Black Hat USA 2019大會(huì)將于美國當(dāng)?shù)貢r(shí)間8月3日開幕，作為全球領(lǐng)先的信息安全大會(huì)，Black Hat已經(jīng)步入了第22個(gè)年頭，每年大會(huì)上都會(huì)針對當(dāng)下熱點(diǎn)網(wǎng)絡(luò)安全趨勢進(jìn)行研討，而在大會(huì)上出現(xiàn)的主題和技術(shù)也常常成為引領(lǐng)和推動(dòng)未來網(wǎng)絡(luò)安全發(fā)展的抓手和助力。

[[270129]]

在這一屆大會(huì)上，與會(huì)者將關(guān)注和討論那些熱點(diǎn)問題與趨勢?

交通工具安全

今年，波音737 Max軟件質(zhì)量缺陷事件跌宕起伏，幾經(jīng)反轉(zhuǎn)之后發(fā)生了戲劇性的變化，這讓網(wǎng)絡(luò)安全從業(yè)人員對航空航天軟件安全性有了全新的看法和審視的思路。

[[270130]]

今年的大會(huì)上，來自IOActive研究團(tuán)隊(duì)的Ruben Santamarta將提出一個(gè)關(guān)于波音787機(jī)型軟件的漏洞研究議題，該演講將解構(gòu)787核心網(wǎng)絡(luò)的運(yùn)作原理并揭示其中的未知漏洞。這次演講無疑將成為交通工具安全議題集中的亮點(diǎn)。

除此之外，關(guān)于交通工具的議題還有寶馬的互聯(lián)汽車以及關(guān)鍵模塊使用的的電動(dòng)機(jī)問題。

嵌入式設(shè)備安全

對于交通工具安全的研討與嵌入式設(shè)備及其固件有關(guān)，不過這兩個(gè)領(lǐng)域還只是本次大會(huì)上的冰山一角，屆時(shí)安全專家還會(huì)帶來更多關(guān)于嵌入式設(shè)備中軟/硬件安全的議題。

[[270131]]

比如，來自Atredis Partners團(tuán)隊(duì)的的Nathan Keltner和Dionysus Blazakis將深入揭示尚未公開的服務(wù)器組件漏洞，這些漏洞會(huì)使現(xiàn)代服務(wù)器面臨嚴(yán)重的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

此外，一個(gè)獨(dú)立的二人組團(tuán)隊(duì)還將詳細(xì)介紹他們?nèi)绾螒?yīng)用藍(lán)牙LE攻擊技術(shù)接管小型物聯(lián)網(wǎng)(IoT)設(shè)備，最終完全取得大型連鎖酒店電話密鑰系統(tǒng)的權(quán)限。 關(guān)于嵌入式設(shè)備的議題是本屆大會(huì)的熱點(diǎn)，數(shù)量有17次之多，可重點(diǎn)關(guān)注。

DevSecOps和現(xiàn)代應(yīng)用開發(fā)

經(jīng)過多年的發(fā)展，現(xiàn)代應(yīng)用程序開發(fā)的開發(fā)流程已經(jīng)發(fā)生了巨變，這些變化也影響了針對性的安全研究和相關(guān)防御技術(shù)。

[[270132]]

在本屆大會(huì)上，將會(huì)有多位安全專家深入探討安全如何跟上DevOps的推進(jìn)，如何增加開源組件的使用量并增強(qiáng)軟件供應(yīng)鏈透明度，如何更好地大規(guī)模挖掘開源漏洞來保護(hù)開發(fā)人員用來構(gòu)建新軟件的云基礎(chǔ)架構(gòu)。

容器安全

用于軟件開發(fā)DevOps和持續(xù)交付模型能夠在這幾年里走向成熟，其中的一個(gè)關(guān)鍵因素是容器和云原生技術(shù)的快速發(fā)展。容器技術(shù)為安全團(tuán)隊(duì)提供了一種全新的攻擊面防護(hù)能力。不過隨著研究人員和攻擊者更加熟悉該技術(shù)，容器技術(shù)領(lǐng)域也將會(huì)出現(xiàn)許多新的漏洞和安全問題。

[[270133]]

大會(huì)上關(guān)于容器安全的演講有2個(gè)，第一個(gè)由Brandule Edwards和來自Capsule8的Nick Freeman共同提出，議題將討論容器逃逸漏洞和如何利用漏洞進(jìn)行攻擊，揭示未來容器安全將是什么樣的情境。

第二場演講由來自Heroku的Ian Coldwater和來自VMware的Duffie Cooley發(fā)起，將探討攻擊者如何利用Kubernetes中的功能以及從業(yè)者和整個(gè)行業(yè)需要做些什么來加強(qiáng)該極受歡迎的容器框架。

身份驗(yàn)證安全與提權(quán)

如果訪問管理是安全防御的核心，那么反過來說就有理由認(rèn)為它也是許多攻擊技術(shù)的核心目標(biāo)。因此，大會(huì)上將有來自不同團(tuán)隊(duì)的專家對涉及破壞身份驗(yàn)證并進(jìn)行提權(quán)的情形從各個(gè)角度進(jìn)行講解。

[[270134]]

比如來自Micro Focus Fortify的Alvaro Munoz和Oleksandr Mirosh將深入研究威脅單點(diǎn)登錄安全性的主要漏洞。 來自Preempt的Marina Simakov和Yaron Zinar計(jì)劃展示在Active Directory中發(fā)現(xiàn)的幾個(gè)新漏洞，包括一個(gè)尚未公布的零日漏洞，能夠讓攻擊者能夠接管域中的任何設(shè)備，即使這些設(shè)備經(jīng)過詳細(xì)配置且部署了高強(qiáng)度的簽名機(jī)制。

此外，來自騰訊安全團(tuán)隊(duì)的Yu Chen和Bin Ma將帶來繞過現(xiàn)有生物識(shí)別安全解決方案的新思路分享，包括支付軟件使用的面部和聲紋識(shí)別漏洞。來自同一團(tuán)隊(duì)的Wenxu Wu還將就Windows 10中定位文件提權(quán)漏洞的新方法進(jìn)行討論。

政治生態(tài)安全

在去年的Black Hat和DefCon大會(huì)上，安全專家揭示了選舉活動(dòng)面臨的安全問題和產(chǎn)生的結(jié)果，引起了巨大的爭議與反向。今年大家的關(guān)注點(diǎn)將更進(jìn)一步，深入挖掘技術(shù)與社會(huì)問題之間的關(guān)系，就在線宣傳和政治顛覆問題會(huì)有一一系列非常有趣的討論和研究。

[[270135]]

例如，來自美國特種作戰(zhàn)司令部的Pablo Breuer和來自某未署名社交網(wǎng)絡(luò)的David Perlman，將圍繞他們為觀察技術(shù)對社會(huì)運(yùn)轉(zhuǎn)的影響而創(chuàng)建的框架展開討論。

同時(shí)，為了更廣泛地分析當(dāng)前的政治和社會(huì)面臨的風(fēng)險(xiǎn)，著名安全技術(shù)專家Bruce Schneier將登上講臺(tái)，討論與公共利益密切相關(guān)的技術(shù)現(xiàn)狀。

深度偽造技術(shù)

隨著人工智能技術(shù)的快速發(fā)展，社會(huì)與政治層面面臨的風(fēng)險(xiǎn)繼續(xù)增加，對于以“Deepfake”為代表的深度偽造技術(shù)的濫用將造成很嚴(yán)重的后果，網(wǎng)絡(luò)安全領(lǐng)域的專家和學(xué)者也已經(jīng)開始探索這些領(lǐng)域。

[[270136]]

來自GSI Technology的George Williams將詳細(xì)介紹使用Mice技術(shù)區(qū)分真實(shí)和假冒語音的研究。

來自ZeroFOX的Mike Price和Matt Price將探討如何在網(wǎng)上創(chuàng)建和使用深度偽造視頻。同時(shí)他們還將推出一款新的工具，用于深度偽造技術(shù)的進(jìn)攻性和防御性研究。