人工知能

SyScan360:サイバーセキュリティの新しいトレンドについて話し合うために有名人が集まります



Syscan360 Big Names Gather Talk About New Trend Cyber Security



この記事の内容は次のとおりです。 SyScan360:サイバーセキュリティの新しいトレンドについて話し合うために有名人が集まります 、[IT168情報] 12月17日、アジアで有名なセキュリティ組織であるSyScanが主催し、Qihoo 360が主催するSyScan360の将来を見据えた情報セキュリティ会議(アジアネットワークのセキュリティに関するシンポジウム)が北京で成功裏に開催されました。 2004年にシンガポールで開催されて以来、毎年アジアの一流都市で開催されています。これまでに8回の会議が開催されました。

SyScan Conferenceは、世界中の優れたネットワークハッカーとセキュリティ専門家を招待して、最新の情報セキュリティ研究結果を共有し、アジアの情報セキュリティニーズの進化を示し、最新の国際セキュリティニュースを公開しています。中国で開催されたSyScan360会議は2日間続き、世界中からセキュリティの専門家が集まりました。 Microsoft、Google、McAfee、Trend Microなどのセキュリティ組織の専門家が、現在注目されている多くのトピックを共有しました。 SyScan360のホットスポットをもう一度見てみましょう!



SyScan360:
▲SyScan360の前向きな情報セキュリティ会議サイト

外国のハッカーがWindowsカーネルの脆弱性を詳細に説明している



国際セキュリティ組織COSEINCのシニアセキュリティアナリストであるBenNagyは、「Introduction to Windows Kernel Fuzzing」というタイトルのスピーチで、システムカーネルの欠陥とエラーマイニングテクノロジおよびシステムのバグ分類を共有しました。 Ben Nagyは、5年間のWindowsカーネルの研究とファジングの経験があり、Ruby言語に非常に夢中になっています。ベンは、適切なターゲットの選択、必要な知識の予備、およびカットイン、テストケースの生成、拡張方法などのさまざまなファジング方法を含む、カーネルファジングの秘密を無条件に明らかにしました。

ベンは、ファズテストにはフィードバック駆動型テスト、エラー注入深度計測テスト、およびクラッシュサンプル分析が必要であると具体的に指摘しました。優れたツールチェーンは、ターゲットをすばやく再配置するのに役立ちます。彼は、テスターが最も有用な情報を見つけることができるように、テスターは自分が有用だと思う脆弱性を理解する必要があると考えています。

Windowsカーネルの脆弱性にはさまざまな種類があります。ベンはこれを3つのカテゴリに分類します:ローカルからローカル(特権の昇格、サンドボックスの侵入などを含む)、リモートからリモート、リモートからローカル(ユーザー操作、電子メール、ドキュメント、Webアドレスなどによる攻撃が必要)。



Googleバグ報酬プログラムの経験の共有

Googleのセキュリティ専門家であるKevinによると、「Vulnerability Reward Program」は、Googleのソフトウェアと製品の脆弱性を発見した人を対象としたGoogleの報酬プログラムです。脆弱性の発見者は、Googleが支払う現金報酬とその他の追加の励ましを受け取ります。それ以来、GoogleはChromeブラウザのバグ報酬プログラムを開始しました。これらの脆弱性報奨プログラムは、世界中のセキュリティ愛好家の注目を集めており、Googleが製品やサービスのセキュリティを大幅に向上させるのにも役立っています。

「脆弱性を修正するためにお金を払うつもりはない」とケビン氏は、グーグルのバグ報酬メカニズムはバグを購入することではなく、バグを見つけるのに費やした時間に対してユーザーに報酬を与えることだと述べた。ケビン氏によると、Googleの脆弱性の範囲には、DoS、Corpインフラストラクチャ、SEOブラックハット、買収(<6 months) attacks.

では、Googleが探している抜け穴は正確には何ですか? Kevinは、「適格な脆弱性」を検証するための4つの主要なステップ、つまり、合理的な通知、個人情報の開示、適切なテスト、および最初の最善の解決策について詳しく説明しました。脆弱性の検証と分析を通じて、Googleはユーザーに対応する報酬を提供します。

ケビンは笑い、すべての脆弱性レポートが技術者によって送信されるわけではなく、通常のネチズンも脆弱性を見つける娯楽プロセスに参加すると述べました。報告によると、一部のユーザーは、Googleの無料映画の抜け穴を見つけるためにクレジットカードが限界に達するリスクを冒し、Googleは、ユーザーがクレジットカードを返済できることを期待して、抜け穴を見つけるために1,337ドルを支払いました。

ケビン氏によると、脆弱性の85.2%は新規参入者によって発見され、脆弱性の14.8%のみが古いユーザーによって発見され、脆弱性の80%は上位20%によって発見されました。しかし、Googleの脆弱性報酬メカニズムもいくつかの課題に直面しています。ケビン氏によると、グーグルは質の低いレポートを受け取ることが多く、退屈なテキストを処理する必要があり、分類と管理に多くのリソースを消費し、お金のためにバグを見つけたくない人もいれば、ボーナスを得るためのバグ。グーグルの脆弱性報酬メカニズムに疑問を投げかける人もいます。



当初の発行時間は2015年7月6日です。

著者:kaduo

この記事は、YunqiCommunityのパートナーであるIT168からのものです。関連情報については、IT1684に従ってください。

元のタイトル:SyScan360:サイバーセキュリティの新しいトレンドについて話し合うために有名人が集まります