第二届互联网安全峰会(CSS)第二日(11月10日)议程的一个重点就是国际安全技术峰会。在本次峰会中,来自世界各国的顶尖高手讲解了包括微软Win10和Office 365漏洞等在内的多个安全项目,腾讯科恩实验室的吕一平主持会议。IT之家就把重点内容为大家梳理一番。
ZDI的Brian、Jasiel和Abdul的演讲题目为《$hell on Earth: From Browser to System Compromise(地球的地狱:从浏览器到系统妥协)》。这三位大神讲述了黑客大赛中的浏览器攻击如何在现实中加以防范,相关安全公司如何利用比赛成果来为用户做出安全产品。他们提到了沙箱技术的应用,微软对零日漏洞防护的积极行动,腾讯科恩的团队追踪Flash漏洞,Pwn2Own黑客大赛让业内更加关注网络安全。另外,Abdul还重点讲了Windows10的Edge浏览器曾经的漏洞,通过JavaScript实现,沙箱可以让浏览器通信的安全性提升。他们表示现在漏洞越来越不容易利用,但安全问题仍然不能小觑。
之后加州大学圣塔芭芭拉分校的Nicholas Dean Stephens讲述了“自动漏洞挖掘”技术,这是一个全新的概念,通过自动化的方式去攻击目标,发现漏洞,然后还要做出漏洞修复。
Intel资深安全研究员李晓宁在《Windows漏洞攻击防御技术探讨》中也提到了关于Win10和Edge浏览器的漏洞和防御问题。但他主要讲述的还是底层硬件级的防御技术。
在下午的议程中,来自谷歌的James Forshaw做了开场演讲,以Chrome浏览器为例介绍了如何让浏览器更加安全。他提到了Win10增加了Win32 API的复杂性,以及Windows API技术对于了解系统漏洞的帮助。他最后表示,API文件记录对于提升浏览器安全性有很大帮助。
来自思科的Mariano讲述了《The Spraying Attacks Slayer》,他表示Spraying是一个非常有价值的技术,在64位的操作系统里面,可以更好的发挥作用。他在讲述中用了Win7、Linux3.2等作例子,说明了恶意软件防范的实例。之后,他对未来的安全情况进行了展望,称我们建议应该有更强有力的,比现在更好的体系,需要更好的浏览器版本,也需要这个内核的Spraying。
Intel McAfee的李海飞从用户角度分析微软Office的攻击界面,他提到了Outlook附件处理问题,基本上可以分为三类,第一类就是一些不安全的后缀名,比如说exe、vbs、psl、js等,在Outlook当中不可能被打开。还有html、pub、zip要用户双击以后保存,保存到硬盘上,双击打开这个文件再打开。
在Outlook看来比较安全的文件例如Word、PowerPoint、Excel等,实际上是最危险的东西,攻击性远远大于其他文件,因此外来文件最好在受保护视图中打开。还有就是在网盘中打开上述文件同样存在风险,服务提供商必须提供保护视图才能够确保用户安全。
另外,xla文件同样充满危险,因为里面可以嵌入Flash文件。IT之家老用户应该都清楚,这种类型的文件被称为“漏洞之王”或者“无底洞”,漏洞似乎是永远也修不完的,因此业内倡导抛弃Flash,推广HTML5。
李海飞还提醒用户,不用的Office软件就别安装,因为这会增加潜在风险,更多的软件就包含更多的漏洞。微软现在的Office 365默认安装很多Office 2016组件,用户最好还是自定义安装自己需要的即可。
来自于Pwn2Own的资深研究员王宇针对黑客比赛当中安全漏洞进行了深入分析,并且他提到中国团队在解决漏洞问题上的实力还是非常值得欣慰的,今后这方面能力应该可以推广到智能汽车等更多的技术领域。
本文来源:不详 作者:佚名