Xcon 2009亮点频频

更多精彩博文请进入McAfee安全中心

　　这是我第四次参加 Xcon(安全焦点信息安全技术峰会)，并且是第三次担任演讲者。Xcon 是中国规模最大也是最具影响力的非政府计算机安全技术会议。

　　实际上，对于大多数中国安全研究人员而言，这不仅是一场技术盛会，而且是一个大 party，他们可以与老朋友聚会、结交新朋友，并且与一大群安全技术精英交流真知灼见。

　　受北京奥运会影响，Xcon 2008 被推迟到 11 月举行;并且出席人数略少于往年。8 月 18 日至 19 日 Xcon 2009 如期举行;不过，在全球经济危机的大背景下，我没能看到很多熟悉的面孔，尤其是我的一些外国朋友。幸运的是，Tomas Lim、Vangelis 和 Kana 来了。他们都是其他一些安全会议的知名组织者，我曾荣幸地受邀在一些此类会议上发表演讲。

　　今年，总共有十场演讲，内容涵盖几乎所有的计算机安全(如下所示)热点问题。全球知名的安全研究人士 Kris Kaspersky 本来计划就 Linux rootkit 这一主题发表演讲，但由于签证问题未能成行。我的演讲是会议首日的最后一场，演讲的题目是“深入剖析固件更新安全问题”(Go Deep Into The Security of Firmware Update)，内容侧重各类 PC 组件固件更新安全，包括系统 BIOS、笔记本电脑的嵌入式控制器、Intel AMT 等。总体而言，演讲进行的很顺利，尽管在演示部分出了点小茬子，因为大型 LCD 投影仪无法像我的电脑屏幕一样正常显示 BIOS 加电自更新流程。当 OS 内核和相应的驱动程序加载后，就工作正常了，这一点是我之前没有想到的。有趣的是，有人告诉我在 BIOS 引导过程中按下热键有可能解决这一问题。

　　演讲主题统计：

　　漏洞/攻击：4

　　Web安全：2

　　固件/硬件：2

　　密码学：1

　　虚拟化技术：1

　　在今年的 Xcon 上有许多重要的主题被谈及，但我所关注的主题之一是硬件和虚拟化技术。Nguyen Anh Quynh(为 AIST Japan 工作的越南研究员)已是第二次在 Xcon 上演讲了，这一次他在题为“在虚拟机中检测 rootkit”(Detecting Rootkits Inside Virtual Machines)的演讲中谈及了 VM 安全。他在一个 VM(Xen’s Dom0)中运行了新的名为 eKimono 的rootkit 检测工具，以扫描guest VM 的内存查找可疑问题。

　　这一演讲使我联想起最近的另一场有关 VM 的讨论 — Matt Conover 在 Syscan 上的演讲“SADE：将代理注入 VM guest OS”(SADE: Injecting Agents into VM Guest OS)。看起来，VM 技术应用已不仅仅是“纸上谈兵”，而是正变为一种越来越常见的防御手段(过去两年超热的“虚拟化 rootkit”就是此类主题之一)。Antiy Lab 的演讲“重新发现设备和信号攻击”(Rediscovery on the Attack of Equipment and Signal)同样受到欢迎;演讲者现场演示了如何远程截获和破解由一个无线键盘设备发出的键击信号。我依然记得他们在 Xcon 2008 上所做的有关物理攻击的演讲。他们展示了如何通过将 USB 设备插入禁用 AutoPlay 功能的受害者机器来执行任意代码。这一问题背后的原理并未披露，他们只是表示这肯定不是通过设备的总线主控 DMA 操作来修改物理内存实现的。据我所知，与火线 (1394) 不同，它是一种扩展总线架构，USB 设备不具备此功能。

　　由于我对脚本不是很感兴趣，因此，没有参与一些有关Web 安全的讨论。(我是一位二进制小子 )。但我认真聆听了 Funny wei的演讲“异常状况下可用性分析”(Abnormity Usability Analysis)和王铁雷(Wang Tielei)的“整数溢出漏洞自动挖掘”(Integer Overflow Vulnerability Auto-Mining)。尤其是魏博士的演讲更是极具启发性，他开发了一种原型工具能够跟踪可控制数据和执行流，这些数据和执行流有助于分析异常状况下的可用性。

　　在今年的峰会上，我注意到一个现象，大多数的主题都围绕着漏洞挖掘与分析，但没有任何讨论是直接涉及如何应对漏洞攻击。例如，最受关注和期待的主题 —“规避Windows 7中的内存保护”(Memory Protection Bypassing on Windows 7)。我记得在去年的峰会上，Alexander Sotirov 做了针对 Windows Vista 的类似演讲，我希望明年峰会上在这一方面会有突破。

　　期待与大家聚首在北京举行的 xKungFoo 2009。

更多精彩博文请进入McAfee安全中心