在全球信息安全极具影响力、并拥有15年历史的信息安全会议XCon 2016于8月29日在北京召开,这一由安全圈人称“呆神”的王英键于2002年创建的XCon大会,是每年国内外安全生态圈非常关注的盛会之一。本届会议吸引了包括英特尔、微软、腾讯、百度等公司安全部门的11位安全领域专家和数百位来自国内外的信息安全界专家、信息安全工作者、信息安全爱好者参与,其内容囊括了众多具有前沿性的技术研究和基础课题,涉及范围从安全技术的创新延展到当下各类安全问题的分析与防御。
(腾讯电脑管家网络攻防小组成员蒋洪伟发表演讲)
在本届XCon共邀请的全球11位安全领域的专家中,腾讯安全旗下、曾因在顶级赛事Pwn2Own中3秒成功攻破 Adobe Flash Player而荣获史上首个“Master of Pwn”(破解大师)称号的腾讯电脑管家网络攻防小组成员蒋洪伟受邀在Flash Player漏洞挖掘方向的研究成果做了主题演讲。其代表的腾讯安全网络攻防小组之所以获得XCon的重视和关注,与近年来腾讯在安全领域所表现的实力和安全攻防小组的实战经验密不可分,这不仅代表着腾讯安全在国内互联网安全技术的巨头地位,同时也进一步反应出腾讯安全在相关研究成果上与国际顶尖研究团队呈现出齐头并进的趋势。
亮相信息安全会议 腾讯安全分享漏洞挖掘经验
据了解,腾讯电脑管家网络攻防小组曾作为成员,在2016年世界顶级黑客大赛Pwn2Own的比赛中,3秒成功攻破 Adobe Flash Player,帮助腾讯安全战队夺得大赛冠军,并且荣获这一顶级赛事史上首个“Master of Pwn”(破解大师)称号。此外,在5月世界黑客大赛GeekPwn上,腾讯电脑管家网络攻防小组大秀实力,一秒破解微软Surface Pro 4,成为大赛亮点。
(腾讯电脑管家网络攻防小组GeekPwn上破解微软Surface Pro 4)
在演讲中,腾讯安全网络攻防小组成员蒋洪伟重点探讨了自身在Flash Player漏洞挖掘方向的经历,向参会人员输出了腾讯电脑管家安全团队在Flash Player漏洞挖掘的长期的研究和发现,畅谈了发现Flash Player漏洞的全部过程和经历,并坦言在其他漏洞挖掘的过程中也给予了不少经验和思路。他表示,通过技术手段,腾讯安全共发现了超过100个Crash,大部分是内存破坏漏洞,存在被利用的可能性,其中有34个漏洞被Adobe标记了CVE。
在蒋洪伟看来,Adobe Flash Player是一种广泛使用的、专有的多媒体程序播放器,但是其安全性一直备受质疑。据了解,国外软件漏洞统计和曝光机构CVE Details曾公开披露了2015年已修复的软件漏洞数量排行榜,Adobe公司全年漏洞数量达到1504个,位居公司漏洞统计榜第二位,而旗下产品 Flash Player占据314个漏洞,在产品漏洞榜上排名第三。作为安全研究人员,Flash Player一直是他们的重点研究对象,一方面凭借自身研究实力,挖掘漏洞,给系统厂商降低损失,提升产品安全性;另一方面,研究人员也通过持续的研究成果输出、安全能力输出,及时保障用户的网络安全。
持续输出技术实力 腾讯安全赢得国际认可
近年来,随着技术的革新和应用场景的不断丰富,网络规模的扩大程度前所未有,伴随而来是人们对互联网安全的关注。一直以来,腾讯安全积极参与国内外安全事务,一方面与同行业顶尖厂商交流,通过参加像黑帽大会、互联网安全领袖峰会等各类会议分享研究成果,学习技术经验;另一方面借助行业如Pwn2Own、GeekPwn、Defcon CTF等大型比赛的竞技,提升安全人才实力,让腾讯安全水平迅速提升的同时,更好反哺腾讯安全生态。
(腾讯安全联合实验室掌门人)
今年7月,腾讯成立了国内首个互联网安全实验室矩阵——腾讯安全联合实验室,旗下涵盖反病毒实验室、反诈骗实验室、移动安全实验室、科恩实验室、玄武实验室、湛泸实验室、云鼎实验室七大实验室,各实验室专注安全技术研究及安全攻防体系搭建,安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域。目前,腾讯安全联合实验室不论是在系统漏洞、软件漏洞的挖掘,亦或是病毒攻防实验、云安全、反诈骗等各个方面,在全球范围内都极具竞争力。
仅挖掘漏洞来说,有相关数据统计,仅2016年上半年,全球主流安全厂商向微软、Adobe、苹果、谷歌提交漏洞609个,中国安全厂商提交254个。其中,仅腾讯安全提交的漏洞数量就达100个,占比近40%,是漏洞提交数量最多的中国厂商。此前,被称作“安全研究奥斯卡”的Pwnie Awards公布了2016年最新奖项提名,腾讯安全联合实验室的科恩实验室发现的两个漏洞获得“最佳权限提升漏洞奖”提名,而玄武实验室负责人”TK教主“于旸的一项研究则入选“最具创新性研究奖”提名,成为亚洲唯一入选的漏洞和技术研究成果。
可以说,腾讯安全通过17年的发展,已经在人才挖掘和培养、技术研究、成果输出等方面已自成体系,在与国际安全厂商竞争时也丝毫不落下风。未来,腾讯安全将把自身的优势持续输出,通过积极反哺整个安全行业,形成良好的生态循环,促进安全产业与其他产业的融合与交互,进一步驱动信息安全,加快推动全社会成熟、健康的安全生态系统建立。
(推广)