使用微信扫一扫分享到朋友圈
使用微信扫一扫进入小程序分享活动
《聆听密码芯片永不消逝的电波》
嵌入式安全设备易受物理攻击。 这些攻击的目的不是打破安全协议的理论强度,而是利用它们实现漏洞。 我将首先介绍这个激动人心的研究领域,包括 三个主要研究课题:攻击,防御对策和安全测试/评估手段。 接下来,我将概述我们的嵌入式安全实验室,我们使用的设备和技术。 最后,我将介绍和解释一些自制安全研究设备。
《没有硬件情况下的IoT固件分析》
这个演讲是关于如何在没有实际硬件的情况下运行和分析IoT固件。我们将讨论获得固件的几种可能的方法,如何构建几乎完整的环境来运行固件(而不是qemu-static),如何使用IDA Pro或GDB(现场演示)调试固件,并最终找到可能的方法来利用固件漏洞甚至都不用触及到实际的硬件。
《逆向工程技术在电子取证领域的重要应用和挑战》
结合某个案例讲解软件逆向在电子取证领域的典型应用,并针对样本进行同一性论证以及溯源,最后讨论取证和反取证的常见方式。
《Become an Airbnb Host if You Don't Have a Flat》
物联网应用广泛应用于医疗保健、能源和工业自动化等各个领域。各种“智能”设备不断出现。不幸的是,许多制造商在开发这些设备时并没有对安全问题给予足够的重视。这种态度给用户带来了巨大的风险:盗窃、监控活动和破坏财产只是其中的一部分。如果某公寓内的设备有漏洞,住客可能会面临哪些威胁?这完全取决于设备的类型和攻击者的想象力。例如,一个被攻破的路由器不仅能打开进入这个公寓的用户设备的“门”,而且还能打开公寓的真正大门。在这篇演讲中,我们将分析在不同流行的智能设备中存在的0day漏洞和配置缺陷的各种例子,它们通常出现在租赁的房屋中。攻击者不仅可以通过物联网设备和路由器来组建僵尸网络而且还可以租赁公寓。最重要的是,我们会告诉你如何不成为受害者,如果你喜欢住在租来的公寓里,或者你习惯出租自己的公寓
《我们来谈谈Android驱动里的那些竞争漏洞》
主要介绍Android驱动的竞争条件漏洞。我们会从漏洞原理,挖掘方式以及利用手法,全方位多角度深入浅出地讲解这类漏洞。从漏洞原理出发介绍我们对竞争漏洞的fuzz工具,从利用手法入手具体介绍利用漏洞达成内核patch的方法。我们将会给听众带来完善的驱动漏洞挖掘技术,以及新颖的内核漏洞利用技巧
《如何快速发现和定位未知攻击》
针对PC的攻击随时都在发生,而大部分攻击对于杀毒软件厂商而言是未知的。本议题将介绍如何通过自动化流程与数据分析从大量的安全数据中快速发现未知的攻击并正确定位攻击来源、攻击过程与攻击目的
《机器学习在威胁检测的应用》
恶意软件检测一直是计算的系统防御的一个关键技术点。目前,基于特征的检测方法是主要手段,但这些方法不能提供对多态恶意软件样本或APT攻击的准确检测率。将机器学习技术应用于恶意软件检测和分类是近期出现的新趋势。本议题的目的是探索一套威胁情报收集/相关技术,与机器学习算法一起使用,用以改进威胁检测。我将会介绍收集威胁情报的技巧(例如恶意软件样本(文件特性)、攻击者ip地址和漏洞利用(利用公共数据库)、蜜罐网络和系统日志信息等,以及正确的方法来可视化和关联事件以生成有用的信息。这项工作还将介绍一些用于提取数据相关信息等机器学习算法,如随机森林分类器、贝叶斯网络和k-means,并实现有效的威胁检测。
技术是推动人类进步、提高效率的工具,从事技术研发的TECHIE的注意力是全人类的资源,然而当下各种技术泡沫、伪技术热点,导致技术人员分散注意力浪费精力,这是对人类资源的浪费,所以保护我们共同的资源是每个从事技术研究的人责无旁贷的义务。技术人员要有自己的使命感,来参加比赛“BANG”破技术泡沫,从而让TECHIE们好钢用在刀刃上,往正确的方向努力为人类社会创造出更美好的东西吧。
手机短信作为身份验证方式,合适吗,出了问题谁的锅?
手机短信是目前被应用最广泛的身份验证方式,但最初短信并非为了身份验证而设计,以至于在安全性上存在诸多漏洞,黑产利用短信嗅探、劫持等方式可以重置这种账号窃取财产。
那么问题来了,短信验证码作为身份验证方式是否合适?出了问题到底谁来负责?厂商?运营商?还是受害者自己?
A观点:短信验证码大家都这么用的,短信的核心技术要素掌握在运营商手里,出问题当然怪运营商!
B观点:技术标准是国家统一定的,厂商自己选择的用短信作验证,当然要为之负责!
C观点:干脆就别用手机短信作验证了,人脸识别、指纹识别不都行么?
D观点:我们用户完全没的选,给啥就只能用啥,那出了问题你们甭管谁了别甩锅出来负个责行不?
作为一场技术辩论,我将邀请厂商、用户、技术专家、运营商等现场辩论。除了逻辑辩论之外,现场还会展示短信劫持的相关技术和演示、未来可能替代短信认证的技术方案以及其他身份验证方式的破解等等。
网络安全挑战赛:顺着网络来打你
解构赛:宣传需要通过掌握的WEB,PWN,流量分析等安全知识拿到FLAG,获得机器人操控权限,每道解构赛的题目代表不同的操作权限。
本本场竞赛开始时间和本次赛事开始时间相同。在解构赛中,选手需要通过掌握的安全知识解开响应题目,获取积分和机器人的操作权限本场竞赛的每道题目都含有响应的FLAG值,格式行和JDCTF{A-Z,0-9}.答题方式,通过赛前发放的平台地址和账号密码登录并进行提交,如果FLAG正确,则获得响应积分和机器人的操作权限
赛制描述:每支队伍拥有一只独立机器人,机器人的操作权限需要从解构赛中获取。
机器人的操作权限氛围前后移动,左右移动,开火三部分。
操控乙方队伍的机器人攻击他人国旗,攻击成功后由裁判判定计分。若攻击成功,攻击方增加200份,防守方减少100份
操控乙方队伍的机器人攻击自己国旗,则获得100份
着重突出时间和空间的交互和演变,以硬件安全,终端安全,通信安全,云安全为四个展示区域,定向邀请各大厂商参与展览展示活动。Village展示与演讲交替进行,不同区域,不同厂商进行小范围技术展示与讨论,讲解嘉宾与观众面对面就设备操作及使用情况进行沟通与演示。
云安全 CLOUD SECURITY
《模拟一次简单的打点到域渗透》
模拟一次打点到域渗透,模拟渗透ABC类网,来展望未来企业网络安全规划与建设。
《Web安全攻防渗透测试实战指南》
《Web安全攻防渗透测试实战指南》作者,现任360网络攻防实验室安全研究员,擅长Web渗透测试,内网渗透。跟着《Web安全攻防渗透测试实战指南》图书,结合大量的图文解说,使初学者可以很快掌握Web渗透技术的具体方法和流程,帮助初学者
从零开始建立起一些基本技能。
通信安全 COMMUNICATION SECURITY
《移动网络及智能家居安全分析与防护》
移动网络和宽带网络的基本情况介绍,安全威胁分析与防护
《德州仪器SimpleLink平台安全功能简介》
TI (德州仪器)SimpleLink方便了无线连接,得到广泛使用,本议题讲介绍这个产品线的相关产品系列CC26x2/CC13x2, CC32xx 的安全实现细节。
终端安全 ENDPOINT SECURITY
《Hacking IoT Devices For Fun and Profit》
本议题主要是以hack无人机以及多种智能设备为例,讲述如何定位目标设备的攻击面,以及对各个硬件模块的认知,以及hack智能设备的进阶篇,介绍如何自己制作相应的硬件Hack工具来辅助研究。
《软件逆向基础实践能力学习引导》
将讲解软件逆向的概念、典型应用,知识结构与能力结构,并针对知识结构和能力结构具体进行专业实践学习引导,讲解基础课程对逆向能力等支撑等
硬件安全 HARDWARE SECURITY
《手机数据恢复与取证》
现场演示传授如何利用各种软件和硬件工具将emmc芯片从手机主板取下并读取数据。如何将数据和各种日志进行关联分析来获取敏感信息,例如提取联系人、短信、通话记录、Wi-Fi连接信息等等
《电子取证案例分析及领域介绍》
通过一个简单案例,了解取证的大致流程,从案发的现场勘验,证据固定到取证分析,数据恢复,最终出具报告。
《OSCAR展示》
使用深度学习技术对设备进行分析,获取密钥。
《通过手机传感器数据窃取PIN码》
本实验证明,通过读取手机上各类传感器的数据,经由神经网络的计算分析,能够从传感器数据中恢复用户在手机上输入的PIN码。
《比利时 加密强国》
《From HAM Radio To 5G_无线通信与通信安全的演进》
《给我一个loT设备,我该如何hack掉它》
《基于硬件加密的热钱包及安全性分析》
目前市面上的区块链钱包产品主要是两类:软件热钱包,如ImToken、MetaMask等,特点是方便易用,但因为是纯软件钱包,安全性很差;硬件冷钱包,如Ledger、库神等,特点是通过离线保存的方式提升安全性,但是使用不便,容易损坏或丢失。
本讲座讲述一种新型的硬件热钱包设计方案和它的安全性分析。本方案利用Intel SGX芯片级硬件加密技术保护钱包私钥和签名过程,并搭配灵活的可编程规则引擎,确保每笔转账都获得最高强度的安全保护,让客户的数字资产保护达到冷钱包的安全级别,同时又享受软件热钱包的高可用性和便利性。本演讲将会详细讲述该硬件按钱包的技术原理并现场演示真实产品。
《移动网络及智能家居安全分析与防护思路》
《Remote Code Execution Vulnerability in EOS》
《Adobe Systems - Technical Analysis of Arbitrary Code Injection&Execution via DBMS》
本议题将披露影响Adobe数据库管理系统的0day漏洞的全部技术细节和攻击方法。分析漏洞的影响,并分析利用链以及要成功实现攻击需要克服的技术难点。
《聆听密码芯片永不消逝的电波》
《没有硬件情况下的IoT固件分析》
《逆向工程技术在电子取证领域的重要应用和挑战》
《Become an Airbnb Host if You Don't Have a Flat》
《我们来谈谈Android驱动里的那些竞争漏洞》
《如何快速发现和定位未知攻击》
《机器学习在威胁检测的应用》
手机短信作为身份验证方式,合适吗,出了问题谁的锅?
解构赛:宣传需要通过掌握的WEB,PWN,流量分析等安全知识拿到FLAG,获得机器人操控权限,每道解构赛的题目代表不同的操作权限。
云安全 CLOUD SECURITY
通信安全 COMMUNICATION SECURITY
终端安全 ENDPOINT SECURITY
硬件安全 HARDWARE SECURITY
《比利时 加密强国》
《From HAM Radio To 5G_无线通信与通信安全的演进》
《给我一个loT设备,我该如何hack掉它》
《基于硬件加密的热钱包及安全性分析》
《移动网络及智能家居安全分析与防护思路》
《Remote Code Execution Vulnerability in EOS》
《Adobe Systems - Technical Analysis of Arbitrary Code Injection&Execution via DBMS》