2015年10月21日,2015 SyScan360国际前瞻信息安全会议在北京举行。来自全球的优秀互联网安全专家和顶级黑客同台竞技,展示亚洲较为顶尖的安全技术。
“在万物互联的时代,安全已经突破了软件、内容、服务等界限,可能会威胁到我们的生命。”360公司创始人、总裁齐向东透露, 360正在联合多家机构和车企,筹备成立中国车联网安全联盟,集合全社会的网络安全能力,面对和解决汽车的信息系统安全。
日前爆出网易163、126邮箱泄漏用户上亿数据事件,引起了广泛的关注,对此,齐向东表示,从即日起,360将大力推广360“加密邮”。据悉,使用了360“加密邮”的用户,即使邮箱密码泄漏,邮件内容也处于绝对保密状态。
汽车远程被“破”车联网安全令人揪心
2015SyScan360由亚洲知名安全组织SyScan主办,360承办,被称为国际信息安全领域发展的风向标。
车联网安全成为此次大会关注重点。此次大会,较为瞩目的是刚刚加入Uber的天才黑客米勒和瓦拉塞克前来助阵,今年7月,他们入侵了一辆在公路上行驶的汽车,在10英里(约16公里)以外的地方对车辆实现了无线控制,进而控制汽车的转向、刹车和发动机,并让切诺基栽倒了沟里。
在本次大会上中,两位黑客带来了较新的研究成果,他们将通过演示远程攻击一辆未经改装的工厂汽车。他们首先展示利用汽车的不同硬件将CAN总线的信息发送至关键电子控制单元,分享一些会影响汽车物理系统的信息,较后介绍进行远程汽车攻击的现实问题和限制性,可谓干货多多。
中国黑客在车联网安全领域的研究同样不凡,来自360的安全专家刘健皓演示对特斯拉和比亚迪的攻击研究成果,并介绍方法和工具。例如,通过逆向通讯协议来挖掘漏洞,利用汽车app的缺陷来远程控制汽车,还将展示较新的研究发现。
“人们也许不能理解入侵浏览器是多么危险的事,但是他们很容易理解当黑客控制汽车是多么可怕的事情。”米勒表示,希望通过指出这些缺陷,并且展示这些缺陷的危险有多大,这样汽车厂商将在安全上投入更多的努力。
万物可破VxWorks系统、GPS信号均被破解
众所周知,VxWorks是一种嵌入式实时操作系统,被广泛应用于安全关键领域中,包括火星探测器好奇号、波音787梦幻客机、网络路由器等。这些应用的安全需求使VxWorks的安全性成为重要考量,就是这样的系统安全性在顶尖黑客眼中也有漏洞。
此次SyScan360请到了来自Istuary安全研究团队的首席研究员Zhenhua 'Eric' Liu和该团队IT安全研究员YannickFormaggi联袂对VxWorks的安全性进行了深入的分析,包括其支持的网络协议和OS安全机,通过实现WdbRPC协议来提供有效的渗透测试。更为劲爆的是他们还分享一个漏洞如何影响十万台接入互联网的VxWorks的设备。
近年来风靡全球的无人机也成了此次大会的攻击对象。360UnicornTeam(无线电硬件实验室)的研究员袁舰现场演示如何劫持无人机GPS信号,本来位于北京的无人机却显示已经飞到某地,展示了中国在无线电技术各领域及相关硬件的信息安全的较成果。
另外,国内信息安全顶尖专家在其他领域也大展身手,在全世界较著名、奖金较丰厚的黑客大赛当属Pwn2own大赛,360VulcanTeam首次出战即以17秒的神速攻破了微软windows8.1系统和较新的IE11浏览器,成为该赛事历史上较早个攻破IE的亚洲团队。此次360Vulcan Team的核心成员古河他将会公开今年Pwn2Own比赛中我们所使用的两个IE漏洞的细节,详细讲解我们的exploit流程和其中用到的技术。
万物可破数据驱动安全
“在万物互联的时代,安全已经突破了软件、内容、服务等界限,可能会危机到我们的生命。”360创始人、总裁齐向东表示,360正在联合多家机构和车企,筹备成立中国车联网安全联盟,集合全社会的网络安全能力,跨行业间广泛技术交流和合作、推动产业和技术创新,共同面对和解决汽车的信息系统安全。
齐向东表示,传统的安全防护已经无法解决万物互联时代的安全问题,360作为中国较大的互联网安全公司,同时也是世界上用户规模较大的互联网安全公司,提出用数据驱动安全来解决未来的安全问题。大数据的方法与现代网络安全技术相结合,通过对各类网络行为数据的记录、存储和分析,从更高的视角、更广的维度上去发现异常、捕获威胁,实现威胁与入侵的快速监测、发现和响应。
日前爆出网易163、126邮箱泄漏用户上亿数据事件,引起了广泛的关注,目前,网易官方还在评估泄漏风险。实际上,万物互联时代,没有攻不破的邮箱,没有不被盗的密码,如何解决这个看起来不可避免的问题?齐向东宣布,360从即日推广加密邮服务,这是一个“端对端”的无线加密方案,用户可以在安卓市场下载,用起来和普通邮件客户端没有什么区别,同时可以管理有100个邮件账号,包括exchange这样的企业邮箱。用户在遇到的重要信息时,可以给邮件在服务器中加密,这样即使密码泄漏,也能保证重要信息安全。
