2018京东HITB安全峰会

阅读量369966

|评论11

发布时间 : 2018-10-31 18:20:25

会议官网 

图片直播

活动简介

HITB 安全峰会(HITBSecConf),作为国际公认的安全盛会,将携手京东安全,在北京举办“2018 JD-HITB安全峰会”不仅将邀请顶级国际演讲嘉宾演讲,还将举行规模最大的攻防(CTF)竞赛。预计将有多达30支国际参赛队参加该比赛,争夺10,000美元的最高奖金。

本次峰会上,Benjamin Kunz Mejri、James Forshaw、Nikias Bassen等享誉国际的知名极客与来自谷歌、腾讯、360等多家中外知名公司安全大咖齐聚一堂,聚焦前沿安全技术,从全球视野、战略高度共同探讨如何应对未来世界网络威胁。本届峰会包括10.31京东领袖日和11.1-11.2技术日两部分,除了传统的极客干货分享和CTF比赛之外还有CommSec Village,众多好玩有趣的硬件破解项目和智能IoT设备展也让人们在现场感受到了极客文化的魅力。

在领袖日的致辞中,京东集团CTO张晨表示:“极客是一群富有创造力,天生热爱技术、探索技术的人,世界科技发展至今天,极客起了很大的作用,京东愿与全球极客同仁共同建设安全可信的网络世界。”京东首席信息安全专家Tony Lee和HITB创始人Dhillon Kannabhiran也同时出席领袖日共同开启了信息安全的国际交流大门。

 

精彩议题

游戏内存 转守为攻

此议题主要介绍了作者针对内存取证相关攻防的研究成果。

首先演讲者介绍了内存取证的基本原理,并通过游戏化的形式说明了内存取证常见的几种思路、工具以及演进。接着分系统平台对比了各平台内存机制的异同,并描述如何根据系统针对性地进行取证和分析。

而本议题思路的重点在于转变思路,不再对内存采取防守手段,而是采用进攻的形式。主要利用常见的内存取证工具/框架中的漏洞(利用Fuzzing或人工挖掘),在内存取证或分析时向分析机注入exp并隐藏痕迹,后续攻击分析机或对分析进行干扰。

虽然可利用语言的跨平台或其他性质达成成功攻击、植入、跨平台通杀等,但这种方式目前以及未来仍然有着其局限性和缺点。但随着对此方向的研究越来越多,越来越深入,相信内存取证也不再仅仅只是简单的分析过程,同时也会存在攻击者和分析人员的技术博弈。

 

通信发展中的攻与防

此议题主要内容为通信行业的几个里程碑时代介绍,并简单说明其中存在的问题与黑客进攻的手段及防御措施。

演讲人从最为原始的通信——烽火台起始,概括介绍了通信时代发现的几个重要时期,包括早期的内带电话、Warding以及后期的GSM、2G、3G、4G以及未来的5G。在这些阶段的演进中,黑客与协议设计者不断进行攻防战。而通信行业的发展,对黑客和协议设计者都是一把双刃剑:通信的发展使得协议变得越来越安全,漏洞越来越少;但与此同时黑客利用漏洞或发现漏洞也相比以前来说更容易。

5G是可以预见的未来,并且很快可能就会落入平民百姓家,但演讲者认为其中还有一些设计者也暂时没有完全确定的答案。但面对新技术我们仍然需要保持乐观,因为未来一定会比现在更安全。

 

同是薅羊毛 我有大剪刀

每个人都有自己独特的兴趣,而演讲者的兴趣就是旅行——旅行中的“薅羊毛”,即对旅店进行技术或运营方面的安全测试并减少自己的旅行花销。

演讲者从非常多的角度介绍了自己是如何剃羊毛的:利用移动端API、比价应用、官方信息泄漏、运营失误等等……在对这些研究的过程中,演讲者也逐渐找到了套路,总结了经验,整理出了多方面全方位的“省钱大法”。

除了得利角度,其他方面同样也需要注意:法律、沟通。在薅羊毛的时候远离法律红线,同时与酒店等服务提供方良好沟通,这些与薅羊毛的技术同样重要。

生命不息,薅毛不止!

 

活动时间

10月29日-11月2日

 

活动地点

北京

 

 

活动详情

此次与京东安全联手的 JDHI TBSecConf 2018将在北京凯宾斯基酒店举行,其中培训时间为 10月 29、30和 31日,深度知识大会则于 11月 1日和 2日举行。CTF竞赛将于 11月 1日 和 2日举行。在此期间,大赛还将设立免费向公众开放的 CommSec展览和技术展示区。

CTF竞赛是一场直播的现场极客竞赛,由 XCTF联盟和 HI TB联合主办。在 JDHI TBSecConf 2018上,CTF还将作为 XCTF第四届年度 XCTF竞赛的决赛。预计共有 30支队伍参赛,有 近 20支参赛队已确认参赛。冠军将获得 10, 000美元,并自动获得 HI TB2018迪拜 CTF的资 格。获得第二名和第三名的队伍将分别获得 5, 000美元和 2, 000美元的奖金。

CTF竞赛将是一场攻和防环节的解题挑战赛。参赛时,成员少于等于 4人的队伍可通过电子 邮件申请,或根据其 CTFTI ME或 XCTF排名注册。该比赛采用由赛宁网安开发的 CPOJ和 CPAD竞赛平台。这项挑战赛的参赛队伍包括创办 XCTF国际联赛的蓝莲花 CTF战队、来 自于 Or deroft heOv er f l ow(DEFCONCTF新军)的极客和 HI TB自己 CTF战队的成员。

公众可以在 11月 1日和 2日来到现场观摩 CTF竞赛。在这两天里,还设有 HI TBCommSec 展览,这是一个面向公众免费开放的展示区。CommSec展览将举行实践活动、游戏和讨论 会。其中的亮点活动包括 Mi t chAl t man焊接村、HITB胸牌村和小米的” 米兔特工队”。

在焊接村,学员将向 TVBGone发明人 Mi t chAl t man学习焊接技术。他已向超过 5万人传 授焊接技术。经常被称作 -极客空间的苹果籽 Johnny的 Mi t ch,是由《创客》杂志颁发的‘ 创 客英雄’ 大奖的首位获奖者,该奖项可追溯到 2011年 –, 事实上,这个奖项是为纪念他而命名 的。

在 HI TB胸牌村,学员将学习如何侵入特制版大会胸牌,并扩展其功能性。在这里,参与者还 可以解锁秘密胸牌特征、迷你游戏,并学习如何对胸牌进行重新编程。

无人机爱好者可直奔” 米兔特工队” , 小米无人机战队游戏区,参加测试其躲避摄像头和运动传 感器的无人机驾驶技能的游戏。最快窃取秘密代码的参与者将赢得奖金。

JDHI TBSecConf 2018还将举行 CommSecTr ack–这是一个将面向公众开放的系列访谈。 中国的安全研究人员如果渴望展示他们的研究成果和才能,可提交访谈计划书。被选中的访 谈将在面向公众免费开放的 CommSecTr ack中演讲,我们欢迎任何人出席该活动。


2018北京 JDHI TBSecConf的赞助商包括京东(本地合作伙伴)、Dar kMat t er(铂金赞助商 和 CTF奖金赞助商)、小米(金牌赞助商)和 360(银牌赞助商)。另外,Acr oni s为技术合 作伙伴,Cr owdf ense为 CTF(奖金赞助)、CommSecTr ack和 CommSec展览的赞助商。

关于此次峰会的更多信息或报名,敬请登录:
https://conference.hitb.org/hitbsecconf2018pek/conference/

 

一场大咖云集 值得期待的技术盛宴

HITB始于2003年,是活跃于欧洲和亚太地区的知名安全技术会议,也是世界排名前三的安全技术峰会。 HITB大会宣传、探讨和分享网络安全知识,关注技术创新和安全人才的培养,因此受到全球安全专家和互联网企业的欢迎。

维基解密创始人阿桑奇(Julian Paul Assange)、攻陷NASA的世界传奇黑客本杰明(Benjamin Kunz Mejri),汽车安全第一人查理·米勒(Charlie Miller),以及全球首个攻破苹果手机的安全团队成员都是HITB的常客和演讲嘉宾。苹果、谷歌、微软等国际知名公司也都是HITB安全峰会的长期合作伙伴。

据了解,本次JD-HITB安全峰会,将集合京东安全峰会和HITB往届知名的顾问团成员和嘉宾,开展为期2天的安全技术培训和为期3天的安全技术峰会,还将举办酷炫、有趣的技术展示和安全大赛。多名国际顶级安全专家都将参与本次峰会并分享他们最新的研究成果,如电影《我是谁:没有绝对安全的系统》的原型、传奇安全专家本杰明(Benjamin Kunz Mejri),曾经在2013年开发出了远程控制飞机应用的雨果·特索(Hugo Teso),著名IOS越狱专家尼凯亚斯•巴森(Nikias Bassen)……

 传扬追求创新的极客精神

谈到与HITB合作的初衷,京东集团首席安全专家Tony Lee表示:随着AI、IoT、区块链等各种创新性技术发展,万物互联的网络将彻底改变人们的生活方式,生活更加便捷和美好。但技术的发展让黑客组织更加体系化,全球的安全防守力量也需要加强互动与联合。

HITB一直致力于安全技术、安全意识的普及,坚持纯粹的技术交流和极客精神,每次技术分享都代表着细分领域最新的安全研究成果。基于此,HITB在全球安全技术爱好者中享有很高的声誉。“京东安全将HITB带到中国,希望与国际安全专家互通有无,共同建设安全可信的网络世界。”

HITB创始人、CEO Dhillon Kannabhiran表示:“京东是中国最受欢迎的互联网公司之一,非常荣幸能够跟京东安全一起合作,JD-HITB安全峰会将不仅仅是一次技术创新和交流的峰会,还是极客精神、追求创新精神的传扬,我们希望通过交流和分享,提升全行业对安全的重视,让网民意识到安全的重要性。”

构建未来安全网络世界,创新与联合势在必行

今年以来,京东安全在国内外各类安全会议和科技展会上频频发声,展示京东在AI安全、IoT安全、黑产对抗等领域的技术和研究成果,并且在Blackhat、DEFCON等国际顶级会议中开源发布安全工具,技术创新得到业界关注。

由此可见,在京东向无界零售战略全面转型的情况下, 京东安全也在积极布局安全基线。这一点,在采访京东安全Tony Lee时得到了印证。在他看来,黑客利用AI、IoT、区块链等技术发起攻击的速度要远大于企业防守的速度。很多企业,尤其是中小企业安全能力储备不够,以至于长期处在安全贫困线之下。“ 全球的网络安全守护者必须联合起来,才能脱离贫困线,而与顶级安全专家交流,是把握行业发展脉搏最直接的方式。”

商务合作,文章发布请联系 anquanke@360.cn
分享到:微信
+14赞
收藏
亦云
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66