2009-8-18 XCon2009 第一天
时间 演讲者 议题
07:30 - 09:00 注册
09:00 - 09:10 开幕词
09:10 - 10:10 徐昊
徐昊毕业于上海交通大学信息安全学院,目前从事信息安全相关产品的研发和高级安全技术的研究。四年前开始专注于信息安全领域技术的研究,主要研究方向:Windows系统内核、Rootkit攻击与检测、虚拟化技术、逆向工程
攻击基于证书的身份认证系统
身份认证的安全性一直是互联网信息安全的重要课题,小到个人信息,大到企业国家机密,都需要身份认证系统进行访问权限的控制。基于口令的认证方式虽然实现简单,但是存在诸多弊端。击键记录、弱口令、暴力猜解等都对该认证方式造成了很大的安全性威胁,并且没有很好的办法来解决这些问题。PKI的建立和推广能够取代传统的口令认证方式,以公私钥密码机制为基础的证书认证方式大大提高了系统的安全等级。而通过使用智能卡,能将私钥保存在一个相对隔离和安全的环境,提供了更进一步的安全保障。 本文将首先介绍密码、证书、PKI等相关原理,随后详细分析Windows对本地数字证书的管理,给出本地证书窃取手段,并讨论实际案例。之后重点阐述了智能卡的相关概念,分析了一套智能卡产品所包含的部件及它们的作用,在此基础上提出可能的智能卡攻击方法,最后通过分析实际案例证明攻击的可能性。
10:10 - 10:30 茶歇
10:30 - 11:30 Aseem Jakhar
Aseem Jakhar,别名"@"。Jakhar是个安全和开放资源研究者。他处理过许多企业的安全相关产品,包括杀毒软件、反垃圾邮件产品、Packet reflectors,防火墙、SSL proxy,SMTP servers/clients等。演讲经历:BlackHat Europe 2008、Clubhack 2008、Gnunify 2007,2009,还受邀参加Inbox/Outbox 2008,但由于个人原因没有去。
用GoD对付垃圾邮件
GoD是"Guarantee Of Delivery"的简称。在本文中作者详述了他关于如何在邮件的实际发出者和接收者间建立信托关系的研究。虽然现在网上有很多这方面的技术,但还没有一个能够完美解决这个问题。大部分反垃圾邮件技术在聚焦于阻挡垃圾邮件的同时,也接受了错误信息。而GoD模型则相反。它关注于邮件通过真实性测试后所获的邮件验证。GoD模型结合了两个技术以确保邮件是合法的,不是自动回复的。该议题还将会讨论并且演示为什么大多数反垃圾邮件技术达不到预期效果,这些垃圾邮件是如何通过它们的。
11:30 - 12:30 Nguyen Anh Quynh
Nguyen Anh Quynh是日本工业科学技术研究所的一名研究员。他对计算机安全、 网络、操作系统、虚拟化、信托计算、数字法庭以及入侵测试都由一定的研究。他还在这些领域里发表了一些学术论文,并且频繁的在全球各黑客会议上演讲他的研究成果。他还是越南Vnsecurity小组的成员。
用虚拟机探测rootkits
现在,虚拟机已经被广泛使用,但是我们还没有为它们做好足够的保护。该议题将会讨论虚拟机在防御恶意软件方面的优势,检测视角,提出一个新的rootkit探测器,名叫eKimono。其整体结构都独立于hypevisor和Guest OS。议题主要将注意力放在对windows虚拟机的保护上。在议题中,有一个部分是讨论不同类型的rootkits,以及ekimono是如何检测到它们的。还有一些生动的演示,以证明ekimono在与一些非常流行的基于内核的rootkits对抗时是多么的有效。最后,还会讨论一下修复被感染操作系统的可能性,以及用ekimono要怎么做。
12:30 - 14:30 午餐
14:30 - 15:30 王铁磊
王铁磊,北京大学计算机研究所博士研究生。研究兴趣为网络与信息安全,特别是二进制漏洞挖掘和恶意代码分析。 在NDSS’09上发表的论文介绍了二进制程序整数溢出检查技术。这是自NDSS创立 16 年来中国大陆研究机构首次以第一作者单位在NDSS会议上发表论文。
二进制程序中整数溢出漏洞挖掘
本文针对二进制程序中整数溢出漏洞检测问题展开研究。基于本文开发的原型系统,作者先后在多个广泛应用的程序中发现几十个0-day整数溢出漏洞,部分漏洞已经通过VUPEN和Secunia等安全公司发布,并被CVE漏洞库收录。
15:30 - 16:00 茶歇
16:00 - 17:00 Eduardo Vela
白天,Eduardo作为一名安全工程师,为好几个最大的网络公司工作;晚上,他就会搜寻Symantec, Oracle, Microsoft, Google, Mozilla以及其他公司的各种各样的漏洞(以娱乐和学习为目的)。Eduardo现居中国,墨西哥人。他热衷于搜查漏洞,他虽然对网络应用程序的安全很感兴趣,不过最近网络攻击似乎更吸引他。
我们最爱的XSS以及如何攻击它们
不管是过去、现在还是将来都会有很多技术被用来绕开、开发和攻击一些最先进的XSS过滤器。这其中就包括新的IE8 XSS filter、browser addons (NoScript), server side IDSs (mod_security, PHP-IDS), and human log-review. 该议题将会提出革新性的技术来扩展我们所知道的XSS过滤器的范围。作者将会为您提出解决现实世界中存在的实例、发现、技术和攻击的一点建议。
17:00 - 18:00 孙冰
孙冰是一位国内优秀的信息安全研究人员,现就职于某著名反病毒软件公司,他拥有多年的Windows内核以及信息安全技术研发经验,尤其是对防缓冲区溢出,Rootkits检测和固件安全等方面有比较深入的研究,并曾在如Xcon,BlackHat及CanSecWest等国际知名安全会议上发表演讲.
深入固件升级之安全
正如我们所知目前很多PC设备都拥有自己的固件,例如网卡,显卡,主板,微型嵌入式控制器等,通常这些固件的升级过程都是厂商私有且不公开的,但这种保密并不意味着这些升级过程就是足够安全,能抵御攻击的.该议题将以戴尔笔记本(Dell Latitude D630/E6400等)为例,揭示其固件升级过程的秘密(Dell CMOS token和RBU升级方式, Dell BIOS升级映像文件的结构,SPI接口的BIOS读写方法, 嵌入式控制器及主动管理技术固件的刷新等),并讨论与之
2009-08-19 XCon2009第二天
09:00 - 10:00 John Lambert
John Lambert,微软安全开发组长之一,在微软工作9年。他在微软安全工程中心负责安全科学小组。该小组开发出了在寻找漏洞时更有效更具扩展性的方法,研究并且应用于微软新开发的缓和技术产品。
微软的计数器-0Day策略
0day攻击现在是微软用户所遇到的最难的一类问题之一。该议题主要是解释了微软通过增加攻击者投入,缩小其回报以计算0day漏洞所带来的威胁的策略。主题围绕SDL、数字计数方法和使用微软安全公告的特殊例子展开。该议题还涉及了如何攻击团体、如何回应这些行为以及对于整个行业和微软用户来说这意味着什么。
10:00 - 10:30 茶歇
10:30 - 11:30 FunnyWei
FunnyWei 博士 XFocus小组成员
漏洞可用性分析辅助工具介绍
异常的可用性分析是Fuzz漏洞挖掘技术的重要瓶颈之一, 因此如何在 Fuzz出大量异常之后,实现对异常产生原因的快速辅助性分析,甄别漏洞的可利用 价值具有十分重要的意义。针对该问题,本议题提出了可控数据追踪和执行管控技 术,并在此基础上初步实现了漏洞可用性辅助分析工具,并以最近发现的word的内 存破坏问题为例进行相关演示
11:30 - 12:30 陈琛 & Jeongwook Oh
陈琛目前是Venustech的安全研究员。
Jeongwook Oh从事名叫"Blink"的eEye系列产品的开发。他开发了可以过滤攻击者流量的流量分析模块。分析引擎可识别协议、扰乱分析协议,从而与传统的基于IPS的签名相比,降低了主动或被动的错误几率。他还对与攻击有关的模块化ActiveX感兴趣。他还负责运营一个名叫bugtruck的韩国安全邮件列表。
对抗1-day开发:Diffing Binaries VS Anti-diffing
如何使1-day开发变得更复杂、更费时,使用户有更多的时间使用补丁?虽然微软产品不能使用严格的代码模糊协议,但是他们还是可以在不影响稳定性和可用性的基础上使用某些策略或是技术来击退二进制差异化进程。本议题将会演示使二进制差异化变得更加困难的方法和策略,并且会展示一个能迷惑二进制差异化的内部工具。这一进程被叫做Anti-binary Diffing。
12:30 - 14:30 午餐
14:30 - 15:30 安天实验室
安天实验室 www.antiy.com
设备与信号攻防的再次探索
继去年浮现美军伊战打印机病毒场景后,安天微嵌实验室的工程师们再度奉献硬件安全探索话题。
15:30 - 16:00 茶歇
16:00 - 17:00 XCon2009 论坛
17:00 - 17:20 XCon2009 幸运抽奖
17:20 - 17:30 闭幕词
©2003-2009 XCon Organizing Committee & HuaYongXingAn Science Technology Co., Ltd. All rights Reserved.