息与Black Hat大会有多年渊源,创始人范渊是全球首位登上Black Hat大会演讲的中国人。今年安恒信息也派出了代表团参与此次盛会。一线记者小安趁着热乎劲,连夜写稿为大家带来今年Black Hat的热点回顾。
作为全球信息安全行业的最高盛会,本届大会共设置18个分会场,吸引了全球上万名优秀代表参会。从Keynote的大会场这people mountain people sea场面看,小安感觉1万人确实不是吹出来的。
今年的Black Hat设置了上百场专题演讲,内容涉及移动安全、加密技术、逆向工程、物联网等方方面面。从下面的议题列表上看,基本上涵盖了安全相关领域的各方面。
可喜的是我们可以从演讲人列表上看到了越来越多的中文名字。有些是安全圈中大名鼎鼎的“网红”,也有些比较陌生。中国力量在全球安全舞台上正在扮演越来越重要的角色。
小安这几天就算跑断了腿也只是在18个分会场中走马观花的看了一遍。下面小安从自己的视角为您总结出本届大会的几宗“最”:
最土豪的参展商
参加展会租个展位不是什么新鲜事,土豪公司无非也就是砸钱租个面积大点展位,布展炫酷点,再雇上几位show girl增加人气。但微软玩出了比土豪更“败家”的花样:他们在最核心位置包下一大块地,但既无show girl也无产品展示,只用来给大家休息聊天。因为微软参展纯为搞社区关系,所以微软展台没有任何公司或产品相关的内容。在寸土寸金的Black Hat会场砸重金租展位只为大家休息,微软堪称土豪中的战斗机。
最暴力的展位
同RSA展会一样,Zscaler在Black Hat现场继续邀请观众上台“砸盒子”。大锤子、钢钎、棒球棒对着各种网络安全设备的“盒子”砸下去,吸引了不少眼球。以信息安全服务当作谋生手段Zscaler借此举所要表达的“设备无用论”,倒也顺应了当今安全厂商从“设备制造商”向“服务供应商”转变的大趋势。
最让人眼红的黑科技
Weston Hecker创造了本届Black Hat上座率最高的一场技术分享:他利用安装在ATM机银行卡入口处的小工具读取银行卡数据,接着利用这些数据发动对ATM机的攻击,最终绕过反欺骗防护,让ATM机吐出钱来。看到现场散落在地上的大把钞票,不知现场的技术牛们心里作何感受。
最大的“铁公鸡”拔毛
苹果安全工程师在今年的Black Hat上宣布,公司将于今年9月推出Bug Bounty Program漏洞赏金计划,为发现软件重大漏洞和缺陷的个人提供现金奖励,最高奖金达20万美金。一度雄踞市值世界第一宝座的苹果公司,终于肯公开为漏洞买单了。
安全界最红的段子手
妇科圣手“TK教主”向大家阐述了BadTunnel的漏洞原理,并详细地表达了该漏洞的攻击面以及防护方式。在PPT讲解结束的时候,部分听众准备离场,教主淡定地说道“Don’t leave,I will show the DEMO”。幽默的表达再次奠定了教主在安全界的“第一段子手”的地位。当然,不负众望,教主现场演示了BadTunnel的利用场景,引起热烈的掌声。
最火爆的分会场
由哥伦比亚大学的Jason Polakis 和Suphannee Sivakorn带来的HTTP Cookie Hijacking in the Wild: Security and Privacy Implications演讲,由于该议题的受关注远超过主办方的预期,在议题未开始时,大门已经堵住了。小安好不容易挤了进去,但由于安全原因,又被安保人员请了出来。从抓拍的会场照片看,确实已是座无虚席。
不知不觉中今年的Black Hat就已经落幕了,不过好戏仍在上演。小安已经拿到了DefCon的badge,看看是不是很炫酷:
更多精彩,敬请期待。