DEF CON CHINA完美收官 2019年正式版不见不散

不知不觉，三天的主会议已经进入了最后一天的倒计时，但现场参会的极客小伙伴们依然精神饱满，享受着首届DEF CON CHINA 最后的精彩时光。今天的第一个议题是由Jayson E. Street带来的《从灰色访客到重要盟友：论亚洲及全球的黑客社区的演变》，这是他个人对黑客精神的理解。

Jayson E. Street

Jayson E. Street表示，黑客并不像大多数人想象的那样糟糕，黑客更应该的是代表一种精神，一种充满好奇和不断实践的精神，他们可以创造一些意想不到的东西，从而推动整个产业的发展。Jayson E. Street是《Dissecting the hack系列》图书的作者之一，同时他也是DEF CON团队的全球大使，SphereNY的信息安全副总裁。他曾在DEF CON、DerbyCon、GRRCon等和学校里进行过关于信息安全的各种主题演讲。告诉大家一个秘密，Jayson E. Street是一名高度依赖碳酸饮料的演讲者。 

陈建军

清华大学网络研究院教授段海新与清华大学网络研究院博士研究生陈建军分享了《从外部入侵内网，跨域资源共享（CORS）的安全问题》。段海新教授就职于清华大学网络研究院，网络空间安全实验室主任。陈建军，清华大学网络研究院博士研究生，导师是段海新教授。曾师从Vern Paxson教授加州大学Berkeley做访问研究。主要从事网络安全方向的研究。 

段海新

出于安全的目的，Web浏览器的同源策略（SameOrigin Policy）限制了跨域的网络资源访问。然而，开发者由于业务的需要许多时候必须访问跨域的资源。跨域资源共享CORS（Cross-OriginResource Sharing）是目前解决跨域资源访问的最为正规的方案，也得到了所有主流浏览器的支持。然而，我们发现CORS的设计、实现与现实网络中的配置都存在大量的安全问题。本报告介绍了他们对现实世界的CORS所做的大规模实证研究，他们发现攻击者可以利用CORS安全漏洞可以绕过防火墙攻击内网二进制服务、利用之前不可利用的CSRF漏洞和获取任意网站敏感的Cookie信息等。此外，我们还对Alex排名5万的域名下9千多万的网站进行大规模的测量，发现支持CORS的网站中有27.5%的网站存在配置安全风险，其中包括mail.ru、fedex.com、washingtonpost.com以及国内知名的网站和搜索引擎。最后，他们对CORS的设计和部署提出了改进建议以降低风险。

《路上WI-FI欲断魂：攻击SMARTCFG无线配网方案》演讲者：上海交通大学密码学与计算机安全实验室（LoCCS）成员李昶蔚、蔡洤朴。伴随着家庭智能化的趋势，大量传统家居装置开始逐步升级为可以无线接入互联网的智能家居设备。为了协助这些缺少输入接口的设备（如智能洗衣机，智能门锁）认证并接入加密无线网络，无线芯片供应商设计了各种配网方案，用以传输Wi-Fi密码及SSID，无线配网也成为智能家居生态系统中的代表性应用场景之一。

作为一类广为流行的配网方案，SmartCFG为诸多无线芯片提供了自动化获取Wi-Fi密码并连接到无线网络的功能。不幸的是，这类方案从设计到实现往往都忽视了安全保护，在攻击者面前往往显得极为脆弱。我们深入分析了市场上八家主流无线芯片供应商所提供的SmartCFG方案，发现其中六款方案存在严重安全隐患：攻击者无需接入受保护的无线网络（WPA2/WPA/WEP）即可解密所传输的Wi-Fi密码！我们进一步大规模扫描了常见智能家居设备并分析了那些使用SmartCfg方案的设备的对应代码实现，发现有三分之二的实现方式可被利用（甚至在所集成SmartCFG方案原本足够安全的情况下，部分设备仍然因为实现中的密码学误用而破坏了安全性）。分析表明，现有SmartCFG方案的配网安全性防护亟需增强。

李昶蔚、蔡洤朴

下一个议题是《我是Groot：WINDOWS 10的安全护卫队》，由丁川达带来，他是玄武实验室的高级研究员。作为连续三届Pwn2Own竞赛的目标，Windows 10以及Microsoft Edge的漏洞利用的难度越来越高了。现在Windows 10已经发布2年了，微软持续为其增加新的安全防护机制。在它的5个大版本里，增加了多层防护以避免编程错误被利用而造成系统沦陷。紧跟着这些年Windows 10安全进化的步伐。在这个演讲里，演讲者介绍了Windows 10安全防护机制的幕后实现，它如何让攻击者的工作更艰难，以及攻击者如何绕过他们。

丁川达

本届DEF CON CHINA的最后一个议题是由Samit Anwer向我们介绍的《Androsia: Securing‘Data in Process‘for your Android Apps（Androsia : 保证Android程序中‘正在使用的数据’安全）》。Samit Anwer先向我们提出了个问题：所有的数据里，哪个最不好保护？是存储的数据呢，还是正在使用的数据，还是运行的数据呢？最不好保护的就是正在使用的数据，因为垃圾清理是不可能完全清理的，就算你清理的了垃圾，依旧会有部分数据没能被清理而存在安全风险。而Androsia则通过全局性的对象分析对每个对象的使用进行整理。在分享中，Samit向我们展示了如何应用这个工具。

大会的最后一项是为本届大会BCTF对抗赛选手颁奖，本届BCTF分为三大板块，AI挑战赛，靶场综合渗透赛和AWD攻防赛。在AI挑战赛上，总结了AI与人类的答题区别：AI在快速答题上是有优势的，但是人类在指定时间内可以答出更多的问题。

本次BCTF部分获奖团队：

冠军：Nu1L

亚军：JD-r3kapig

季军：CyKOR

最佳AI攻防团队：云淡风轻

最佳靶场渗透：Nu1L

随着闭幕式上Jeff Moss登场致辞，并宣布2019年将会有1.0版本的DEF CON CHINA！2018年首届DEF CON CHINA胜利闭幕。回首三天的大会精彩不断，不论是主会场始终炸裂的超高人气，还是Villages有趣的动手实践，亦或是排队都不一定进的去Workshops，都为中国网络信息安全领域的小伙伴们带来了全所未有会议体验。这不仅是一次学习技术的大会，更是世界极客文化交流的盛会，希望DEF CON能与百度安全和未来安全一起将DEF CON CHINA越办越好，也让我们共同期待2019年DEF CON CHINA1.0 更加精彩的内容！