零日漏洞能否被提前预测?太空通信和卫星网络存在哪些潜在漏洞?加密货币真的安全吗?……9月17日,主题为“HACK FOR SECURITY”的2021补天白帽大会在北京成功举办。上百位国内外安全圈的顶级大咖,就以上热点安全话题展开了交流。
据了解,大会共设置主论坛、Tools Collection论坛两大活动。其中,主论坛汇集了八大议题,为白帽黑客提供深入技术交流机会。从卫星通信网络、虚拟货币等前沿技术趋势,云原生容器集群、供应链、智能汽车、反诈等方向实战技术分享等多维度带来精彩分享。
在Tools Collection论坛上,还展示了OpenRASP、哥斯拉、Cross C2、SATC、CDK、Bincraft、RapidDNS、Kunyu、Pocassist 9大开源工具。大会主办方希望能够磨砺更多神兵利器,推动网络安全向前发展进步。
在大会现场,除了腾讯安全天马实验室、奇安信技术研究院天工实验室、奇安信代码安全实验室等顶尖安全团队之外,新生代安全公司赛博昆仑“昆仑实验室”也亮相大会现场。“昆仑实验室”安全研究员hackyzh应邀出席并以“进击的Microsoft Store内置应用挖洞之旅”为题发表演讲。
赛博昆仑刚成立半年多就获得业内外广泛关注,与公司创始人兼首席执行官郑文彬(MJ)的个人光环不无关系。作为知名的“技术大神”,郑文彬早已是安全圈的传奇人物。
公司旗下的“昆仑实验室”,则由负责高级漏洞对抗实战的国际顶级安全团队组成。实验室成员曾在微软、谷歌、苹果、VMware及Adobe等厂商的产品中独立发现数千个高危零日漏洞;在近七年的Pwn2own、天府杯等国际漏洞攻防大赛中,多次获得冠军、总冠军,并曾获得有“黑客奥斯卡”之称的PwineAwards最佳提权漏洞奖项。
在本次大会召开前不久,谷歌公司刚刚发布了Chrome浏览器的93.0.4577.82桌面版本更新,着重修补了两个被“在野”利用的Chrome零日漏洞CVE-2021-30632和CVE-2021-30633。这两个被谷歌标记为“高危”的漏洞可以使攻击者完全控制上网用户的电脑,谷歌官方建议用户尽快更新升级。而这两个漏洞早在今年四月份就被赛博昆仑提前精准预测到,并为其产品用户进行了针对性的提前保护,可见该公司技术实力之强。
而此次“补天白帽大会”上亮相的安全研究员hackyzh,多年专注于windows操作系统、hyper-v虚拟化以及chrome的漏洞挖掘,曾多次发现微软漏洞,并获得MSRC 2019 TOP 100,且多次获得微软,谷歌、苹果等公司的致谢。
在大会演讲中,hackyzh系统介绍了UWP应用程序,回顾了与之相关的历史漏洞。同时,还通过实际案例,讲解了如何构建Fuzzer工具,更高效地寻找攻击面,并最终提升漏洞发现效率的办法。
此外,赛博昆仑创始人兼首席执行官MJ(郑文彬)曾在8月初公开宣布,公司旗下的安全产品“洞见平台”可以对零日漏洞,尤其是“在野”零日漏洞进行精准、提前防御。未来这款产品的市场反响如何、赛博昆仑还将推出哪些新产品,无疑都值得继续关注。