日前,2015中国互联网安全大会(ISC 2015)即将于9月28日至30日在北京召开,大会首日的“安全训练营”早已引发了业界技术人士的大量关注。在“安全训练营”上,盘古团队首席科学家王铁磊将主讲关于“iOS用户态漏洞挖掘与利用”的课程,他也通过微博提前爆料称,他的这堂技术课程还会分析“一个短暂出现的iOS内核漏洞”。
来自盘古团队的王铁磊这堂技术课程的票价高达2万元,是“安全训练营”所有技术课程中票价最高的一场。目前,“安全训练营”的门票已经销售超过80%(抢票请至:http://isc.360.cn/2015/training.html)。这是王铁磊首次公开介绍iOS安全架构,深入分析iOS用户态的攻击面,重点讨论iOS过程间通信漏洞的挖掘技巧,同时,结合真实漏洞案例展示和教授基于ROP的漏洞利用技术。
王铁磊在微博中透露,“轻轻的iOS内核漏洞来了,轻轻的这个漏洞走了。在ISC的安全训练营上盘古团队会对这些漏洞答疑交流”。这条看似简单的微博却被不少业界技术人士转发,有网友评论称“期待干货”,也有网友猜测“意思就是说,iOS9盘古完美破解了?”,更有网友直言“期待盘古Team发力尽快破解iOS9,咱们的6s就有福了”。
据了解,盘古团队在iOS 8.4.1系统中发现了多个越狱漏洞,但并没有发布iOS 8.4.1完美越狱,据说是要把漏洞留给iOS 9完美越狱。盘古团队是国内专门从事iOS越狱的安全技术团队之一,作为盘古团队的首席科学家,王铁磊主要研究程序自动化分析和软件安全领域,并曾在IEEE Security & Privacy、USENIX Security、CCS、NDSS等顶级学术会议发表论文多篇,多次在Blackhat、CanSecWest、PoC、XCon等业界安全峰会报告。
在安全训练营的“iOS用户态漏洞挖掘与利用”课程中,盘古团队将带领学员深入学习iOS系统上的各种安全机制,掌握iOS沙盒、地址随机化、代码签名等安全机制的实现原理和常见对抗策略。在上机操作环节,学员还将进一步学习越狱环境中的开发技巧。在漏洞挖掘和利用方面,学员将重点学习iOS平台上进程间通信漏洞的分析过程,并结合真实漏洞案例开发基于ROP技术的POC样本。
除了盘古团队的王铁磊之外,ISC 2015“安全训练营”的主讲讲师都是业界知名的技术专家,共有13位世界级安全高手参与主讲,号称“东半球最高段位白帽子黑客全体出动”。这些主讲讲师包括北京公交卡漏洞首个发现者/北京地铁通信漏洞的首个发现者杨卿、多次被微软致谢的宋申雷、双螺旋攻防实验室负责人/PKAV团队负责人张瑞冬、美国北卡州立大学计算机博士/独立发现多个Linux内核及厂商驱动0-day漏洞的吴家志等。
据悉,中国互联网安全大会(ISC)由中国互联网协会和360公司共同主办,创办于2013年,历经3年发展,已成为亚洲地区最大规模、最专业的信息安全行业年度会议。今年参与ISC 2015的嘉宾还包括前美国国家安全局、五角大楼网络司令部首任司令基斯.亚历山大(Gen.KeithB.Alexander)将军等网络安全领域的国际知名人士。
