BlackHat USA 2018 | 即将开幕的环球黑客狂欢盛典

Black Hat官网地点：https://www.blackhat.com/

勾当简介

假如让天下黑客选出一个最顶尖的黑客集会会议，那Black Hat必然会以压倒性上风被投票选出，Black Hat活着界黑客心中相等于一年一度的“天下杯”和“奥斯卡”，同时也被公以为天下信息安详行业的最高盛会。

Black Hat有着久长汗青，本年已经进入了第21个年初，每次集会会议的议题筛选都极为严酷，浩瀚议题提交后通过率不敷20%，以是Black Hat也被称为最具技能性的信息安详集会会议。

这些天下顶尖的干货议题不只席卷了昔时最前端的技能和热门，还将会引领将来的安详头脑和技能风向。

勾那时刻

2018年8月4日-9日

勾当所在

美国拉斯维加斯，曼德勒海湾集会会议中心

议程布置

BlackHat USA首要分为三部门：

(1) 8月4日-7日的BlackHat培训：

专为信息安详从颐魅者计划，通过实习收集袭击和防守来进步黑客手艺，BlackHat培训由行业专家教学，方针是界说和守护来日诰日的信息安详名堂。

(2) 8月8日-9日的展台

BlackHat与高出17,000名信息安详专业人士相助，通过搭建展台来展示Black Hat赞助商提供的一系列安详产物息争决方案。同时，这些展台也为参会者、供给商和安详社区提供了奇异的深入相识的机遇。

(3) 8月8日-9日的议题

在Black Hat 上通过上百个议题，相识最新的信息安详风险和趋势，来自天下各地的安详专家将分享最新的打破性研究、开源器材和安详裂痕等。

议题简介

1. AFL盲点以及怎样抵挡AFL Fuzzing

• 演讲职员：乔治亚大学传授-李康传授(360收集安详北美研究员的认真人)
• 演讲所在：Jasmine Ballroom
• 演讲日期：2018年8月8日，礼拜三，17点05分-17点30分
• 演讲情势：25分钟告诉
• 主题标签：应用安详、安详开拓周期

在应用措施恍惚测试规模中，AFL的浸染不问可知。在已往的几年里，研究职员一向在不绝地研发新的技能来晋升AFL的成果以更好地辅佐我们探求安详裂痕。可是在这个进程中，却很少有人存眷怎样潜匿裂痕并不被AFL发明。

此次演讲内容首要关于AFL的盲点，我们将接头AFL自己的限定身分，以及怎样操作AFL的这种“缺陷”来潜匿非凡的安详裂痕。AFL可以或许对代码包围举办追踪，并操作代码包围信息来引导恍惚测试进程中的输入数据天生。AFL不会记录完备的代码执行路径，AFL行使的是一种压缩后的哈希位图来存储代码包围信息。这种压缩位图可以或许带来的是执行速率的晋升，可是这种要领也有自身的缺陷：在压缩位图中，因为哈希碰撞的题目，新路径将可以或许被之前的路径包围。代码包围信息的这种不准确性和不完全性偶然将会阻止AFL恍惚测试器发明那些有也许导致代码瓦解的隐藏路径。

在此次演讲中，我们将演示AFL的这种缺陷，并通过一些例子来演示怎样操作AFL的这一“盲点”来限定AFL探求裂痕的手段。除此之外，我们也会先容怎样防备AFL通过其他要领(譬喻标记执行)来天生并获取随机数种子。

为了进一步演示AFL的这种缺陷，我们开拓了一款名叫DeafL的软件原型，该器材可以或许转换和重写EFL代码并实现我们防备AFL恍惚测试器乐成发明裂痕的目标。在不必要修改给定ELF代码的环境下，DeafL器材可以或许将输入的代码重写到一个新的ELF可执行措施。这样一来，AFL本来可以或许轻松找到的裂痕在重写后的代码中将很难被找到。

2. 怎样消除视频流处事中的水印

• 演讲职员：阿里巴巴安详研究专家-王康     清华大学硕士研究生-惠轶群
• 演讲所在：Tradewinds EF
• 演讲日期：2018年8月9日，礼拜四，12点10分-13点00分
• 演讲情势：50分钟告诉
• 主题标签：数据取证/变乱相应、计策

在中国，视频直播处事越来越火了。为了确保各自的好处，许多视频处事提供商城市在视频中添加可见的水印，并且这种环境也越来越常见了。正因云云，这也让许多用户和观众对此深感厌倦，事实各人都是来看视频的，谁又想去看那碍眼的水印呢?

我们通过研究发明，某些视频处事提供商添加的水印是可以被用户主动破除的。也就是说，视频的原创作者可以预先在本身建造的视频流中安排一种反向水印，这样就可以或许破除去视频处事提供商特殊增进的水印了。固然这项技能的观念听起来很简朴也很直观，可是在技能的实现进程中还存在一些题目，好比说水印的巨细、位置和阴影等等。我们从理论上对计较机图形卡的计较手段极限举办了评估之后，我们建造了一个PoC并用它来对中国最大的一家视频流处事提供商(这家公司已在纽交所上市)举办了测试。测试的功效让我们很是满足，在办理了颜色打点以及颜色空间转换等相干参数题目之后，我们此刻险些可以或许100%地实现主动的水印消除了。

为了自动化实现整个水印消除进程，我们还自主研发了一款ffmpeg过滤器和一个OBS插件，它们可以或许辅佐我们在视频直播的进程中对时刻间隙较短的帧数举办及时调解，从而得到更好的水印消除结果。

除此之外，我们还会先容水印技能此刻所面对的一些安详题目，好比说可以被主动消除等等。个中涉及到：

• 转换进攻：将视频中现有的水印转换成其他提供商的水印。
• 码率发抖进攻：添加高判别率的组件并逼迫视频编码器低落水印四面的视频码率。
• 帧压缩进攻：通过压缩屏幕来捐躯必然的判别率，然后通过用户自界说的JavaScript来绕过水印成果。

虽然了，在我们的演讲中还会提供一些响应的安详应对计策，而且还会通过例子来举办讲授。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!