厉害了，六个国家数百名黑客在上海滩“开派对”！

11月24日， SyScan360（国际前瞻信息安全会议）在上海开始了，这被称为中国安全圈年内最后一次黑客大派对。这也是SysCan360自2012年以来首次登陆大上海。

今年的Syscan360仍然得到了圈内顶尖黑客支持，往年以中美两国黑客打擂台不同的是，今年的议题来至少包括中国、美国、西班牙、巴西、德国、英国等六个国家。

前不久美国发生智能设备大反攻，大半个美国互联网瘫痪事件，SyScan360上，有黑客称能攻击数亿台电视，能用社交媒体抢银行，听起来像是电影里的情节，在这里，都是真的......

▌英国黑客号称能攻击数亿台电视机！

这个黑客是英国人，祖母是天津人，是否会攻击中国电视，他非常暧昧的回复：保密。

来自英国的Adam Laurie从1997年开始就是DEFCON的高级成员，现在是 DEFCON伦敦分会 DC4420 的 POC，是电子通讯领域的安全顾问，研究领域涉及磁条安全、红外安全、射频安全等等大批领域。他的专长是对于安全的嵌入式系统的逆向工程。

他新发现的漏洞存在在 MHEG电视标准里，目前采用 MHEG 标准的国家和地区有爱尔兰、新西兰、澳大利亚和中国香港。漏洞影响巨大，不但最新的智能电视受到影响，过去的电视机也会受到影响。事实上，2005年，他就通过电视入侵饭店系统，获得房客的很多个人信息。

Adam Laurie称，现在中国大陆正在试用一种叫做HBBTV 的类似系统，这种系统存在着相似的漏洞。随着交互式和互联网、智能电视的日益普及，最终全球所有电视很快都会遇到相似的问题。目前他认为会有数千万或甚至数亿台电视受到影响。但如果问题得不到解决，最终会有数亿台电视受到影响。

▌黑客可能利用社交媒体抢银行！

金融安全对于上海这个金融中心还是很重要的

 

在大数据时代，最重视安全的莫过于银行系统，这毕竟关系到千千万万老百姓的钱袋子，更关系到金融机构的生死存亡。

Jayson E.Street，《剖析黑客》系列读物的作者，2006年《时代周刊》评选为年度人物。DEFCON 组织的全球协调人。他曾经在 DEFCON, DerbyCon,UCON等场合进行各种信息安全学科演讲，这次带来了关于“抢银行”这个惊悚的演讲议题。

与众不同的是，Jayson从黑客角度看待“抢银行”这件事情，演示攻击者是如何看待你的网站和员工，黑客会通过搜集来自企业自身“关于” 页面中的信息，以及利用员工的社交媒体网站获取有用信息。当然Jayson E.Street是个好人，大部分的讨论提供反制措施，去帮助防范和侦测这些攻击。

▌价值10万美金的漏洞长什么样？

一句话，破解微软真**难！10万美金的漏洞你见过吗？

 

去年SyScan360上大破克莱斯勒的米勒和瓦拉塞克，两位大仙儿一边喝啤酒一边演讲，上演SyScan360“青梅煮酒论英雄”的佳话，今年，大会再次迎来一位“大仙”黑客，来自德国的Moritz Jodeit，虽然他刚刚出道半年，但一个漏洞就获得了微软公司10万美金的奖励，震惊黑客圈！他将来和中国的黑客一起分享这个“微软最贵”的漏洞，这是他首次来华演讲。

MoritzJodeit是Blue FrostSecurity GmbH 的研究总监。他专注于应用程序安全，而他的主要兴趣则在漏洞挖掘研究，逆向工程和软件开发。Moritz Jodeit在许多国际安全会议诸如 Black Hat Europe, HITB GSEC, 44CON,等发表他的研究成果。

▌围殴苹果，安全领域没有固若金汤！

iPhone7(plus) 中新加入的硬件安全特性，果粉最爱！

 

苹果系统一直以固若金汤闻名，事实上，在安全领域，说这句话很容易被打脸，这次SyScan360有两个关于苹果的议题，中美黑客分别在不同领域对苹果系统展开攻击。

美国黑客Patrick Wardle以外星人、间谍和会说话的书呆子等形象为人熟知，曾经在 NASA（美国国家宇航局）和 NSA 工作，在许多安全会议演讲，最近 Patrick 专注于自动化漏洞挖掘，OS X 新出现的威胁和移动恶意软件。

Patrick说，苹果并没有完全验证操作系统升级和安装过程的完整性，这使得本地的攻击者或恶意程序可以直接注入代码到操作系统升级和安装器程序中，使得恶意代码可以直接控制并传播到被升级的操作系统中。

另外一支打击“苹果”的是来自中国的是盘古团队，团队因连续多次发布iOS完美越狱工具而闻名，是国内首个自主实现苹果iOS完美越狱的团队，也是全球范围内第一个实现针对iOS 8 和iOS 9 系统完美越狱的团队。

▌世界黑客大赛PwnFest冠军团队也来了！

在韩国PwnFest的比赛更强调破解速度，SyScan360的演讲更注重于对比赛方法、理念的介绍，对于普通网络安全技术爱好者来说，更具有学习的价值。

在刚刚结束的韩国举办的PwnFest世界黑客大赛上，360安全联队连下四城，以10秒破Edge、3秒破Flash、全球首破VMware和Pixel的成绩夺得大赛的冠军和“破解大师”的称号。在2016 SyScan360上，这支队伍也将亮相。联队中的360Vulcan（伏尔甘）安全团队核心成员古河和 MJ再次探讨关于微软浏览器的破解过程；360 手机卫士阿尔法团队安全研究员将演示影响数亿人手机浏览器Chrome V8的漏洞。

微软浏览器虽然号称增加了安全性，其实在顶尖黑客眼中仍旧有可突破的漏洞，360Vulcan（伏尔甘）将通过这些漏洞从 Edge 沙箱中成功逃逸。此外，360Vulcan（伏尔甘）还在会上介绍了他们开发的一个用于发现沙箱 RPC 漏洞的 Fuzzing 工具。

360冠军联队的另一支团队手机卫士阿尔法团队在韩国PwnFest大赛上成功破解被称为“谷歌亲儿子”的Pixel手机。对安全性极为重视的谷歌，在Pixel的安全保护上自然也做得滴水不漏，再加上谷歌拥有的上千台服务器以深度挖掘技术对其产品进行漏洞测试。

在此次SyScan360上，阿尔法团队负责人龚广和研究员邓袁则将目光瞄准了Chrome V8，他们在会上披露，他们最近在 Chrome V8 引擎中发现一个可能是笔误造成的漏洞。这个漏洞关系到全球数亿人的手机浏览器，而微信、58同城、搜狐视频、新浪新闻等可能受影响。