美國當地時間7月30日至8月4日,一年一度的美國黑帽大會(blackhat USA 2016)在拉斯維加斯舉行。作為全球信息安全行業的最高盛會,同時也是公認的最具技術性的信息安全會議,本屆大會吸引了全球上萬名企業、政府研究人員,及頂級安全廠商、研究組織的優秀代表參會。作為本屆大會唯一有研究成果入圍Pwnie Awards提名的亞洲廠商,騰訊安全聯合實驗室旗下科恩實驗室團隊及玄武實驗室負責人TK教主于旸均受邀出席,并分別在8月3日及4日對各自相關研究成果做主題演講。
除此之外,在BlackHat上發布的微軟安全響應中心TOP100貢獻榜中,騰訊安全9位安全專家實力入選并獲致謝,當之無愧成為國內第一!此前,在微軟、谷歌、Adobe、蘋果等國際著名廠商公布的上半年漏洞致謝公告中,騰訊安全也成為國內獲謝最多的企業。
亮相黑帽大會 兩大議題彰顯中國安全力量
據悉,黑帽大會于1997年由知名黑客杰夫·莫斯創建,每年在拉斯維加斯舉辦,被公認為世界信息安全行業最高盛會,也是最具技術性的信息安全會議。大會期間,除了為參會人員提供專業安全訓練,更有研究人員發布安全漏洞破解和安全技術研究等最新情況,并討論攻防策略,因此大會被視為反映信息安全攻防技術趨勢的絕好場所。
對于全球范圍內的信息安全工作者來說,獲得“Pwnie Awards”獎提名即意味著其研究成果具有世界范圍的影響力,不僅需要在安全行業產生重大影響力,同時還要求相關研究成果極具前瞻性,能夠對安全行業未來發展有深入影響。
行業內相關人士認為,中國的安全研究成果能夠獲得Pwnie獎提名,并在如此高端的盛會中向世界展現中國安全技術實力和價值,這無疑將進一步催動中國安全研究人才、廠商,乃至用戶對于中國互聯網安全的信心。
來自騰訊科恩實驗室的代表陳良、何淇丹、Macro Grassi、傅裕斌四人在黑帽大會上重點探討了蘋果圖顯的機制原理,向參會人員輸出了騰訊安全在蘋果圖顯長期的研究和發現。現場,科恩實驗室成員還演示了將兩個不同的漏洞(用戶態與內核態)配合科恩獨創的高級”圖顯式風格”漏洞利用方法,成功實現兩次Root提權。而其中一個漏洞提權則獲得了本屆Pwnie Awards 2016“最佳提權漏洞提名”。
此外,騰訊玄武實驗室創始人、TK教主于旸則在8月5做了《Bad Tunnel:How do I get Big Brother Power》的主題演講,詳細講述了發現“Bad Tunnel”漏洞的細節過程。該漏洞被稱為Windows史上最大漏洞,能影響從Windows 95到Windows10所有版本的操作系統,在今年6月的安全更新中,微軟才憑借于旸的研究發現得以修復。在演講中,于旸暢談了發現該漏洞的全部過程和漏洞作用的詳細情況,向外界展示了騰訊安全聯合實驗室的安全技術研究成果。
輸出技術實力 騰訊安全護航國際安全事務
近年來,隨著安全聯網設備與數字聯網全球經濟的不斷擴展,騰訊安全參與國際安全事務的機會愈來愈多,與同行業頂尖廠商交流也越發頻繁。而通過與來自世界各地的頂尖安全廠商及研究組織共同分享研究成果,甚至同臺競技,也讓騰訊安全聯合實驗室在實力迅速提升的同時,聲名鵲起。
2016年3月,騰訊安全組建聯合戰隊出征Pwn2Own大賽,經過兩天激烈角逐,挖掘出7個高危漏洞,并成功演示漏洞利用、攻破系統,成為Pwn2Own史上第一個世界總冠軍,并且獲得這一頂級賽事史上首個“Master ofPwn”(世界破解大師)稱號。除此之外,騰訊安全戰隊還多次參加有“黑客奧運會”之稱的GeekPwn黑客大賽、XCTF總決賽等國際比賽,通過與國際頂尖團隊的切磋“以戰養戰”,在提升自身能力的同時也讓國際安全屆重新認知中國安全能力的大幅提升。
今年7月,騰訊安全聯合實驗室正式組建,旗下涵蓋反病毒實驗室、反詐騙實驗室、移動安全實驗室、科恩實驗室、玄武實驗室、湛瀘實驗室、云鼎實驗室七大實驗室,獨特的“實驗室”人才模式吸引了包括吳石、TK教主、yuange等眾多互聯網安全領域的頂尖人才。騰訊安全聯合實驗室為他們提供包括資源、人才、技術價值轉化等在內的系統支持,讓他們從各自擅長的角度和技術手法來挖掘系統漏洞、技術研究。通過這種模式,騰訊安全在不斷吸引頂尖技術人才的同時,也以更開放的模式持續促進實驗室安全技術成果的價值轉化,不僅提升了騰訊安全的整體實力,也反哺了互聯網安全產業。
有數據表明,僅2016年上半年,騰訊安全向微軟、Adobe、蘋果、谷歌等國際四大廠商提交的漏洞總數就達100個,占到全球主流安全廠商提交漏洞總數的近六分之一,是漏洞提交數量最多的中國廠商。眾所周知,微軟、蘋果、谷歌、Adobe等科技巨頭的軟件產品,直接關系到全球網絡平臺安全,一旦他們的產品漏洞被惡意攻擊者發現利用,其嚴重后果不可估量。而就在黑客大會舉辦之前,微軟安全響應中心(MSRC)最新公布了Mitigation Bypass Bounty(緩解措施繞過技術懸賞) “賞金榜”,于旸帶領玄武實驗室共提交4次漏洞,累計斬獲12萬美金,成為榜單上獲得致謝次數最多的團隊和個人。
依托騰訊安全平臺,騰訊安全聯合實驗室仍舊在加快吸納安全行業人才,進一步催動實力提升,通過建立良好的“輸入環境”,在充分發揮安全人才的潛力和價值的同時,也在不斷擴展“輸出路徑”,向世界展示騰訊安全技術能力,增強了國際安全行業對中國互聯網安全廠商的信賴。
(新聞稿 2016-08-09)