AI时代中的信息安全:2017腾讯安全国际技术峰会首日议题全记录

2017 年 8 月 31 日 FreeBuf Sphinx

今年的台风可谓接二连三,尽管当FreeBuf小编抵达深圳时,台风刚刚离开,但这也没能阻止前来参加《2017腾讯安全国际技术峰会》的与会者们,几百人的会场几乎座无虚席,而这场干货满满的会议也并没有让大家失望。

信息安全中的AI技术

腾讯安全部总经理杨勇先为我们带来《AI技术在信息安全领域的应用》。

腾讯是个巨大的社交网络企业,45亿账号每天面临3600万元的黑产风险,有如此之大的利益,黑产在此方面的技术投入也是极大的。正是因为这样,腾讯有机会洞察黑产世界的最新“黑科技”。

黑产也在应用AI技术,腾讯曾查获应用神经网络的验证码识别系统,它的准确率能够达到惊人的95%,覆盖了市面上80%的验证码。为了应对威胁,腾讯使用了新的验证码策略,比如要求用户按顺序输入指定的验证码,令人吃惊的是应用了AI技术的验证码识别系统只用了一天时间就突破了新验证码策略。

这就是黑产AI与腾讯风控AI间的对抗,但腾讯认识到,这样的对抗已经并非人机对抗,而是AI与AI间的对抗。在应对黑产AI的威胁时,人工修改验证码策略已经不是长久之计,因此腾讯想到利用类似加入特殊噪点的方法对AI进行干扰,这些噪点人眼无法识别,因此也就不会对用户体验带来困扰,与此同时有大大增加了黑产AI识别的难度。

但如果图像的混淆和识别上直接与黑客进行对抗,一场AI的博弈可能会变得非常吃力,因为在识别的领域,现有的算法更加成熟。真实对抗中,两个重要的因素是数据和算法。腾讯应用普通用户行为和黑客行为建立联系,生成各自的行为链,进而进行识别。

WannaCry事件之后,看微软如何对抗SMB攻击

今年WannaCry、NotPetya肆虐,他们的共同点是都是用了SMB漏洞进行大规模传播,来自微软MSRC帅气的嘉宾Nicolas Joly就为我们讲述了他是如何对抗SMB攻击的。

Nicolas介绍了自己的经历,然后开始分析ShadowBrokers今年公布的多个Exp的攻击方法。比如对于永恒之蓝,其漏洞就是在于在某个函数错误地存储了数据造成溢出。EternalChampion则是利用了在smb client与server之间发生信息传递过程中的竞争条件。EternalRomance是另一个ShadowBrokers泄露的漏洞,其中使用了SrvPeekNamedPipe中出现的信息泄露。由于漏洞潜力很大,Nicolas对EternalRomance赞不绝口。除此之外,Nicolas还讲解了微软应对这类攻击的策略:对于Windows 8之后的操作系统,微软使用了多种措施防范此类攻击,包括引入完整的ASLR机制、默认禁用空会话等。并且在即将发布的Windows 10 RS3和Windows Server 2016 RS3中,微软默认卸载了SMBv1组件。

模糊测试兵器库

上午的最后一个议题是来自南洋理工大学的两位研究员带来的《Windows平台二进制高级覆盖导向的模糊测试》。

南洋理工研究员分析称现有公开的模糊测试工具存在诸多问题,对windows平台支持很差,Windows库支持性差,难以使用,性能也不如所料。随后他们介绍了所设计的Windows平台二进制覆盖导向的模糊测试工具Darko。跨平台架构,原生编译。Darko能够稳定支持所有二进制,并且在使用gdiplus.dll进行测试时,Darko比WinAFL快三倍。运用这种模式,嘉宾分享了更多寻找漏洞的实际案例,比如在Adobe Flash和Windows Journal中发现了漏洞。Darko的运行速度接近原生的程序,并且兼容ASLR/threading。

研究人员开发的另一款产品则是Skorpio引擎,支持的平台包括Windows、MacOS、Linux、BSD等。Skorpio引擎还有跨架构的特性,支持包括X86、ARM、ARM64、Mips、PowerPC、Sparc在内的架构,并且由于Skorpio引擎使用C语言开发,只专注底层的hook机制,因此它不仅轻量,而且比其他任何引擎都要快100倍。

大数据下的黑产画像与反欺诈能力建设

来自腾讯云安全部的总监周斌则给大家详细讲解了《大数据下的黑产画像与反欺诈能力建设》。

现今黑产规模早已突破认知,黑产的形态从攻击转变成其他形式的破坏,数据泄露、撞库、猫池,甚至已经形成了完整的产业链。技术、产业的进步,对检测恶意行为的算法的要求也日益增加。缺乏天然样本和特征方程的机器学习很难实现,因为变化灵活多样,实现的整体效果并不好。为了解决黑产对抗的目标,我们不能依赖单一的算法,腾讯采用了多样化,多维度的算法。利用自身平台优势,在训练模型时,腾讯可以使用社交大数据,大数据与样本标签、特征、模型配合,最终使得框架形成一个闭环。基于图识别搭建的平台可以用120小时跑一遍全部的用户数据,再用62小时区分用户行为是否恶意。通过这一系列方法,最终使得腾讯的大数据框架能够精准地对抗黑产。

JavaScript引擎的安全性

谷歌Project Zero安全研究员Natalie Silvanovich带来了分享《如何通过代码审计发现浏览器JavaScript引擎漏洞》。

她先强调了代码审计的好处:能够找到高质量漏洞,找到的bug一般存活时间更长,容易找到所有同类漏洞。因此,要进行JS的代码审计,必须深入理解JS才能找到好的漏洞,需要好好阅读MDN文档。不同的浏览器引擎解析JS时的操作不尽相同,这也就导致各自的安全性也有所不同,包括在进行JS的垃圾收集时的不同处理方法也可能导致漏洞。接着Natalie介绍了几个她发掘的漏洞,正因为前面说到,不同的浏览器引擎解析JS时的操作不尽相同,因此即便同样都是JavaScript引擎漏洞,影响的范围也并不相同。

值得一提的是Natalie涉猎广泛的个人经历,她从事移动安全研究超过7年,曾是Google Android安全团队成员,后又在BlackBerry担任安全研究组领队,去年她还针对Adobe Flash提交了超过100个漏洞,而她工作之余的爱好则是研究拓麻歌子。

极客分享:如何破解PlayStation 4

长亭科技研究员冯思稷(Slipper)与大家详细分享了他是如何破解PlayStation 4的。

破解ps4的步骤主要包括编写Webkit exp和FreeBSD的exp。Webkit中存在的bug很多,如JSArrary,WebCore::CSSelector::specificity,Firekaku,这些往往是破解PlayStation的突破口,使用Webkit的功能包括PS中自带的浏览器以及系统的帮助手册(帮助手册会渲染网页),只需要建立一个服务器对manuals.playstation.net进行DNS中间人就可以进行攻击。Slipper还分析了ps4内核的Orbis在具体实施破解时的第一步,可以利用sqlite漏洞绕过ASLR防护机制。在实现webshell部分之后,内核部分的也需要处理,内核中的对象都可以使用ID表示,每个进程也有唯一的ID表。

在演讲的最后,向大家展示了PS4破解的演示,在访问特定网址后,PS4重启了,在重新开机后便进入了Linux系统,通过在linux系统中执行操作最终Slipper成功在Playstation上运行超级玛丽,去年通过破解PlayStation,长亭科技团队在极棒大赛上获得了 25 万元奖金。

如何通杀Windows CFG防护

今天最后一个议题是来自滴滴美国研究院的杨军锋带来的《我是如何通杀Windows CFG防护的》。

杨军锋给大家介绍了绕过Windows CFG防护的一些精妙的方法。这些方法都是通用的方法,并不受制于使用的软件等。杨军锋还给出了具体的案例:Edge浏览器中曾经存在一个漏洞可以在访问dll文件时自动下载,这带来了很大的安全隐患,最终Edge浏览器禁止加载特定的DLL文件。

“AI才刚刚开始”,这是两位腾讯演讲者在议题中不约而同提到的话。在今年的腾讯安全国际技术峰会上,吸引人的不仅有各位杰出的安全研究员们带来的各种新鲜议题,更让小编印象深刻的是两个腾讯嘉宾的演讲中,都不约而同地把目光聚焦AI,恶意攻击者们对AI技术的娴熟应用令人瞠目结舌。面对这样的挑战,要么像那些安全研究员们一样比他们更专业,要么就要使用更加智能的AI,无论你是否准备好,这或许就是安全的未来。

更多花絮

无人弹奏的钢琴

甜到想哭(WannaCry)

开场Freestyle

数组名称其实是个广告位

听到Natalie Silvanovich标准的英语,大家纷纷摘下了耳机

* FreeBuf官方报道,作者:Sphinx,未经许可禁止转载


登录查看更多
0

相关内容

全自动区分计算机和人类的图灵测试(英语: Completely Automated Public Turing test to tell Computers and Humans Apart,简称 CAPTCHA),俗称 验证码,是一种区分用户是计算机和人的公共全自动程序。
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【中国人民大学】机器学习的隐私保护研究综述
专知会员服务
131+阅读 · 2020年3月25日
【新加坡国立大学】深度学习时代数据库:挑战与机会
专知会员服务
33+阅读 · 2020年3月6日
腾讯传媒丨2019全球人工智能技术大会简报:AI正在如何改变
中国人工智能学会
4+阅读 · 2019年5月29日
人工智能 | 国际会议信息6条
Call4Papers
4+阅读 · 2019年1月4日
郑建华院士:解读人工智能与信息安全
未来产业促进会
4+阅读 · 2018年5月10日
时代聚焦AI安全——可解释性
云栖社区
9+阅读 · 2018年1月21日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Conceptualize and Infer User Needs in E-commerce
Arxiv
3+阅读 · 2019年10月8日
Arxiv
6+阅读 · 2019年7月29日
Arxiv
11+阅读 · 2018年1月11日
VIP会员
相关VIP内容
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【中国人民大学】机器学习的隐私保护研究综述
专知会员服务
131+阅读 · 2020年3月25日
【新加坡国立大学】深度学习时代数据库:挑战与机会
专知会员服务
33+阅读 · 2020年3月6日
Top
微信扫码咨询专知VIP会员