BlackHat USA 2018 | 即将开幕的全球黑客狂欢盛典

发布时间：2018-08-19 20:35:37 所属栏目：评论来源：佚名

导读：副标题#e# 技术沙龙 | 8月25日与多位资深技术大咖探讨小程序电商实战 Black Hat官网地址：https://www.blackhat.com/ 活动简介如果让世界黑客选出一个最顶尖的黑客会议，那Black Hat一定会以压倒性优势被投票选出，Black Hat在世界黑客心中相当于一年一度

副标题[/!--empirenews.page--] 技术沙龙 | 8月25日与多位资深技术大咖探讨小程序电商实战

Black Hat官网地址：https://www.blackhat.com/

活动简介

如果让世界黑客选出一个最顶尖的黑客会议，那Black Hat一定会以压倒性优势被投票选出，Black Hat在世界黑客心中相当于一年一度的“世界杯”和“奥斯卡”，同时也被公认为世界信息安全行业的最高盛会。

Black Hat有着悠久历史，今年已经进入了第21个年头，每次会议的议题筛选都极为严格，众多议题提交后通过率不足20%，所以Black Hat也被称为最具技术性的信息安全会议。

这些世界顶尖的干货议题不仅囊括了当年最前端的技术和热点，还将会引领未来的安全思想和技术风向。

活动时间

2018年8月4日-9日

活动地点

美国拉斯维加斯，曼德勒海湾会议中心

议程安排

BlackHat USA主要分为三部分：

BlackHat USA 2018 | 即将开幕的全球黑客狂欢盛典

(1) 8月4日-7日的BlackHat培训：

专为信息安全从业者设计，通过训练网络进攻和防守来提高黑客技能，BlackHat培训由行业专家讲授，目标是定义和捍卫明天的信息安全格局。

(2) 8月8日-9日的展台

BlackHat与超过17,000名信息安全专业人士合作，通过搭建展台来展示Black Hat赞助商提供的一系列安全产品和解决方案。同时，这些展台也为参会者、供应商和安全社区提供了独特的深入了解的机会。

(3) 8月8日-9日的议题

在Black Hat 上通过上百个议题，了解最新的信息安全风险和趋势，来自世界各地的安全专家将分享最新的突破性研究、开源工具和安全漏洞等。

议题简介

1. AFL盲点以及如何抵抗AFL Fuzzing

演讲人员：乔治亚大学教授-李康教授(360网络安全北美研究员的负责人)
演讲地点：Jasmine Ballroom
演讲日期：2018年8月8日，星期三，17点05分-17点30分
演讲形式：25分钟陈述
主题标签：应用安全、安全开发周期

在应用程序模糊测试领域中，AFL的作用不言而喻。在过去的几年里，研究人员一直在不断地研发新的技术来提升AFL的功能以更好地帮助我们寻找安全漏洞。但是在这个过程中，却很少有人关注如何隐藏漏洞并不被AFL发现。

此次演讲内容主要关于AFL的盲点，我们将讨论AFL本身的限制因素，以及如何利用AFL的这种“缺陷”来隐藏特殊的安全漏洞。AFL能够对代码覆盖进行追踪，并利用代码覆盖信息来引导模糊测试过程中的输入数据生成。AFL不会记录完整的代码执行路径，AFL使用的是一种压缩后的哈希位图来存储代码覆盖信息。这种压缩位图能够带来的是执行速度的提升，但是这种方法也有自身的缺陷：在压缩位图中，由于哈希碰撞的问题，新路径将能够被之前的路径覆盖。代码覆盖信息的这种不精确性和不完全性有时将会阻止AFL模糊测试器发现那些有可能导致代码崩溃的潜在路径。

在此次演讲中，我们将演示AFL的这种缺陷，并通过一些例子来演示如何利用AFL的这一“盲点”来限制AFL寻找漏洞的能力。除此之外，我们也会介绍如何防止AFL通过其他方法(例如符号执行)来生成并获取随机数种子。

为了进一步演示AFL的这种缺陷，我们开发了一款名叫DeafL的软件原型，该工具能够转换和重写EFL代码并实现我们防止AFL模糊测试器成功发现漏洞的目的。在不需要修改给定ELF代码的情况下，DeafL工具能够将输入的代码重写到一个新的ELF可执行程序。这样一来，AFL原本能够轻松找到的漏洞在重写后的代码中将很难被找到。

2. 如何消除视频流服务中的水印

演讲人员：阿里巴巴安全研究专家-王康清华大学硕士研究生-惠轶群
演讲地点：Tradewinds EF
演讲日期：2018年8月9日，星期四，12点10分-13点00分
演讲形式：50分钟陈述
主题标签：数据取证/事件响应、策略

在中国，视频直播服务越来越火了。为了确保各自的利益，很多视频服务提供商都会在视频中添加可见的水印，而且这种情况也越来越常见了。正因如此，这也让很多用户和观众对此深感厌倦，毕竟大家都是来看视频的，谁又想去看那碍眼的水印呢?

我们通过研究发现，某些视频服务提供商添加的水印是可以被用户主动清除的。也就是说，视频的原创作者可以预先在自己制作的视频流中放置一种反向水印，这样就能够清除掉视频服务提供商额外增加的水印了。虽然这项技术的概念听起来很简单也很直观，但是在技术的实现过程中还存在一些问题，比如说水印的大小、位置和阴影等等。我们从理论上对计算机图形卡的计算能力极限进行了评估之后，我们制作了一个PoC并用它来对中国最大的一家视频流服务提供商(这家公司已在纽交所上市)进行了测试。测试的结果让我们非常满意，在解决了颜色管理以及颜色空间转换等相关参数问题之后，我们现在几乎能够100%地实现主动的水印消除了。

为了自动化实现整个水印消除过程，我们还自主研发了一款ffmpeg过滤器和一个OBS插件，它们能够帮助我们在视频直播的过程中对时间间隙较短的帧数进行实时调整，从而获得更好的水印消除效果。

除此之外，我们还会介绍水印技术现在所面临的一些安全问题，比如说可以被主动消除等等。其中涉及到：

转换攻击：将视频中现有的水印转换成其他提供商的水印。
码率抖动攻击：添加高分辨率的组件并强制视频编码器降低水印附近的视频码率。
帧压缩攻击：通过压缩屏幕来牺牲一定的分辨率，然后通过用户自定义的JavaScript来绕过水印功能。

当然了，在我们的演讲中还会提供一些相应的安全应对策略，并且还会通过例子来进行讲解。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

1/5

尾页