一年一度的 “安全性暑期夏令营” 上又有什么值得一看的新科学研究与艺术创意呢?
英国白帽黑客交流会举办之际,伴随着详细会议方案发布,是时候整体规划下该怎么使用这很好学习培训机遇了。时光流逝,技术性发展趋势,白帽黑客交流会的演说主推新零日系统漏洞、新起技术性提升方式科学研究,及其在不断地变化的技术性全球中安全防护各种系统软件的新方式。
代步工具
2022年几起飞机坠毁曝光波音 737 Max 手机软件产品质量问题惊世丑事,白帽黑客交流会再次思考航空公司软件平台也就名正言顺了。2022年白帽黑客交流会演说中让人期盼的一场,是 IOActive 研究者 Ruben Santamarta 反向波音 787 理想民航客机关键互联网的科学研究,演说中还会继续公布在其中先前不明的系统漏洞。
此外,也有一系列有意思的议程安排会探寻代步工具安全系数,在其中就涉及对宝马五系连接网络车辆和重要基础设施建设常用电动机的安全系数剖析。
固定件及嵌入式开发安全性
说到固定件及嵌入式开发安全性,对可黑代步工具的科学研究不过是白帽黑客交流会发言者探寻行业的冰山一角。例如,Atredis Partners 的 Nathan Keltner 和 Dionysus Blazakis 就将深入分析令当代网络服务器遭遇网站被黑风险性的不法网络服务器部件系统漏洞问题。普遍用以破译物联网设备的功耗低手机蓝牙 (Bluetooth LE) 技术性,也被两位单独安全性研究者运用来彻底操控某大中型连锁快捷酒店的手机上锁匙系统软件。这两位单独研究者将在此次黑客大会上详尽叙述她们的技巧。总体而言,此次交流会上把有 17 场演说是有关硬件配置和内嵌式网络黑客方式科学研究的。
DevSecOps 及当代应用程序开发
尽管花了两年時间,但白帽黑客交流会的筹备组逐渐认可当代应用程序开发的极大变化对安全性科学研究和防守技术性的影响到了。一系列演说将讨论安全性怎样跟进 DevOps、开源系统部件应用增加为何必须手机软件供应链管理更为全透明、如何能够更好地规模性消除开源系统系统漏洞,及其精英团队怎样维护好开发人员用以建立新软件的云基础设施建设。
器皿进攻
受 DevOps 和开发软件持续交付方式推动的另一个主要发展趋势,是容器化和云原生技术性的迅速繁殖。器皿是安全性精英团队必须防范的新式危害页面,伴随着科研工作人员和网络攻击双方都更加了解这一技术性,业界终将印证很多新系统漏洞和安全隐患的发生。
白帽黑客交流会将发布两次有关器皿的关键演说。第一场由 Capsule8 的 Brandon Edwards 和 Nick Freeman 产生,叙述器皿肇事逃逸系统漏洞以及运用方式的基本知识,让观众掌握器皿系统漏洞有多广泛,业内将来将应对什么样的器皿安全性趋势。第二场演说由 VMware 的 Ian Coldwater of Heroku 和 Duffie Cooley 展现,将探寻网络攻击怎样运用 Kubernetes 作用,安全性工作人员和全部工业界该怎样加强这一时兴器皿编辑架构的安全性。
身份认证提升与漏洞利用
假如说浏览管理方法是安全防御的关键,那麼相反讲,浏览管理方法也是各种各样进攻技术性的关键。因而,在白帽黑客交流会上见到很多深层次系统软件身份认证提升和漏洞利用不一样层面的演说,也就不奇怪了。例如,Micro Focus Fortify 的 Alvaro Munoz 和 Oleksandr Mirosh 将发掘流行协同真实身份完成库文件的系统漏洞,这种系统漏洞可危害单点登录安全性。Preempt 的 Marina Simakov 和Yaron Zinar 准备公布好多个活动目录 (AD) 新系统漏洞,包含一个可以接手域中随意服务器的新重要零日系统漏洞,该漏洞乃至连选用了健硕配备和网络服务器签字的服务器都能拿到。
与此同时,增产的腾讯安全精英团队再度现身,Yu Chen 和 Bin Ma 将产生绕开目前生物特征鉴别商品的新方式,包含支付工具应用的面部识别和语音识别技术。腾讯官方的 Wenxu Wu 也将在另一场演说中详细介绍全自动搜索 Windows 10 文件权限提高系统漏洞的新方法。
政冶刷新
上年白帽黑客交流会和 DefCon 安全性交流会对大选安全性的关心激发了很多异议,2022年在这个基础上更为深层次,直探技术性与社会热点问题的关联。一系列十分好玩的演说和科学研究凑合线上政治宣传和政冶刷新的话题进行。
例如,英国特战部队指挥所的 Pablo Breuer 和来源于某社交媒体的 David Perlman 将叙述她们研发的一个社会发展技术性系统软件查询架构。此外,安全生产技术高手 Bruce Schneier 将走上演讲台,探讨集体利益技术性的当下情况,剖析目前的政治文化和社会风险。
深层虚报
伴随着人工智能技术的不断进步和技术性社会发展——政治风险的持续飙升,深层虚报 (deepfake) 的控制风险性也将再次积累。安全圈早已逐渐研究这一行业,此次白帽黑客交流会上也是有几次有关深层虚报的演说。GSI Technology 的 George Williams 将详尽叙述怎样用耗子来区别现实与虚报视频语音。ZeroFOX 的 Mike Price 和 Matt Price 会演试深层虚报短视频是怎样建立并用以故意目地的。她们也将详细介绍一款可用来对深层虚报开展攻击能力和保护性科学研究的新专用工具。