SyScan360:大腕雲集共話網路安全新勢

本文講的是 :  SyScan360:大腕雲集 共話網路安全新勢  ,　【IT168 資訊】12月17日訊息，日前，由亞洲知名安全組織SyScan主辦、奇虎360承辦的SyScan360前瞻資訊保安會議(The Symposium on Security for Asia Network)在京成功召開。自2004年在新加坡首次舉辦以來，每年都選擇在亞洲一線城市舉辦，迄今為止，已經舉辦了8次會議。

　　SyScan大會邀請世界各地優秀網路黑客及安全專家分享最新的資訊保安研究成果，展現亞洲資訊保安需求的演進課題，發表最新的國際安全訊息。本屆在中國舉辦的SyScan360大會持續兩天，吸引了來自世界各地的安全牛人，來自微軟、Google、邁克菲、趨勢科技等的安全組織的專家分享了當前眾多的熱點話題。下面讓我們來重溫SyScan360熱點！

▲SyScan360前瞻資訊保安會議現場

　　國外黑客詳解Windows核心漏洞

　　來自國際安全組織COSEINC 高階安全分析員Ben Nagy在主題為《Windows核心Fuzzing入門》的演講中分享了系統核心缺陷錯誤挖掘技術以及系統的bug分類。Ben Nagy擁有五年的Windows核心研究以及模糊測試經驗，並且非常痴迷Ruby語言。Ben毫無保留地透露了核心模糊測試的祕訣，包括選擇正確的目標、必要的知識儲備以及各種模糊測試的方法，如切入、生成測試用例以及如何擴充套件等。

　　Ben特別指出，模糊測試需要進行反饋驅動測試、錯誤注入深度插樁測試以及崩潰樣本分析。而優秀的工具鏈有助於目標的快速重定位，他認為測試者必須瞭解自己認為有用的漏洞是什麼，這樣才能尋找到對自己最有用的資訊。

　　Windows 核心漏洞種類多種多樣。Ben將此分為三大類：本地到本地(包括提權、沙盒穿透等)、遠端到遠端、遠端到本地(需要使用者操作，通過電子郵件、文件、網頁地址等進行攻擊)。

　　Google漏洞獎勵計劃經驗分享

　　來自谷歌安全專家Kevin介紹到，“漏洞獎勵計劃”是谷歌專門為發現Google軟體及產品漏洞發現者而設的獎勵計劃，漏洞發現者將獲得谷歌支付的現金獎勵以及其他額外鼓勵。谷歌此後還推出Chrome瀏覽器漏洞獎勵計劃。這些漏洞獎勵計劃吸引了全球安全愛好者的關注，也幫谷歌公司大幅提升了產品及服務的安全性。

　　 “我們不會支付錢去修復漏洞”，Kevin稱谷歌漏洞獎勵機制不是去買Bugs，而是獎勵使用者在尋找漏洞時花費的時間。Kevin表示，谷歌漏洞的範圍不包含DoS、Corp infrastructure、SEO blackhat以及Acquisitions（if<6 months）的攻擊。

　　那麼究竟什麼才是谷歌在尋找的漏洞呢？Kevin詳細介紹驗證“合格漏洞”的四大步驟：合理的通知，私下的資訊披露，適當的測試，第一個提出的、最好的解決。通過驗證分析漏洞，谷歌將給予使用者相應的獎勵。

　　Kevin笑稱，並不是所有的漏洞報告都由技術人員發來，普通的網民也會參與到尋找漏洞的娛樂的過程中去。據介紹，有使用者冒著信用卡被刷爆的風險去尋找谷歌免費電影的漏洞，而谷歌為找個漏洞支付1337美元，希望該使用者能夠還清信用卡。

　　Kevin表示，85.2%的漏洞由新人發現，僅14.8%的漏洞由老使用者發現，而且是前20%的人發現了80%的漏洞。但谷歌漏洞獎勵機制也面臨一些挑戰。Kevin表示，谷歌經常會接到一些劣質報告，需要處理枯燥的文字，為分類和管理消耗大量的資源，而且一些人不喜歡為金錢而找Bug，或是有人希望用非Bug來取得獎金，這讓谷歌漏洞獎勵機制受到部分人的質疑。

原文釋出時間為：2015年7月6日

本文作者：kaduo

本文來自雲棲社群合作伙伴IT168，瞭解相關資訊可以關注IT1684

原文標題 :SyScan360:大腕雲集 共話網路安全新勢