美國大片中�����,總會出現(xiàn)各種超級英雄���,他們能力非凡��,與正義為伍�,抗衡黑暗勢力�,F(xiàn)實中,網(wǎng)絡(luò)安全領(lǐng)域也有著許多超級英雄�,來自谷歌的全棧黑客大神Fermin J.Serna就因為一個偶然,發(fā)現(xiàn)了Linux系統(tǒng)基礎(chǔ)庫Glibc的高危漏洞�����,并一舉拯救了全球的服務器系統(tǒng)�����。日前�,在美國西雅圖舉辦的SyScan360上, Fermin J.Serna分享了他拯救世界的歷程�。
許多科幻電影中,黑客們只要點擊一個鏈接或是連接到服務器���,便可導致遠程代碼執(zhí)行����,控制全世界的服務器,甚至直接控制用戶計算機�,盜取口令、監(jiān)視用戶�����。其實����,這些似乎只有在電影中才會出現(xiàn)的情節(jié)就是Fermin要向大家分享的,通過利用Glibc 漏洞��,這些電影中的情節(jié)都有可能成為現(xiàn)實����。
“你是否曾在調(diào)試的礦井中步步深入,忽然意識到你自己正盯著比你所期待的有趣得多的東西?那么�,你并不孤獨!”谷歌安全工程師Fermin偶然地注意到:他們的SSH客戶端每次試圖連接到一個特定的主機時都會出現(xiàn)問題,對這個服務器配置錯誤引發(fā)的激烈調(diào)查�����,讓Fermin發(fā)現(xiàn),問題出在Glibc中�����,而這個漏洞(CVE-2015-7547)足以影響全球的服務器系統(tǒng)����。
Fermin是谷歌公司的資深研究員��,也是谷歌安全工程團隊的負責人����。他在Windows操作系統(tǒng)內(nèi)核、瀏覽器�����、Flash插件��、服務器系統(tǒng)��、庫等多個領(lǐng)域都有涉及并發(fā)現(xiàn)了大量的安全漏洞�,是網(wǎng)絡(luò)安全行業(yè)非常罕見和知名的全棧安全研究員。
此前他就曾多次被安全圈的奧斯卡Pwnie獎提名�����,而此次發(fā)現(xiàn)的Glibc漏洞更是直接將他送上了2016年P(guān)wnie年度最佳客戶端漏洞的金獎。一個一不小心拯救了世界的體驗是怎樣的?在SyScan360上����,這位安全領(lǐng)域的超級英雄仍然保持黑客一貫的低調(diào),云淡風輕地展示了“奧斯卡金獎”漏洞Glibc 的細節(jié)��,以及它是通過遠程未經(jīng)身份驗證的方式影響全球的計算機�����。
SyScan360是國際知名的技術(shù)峰會����,此前已在新加坡、北京和上海舉辦多次���,以往演講嘉賓多為歐美專家���,參會觀眾以亞洲網(wǎng)絡(luò)安全從業(yè)人員為主。而今年SyScan360開到了美國�,購票觀眾主要來自美國的高科技公司、機構(gòu)和高校,演講嘉賓除了微軟����、谷歌、Intel��、McAfee���、Check Point等公司的安全專家和喬治亞大學、普渡大學等名校教師以外�����,還有近四成的議題來自中國的360和盤古等安全企業(yè)���。
除了行業(yè)交流和成果分享外�,本屆SyScan360增加了前期的技術(shù)培訓�,來自美國、日本�、印度等多國技術(shù)人員購買培訓課程,尤其是中國盤古團隊的高級iOS 內(nèi)核利用課程吸引了不少美國黑客的參與����。
京公網(wǎng)安備 11010502041587號