知道创宇技术副总裁余弦曾说过:“对于黑客来说,证明自己存在最直接的方式就是打破已有规则,在网络空间中进入上帝模式,俯视目标的运行规律,而这一切都是为了更好的创造力,在争议中进化世界。”
而规则就是用来打破的,这次安全专场中来自知道创宇、永信至诚、长亭科技、ZerOne、中新网络、腾讯、Synopsys 公司的七位资深黑客将围绕运维和开发过程中的漏洞、安全人的编程、攻击智能摄像头、漏洞挖掘、无线安全、Mousejack、沙箱逃逸七大方向全方位展示黑客眼中的规则和世界。
各种软件开发的模式、流程、框架,为软件开发工作提供着各个方面的支撑;功能和性能,也一直是软件开发者最直接关注的产品指标和重点;而安全意识、安全编程等软件开发过程中的“额外”环节,却经常会沦落为一项容易被忽视或干脆“主动”被忽视的工作。
也许对于开发者来说,无视掉这些安全细节不光不会影响自己的KPI,反而会“提高”工作效率,加快开发进度。但“冰冷残酷”的现实世界真的是这样吗?
永信至诚信息安全服务咨询工程师吴海涛将在本次演讲中深入讲解其在工作中实际遇到的未安全编程、未注重安全意识等真实案例的分享,以网络安全中的“黑客”思维,为软件开发者提供一些有针对性的、可操作性更强的建议。在他的分享中我们可以看到:
● “职业黑客”也会做一些很好玩的事
● 程序猿如何用“黑客”手段获得了研发的“小秘密”(真实案例干货)
● 软件开发过程中的那些“致命”陋习
● “安全”开发为什么要贯穿整个软件开发周期?产品的交付就只是功能、性能的满足么?
● 开发者们在安全从业者眼中到底是什么样子的?
除了精彩的演讲,此次Qcon大会的众多参展企业也为大家带来了一大票“高精尖”的黑科技!
知道创宇与i春秋学院将在展区为所有观众共同推出多种超酷的黑客攻防现场演示,很多黑科技还可以让观众亲身体验!从摄像头劫持到无线路由劫持,从黑客手机操作演示到开锁演示,从网络空间大规模入侵到现场“绵羊墙”等丰富和有趣的活动都在等着大家亲手来体验!
觉得自己是个安全小白,玩不转那么多高端黑客工具?不用担心。 i春秋学院还在现场特别为大家准备了大量“Qcon特供”的安全实训课程和在线实验,瞬间提升程序猿的自我安全修养!
QCon北京2016“打破规则,我是黑客”安全专场议题:
议题一:点线面,一个安全人员的漏洞世界——张祖优(Fooying)
知道创宇漏洞社区负责人,Seebug 产品经理、安全研究员
本次演讲,他将会从自己的角度与大家分享漏洞世界,一个由点、线与面构建的漏洞世界。
议题二:“安全”开发之“坑无止境”——吴海涛
北京永信至诚科技股份有限公司信息安全服务咨询工程师
本次演讲,主要通过工作中实际遇到的未安全编程、未注重安全意识等真实案例的分享,以网络安全中“黑客”的思维,为软件开发者提供一些针对性的建议。演讲概要点主要有以下几点:
一起看看,是如何用“黑客”手段获得了研发的“小秘密”(真实案例)
一起围观,软件开发过程中得一些陋习,并以对应的场景、案例来进行说明。
一个观点的提出:“安全”开发,也是需要贯穿整个软件开发周期的,产品的交付,不在仅仅是功能、性能的满足,还有安全方面的技术保障、安全意识。
站在网络安全从业者的方式,为安全开发提出一些建议或思路,以及我们现今在这些方面做得事情。
议题三:Hacking ipcam like Harold in POI 攻击智能摄像头——洪宇(Redrain)
长亭科技高级安全研究员
本次分享将由浅入深,对网络摄像头,DVR/NVR,CCTV 做了详细分析,从方法流程,到具体漏洞分析,从一个黑客的角度开启网络的上帝模式。
议题四:百鬼夜行の看不见的无线安全——杨哲
ZerOne 无线安全研究组织 Leader
讲述目前暗流涌动的无线通信安全领域的真实现状,揭露无线 Hacking 技术,曝光多个重点行业的严重无线安全隐患。
议题五:给平民的 Mousejack——刘凯仁(LAU KAI JERN)
中新网络信息安全股份有限公司 ZLab 海外首席专家
现场精细分析与讲解国内目前两个比较完整 mousejack 研究与实现:
三好学生 漏洞盒子
议题六:沙箱逃逸:来自安全软件的鼎力相助——丁川达
腾讯玄武实验室工程师
沙箱已经成为现代安全技术的重要组成部分。在他们近期的研究中,发现许多第三方软件厂商无法理解沙箱机制的基本设计原理。在这个议题中,他将为我们分析过的各类软件所引入的安全漏洞,以及对沙箱造成的危害。..
议题七:汽车、工控和物联网行业的 0Day 漏洞主动挖掘技术——邵强
Synopsys 公司 SIG 软件集成部 Filed Application Engineer
在现代的汽车、工控和物联网等行业,各种网络协议被广泛使用,这些网络协议带来了大量的安全问题。本次演讲中他将带我们深入理解网络协议 Fuzzing 的技术原理,通过 0Day 漏洞的实际案例,看到 Fuzzing 测试能够达到的 0Day 漏洞挖掘效果,进而探寻属于自己行业的网络协议 Fuzzing...