一年一度的 “安全夏令營” 上又有哪些值得一看的新研究與創(chuàng)意呢?

[[270341]]

美國黑帽大會召開在即，隨著完整會議議程上線，是時候規(guī)劃下該怎么利用這大好學(xué)習(xí)機會了。時間流逝，技術(shù)發(fā)展，黑帽大會的演講主打新零日漏洞、新興技術(shù)突破方法研究，以及在不斷變遷的技術(shù)世界中防護各類系統(tǒng)的新方法。

交通工具

今年多起墜機事件曝出波音 737 Max 軟件質(zhì)量問題驚天丑聞，黑帽大會重新審視航空軟件安全也就順理成章了。今年黑帽大會演講中令人期待的一場，是 IOActive 研究員 Ruben Santamarta 逆向波音 787 夢想客機核心網(wǎng)絡(luò)的研究，演講中還會披露其中此前未知的漏洞。

除此之外，還有一系列有趣的議程會探索交通工具安全性，其中就包括對寶馬聯(lián)網(wǎng)汽車和關(guān)鍵基礎(chǔ)設(shè)施所用電機的安全性分析。

固件及嵌入式軟件安全

說到固件及嵌入式軟件安全，對可黑交通工具的研究不過是黑帽大會演講者探索領(lǐng)域的冰山一角。比如說，Atredis Partners 的 Nathan Keltner 和 Dionysus Blazakis 就將深入探討令現(xiàn)代服務(wù)器面臨被黑風(fēng)險的非法服務(wù)器組件漏洞問題。廣泛用于破解物聯(lián)網(wǎng)設(shè)備的低功耗藍(lán)牙 (Bluetooth LE) 技術(shù)，也被兩名獨立安全研究員應(yīng)用來完全掌控某大型連鎖酒店的手機鑰匙系統(tǒng)。這兩名獨立研究員將在本次黑客大會上詳細(xì)講述他們的手法?？偟恼f來，本次大會上將有 17 場演講是關(guān)于硬件和嵌入式黑客方法研究的。

DevSecOps 及現(xiàn)代應(yīng)用開發(fā)

雖然花了幾年時間，但黑帽大會的籌劃組開始承認(rèn)現(xiàn)代應(yīng)用開發(fā)的巨大轉(zhuǎn)變對安全研究和防御技術(shù)的影響了。一系列演講將探討安全如何跟進(jìn) DevOps、開源組件使用增多為什么需要軟件供應(yīng)鏈更加透明、怎樣更好地大規(guī)模清除開源漏洞，以及團隊如何保護好開發(fā)者用于創(chuàng)建新軟件的云基礎(chǔ)設(shè)施。

容器攻擊

受 DevOps 和軟件開發(fā)持續(xù)交付模式驅(qū)動的另一個重要趨勢，是容器化和云原生技術(shù)的快速增殖。容器是安全團隊需要防護的新型威脅界面，隨著研究人員和攻擊者雙方都越來越熟悉這一技術(shù)，業(yè)內(nèi)必將見證大量新漏洞和安全問題的出現(xiàn)。

黑帽大會將推出兩場關(guān)于容器的重要演講。第一場由 Capsule8 的 Brandon Edwards 和 Nick Freeman 帶來，講述容器逃逸漏洞及其利用方法的基礎(chǔ)知識，讓聽眾了解容器漏洞有多普遍，業(yè)界未來將面對怎樣的容器安全態(tài)勢。第二場演講由 VMware 的 Ian Coldwater of Heroku 和 Duffie Cooley 呈現(xiàn)，將探索攻擊者如何利用 Kubernetes 功能，安全人員和整個產(chǎn)業(yè)界該如何強化這一流行容器編排框架的安全。

身份驗證突破與提權(quán)

如果說訪問管理是安全防御的核心，那么反過來講，訪問管理也是各種攻擊技術(shù)的核心。因此，在黑帽大會上看到大量深入系統(tǒng)身份驗證突破和提權(quán)不同方面的演講，也就不足為奇了。比如說，Micro Focus Fortify 的 Alvaro Munoz 和 Oleksandr Mirosh 將挖掘主流聯(lián)合身份實現(xiàn)庫中的漏洞，這些漏洞可威脅單點登錄安全。Preempt 的 Marina Simakov 和Yaron Zinar 打算披露幾個活動目錄 (AD) 新漏洞，包括一個可以接管域中任意主機的新關(guān)鍵零日漏洞，該漏洞甚至連采用了健壯配置和服務(wù)器簽名的主機都能拿下。

同時，高產(chǎn)的騰訊安全團隊再度亮相，Yu Chen 和 Bin Ma 將帶來繞過現(xiàn)有生物特征識別產(chǎn)品的新方法，包括支付軟件使用的面部識別和聲紋識別。騰訊的 Wenxu Wu 也將在另一場演講中介紹自動查找 Windows 10 文件權(quán)限提升漏洞的新方式。

政治顛覆

去年黑帽大會和 DefCon 安全大會對選舉安全的關(guān)注激起了大量爭議，今年在此基礎(chǔ)上更加深入，直探技術(shù)與社會問題的關(guān)系。一系列非常有趣的演講和研究將就在線政治宣傳和政治顛覆的議題展開。

比如說，美國特戰(zhàn)司令部的 Pablo Breuer 和來自某社交網(wǎng)絡(luò)的 David Perlman 將講述他們開發(fā)的一個社會技術(shù)系統(tǒng)查看框架。另外，安全技術(shù)大師 Bruce Schneier 將登上講臺，討論公共利益技術(shù)的當(dāng)前狀態(tài)，分析眼下的政治和社會風(fēng)險。

深度虛假

隨著人工智能的進(jìn)步和技術(shù)社會——政治風(fēng)險的不斷攀升，深度虛假 (deepfake) 的操縱風(fēng)險也將繼續(xù)累積。安全圈已經(jīng)開始探索這一領(lǐng)域，本次黑帽大會上也有幾場關(guān)于深度虛假的演講。GSI Technology 的 George Williams 將詳細(xì)講述如何用老鼠來區(qū)分真實與虛假語音。ZeroFOX 的 Mike Price 和 Matt Price 會演示深度虛假視頻是如何創(chuàng)建并用于惡意目的的。他們也將介紹一款可用于對深度虛假進(jìn)行攻擊性和防御性研究的新工具。