Qcon北京2015 黑客话安全

发表于:2015-04-26 10:30:00 来源: 360安全播报 阅读数(0人)

黑客话安全

 

4月23号,QCon2015(北京)全球软件开发者大会在北京国际会议中心召开。


QCon是由InfoQ主办的全球顶级技术盛会,每年在伦敦、北京、东京、纽约、圣保罗、上海、旧金山召开。自2007年3月份首次举办以来,已经有超万名高级技术人员参加过QCon大会。QCon内容源于实践并面向社区,演讲嘉宾依据热点话题,面向5年以上的技术团队负责人、架构师、工程总监、高级开发人员分享技术创新和最佳实践。


黑客话安全

 

昨日晚间七点至九点,夜场活动:黑客话安全:IoT浪潮里新鲜的安全挑战成功举办。小米首席安全官:杨更主持晚会活动,腾讯运用运维安全中心总监:宗泽,知道创宇首席安全官:周景平(ID:黑哥),阿里安全专家:祝建跃,FreeBuf&漏洞盒子联合创始人之一:张天琪(ID:pnig0s_小P),四人作为嘉宾参加了此次圆桌讨论。


在一段简单的自我介绍之后,几位安全专家围绕:白帽、黑帽灰帽的的界限到底在哪?这一话题展开讨论。


宗泽表示:其实大多数入侵是安全研究人员想知道能在渗透的时候究竟能渗透到系统的哪个程度。而判断“入侵者”是“白帽”还是“黑帽”应该通过主观的行为是否恶意,客观上造成的破坏(影响)性质是否恶劣来判定。并建议和鼓励渗透测试人员通过漏洞相应平台来反馈存在的漏洞和问题。


黑哥认为:甲方需要有一个更开放的态度,才能避免发生把白帽子当成黑帽子的这类情况。渗透测试人员之所以留下WebShell后门,是因为目前国内很多甲方公司没有这方面的能力去评估白帽子发现的漏洞,迫使白帽子不得不证明给这些甲方公司看。同时,黑哥也建议甲方公司应该加强和安全研究人员的沟通,他相信:还是好人多。


张天琪通过援引国外厂商的漏洞响应机制提出:国外厂商对白帽子的态度比较友好。并通过举例:FaceBook、谷歌这些大公司在处理漏洞的时候的公正、开放的态度。同时也提出:国内安全圈确实存在一些喜欢搞破坏的黑客,也有在漏洞平台提交厂商漏洞的时候故意夸大安全问题,从而导致了厂商与白帽子之间双方的互不信任这一问题。


黑客话安全

 

钓鱼邮件


黑哥指出,虽然国内的钓鱼邮件制作粗糙,但是仍然有很多企业员工由于安全意识不足把自己的账号、密码、以及其它信息在邮件、钓鱼页面提交了相关信息。


企业如何做好信息安全?


宗泽:保护隐私的核心在于数据不被外界黑客窃取。而做这些基本工作还是需要依赖厂商。


黑哥表示:用户隐私是互联网的基石。并诙谐幽默地引用了一句:“在互联网上,没人知道你是一条狗。”也提示用户和厂商要提高警惕,因为由于缺乏风险评估和监管,很多需求大的产品存在着比较大的安全风险,比如:WIFI万能钥匙。


会场问答环节:


观众问:如何在编码方面提高安全性?


阿里安全专家通过阿里自身的一些这方面的经验答到:阿里用一些框架模块,限制、过滤了绝大部分安全问题,同时在这里也提到了安全编码规范以及底层代码的安全


黑哥:合格的开发需要熟悉一些技能,如:知道常规的安全漏洞,同时也指出作为一个安全经理,如果企业自身的漏洞修复不及时,就要扣除KPI。


针对智能硬件、工控系统:


由于主持人现场认出了给小米产品提交了安全漏洞的专家皓,邀请专家皓表达这方面的见解


360攻防实验室安全专家刘健皓表示:


国内的智能硬件厂商在开发过程中,主要以业务为导向。在安全的问题上参考的较少,可以考虑采用国外的一些成熟的方案及建议,这样就能够提高智能硬件整体的安全性。在就是可以结合物联网的特性应用一些特殊介质进行通信,比如zigbee,莫斯电码等,这些都是可以通过无线传输数据的方式。在身份认证和传输加密这两个方面,可以采用PKI认证体系,或者利用高强度的加密和多次握手协商机制来提高数据被解密的可能性。这样就可以提高破解智能硬件的技术成本。达到一定程度的安全。


相关新闻

大家都在学

课程详情

网络安全事件

课程详情

软件安全之恶意代码机理与防护

课程详情

隐私保护