关于漏洞的对抗,TK教主给出最新解决思路 | 科学咖啡馆

2019-11-04 11:45:09 浏览数 (1)

边喝咖啡边听大咖分享行业干货,大概是“科学咖啡馆”一直以来的传统。

这所坐落在中科院物理所的“科学咖啡馆”,夹带着学术气息,成为学术与技术的交流窗口,汇聚众多大咖在此碰撞思想上的“火花”,而TK教主于旸就是其中之一。

TK教主阐述:通用模型对抗漏洞

10月28日,应中科院邀请,腾讯安全专家、玄武实验室掌门人于旸,在“科学咖啡馆”以《无人独善其身——安全问题的行业化》为主题进行演讲。这次分享会是由科技部、北京市科委、中科院传播局支持,在科技部创新文化发展思路的引领下,由物理所承办的跨领域科普交流活动。

在交流中,TK教主从安全漏洞的影响面出发,提出行业性漏洞这一概念,并认为这类影响全行业的漏洞未来可能会逐渐增多。

如果把网络比作整个宇宙,那么漏洞就是这浩瀚星辰。在过去的三十年里,漏洞不绝如缕,而绝大多数出现的网络安全漏洞都是针对某个产品的漏洞,一个漏洞往往只影响一个产品。例如著名的莫里斯蠕虫、冲击波蠕虫、震网病毒、WannaCry病毒等等所利用的漏洞。但也有类似 RawHammer、CPU 幽灵漏洞等少数行业性漏洞。这部分漏洞数量虽少,但却影响深远,难以修复。

面对这类漏洞,TK教主提出了新的发现思路,对一些有可能被厂商忽略的安全盲区进行归纳,通过对漏洞的深入理解建立通用“攻击模型”,从而应对不同产品以及行业的漏洞,提前发现问题。对此,腾讯安全玄武实验室披露了“应用克隆”模型,该模型基于移动应用的一些基本设计特点建立,几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。

基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。在发现这些漏洞之后,腾讯安全玄武实验室通过CNCERT向厂商报告了相关漏洞,并提供了修复方法。

玄武实验室独家披露

除了常规安全攻防技术研究外,腾讯安全玄武实验室也有独家硬核研究,在软件、硬件、移动、生物识别技术等多个领域进行行业性安全聚焦研究,并且尝试对这些问题进行归因,给出当前网络安全建设中需要进一步关注的角度。

例如,腾讯安全玄武实验室在GeekPwn2019国际安全极客大赛上,展示了指纹识别领域的最新研究——自动化破解多种类型指纹识别。利用屏幕图像采集技术以及指纹雕刻技术,首先使用特殊拍照方法提取手机、门锁、考勤机等物品上的指纹,经过独家研发的指纹克隆设备克隆指模,最后便可使用克隆指模通过各种不同厂商的指纹验证技术。

于旸表示,在网络安全问题上,无人可以独善其身,安全厂商必须意识到各种新技术新设计会带来更多新问题。行业需要新技术去赋能,技术的本质是为了更好服务于大众。

一直以来,于旸所带领的腾讯安全玄武实验室坚持与产业联动,关于软件和芯片的研究思路,在腾讯安全此前发布的《CSS视角下的2019年产业互联网安全十大议题》中有集中体现。

作为腾讯安全旗下联合实验室矩阵之一,玄武实验室专注于漏洞研究领域,为企业提供漏洞安全情报,建立主动防护措施。通过对软件、平台和设备进行研究,从目标中发现缺陷和安全漏洞,帮助受影响的厂商修复重大安全漏洞。。其中包括披露BadBarcode”漏洞、“应用克隆”攻击模型、“残迹重用”漏洞等,为合作伙伴、各领域企业提供安全助力,进一步推进数字安全新生态的建设。

0 人点赞