美国当地时间7月30日至8月4日,一年一度的美国黑帽大会(blackhat USA 2016)在拉斯维加斯举行。作为全球信息安全行业的最高盛会,同时也是公认的最具技术性的信息安全会议,本届大会吸引了全球上万名企业、政府研究人员,及顶级安全厂商、研究组织的优秀代表参会。作为本届大会唯一有研究成果入围Pwnie Awards提名的亚洲厂商,腾讯安全联合实验室旗下科恩实验室团队及玄武实验室负责人TK教主于旸均受邀出席,并分别在8月3日及4日对各自相关研究成果做主题演讲。 除此之外,在BlackHat上发布的微软安全响应中心TOP100贡献榜中,腾讯安全9位安全专家实力入选并获致谢,当之无愧成为国内第一!此前,在微软、谷歌、Adobe、苹果等国际著名厂商公布的上半年漏洞致谢公告中,腾讯安全也成为国内获谢最多的企业。 亮相黑帽大会 两大议题彰显中国安全力量 据悉,黑帽大会于1997年由知名黑客杰夫·莫斯创建,每年在拉斯维加斯举办,被公认为世界信息安全行业最高盛会,也是最具技术性的信息安全会议。大会期间,除了为参会人员提供专业安全训练,更有研究人员发布安全漏洞破解和安全技术研究等最新情况,并讨论攻防策略,因此大会被视为反映信息安全攻防技术趋势的绝好场所。 对于全球范围内的信息安全工作者来说,获得“Pwnie Awards”奖提名即意味着其研究成果具有世界范围的影响力,不仅需要在安全行业产生重大影响力,同时还要求相关研究成果极具前瞻性,能够对安全行业未来发展有深入影响。 行业内相关人士认为,中国的安全研究成果能够获得Pwnie奖提名,并在如此高端的盛会中向世界展现中国安全技术实力和价值,这无疑将进一步催动中国安全研究人才、厂商,乃至用户对于中国互联网安全的信心。 来自腾讯科恩实验室的代表陈良、何淇丹、Macro Grassi、傅裕斌四人在黑帽大会上重点探讨了苹果图显的机制原理,向参会人员输出了腾讯安全在苹果图显长期的研究和发现。现场,科恩实验室成员还演示了将两个不同的漏洞(用户态与内核态)配合科恩独创的高级”图显式风格”漏洞利用方法,成功实现两次Root提权。而其中一个漏洞提权则获得了本届Pwnie Awards 2016“最佳提权漏洞提名”。 此外,腾讯玄武实验室创始人、TK教主于旸则在8月5做了《Bad Tunnel:How do I get Big Brother Power》的主题演讲,详细讲述了发现“Bad Tunnel”漏洞的细节过程。该漏洞被称为Windows史上最大漏洞,能影响从Windows 95到Windows10所有版本的操作系统,在今年6月的安全更新中,微软才凭借于旸的研究发现得以修复。在演讲中,于旸畅谈了发现该漏洞的全部过程和漏洞作用的详细情况,向外界展示了腾讯安全联合实验室的安全技术研究成果。 输出技术实力 腾讯安全护航国际安全事务 近年来,随着安全联网设备与数字联网全球经济的不断扩展,腾讯安全参与国际安全事务的机会愈来愈多,与同行业顶尖厂商交流也越发频繁。而通过与来自世界各地的顶尖安全厂商及研究组织共同分享研究成果,甚至同台竞技,也让腾讯安全联合实验室在实力迅速提升的同时,声名鹊起。 2016年3月,腾讯安全组建联合战队出征Pwn2Own大赛,经过两天激烈角逐,挖掘出7个高危漏洞,并成功演示漏洞利用、攻破系统,成为Pwn2Own史上第一个世界总冠军,并且获得这一顶级赛事史上首个“Master of Pwn”(世界破解大师)称号。除此之外,腾讯安全战队还多次参加有“黑客奥运会”之称的GeekPwn黑客大赛、XCTF总决赛等国际比赛,通过与国际顶尖团队的切磋“以战养战”,在提升自身能力的同时也让国际安全届重新认知中国安全能力的大幅提升。 今年7月,腾讯安全联合实验室正式组建,旗下涵盖反病毒实验室、反诈骗实验室、移动安全实验室、科恩实验室、玄武实验室、湛泸实验室、云鼎实验室七大实验室,独特的“实验室”人才模式吸引了包括吴石、TK教主、yuange等众多互联网安全领域的顶尖人才。腾讯安全联合实验室为他们提供包括资源、人才、技术价值转化等在内的系统支持,让他们从各自擅长的角度和技术手法来挖掘系统漏洞、技术研究。通过这种模式,腾讯安全在不断吸引顶尖技术人才的同时,也以更开放的模式持续促进实验室安全技术成果的价值转化,不仅提升了腾讯安全的整体实力,也反哺了互联网安全产业。 有数据表明,仅2016年上半年,腾讯安全向微软、Adobe、苹果、谷歌等国际四大厂商提交的漏洞总数就达100个,占到全球主流安全厂商提交漏洞总数的近六分之一,是漏洞提交数量最多的中国厂商。众所周知,微软、苹果、谷歌、Adobe等科技巨头的软件产品,直接关系到全球网络平台安全,一旦他们的产品漏洞被恶意攻击者发现利用,其严重后果不可估量。而就在黑客大会举办之前,微软安全响应中心(MSRC)最新公布了Mitigation Bypass Bounty(缓解措施绕过技术悬赏) “赏金榜”,于旸带领玄武实验室共提交4次漏洞,累计斩获12万美金,成为榜单上获得致谢次数最多的团队和个人。 依托腾讯安全平台,腾讯安全联合实验室仍旧在加快吸纳安全行业人才,进一步催动实力提升,通过建立良好的“输入环境”,在充分发挥安全人才的潜力和价值的同时,也在不断扩展“输出路径”,向世界展示腾讯安全技术能力,增强了国际安全行业对中国互联网安全厂商的信赖。 |