全球頂級黑客大會 騰訊安全獲微軟致謝國內(nèi)第一

　　美國當(dāng)?shù)貢r(shí)間7月30日至8月4日，一年一度的美國黑帽大會(blackhat USA 2016)在拉斯維加斯舉行。作為全球信息安全行業(yè)的最高盛會，同時(shí)也是公認(rèn)的最具技術(shù)性的信息安全會議，本屆大會吸引了全球上萬名企業(yè)、政府研究人員，及頂級安全廠商、研究組織的優(yōu)秀代表參會。作為本屆大會唯一有研究成果入圍Pwnie Awards提名的亞洲廠商，騰訊安全聯(lián)合實(shí)驗(yàn)室旗下科恩實(shí)驗(yàn)室團(tuán)隊(duì)及玄武實(shí)驗(yàn)室負(fù)責(zé)人TK教主于旸均受邀出席，并分別在8月3日及4日對各自相關(guān)研究成果做主題演講。

　　除此之外，在BlackHat上發(fā)布的微軟安全響應(yīng)中心TOP100貢獻(xiàn)榜中，騰訊安全9位安全專家實(shí)力入選并獲致謝，當(dāng)之無愧成為國內(nèi)第一!此前，在微軟、谷歌、Adobe、蘋果等國際著名廠商公布的上半年漏洞致謝公告中，騰訊安全也成為國內(nèi)獲謝最多的企業(yè)。

　　亮相黑帽大會 兩大議題彰顯中國安全力量

　　據(jù)悉，黑帽大會于1997年由知名黑客杰夫·莫斯創(chuàng)建，每年在拉斯維加斯舉辦，被公認(rèn)為世界信息安全行業(yè)最高盛會，也是最具技術(shù)性的信息安全會議。大會期間，除了為參會人員提供專業(yè)安全訓(xùn)練，更有研究人員發(fā)布安全漏洞破解和安全技術(shù)研究等最新情況，并討論攻防策略，因此大會被視為反映信息安全攻防技術(shù)趨勢的絕好場所。

　　對于全球范圍內(nèi)的信息安全工作者來說，獲得“Pwnie Awards”獎(jiǎng)提名即意味著其研究成果具有世界范圍的影響力，不僅需要在安全行業(yè)產(chǎn)生重大影響力，同時(shí)還要求相關(guān)研究成果極具前瞻性,能夠?qū)Π踩�行業(yè)未來發(fā)展有深入影響。

　　行業(yè)內(nèi)相關(guān)人士認(rèn)為，中國的安全研究成果能夠獲得Pwnie獎(jiǎng)提名，并在如此高端的盛會中向世界展現(xiàn)中國安全技術(shù)實(shí)力和價(jià)值，這無疑將進(jìn)一步催動中國安全研究人才、廠商，乃至用戶對于中國互聯(lián)網(wǎng)安全的信心。

　　來自騰訊科恩實(shí)驗(yàn)室的代表陳良、何淇丹、Macro Grassi、傅裕斌四人在黑帽大會上重點(diǎn)探討了蘋果圖顯的機(jī)制原理，向參會人員輸出了騰訊安全在蘋果圖顯長期的研究和發(fā)現(xiàn)。現(xiàn)場，科恩實(shí)驗(yàn)室成員還演示了將兩個(gè)不同的漏洞(用戶態(tài)與內(nèi)核態(tài))配合科恩獨(dú)創(chuàng)的高級”圖顯式風(fēng)格”漏洞利用方法，成功實(shí)現(xiàn)兩次Root提權(quán)。而其中一個(gè)漏洞提權(quán)則獲得了本屆Pwnie Awards 2016“最佳提權(quán)漏洞提名”。

　　此外，騰訊玄武實(shí)驗(yàn)室創(chuàng)始人、TK教主于旸則在8月5做了《Bad Tunnel:How do I get Big Brother Power》的主題演講，詳細(xì)講述了發(fā)現(xiàn)“Bad Tunnel”漏洞的細(xì)節(jié)過程。該漏洞被稱為Windows史上最大漏洞，能影響從Windows 95到Windows10所有版本的操作系統(tǒng)，在今年6月的安全更新中，微軟才憑借于旸的研究發(fā)現(xiàn)得以修復(fù)。在演講中，于旸暢談了發(fā)現(xiàn)該漏洞的全部過程和漏洞作用的詳細(xì)情況，向外界展示了騰訊安全聯(lián)合實(shí)驗(yàn)室的安全技術(shù)研究成果。

　　輸出技術(shù)實(shí)力 騰訊安全護(hù)航國際安全事務(wù)

　　近年來，隨著安全聯(lián)網(wǎng)設(shè)備與數(shù)字聯(lián)網(wǎng)全球經(jīng)濟(jì)的不斷擴(kuò)展，騰訊安全參與國際安全事務(wù)的機(jī)會愈來愈多，與同行業(yè)頂尖廠商交流也越發(fā)頻繁。而通過與來自世界各地的頂尖安全廠商及研究組織共同分享研究成果，甚至同臺競技，也讓騰訊安全聯(lián)合實(shí)驗(yàn)室在實(shí)力迅速提升的同時(shí)，聲名鵲起。

　　2016年3月，騰訊安全組建聯(lián)合戰(zhàn)隊(duì)出征Pwn2Own大賽，經(jīng)過兩天激烈角逐，挖掘出7個(gè)高危漏洞，并成功演示漏洞利用、攻破系統(tǒng)，成為Pwn2Own史上第一個(gè)世界總冠軍，并且獲得這一頂級賽事史上首個(gè)“Master ofPwn”(世界破解大師)稱號。除此之外，騰訊安全戰(zhàn)隊(duì)還多次參加有“黑客奧運(yùn)會”之稱的GeekPwn黑客大賽、XCTF總決賽等國際比賽，通過與國際頂尖團(tuán)隊(duì)的切磋“以戰(zhàn)養(yǎng)戰(zhàn)”，在提升自身能力的同時(shí)也讓國際安全屆重新認(rèn)知中國安全能力的大幅提升。

　　今年7月，騰訊安全聯(lián)合實(shí)驗(yàn)室正式組建，旗下涵蓋反病毒實(shí)驗(yàn)室、反詐騙實(shí)驗(yàn)室、移動安全實(shí)驗(yàn)室、科恩實(shí)驗(yàn)室、玄武實(shí)驗(yàn)室、湛瀘實(shí)驗(yàn)室、云鼎實(shí)驗(yàn)室七大實(shí)驗(yàn)室，獨(dú)特的“實(shí)驗(yàn)室”人才模式吸引了包括吳石、TK教主、yuange等眾多互聯(lián)網(wǎng)安全領(lǐng)域的頂尖人才。騰訊安全聯(lián)合實(shí)驗(yàn)室為他們提供包括資源、人才、技術(shù)價(jià)值轉(zhuǎn)化等在內(nèi)的系統(tǒng)支持，讓他們從各自擅長的角度和技術(shù)手法來挖掘系統(tǒng)漏洞、技術(shù)研究。通過這種模式，騰訊安全在不斷吸引頂尖技術(shù)人才的同時(shí)，也以更開放的模式持續(xù)促進(jìn)實(shí)驗(yàn)室安全技術(shù)成果的價(jià)值轉(zhuǎn)化，不僅提升了騰訊安全的整體實(shí)力，也反哺了互聯(lián)網(wǎng)安全產(chǎn)業(yè)。

　　有數(shù)據(jù)表明，僅2016年上半年，騰訊安全向微軟、Adobe、蘋果、谷歌等國際四大廠商提交的漏洞總數(shù)就達(dá)100個(gè)，占到全球主流安全廠商提交漏洞總數(shù)的近六分之一，是漏洞提交數(shù)量最多的中國廠商。眾所周知，微軟、蘋果、谷歌、Adobe等科技巨頭的軟件產(chǎn)品，直接關(guān)系到全球網(wǎng)絡(luò)平臺安全，一旦他們的產(chǎn)品漏洞被惡意攻擊者發(fā)現(xiàn)利用，其嚴(yán)重后果不可估量。而就在黑客大會舉辦之前，微軟安全響應(yīng)中心(MSRC)最新公布了Mitigation Bypass Bounty(緩解措施繞過技術(shù)懸賞) “賞金榜”，于旸帶領(lǐng)玄武實(shí)驗(yàn)室共提交4次漏洞，累計(jì)斬獲12萬美金，成為榜單上獲得致謝次數(shù)最多的團(tuán)隊(duì)和個(gè)人。

　　依托騰訊安全平臺,騰訊安全聯(lián)合實(shí)驗(yàn)室仍舊在加快吸納安全行業(yè)人才，進(jìn)一步催動實(shí)力提升，通過建立良好的“輸入環(huán)境”，在充分發(fā)揮安全人才的潛力和價(jià)值的同時(shí)，也在不斷擴(kuò)展“輸出路徑”，向世界展示騰訊安全技術(shù)能力，增強(qiáng)了國際安全行業(yè)對中國互聯(lián)網(wǎng)安全廠商的信賴。