记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

一位首席分析师对 Black Hat 2017 的吐槽

黑帽2017是场大秀,展现了健康的网络安全行业风貌。但炒作、误解和专有议程还是太多。作为全程参与了本次黑帽安全大会的分析师,有几条想法想跟大家分享一下:1. 这是第20届黑帽大会,人气爆棚是肯定的。听说参加人数比去年还多,而我知道2016的参会人数就已经破纪录了。不想显得粗俗,但会议间隙真的不得不花10分钟排队才轮得到上个厕所。2. Facebook首席安全官阿列克斯·斯塔莫斯的主题演讲很成功。他的主要观点是:广大网络安全社区(例如网络安全专业人士和网络安全技术产业),必须拓展其在多个领域的角色职能。首先,他谈到要对用户有更多的同理心。其次,要专注在伤害而非技术复杂性上。这是个很棒的想法,因为大多数人关心的是安全会怎样影响到他们,而不是场景背后的细节。他还鼓励安全社区变得更加丰富多彩,为网络安全增加不同的视角。
发布时间:2017-08-03 16:20 | 阅读:100280 | 评论:0 | 标签:牛闻牛评 CISO 威胁情报 安全初创企业 软件定义网络 黑帽大会

2017 Pwnie 奖得主名单出炉 WannaCry获“最强伤害”

安全社区最好的和最坏的都在美国黑帽大会年度Pwnie奖上得到了承认7月26日,美国黑帽安全大会上,2017 Pwnie奖得主名单出炉。该年度庆典奖励的是安全社区那些最好的和最坏的家伙。人们事先提名他们心目中去年的最大成就与最严重失败,再由安全人员组成的委员会在每个类别的提名者中选出最优的。今年的Pwnie奖赢家是:1. 最佳服务器端漏洞该奖项得主,是发现或利用了最具技术复杂性、最有趣服务器端漏洞的人。该门类下共有6个提名,最终花落NSA大名鼎鼎的“方程式小组”,因为他们发现并利用了CVE-2017-0143、0144和0145。公众开始认识到这些漏洞,最初是因为“影子经纪人”的拍卖闹剧。此后不久,数次勒索软件攻击轮番上演,把Windows主机打击得渣都不剩。还直接导致微软采取了前所未见的补丁放出措施,甚至已经过
发布时间:2017-07-29 17:50 | 阅读:97719 | 评论:0 | 标签:牛闻牛评 Pwnie 漏洞奥斯卡 黑帽大会

360 IoT设备安全检测工具亮相BlackHat军械库展

美国拉斯维加斯时间7月26日,BlackHat Arsenal军械库开始展示来自各国安全团队的安全攻防武器。360信息安全部IoT Checker成为首个亮相的国内安全团队”武器”,该工具可对智能硬件进行半自动化安全扫描,大大提升安全检测效率。BlackHat Arsenal军械库展是BlackHat的一大特色。该展示同演讲议题一样审查严格,只有顶尖的安全技术工具才能在这个舞台占据一席之地。一旦入选,也是对安全研究人员技术实力的最高认可与荣誉。360安全专家对IoT Checker工具科研成果进行讲解今年的BlackHat Arsenal为展示者准备了独立解说空间,各家厂商精心准备的安全“攻防武器”渐次揭去面纱,接受全球的安全专家和黑客大咖的检验。IoT Checker作为360信息安全部Gear Team的最
发布时间:2017-07-29 00:55 | 阅读:115748 | 评论:0 | 标签:黑极空间 360 IoT Checker 军械库 黑帽大会

绿盟在现场|不能错过的安全界奥斯卡——Blackhat2017

阅读: 24一年一度的安全界顶级盛会——Blackhat2017——在拉斯维加斯如火如荼得进行着,各路安全界大咖都卯足精神,给世界展示着异彩纷呈的神兵利器。绿盟科技作为受邀嘉宾,也见证了这场盛事。下面我们就来看看绿盟科技首席技术官——赵粮博士在现场发回的第一手新鲜资讯吧!文章目录扣篮诚可贵,盖帽价更高:行业应更加重视安全“基本功”兵者,诡道也——安全实践中的攻防博弈三体猜疑链:增加系统自身独特性附件下载扣篮诚可贵,盖帽价更高:行业应更加重视安全“基本功”在过去的几年时间里,APT高级持续威胁和 零日攻击、高精尖的各种PWN破解大赛占据了很多媒体的头版,眼球和掌声被新漏洞挖掘、未知威胁发现等不客气的统统收编。但是另一方面,各种数据表明,企业和组织中的绝大部分安全事件来自于账号口令补丁等传统项目,数以亿计的恶意软件
发布时间:2017-07-28 02:35 | 阅读:139180 | 评论:0 | 标签:技术前沿 blackhat blackhat2017 攻防技术 黑帽大会

黑帽大会20年精选:亮点、争议与夭折

过去20年来,一年一度的黑帽大会每每引发论战。此处仅摘录那些最重要的演讲和展示。20年的时光里,黑帽大会以其最前沿信息安全研究、开发与业界趋势的展示,收获了诸多赞誉与声名。该大会同时也存在着一些争议——有时候足以导致演讲或展示的临场取消。黑帽大会始于1997年,当时还只是在拉斯维加斯举办的单场会议。如今,该大会已发展成国际性会议,每年在美国、欧洲和亚洲各自举行。今年的美国黑帽大会是第20届,在拉斯维加斯曼德勒湾举行,时间是7月22日至27日,包含4天的技术培训和2天主会议进程。作为热身,我们不妨回顾一下过往黑帽大会上的重点,以及那些最后一分钟被取消的演讲与展示。1. “中大奖自动柜员机”(巴纳比·杰克,2010)已故著名白帽黑客巴纳比·杰克,携其几次敲击就让ATM机像赌城老虎机吐币一样喷钞票的演示,在黑帽大会刮
发布时间:2017-07-25 17:05 | 阅读:101769 | 评论:0 | 标签:黑极空间 20周年 精选 议题 黑帽大会

目标黑客“集市”:今年的KCon都有哪些亮点和干货?

“Explore Everything,Exploit Everything!”(探索一切,攻破一切) 今年的KCon黑客大会,在上周末如期而至。作为已经连续举办4届(今年是第5届),且日渐成熟的安全技术交流盛会,一直以“用技术说话&有趣”为精神的KCon,今年又有哪些干货和亮点? 最大的彩蛋——Black Hat 创始人 Jeff Moss 先说说今年的的亮点。 今年最大的彩蛋,莫过于在开场致辞时和知道创宇创始人兼CEO赵伟先后亮相的Black Hat黑帽大会创始人Jeff Moss及其团队的到场。 Jeff Moss Jeff在致辞中表示,安全的问题是全世界要一起面对的,是全球性的问题。无论是在KCon上发现的问题,还是新的解决思路,都不只是影响中国的黑客,而是影响整个世界,这个更大的安全社区。真
发布时间:2016-08-31 17:50 | 阅读:102144 | 评论:0 | 标签:行业动态 KCON 知道创宇 黑帽大会

安全专业人士也会上当的钓鱼邮件

近期召开的黑帽大会上,一名IT专家就黑客使用诈骗邮件的最有效方式进行了演讲,最令人惊讶的发现是:即使深知所有花招的高手,也会落入邮件陷阱。辛奈达·贝嫩森博士呈现了她对网络钓鱼攻击的两项研究结果——即便不认识发信人,人们也常常会点击其中的“毒”链接或运行其中包含的恶意软件。辛奈达·贝嫩森博士而且,即便是具备计算机知识,清楚未知链接暗藏危险,深知邮件发送地址可被伪造的那些人,照样跳坑没商量。博士的研究发现,所有这些因素都“没什么卵用”。我们知道,人类本身就是最大的漏洞,他们总是掉进同一个坑。贝嫩森是埃朗根纽伦堡大学教授,领导“安全和隐私中的人类因素”研究小组,并通过电子邮件和Facebook模拟网络钓鱼攻击,对大学生进行了两项独立研究。第一项研究所用电子邮件看起来像这样:第一个研究中,45%的人点击了连接,第二个研
发布时间:2016-08-13 22:05 | 阅读:154997 | 评论:0 | 标签:牛闻牛评 钓鱼邮件 黑帽大会

黑帽大会第19年 继续打破美国展会规模记录

世界领先的信息安全大会迎来史上参加人数里程碑,附带史上最强日程表。黑帽大会,信息安全盛会龙头老大,今天高调秀出一些特别活动和倡议,让2016美国黑帽大会成为了其19年历史上最强大的盛会——无论在规模上还是在内容上。本次大会迎来超过15000位信息安全领域的安全专家,包含了学术界、世界级研究员和公有及私营产业领导者。参加人数的增长反映出信息安全行业的兴旺和安全社区对突破性研究的渴求。黑帽评审委员会由24位世界顶级安全专家组成,今年评估的提交议题数量为历年之最,直接形成了黑帽大会历史上最密集的时间表。本次大会迎来175名演讲者,在超过70场深度技术训练和近120场创新研究简报上做报告。想获悉大会更多信息,下载白皮书和演讲资料,可访问:blackhat.com/us-16/亮点主题演讲 丹·卡敏斯基,WhiteOps
发布时间:2016-08-10 17:01 | 阅读:240553 | 评论:0 | 标签:牛闻牛评 黑帽大会

芯片卡又怎样 照样让ATM疯狂吐钞

隐藏在支付刷卡机卡槽中的银行卡账户嗅探设备,短短数比特位的工具就可以清空你的银行卡账户。姗姗来迟的对EMV卡(欧陆卡、大师卡和Visa)通过芯片设备所增强的安全性的并不像一些人所期望的那样神奇,它刚一出现,这些卡片就像他的前身磁条卡一样容易被“克隆”。在这周拉斯维加斯的2016黑帽大会安全论坛上,来自Rapid7的工程师演示了如何利用一些不起眼的电子设备对ATM机进行中间人攻击。这种设备像垫片一样被嵌入到ATM机的卡槽中,它会将用于正常现金请求的交易数据通过“快照”存储下来。Rapid7这个研究团队的负责人 Tod Beardsley 向媒体表示,这个装置的体积很小,并且可以在不接触ATM机内部硬件的情况下实现快速安装。一旦数据被逆向成功,那么他就可以使用这些信息建立欺诈账户并开始“疯狂取现”。市面上最常见的A
发布时间:2016-08-06 04:10 | 阅读:87269 | 评论:0 | 标签:黑极空间 ATM 芯片卡 黑帽大会

可进行渗透测试的无人机将亮相 Black Hat

安全公司 Bishop Fox 将在今年美国黑帽大会上展示其新的无人机,该无人机可在空中实施渗透测试。Bishop Fox 执行合伙人弗朗西斯·布朗表示,这能实施空中渗透测试任务的无人机被称为“危险无人机”,并定于当地时间8月3号在拉斯维加斯举行的黑帽大会上进行展示。黑帽大会前的访谈上,布朗及其在 Bishop Fox 的研究团队提供了一些“危险无人机”是怎么被打造出来的内部消息,揭示了该无人机的能力,以及为什么这不是一款玩具而是严肃的安全研究工具的原因。我们之前已经见过一些作为渗透测试概念验证的无人机。但现在,我们想将无人机带上一个新的台阶,向人们展示他们的安全在真正的基于无人机的渗透测试面前是多么有效还是多么无能。布朗及其团队并非无人机狂热爱好者,他们是职业渗透测试员,他们的正职就是帮助公司企业发现潜在的漏
发布时间:2016-08-02 23:10 | 阅读:97311 | 评论:0 | 标签:牛闻牛评 无人机 渗透测试 黑帽大会

黑帽大会上即将发布的9款免费攻防利器

黑帽大会即将于本周在拉斯维加斯召开,这是一个安全工具轮番上演的绝佳场所,同时,这些工具若被坏人掌握,也可以沦为漏洞利用的工具。上台展示的研究人员,通常都会指出这些工具对他们这种在实验环境操作的研究人员有什么价值,也会向企业安全从业人士展示工具在构筑更强防御方面的能力。各种各样的漏洞利用工具将被详细推介出来,设备、协议、从HTTP到物联网再到渗透测试所用的技术,都是这些工具探索漏洞的目标。以下便是将在大会上发布的9款攻防利器:1. HTTP/2 & QUIC —— 教好协议去干坏事演讲人:卡尔·文森特,思科高级安全顾问 & 凯瑟琳·皮尔斯,思科高级安全顾问 两位研究员对HTTP/2和QUIC这两种用于多路连接的Web协议进行了分析。他们在这两个协议中发现的安全漏洞,很容易令人联想到2
发布时间:2016-08-01 16:30 | 阅读:213047 | 评论:0 | 标签:黑极空间 攻防工具 渗透测试 黑帽大会

精华解读:从BlackHat2013中我们收获了什么

拉斯维加斯-BlackHat全球黑客大会是每年围观革新安全技术的最好机会,还能和那些在这个行业里聪明至极的家伙交谈并从中得到些关于前沿技术的动向和启示。今年的会议无论参会人数还是议题数量是历届规模最大的,有很多可听和看之处。包括11个跟踪研究在内的关键议题以及新闻发布会从早晨一直延续到晚上,即使再精力充沛的人,想一个不落的都去围观也几乎是不可能的。但是,我们看到了一些有意思的家伙和一些牛逼的议题,因此我们将使用最通俗的语言来总结会议当中那些最引人注目的,最重要也最有趣的议题和片段。想要一个关于黑帽大会上那些好玩的玩意儿全面综合的报告几乎是不可能的,所以就把这篇文章看成是一个有特色的小吃菜单好了。好好享受噢!Web已经彻底的烂掉了。这么说也许有些夸张,但其实是真的。在BlackHat大会上
发布时间:2013-08-08 04:10 | 阅读:75781 | 评论:0 | 标签:专题 blackhat blackhat2013 黑客大会 黑帽大会

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云