安大略湖畔的安全之光——ACM CCS 2018 小记(3)

安大略湖畔的安全之光——ACM CCS 2018 小记(3)

前言

2018年10月17日,正值CCS 2018进入到主会的第二天,加拿大全国正式宣布进入大麻娱乐使用合法化(瑟瑟发抖),于是今天大部分人都选择安心躲在Beanfield中心,老老实实开会。。。

一次针对组织者的旁路攻击

旁路攻击(side channel attack)是最近几年安全研究中非常热门的研究方向,例如针对crypto key的各种计时攻击(Timing attack),基于Intel CPU的预测执行的攻击(如meltdown、Foreshadow)等等。为了简单明了地解释一下如何开展旁路攻击,我们将用一例本次参会时对组织者的分析来展示:

本次大会的注册处大多为来自多伦多大学的老师和学生,然而我们注意到在注册组有一位美丽的小姐姐,她的胸牌上除了她的名字,还非常奇怪地写着“CCS 2019”,我们特意检查了很多其他参会者的胸牌,发现无一例外都是CCS 2018,而且小姐姐操着一口非常地道的伦敦腔,于是我们厚着脸皮去向其请教“why CCS 2019”,小姐姐一脸得意的坏笑,说你猜猜看啊,于是乎恍然大悟,本来今天晚宴要公布的信息,我们通过side channel attack提前得知了结果——2019年的CCS将在英国伦敦举办。末了,我们向小姐姐表达了对伦敦特别是其著名的足球俱乐部之一——阿森纳队的喜爱,小姐姐对此表示“不予评论”(T_T)

当然,关注真正的旁路攻击的研究人员,可以回顾一下昨天(16日)的side channels这个session,里面提到了各种更为精巧的信息泄漏。即使是我们认为不太可能被攻击的一些设备和场景,依然会被研究人员抓住问题。

密码学、安全多方计算与区块链安全

在密码货币及区块链应用的推动下,最近几年来密码算法、协议等的研究和应用受到了非常多人的关注,本次大会第二位Keynote speaker(悄悄吐槽一下昨天第一位speaker的演讲,可以用《出师表》最后一句来形容)Shai Halevi就以“Advanced Cryptography: Promise and Challenges”为主题,介绍了各种复杂的密码学技术(例如同态加密)在这一波来势汹汹的新技术新应用背景下的推广。

CCS通常发表密码学偏应用的成果,但最近两年主要是隐私保护计算(零知识证明、多方计算、抗量子格密码)方面的成果,16日和17日的讨论大都是这方面的研究,包括安全计算(Secure Computation ),可搜索加密(Encrypted Search & Computation),零知识证明和基于格的密码学(Crypto: ZKPs & Lattices )以及区块链(Blockchain),这背后自然少不了资本的推波助澜,甚至可以嗅到金钱的味道。如果从学术的角度去探索,推荐大家浏览由上海交通大学郁昱教授发表在《中国计算机学会通讯》的科普文章《面向隐私保护计算的密码新技术》:

https://crypto.sjtu.edu.cn/cis2018/ppcomp.pdfcrypto.sjtu.edu.cn

顺便打一个广告:如果你错过了CCS的隐私保护计算密码技术报告,那么不要错过将于今年11月29日-12月1日在深圳举行的,由上海交通大学和清华大学联合主办的第一届Crypto Innovation School (CIS 2018);包括图灵奖得主、鼎鼎大名的Adi Shamir,本次CCS的密码学session的chair Jonathan Katz 以及哥德尔奖得主 Moni Naor 等著名密码学家将亲自授课:

CIS 2018crypto.sjtu.edu.cn图标


此外,在16日的报告中还有一个Smart Contracts的session,里面第一篇论文介绍了一个非常有意思的智能合约分析工具Securify,可以看做是智能合约领域的二进制代码分析工具,推荐大家尝试使用:

Securify: Security Scanner for Ethereum Smart Contractsecurify.chainsecurity.com图标

移动与智能安全

随着整个生活中此类设备的日渐普及,移动智能设备、智能家居设备和智能工控设备方向的安全研究,已经变成了CCS的常规议题之一。而今年发表的多篇研究论文的想法也更加天马行空,精彩纷呈。在Cyberphysical Systems这个session中,首先是来自博世的工程师介绍了如何在汽车中识别一个非法的ECU接入(貌似这类攻击经常发生在4S店:未经授权的维修人员可以用自己设计的仪器接入到汽车CAN总线),通过对不同的ECU的信号进行分析,可以识别出汽车上是否接入了非原厂授权的ECU。尽管这个想法并不是第一次被人提出,但是敌不过土豪研究人员使用了保时捷做测试,想必底下的听众是又爱又恨:

当然也有听众会问,如果我的车开了10年以后,这个ECU的特征是否会变?博世工程师表示这个我们测试一下再说。。。

另一篇关注智能家居安全的论文On the Safety of IoT Device Physical Interaction Control研究了这样一个问题:

假设现在智能家庭中有两个设备(对应两个app),虽然这两个设备在网络层面上没有交流,但是它们在物理世界上存在关联。如上图所示,当一个设备增加了室温,另一个设备就会感知并打开家庭的窗户,导致盗窃事件的发生。那么,如何通过对APP的组合分析,发现此类安全隐患呢?你一定会说安全研究人员真是异想天开,这种物理上的安全链条是怎么通过分析app就能得知呢?实际上,作者使用了基于自然语言处理(NLP)结合程序分析的方法,能够在很多场景下发现这种关联,感兴趣的读者可以去下载论文了解更多细节!

而在Mobile安全方面,论文的吸引力却不尽如人意,比如研究权限的论文Precise Android API Protection Mapping Derivation and Reasoning就只关注了之前几篇关于Android API permission粒度不够细的问题,尽管作者改进了原有的结果,总有一点旧瓶装新酒之嫌。

晚宴、颁奖与中国之光

17日晚上的大会晚宴颁发了各类奖项,晚宴由著名的华人安全研究人员,上海交大校友王晓峰教授主持:

王教授代表ACM SIGSAC首先宣布了本次大会的杰出论文候选(其中来自国内西北大学的论文Yet Another Text Captcha Solver: A Generative Adversarial Network Based Approach入围!):


尽管杰出论文候选已经是优中选优,但是最后还是只能有更少数目的论文入选,最终答案揭晓,两篇主要由中国研究人员(尽管是在国外)的论文获得了杰出论文奖!(注意第二篇的作者信息有误,应该是Zeyu Ding, Yuxin Wang, Guanhong Wang, Danfeng Zhang, and Daniel Kifer)

接下来,今年CCS还新增加了一个TEST-OF-TIME奖项,王教授首先回顾了10年前的CCS(同时夹带私货地指出这也是他连续十年发表CCS论文的开端),那时的CCS尚不如今天一样火热(本届CCS论文134篇,参会950人):

时光荏苒,但是高质量的研究论文毕竟只会因为时间的流逝而更加熠熠生辉:

这篇论文,在10年前就已经在我们小组内部阅读会议上讨论过,时至今日,它依然还在被更多的新论文引用(王教授顺便说了一句,有多少今天的高引用AI论文能在10年后还能得到引用?)


接下来又是一个非常重头的奖项——SIGSAC Doctoral Dissertation Award,获得这个奖项的博士生基本上可以认为是整个安全界这一年的最佳新秀,也就意味着巨星在这里冉冉升起。在安全研究这个领域,我们之前也反复强调,性别绝不是限制条件:今年的三位获奖者中有一位美丽的中国小姐姐——廖小静老师(目前已经前往Indiana University Bloomington就职,xiaojingliao.com/)。



本次CCS,来自中国地区的安全研究人员大放光彩,王晓峰教授担任大会的程序委员会主席之一,程序委员会中有来自大量国内和国外高校的华人研究人员参与了论文审稿选拔评定工作,会议过程中随处可见中国面孔,杰出论文奖和优秀博士论文奖都有中国人的身影。我们有理由相信,在不久的将来,在国内的安全研究人员会和国外的华人安全研究人员一起,发表更多更高质量的论文,也期待我们能够在下一届伦敦CCS上取得新的突破。


接下来,会议的大旗从2018多伦多交给下一届主办方:2019伦敦

明年伦敦主办方代表:Lorenzo Cavallaro & Johannes Kinder


下面是划重点时间了:根据我们的第一手私家消息,2019伦敦CCS将是第一届改变年度投稿规则的CCS,明年的投稿截止日期会在1月和5月,而8月可能会有一次revision submission,请大家现在就开始准备起来吧!

写在最后的硬广

有同学问,如何要到美丽动人的蚂蚁小姐姐(见本次CCS报道第一天的新闻稿)的联系方式,这里统一答复下,只需申请蚂蚁金服在本次CCS大会上发布的安全专项科研基金

2018_蚂蚁金服安全专项科研基金 [SJTU - AntFinancial]loccs.sjtu.edu.cn

即可联系上冻人(多伦多温度今天骤降)的小姐姐啦!


P.S.,想了解加拿大公开售卖的违禁品的味道?送上最佳论文LEMNA: Explaining Deep Learning based Security Applications里面的可爱猫咪给大家吸一吸!

编辑于 2018-10-22

文章被以下专栏收录