2023 年台风大会总结

TyphoonCon 由 SSD Disclosure 于 2018 年创建，之所以如此命名，是因为活动期间袭击了香港的台风——未来的活动稍后将在首尔举行。他们的目标是让来自世界各地的安全从业者就漏洞研究、利用技术、逆向工程以及技术安全行业的其他主题进行交流。 

除了会议之外，还有几天的培训、在线夺旗比赛和安全竞赛TyphoonPwn。组织者还非常照顾演讲者和观众，组织了许多活动供每个人见面和联系。我们不要忘记让我们领略首尔之美的观光活动。

会谈

通常，技术安全会议的主题演讲往往涵盖相同的主题，因此我们对 Insu Yun 的《如何构建天网（一种攻击系统的系统）》以及他关于如何自动发现、利用和缓解漏洞的学术工作感到惊喜。Yongil Lee 以“探索韩国的进攻性安全”结束了会议，他在会上发表了对韩国这一行业的见解。该国在进攻性安全方面投入了大量资金，通过投资研究在威胁行为者之前发现 0day 漏洞，以阻止新的网络攻击。 

随后，我们会见了波鸿鲁尔大学的 Johannes Willbold 和 Tobias Scharnowski，他们在《零重力利用：逆向工程和模糊低地轨道卫星》中介绍了他们对低轨道卫星安全性的研究。此类设备还遭受嵌入式开发中常见的不良安全实践的影响，它们可以演示如何利用（简单的）内存损坏漏洞从地面站接管卫星。

最后，我们观看了麦克斯韦·杜林 (Maxwell Dulin) 的《当运动能力不够时——记分板黑客》(When Athletic Abilities Just Aren’t Enough) 的过程，这给我们带来了很多乐趣。这是一个非常原创的演示，麦克斯韦展示了他如何远程破解体育记分牌来改变比分，或者默默地减慢或加快时间。

这些演示为我们提供了有关行业当前趋势的重要信息，并将有助于改进我们的清洁代码解决方案的安全支柱。

“补丁、碰撞和 root shell：Pwn2Own 冒险”

我们必须展示我们的演讲“补丁、碰撞和根外壳：Pwn2Own Adventure” ，展示我们为Pwn2Own Toronto所做的研究。我们首先回顾了我们如何合作，然后详细介绍了我们发现的 4 个漏洞，并现场演示了我们在 Synology 路由器上的一个漏洞。 

为了准备这次演讲，我们还想研究一下我们错过了哪些漏洞以及其他人有哪些漏洞。该事件发生在六个月前，因此许多研究人员已经发表了他们的研究成果，并且有很多值得学习的地方。我们在活动的维基百科页面上发布了我们的列表，我们鼓励所有参与者为此做出贡献！ 

如果您没有参加会议，请继续关注 2023 年 8 月 8 日，阅读我们的博客文章，了解这些漏洞背后的所有技术细节。

下一步是什么？

我们在 TyphoonCon 上确实度过了一段愉快的时光：感谢组织者对这次活动的精心照顾，感谢其他所有人的演讲和有趣的讨论。