【ISC 回顾】2017 HACK PWN 破解秀暨物联网安全论坛

http://p9.qhimg.com/t010d1738a93d243729.png


Hack Pwn简介

凯文·米特尼克说“勇于挑战智力,就像攀登珠穆朗玛峰一样”。这样的人从不墨守陈规!也不遵循现状!他们桀骜不驯!你可以赞扬或诋毁他们,但不可以轻视他们,你可以认为他们是疯子,但,我们认为他们是天才!只有认为可以改变世界的人才可以改变世界!打破链接,去改变充满未知和未见的万物互联世界。向疯狂的人致敬!HACK PWN 万物皆可破。

精彩回顾

乐高搭建的迷你城市被黑客攻击,火车停运,摩天轮被炸,小区停电!!!旁边的重要基础设施被摧毁。更多破解尽在hackpwn!

演讲嘉宾:王宇恒&肖雄

嘉宾介绍:王宇恒,360CERT安全研究员,热爱代码分析阅读,擅长web安全,脚本安全,IOT漏洞挖掘。从事安全分析研究2年,linuxer,pythoner,技术栈广泛,完成并发表过多篇漏洞分析报告。 To be a geeker, hack for fun。肖雄,360cert 安全研究员,两年网络安全研究经验,擅长漏洞挖掘,源码审计。自主挖掘过大量互联网企业漏洞,并发表过多篇技术分析报告。

演讲议题:智能家居破解秀

针对特定智能设备实现远程控制。由于某些智能家居设备通信认证加密方式简单,导致攻击者可以在未授权情况下,实现远程控制,或获得持有者权限。可以实现智能插座所有功能的远程控制,例如远程开启关闭,控制家中其他关联的红外设备,或者是未关联的常见红外设备;控制智能灯的开关,颜色,模式;智能摄像头的朝向;智能门锁可以达到的攻击效果是远程获得开门密码。

演讲嘉宾:钟剑 VisualThreat研发副总监

嘉宾介绍:毕业于美国斯坦福大学和清华大学Apache HBase 和 Phoenix 项目管理委员会成员(PMC member),先后就职于Microsoft, Zynga, Hortonworks,有十多年分布式计算和大数据存储和处理的工作经验。

演讲议题:面向自动化和大规模车辆网络安全基准检测

议题概要:目前的汽车网络安全测试方法通常手动执行,而不是自动化来发现安全漏洞。缺点是发现安全风险困难,耗时且昂贵。因此,在汽车开发,预生产测试和制造的循环中进行自动化,黑匣子和大规模安全基准测试是有必要并且有益的。在这次演讲中,作者介绍了第一款自动化汽车网络安全基准测试工具包,因此OEM可以快速轻松地识别其车辆中的安全漏洞。该工具在许多车辆中成功发现了许多严重的安全漏洞,测试车辆的数量远远超过迄今为止做过的任何研究工作。此外,对流行的无人驾驶车型也进行了深度测试,并发现了严重的安全问题。演讲者将介绍测试的过程和心得,并开源测试API接口,以便更多的研究人员将利用这些API来参与车辆网络安全研究。

演讲嘉宾:渡辺浩志

嘉宾介绍:台湾国立交通大学教授。自2010年2月起,他在台湾国立交通大学(NCTU, 台湾新竹)电子和计算机工程系(ECE)做教授。1994年他获得筑波大学(日本茨城县)理论物理博士学位。博士毕业后,他一直在东芝总部研发中心工作,直到2010年1月,负责电子器件技术,特别是电子器件和物理可靠性的研究(MOSFET和NAND闪存)。他目前的研究方向是建立纳米电子学和生物传感器的新型物理器件,并建立了半导体安全器件技术。他拥有超过100项世界各地的专利。他是IEEE高级会员。

演讲议题:区块链与物联网安全—一种新型身份识别技术

不论IoT从业务角度来说是如何的饱含希望,这些设备之间的数据传输都是非常薄弱并且容易受到攻击。这是因为在一个逻辑网络中,没有任何节点是可以被直接标识出的。另一方面而言,在逻辑网络中,这些逻辑节点之间的数据传输都可以被区块链技术有效保护。因此,比特币在全球受到了广泛传播和追捧,并且点燃了FINTECH 2.0的火苗。最近,为了保护网络中的数据传输,更多的区块链应用受到了强烈追捧。这个概念按理说可以解决数据保护中任意没有被妥善解决的问题。因此,下一个大事件应该就是让区块链来保护IoT网络。我们首次提出了为何现有的区块链技术无法应用于保护IoT网络,并且提出了方案来解决这个问题。

演讲嘉宾:单好奇

嘉宾介绍:360无线电安全研究部,独角兽安全团队UnicornTeam高级研究员。BlackHat、DEFCON、HITB(HackInTheBox)、CanSecWest等国际安全会议演讲者,也是是美国DEFCON黑客大会25年历史上最年轻的演讲者。GSMA移动安全名人堂及BlackHat Pwnie Awards(黑客奥斯卡)最具创新研究奖入选成员。国内首本无线通信安全书籍《无线电安全攻防大揭密》作者之一。

演讲议题:NFC破解秀

议题概要:无线连接是万物互联之基石,万物互联的世界应更专注于“无线通信管道”的安全设计与评估。各式各样的“无线通信管道”暴露了更多潜在的攻击面,如果这些“管道”都可被任意 “截断”并“改道”,则上层应用安全将无从谈起。360独角兽安全团队在信息安全领域拥有极丰富的攻防经验、防护专利及研究成果。团队培育了诸多安全新秀,众多研究成果曾被福布斯、路透社、国家地理、WIRED、IEEE ComSoc、Hackaday、《芭莎男士》、《程序员》、中央电视台的《汽车百年》《焦点访谈》,以及北京电视台的《北京客》、湖南卫视的《新闻大求真》、北京人民广播电台《FM103.9》等网络、电视及广播媒体报道,也是现今位列全球移动通信系统协会(GSMA)移动安全名人堂的首个安全团队。

演讲嘉宾:闫琛 徐文渊

嘉宾介绍:闫琛,浙江大学博士生,智能系统安全实验室(USSLab)成员,主要研究方向为嵌入式系统安全。他是Tesla Motors信息安全奖章获得者,曾在DEFCON、PoC、GeekPwn、XCon等安全大会上发表演讲,所在团队两次进入特斯拉名人堂。徐文渊,现任浙江大学电气工程学院教授博导、国家“青年千人计划”入选者、美国国家NSF CAREER Award获得者、美国南卡罗莱纳大学终身教授(Tenured Associate Prof.)。从事无线网络安全及隐私的研究15+年,研究项目包括智能设备安全,车联网安全,和智能电网安全。她所建立的USSLAB在2014、2016入选Tesla安全研究者名人堂。担任国际学术会议程序委员会委员和分会主席数50+次。发表了六十多篇期刊和会议论文(包括安全领域的四大顶级会议)。

演讲议题:悄悄蒙上你的眼睛—模态安全之感知攻击

议题概要:传统的安全研究,例如密码学、恶意软件、漏洞检测等,都是面向计算机及其网络中处理和传输的数字态信息,模拟态只是作为信息在底层(物理层)的存在方式,并且通常被认为是可信的。然而模态信号可以影响数字态的安全性,例如密码分析之后认为理论上安全的算法,在实际中可以因为硬件实现的问题,受到边信道(电磁辐射等模态信道)攻击后泄露密钥。对物联网来说,它与计算机、互联网的 最大区别是,信息的来源多了对“物”(物理世界)的感知,信息的去向多了对 “物”的控制。因此模拟态信息的安全问题在物联网中尤为突出。在本报告中,我们将以多个物联网案例为提托,进行安全分析,揭示模拟态攻击引发的感知问题对系统安全的影响并提出防御手段。

演讲嘉宾:刘慧

嘉宾介绍:上海交通大学密码与计算机安全实验室(LoCCS)长期活跃于密码学、计算机安全和网络空间安全等学术研究一线,具有丰富的安全研究与实践经验,参与了众多安全检测、开发和咨询项目,许多成果己经应用或服务于国家和社会安全一线,发表顶级国际学术会议论文数十篇。

演讲议题:智能家居平台中的隐私与安全问题

议题概要:供智能设备接入的智能家居平台通常会提供一套帮助设备开发的软件开发工具包(SDK),以及用于部署管理设备的相关的管理系统。SDK及管理系统的不正确设计和实现会导致制造商和用户的隐私及安全受到极大威胁。在本次演讲中,将以国内某家著名智能家居平台为例,阐明智能家居平台设计及实现的关键因素,以及不正确的设计实现所能带来的安全和隐私威胁。

演讲嘉宾:李佳琳

嘉宾介绍:360SkyGo团队安全研究员,擅长智能硬件安全分析和渗透,破解过多款智能硬件。

演讲议题:家庭安防设备破解

议题概要:根据智能设备的结构,列出相应攻击面(云端、终端、用户端),对潜在的攻击点进行测试(服务、传输协议、安全机制等),系统地分析智能设备存在的问题。对于智能保险箱,利用其身份认证方式和通信过程存在的漏洞,可以远程实现开启保险箱的指令;对于智能门锁,可以使智能设备变的不智能,利用其结构缺陷,通过物理方法无破坏阻断报警,并且实现开锁。

(完)