国际级极客汇聚TenSec2018共享信息安全前沿科技成果
来源:中新网 发布时间:2018-10-27 10:49
中新网10月12日电 日前,由腾讯安全发起,腾讯安全科恩实验室与腾讯安全平台部联合主办,腾讯安全学院协办的2018腾讯安全国际技术峰会(TenSec2018)在深圳举行。来自高通、ARM、微软、英特尔、NXP、趋势科技、知道创宇等全球一线厂商的安全极客接连登场,就物联网、智能网联汽车、云计算、区块链等时下热门的研究领域带来前沿技术分享。
自2016年开始,腾讯安全国际技术峰会(TenSec)至今已连续举办三届,逐渐成为推进国际厂商和安全社区合作的长期沟通合作平台。通过技术探讨和共享不断推动全球互联网安全升级,更好地守护新兴互联网形态和用户安全。
本次峰会吸引了福布斯30under30入选者、“黑客奥斯卡”Pwnie Awards得主、全球首个宝马集团数字化及IT研发技术奖得主等十来位顶尖极客和安全专家同台亮相,合力呈现了一场高水准的信息安全技术盛宴。此外,中国工程院院士方滨兴,腾讯安全科恩实验室负责人吴石,腾讯云副总裁、腾讯安全平台部负责人、腾讯安全学院副院长杨勇等也出席峰会现场,并就当下网络安全形势发表看法。
方滨兴认为,网络安全是国际性的,应该从国际视野看问题。希望国际上的权威、大咖都聚集一堂,分享心得和技术,同时也讨论新的挑战,这对进一步提高安全防御能力,进一步为公民提供更可靠的服务来说是非常重要的。吴石和杨勇也从举办TenSec的主旨出发,强调了行业内外应该持续加强交流和合作。
区块链、IoT、云、虚拟化 四大前沿领域最新成果披露
对于前沿领域的探索和突破一直是TenSec关注的焦点,尤其是诞生以来就被认为是“最安全的技术”——区块链的安全。根据《2018上半年区块链安全报告》显示,上半年区块链因安全问题造成的经济损失总计高达27亿美元。本届峰会上,知道创宇CEO赵伟用“佛系”理念阐释区块链世界的安全观,独特角度引起现场观众的兴趣。他认为,仅靠传统网络安全和信息安全的刚性安全不足以完全覆盖区块链的安全保障范围,“需要以一种柔性安全的视角去对待”。
物联网安全方面,提出首个业内通用框架——平台安全架构(PSA)的英国ARM公司高级主管Samuel Chiang亮相峰会,现场深度解读了PSA如何减轻物联网威胁,以及HW/ SW规范和可信固件开源参考实施的最新信息。
作为前沿技术安全研究团队,Tencent Blade Team近年来在智能设备安全研究方面取得了大量成果,腾讯安全平台部总监、Tencent Blade Team负责人Lake Hu则重点介绍了团队研究过的智能设备漏洞案例,如智能家居、智能楼宇设备的攻防、智能音箱的破解等,同时以此总结了智能设备的未来主要风险点以及IoT安全体系建设思路。在时下应用越来越广泛的云计算和虚拟化领域,来自Intel、微软安全响应中心的安全专家也分享了高质量议题。
天才少年极客解剖iOS 越狱 集中探讨系统安全核心难题
本届峰会的十五个议题中,有多个议题从不同领域集中探讨了系统安全。其中,Corellium两位联合创始人聚焦独立于iOS的系统——SEPOS。在此之前,业内没有任何人攻破过,也没有任何渠道可以下载SEPOS固件,该议题也是在全球范围内首次发表对于这个固件内部运作机制的揭秘。
来自意大利的Luca Todesco少年成名,曾多次成功越狱iOS、PS4和Switch。在这次的峰会上,这位20出头的天才少年回顾了他“半生”的越狱生涯,并全方位地介绍了苹果iPhone XS等最新机型上新加入的高级防御机制——Pointer Authentication Codes。这位在iOS系统发布了基于硬件保护的KTRR保护之后,唯一一次完全绕过KTRR的独立极客令在场嘉宾印象深刻。
在基带这类底层但是复杂度又不断提高的系统中,业界一直缺乏有效的Fuzzing手段。高通作为移动设备最主要的基带供应商,对基带安全保持着高度重视,高通柏林团队的高级工程师Tomasz在现场介绍了如何运用高效率的Fuzzer来保证代码的安全性。在智能网联汽车领域,来自NXP(恩智浦)的汽车安全技术总监Timo van Roermund从汽车单片机切入,介绍了汽车信息安全的重要性和恩智浦的汽车安全方法及其核心安全原则;同时,他还着重介绍了NXP的HSM方案,让现场观众对汽车安全有了全景式的了解。
多场景结合,用安全技术守卫网络安全
除了关注前沿技术外,TenSec2018也深度探讨了信息安全技术在实践中的应用。例如,腾讯云高级研究员Bink Chen将反欺诈技术与营销场景结合,深度剖析线上线下营销活动中黑产变现的情况,并分享了腾讯云天御在打击黑产方面的安全能力输出——基于腾讯海量的服务和黑产威胁情报监测,腾讯云天御构建了完备画像系统,面向电商、智慧零售、游戏、直播、银行等行业提供完整的业务安全解决方案。
在内网安全建设方面,腾讯企业IT部安全运营中心总监蔡晨(Gemini Cai)阐述了从有界到无界的新一代企业安全防御之道,展示了无边界网络腾讯版本的演变,分享当云计算、大数据、人工智能等新技术已改变传统网络边界,企业该如何快速响应安全趋势变化,将“零信任”完整落地的探索与实践。
腾讯安全科恩实验室高级安全研究员James Fang,带来的议题分享更是实践应用的典型。他介绍了科恩实验室如何将近年来攻击方向的研究成果转化为防御技术,进而形成可用的工具和产品,包括针对IoT固件和针对Apk的全新云端自动化智能检测工具,安卓以及Linux内核加固产品等,可以应用在保护更多的IoT、汽车等前沿数字化行业之中,进而保护全球更多用户享受更安全的先进技术。
本次峰会的主办方,腾讯安全科恩实验室负责人吴石表示,腾讯致力于“连接各行各业”,希望用腾讯的安全能力,来帮助各行业在数字化转型过程中免受网络安全问题的困扰。未来,腾讯安全也会进一步开放自身的核心能力,助力社会各界进行安全能力建设。