【IT168 资讯】12月17日消息，日前，由亚洲知名安全组织SyScan主办、奇虎360承办的SyScan360前瞻信息安全会议(The Symposium on Security for Asia Network)在京成功召开。自2004年在新加坡首次举办以来，每年都选择在亚洲一线城市举办，迄今为止，已经举办了8次会议。

　　SyScan大会邀请世界各地优秀网络黑客及安全专家分享最新的信息安全研究成果，展现亚洲信息安全需求的演进课题，发表最新的国际安全消息。本届在中国举办的SyScan360大会持续两天，吸引了来自世界各地的安全牛人，来自微软、Google、迈克菲、趋势科技等的安全组织的专家分享了当前众多的热点话题。下面让我们来重温SyScan360热点！

▲SyScan360前瞻信息安全会议现场

　　国外黑客详解Windows内核漏洞

　　来自国际安全组织COSEINC 高级安全分析员Ben Nagy在主题为《Windows内核Fuzzing入门》的演讲中分享了系统内核缺陷错误挖掘技术以及系统的bug分类。Ben Nagy拥有五年的Windows内核研究以及模糊测试经验，并且非常痴迷Ruby语言。Ben毫无保留地透露了内核模糊测试的秘诀，包括选择正确的目标、必要的知识储备以及各种模糊测试的方法，如切入、生成测试用例以及如何扩展等。

　　Ben特别指出，模糊测试需要进行反馈驱动测试、错误注入深度插桩测试以及崩溃样本分析。而优秀的工具链有助于目标的快速重定位，他认为测试者必须了解自己认为有用的漏洞是什么，这样才能寻找到对自己最有用的信息。

　　Windows 内核漏洞种类多种多样。Ben将此分为三大类：本地到本地(包括提权、沙盒穿透等)、远程到远程、远程到本地(需要用户操作，通过电子邮件、文档、网页地址等进行攻击)。

　　Google漏洞奖励计划经验分享

　　来自谷歌安全专家Kevin介绍到，“漏洞奖励计划”是谷歌专门为发现Google软件及产品漏洞发现者而设的奖励计划，漏洞发现者将获得谷歌支付的现金奖励以及其他额外鼓励。谷歌此后还推出Chrome浏览器漏洞奖励计划。这些漏洞奖励计划吸引了全球安全爱好者的关注，也帮谷歌公司大幅提升了产品及服务的安全性。

　　 “我们不会支付钱去修复漏洞”，Kevin称谷歌漏洞奖励机制不是去买Bugs，而是奖励用户在寻找漏洞时花费的时间。Kevin表示，谷歌漏洞的范围不包含DoS、Corp infrastructure、SEO blackhat以及Acquisitions（if<6 months）的攻击。

　　那么究竟什么才是谷歌在寻找的漏洞呢？Kevin详细介绍验证“合格漏洞”的四大步骤：合理的通知，私下的信息披露，适当的测试，第一个提出的、最好的解决。通过验证分析漏洞，谷歌将给予用户相应的奖励。

　　Kevin笑称，并不是所有的漏洞报告都由技术人员发来，普通的网民也会参与到寻找漏洞的娱乐的过程中去。据介绍，有用户冒着信用卡被刷爆的风险去寻找谷歌免费电影的漏洞，而谷歌为找个漏洞支付1337美元，希望该用户能够还清信用卡。

　　Kevin表示，85.2%的漏洞由新人发现，仅14.8%的漏洞由老用户发现，而且是前20%的人发现了80%的漏洞。但谷歌漏洞奖励机制也面临一些挑战。Kevin表示，谷歌经常会接到一些劣质报告，需要处理枯燥的文字，为分类和管理消耗大量的资源，而且一些人不喜欢为金钱而找Bug，或是有人希望用非Bug来取得奖金，这让谷歌漏洞奖励机制受到部分人的质疑。

　　国外专家详解基于内存破坏的IE漏洞

　　COSEINC公司高级分析师Moti Jospeh介绍到，最近微软IE浏览器的多种漏洞都是通过内存破坏的方式实现的。他总结，任何程序中的Bug都可分为两类：一种是bug导致错误代码被执行，程序会立刻产生明显的异常行为；二是bug破坏变量、数据结构、文件等程序状态，程序会在之后的某个时刻表现出异常。

　　Moti表示，有些黑客热衷于寻找内存破坏漏洞，除了为出名以外，谋取经济利益也是主要原因，有时程序的错误就是黑客的金钱。他举例说，Adobe软件曾被某黑客发现一个漏洞，最终以7.5万美元（约合51.2万人民币）的价格出售。他表示，在这样高额的收入诱惑下，黑客寻找漏洞的热情自然很高。对于软件厂商来说，这显然是严峻的挑战。

　　Moti介绍，目前0Day漏洞的平均价格因软件不同也有较大差异，其中Adobe软件漏洞价格较低，平均0.5万至3万美元一个。相对来说，IE和Chrome浏览器漏洞、iOS系统漏洞价格较高iOS漏洞价格可高达10万至25万美元。

　　Moti Jospeh还现场演示了一些漏洞被执行的情况。他总结出了寻找内存破坏漏洞的三种主要方法：Fuzz技术、二进制审查和上网搜索。

　　Android成黑客重灾区

　　来自McAfee安全研究院的Wayne Yan针对安卓平台的安全现状及防御措施分享经验，他指出Android系统目前已成为恶意攻击者首选。Wayne透露，预估目前已有的Android系统的恶意代码就高达120000 到150000个。虽然之前基于PC的病毒制作技术无法应用在移动平台上，但截至2012年，市场上已经出现了41个Android反病毒软件，安全厂商也开始更加重视移动安全。众所周知，病毒检测率是考验一款安全软件好坏的标准，但目前的情况并不乐观，国际安全软件评测机构AV-test的报告显示，其中34个软件病毒检测率低于65%。

　　Wayne认为安卓手机安全防护已刻不容缓。安卓手机因CPU限制、移动网络风险均使安卓系统遭到病毒威胁。同时，手机Rootkit以及Android打包工具都可能会使恶意软件隐藏在手机文件中，威胁安卓系统安全。

　　与iOS系统封闭环境不同的是，Android属于半开放环境。Wayne表示中国有大量的第三方应用市场，同样面临恶意APP及病毒的安全威胁。对此，Wayne认为基于云安全的解决方案可以提供更加轻量级的安全防护。