要说今年更具看点的信息安全大会，非SyScan360莫属。北京时间5月31日—6月1日， SyScan360国际前瞻信息安全会议在美国西雅图开幕，来自谷歌、微软、Intel、McAfee、360、 *** 等众多国内外公司的 *** 安全专家和顶级黑客齐聚一堂，分享安全圈备受关注的前沿话题。

　　这是国内厂商首次在海外举办技术峰会，阵势毫不含糊。微软、谷歌、Intel、McAfee、CheckPoint、360、 *** 、常春藤名校等各门派的顶尖高手论道安全武林；两天的议程囊括了系统、移动、 *** 、硬件、IoT、机器学习等全领域13大热点话题，堪称史上更具性价比的“干货”盛会。

　　顶尖黑客齐聚一堂，甚至引来FBI现场全程监控。FBI表示：此次活动虽然没有违法迹象，不过这么多黑客聚集在一起，我们是肯定要监控的。想知道大会中究竟有哪些猛料，让FBI都坐不住了？接下来，我们就为没能赶到现场的你解锁SyScan360搞的大事情。

　　

　　被称为“谷歌亲儿子”的智能手机Pixel可谓集万千宠爱于一身，对安全性极为重视的谷歌在Pixel的安全保护上重兵布阵。但铜墙铁壁的保护竟然被Chrome V8引擎中一个微不足道的逻辑错误漏洞攻破了！

　　360手机卫士Alpha Team的龚广就是这场奇迹的幕后作者，在议题“Butterfly Effect and Program Mistake- Exploit an ‘Unexploitable’Chrome Bug”中，他还原了这场蝴蝶振翅引发的安全风暴，利用近乎不可能的漏洞（CVE-2016-9581）和多种奇特的利用技巧，最终用时不到60秒，就在PwnFest世界黑客大赛上实现了全球首破Pixel。

　　最近，“世界之一围棋AI”AlphaGo与中国围棋职业九段棋手柯洁的人机大战落幕，人工智能完胜人类棋王，并又强硬地刷了一波热搜。如今，人工智能在各个领域逐渐深入，在挖漏洞方面也表现不俗。来自美国乔治亚大学的李康教授在“Enhancing Symbolic Fuzzing with Learning”中就现场传授了借助机器学习增强Fuzzing性能的前沿课题，并首次披露了实验人工智能技术进行漏洞挖掘的实例。

　　夜半时分，当你正盯着字幕看电影时，一双心怀叵测的眼睛正透过字幕紧紧盯着你。听到著名安全公司Check Point研究人员Omri Herscovici和Omer Gull带来的议题“Pwned in Translation - from Subtitles to RCE”时，即便是参会经验丰富的 *** 湖，也会一瞬间以为自己错走入恐怖片片场。

　　字幕为何成为黑客实施监控的新工具？实际上，现代字幕文件格式已经非常复杂，它允许支持大量的特效和功能，而各个播放器在实现字幕渲染时又没有统一的标准，代码的安全性完全由播放器开发者保证，这就给了黑客以可趁之机。通过字幕渲染漏洞，只需要一个字幕文件，就能完全控制播放器用户或者播放平台系统，进而为所欲为。

　　《速度与 *** 8》中，有个由多个联网摄像头组成的“天眼”监控系统，它能整合全球所有的数据采集、监控设备，通过手机音频、监控摄像头再加上大数据和人脸识别技术，瞬间把要找的人定位出来。

　　听起来极为酷炫的黑客“千里眼”创意在SyScan360上演了现实版，而令人大跌眼镜的是，这套设备竟然只需要1000美元。没错！你可能认为监听 *** 数据需要投入国家级的技术力量，但Securing Hardware的研究员Joe FitzPatrick却实现了低成本监控数字痕迹信息，即便从不使用数字设备的偏执狂们也难逃天眼追踪。

　　谷歌安全工程团队负责人、 *** 安全领域最全能的顶级黑客Fermin J.Serna分享的是Linux系统更底层的基础库Glibc的漏洞（CVE-2015-7547）的细节。由于Google服务器配置错误发现的这一漏洞，如今已通过远程未经身份验证的方式影响了全球一半基于Linux的 *** 。

　　正因威力巨大，Fermin凭该漏洞获得了2016年“黑客奥斯卡”——Pwnie奖的金奖。当然，这不是Fermin之一次获得Pwnie的垂青，从Windows操作系统内核，到浏览器、Flash插件、服务器系统、库等多个领域发现大量安全漏洞，Fermin多次获得“黑客奥斯卡”的青睐。

　　如果说软件也有性格，那么Office一定能上榜“最老实软件排行榜”头几名。低调不张扬，务实不取宠应该是Office留给上班族和学生党的最初印象。此外，微软在Office安全上也进行了大量投入，包括著名的白盒审计工具等，消灭了大量可利用的漏洞，真实可用的Office内存漏洞如今十分罕见。

　　不过，看起来无害的Office一旦出现漏洞，那可是威力惊人。来自McAfee的资深研究员、 *** 安全行业杰出的华人代表Haifei Li和BingSun通过神奇的思维魔法，挖到了Office的逻辑漏洞，通过一个特殊的字符串，就可以远程控制Office，据说这一漏洞还可能被应用于APT攻击！

　　说到黑客，不免给人一种“大隐隐于市”的神秘感，虽然黑客群像面目模糊，但混安全圈的谁要是不认识将要介绍的这位大神，恐怕就要露怯了。Alex Ionescu可能是全球Windows安全领域最厉害的专家。他不满20岁就领导了完全复制Windows系统的ReactOS开源项目，如今他是安全公司CrowdStrike的战略副总裁，还是BlackHat等安全盛会的保留讲师。

　　这位“神隐级”大师在SyScan360上带来的压轴议题堪称难度“超纲”。他不仅向全球首次公开了微软最新的虚拟化技术内部细节，还实现了全球首个Win10虚拟机到宿主机的逃逸攻击。被认为黑客圈屠龙之术的虚拟机逃逸就被Alex在弹指间轻松完成，这一套行云流水的攻击让现场观众大饱眼福。