TyphoonCon 由 SSD Disclosure 于 2018 年创建,之所以如此命名,是因为活动期间袭击了香港的台风——未来的活动稍后将在首尔举行。他们的目标是让来自世界各地的安全从业者就漏洞研究、利用技术、逆向工程以及技术安全行业的其他主题进行交流。
除了会议之外,还有几天的培训、在线夺旗比赛和安全竞赛TyphoonPwn。组织者还非常照顾演讲者和观众,组织了许多活动供每个人见面和联系。我们不要忘记让我们领略首尔之美的观光活动。
通常,技术安全会议的主题演讲往往涵盖相同的主题,因此我们对 Insu Yun 的《如何构建天网(一种攻击系统的系统)》以及他关于如何自动发现、利用和缓解漏洞的学术工作感到惊喜。Yongil Lee 以“探索韩国的进攻性安全”结束了会议,他在会上发表了对韩国这一行业的见解。该国在进攻性安全方面投入了大量资金,通过投资研究在威胁行为者之前发现 0day 漏洞,以阻止新的网络攻击。
随后,我们会见了波鸿鲁尔大学的 Johannes Willbold 和 Tobias Scharnowski,他们在《零重力利用:逆向工程和模糊低地轨道卫星》中介绍了他们对低轨道卫星安全性的研究。此类设备还遭受嵌入式开发中常见的不良安全实践的影响,它们可以演示如何利用(简单的)内存损坏漏洞从地面站接管卫星。
最后,我们观看了麦克斯韦·杜林 (Maxwell Dulin) 的《当运动能力不够时——记分板黑客》(When Athletic Abilities Just Aren’t Enough) 的过程,这给我们带来了很多乐趣。这是一个非常原创的演示,麦克斯韦展示了他如何远程破解体育记分牌来改变比分,或者默默地减慢或加快时间。
这些演示为我们提供了有关行业当前趋势的重要信息,并将有助于改进我们的清洁代码解决方案的安全支柱。
我们必须展示我们的演讲“补丁、碰撞和根外壳:Pwn2Own Adventure” ,展示我们为Pwn2Own Toronto所做的研究。我们首先回顾了我们如何合作,然后详细介绍了我们发现的 4 个漏洞,并现场演示了我们在 Synology 路由器上的一个漏洞。
为了准备这次演讲,我们还想研究一下我们错过了哪些漏洞以及其他人有哪些漏洞。该事件发生在六个月前,因此许多研究人员已经发表了他们的研究成果,并且有很多值得学习的地方。我们在活动的维基百科页面上发布了我们的列表,我们鼓励所有参与者为此做出贡献!
如果您没有参加会议,请继续关注 2023 年 8 月 8 日,阅读我们的博客文章,了解这些漏洞背后的所有技术细节。
我们在 TyphoonCon 上确实度过了一段愉快的时光:感谢组织者对这次活动的精心照顾,感谢其他所有人的演讲和有趣的讨论。
Copyright © 2022 All Rights Reserved. 地址:上海市浦东新区崮山路538号808 苏ICP123456 XML地图