2020年12月24日,网络空间安全学院教授、信息工程研究所第六研究室软件安全分析研究群组负责人、中国科学院青年创新促进会成员霍玮为本科生讲解了软件安全漏洞的“前世今生”。
软件安全漏洞是随着软件的产生而产生的。当今社会,软件无处不在,软件安全不再是一种奢侈,而变成了一种必需。软件安全漏洞是软件安全的“制高点”,其中,漏洞源于程序的缺陷(Bug),是可被利用的、涉及计算机系统安全方面的缺陷。介绍了“漏洞的前世”后,霍老师又通过经典的漏洞讲解了“漏洞的今生”,比如由于分支预测执行中的硬件缺陷造成的幽灵Spectre、永恒之蓝EternalBlue、由于OpenSSL对心跳包处理不当导致的心脏出血HeartBleed、破壳Shellshock。
霍老师随后抛出了一个有趣的命题——“如何在足球场上找钥匙”将同学们带领到了如何寻找漏洞的话题。助教现场演示了如何利用一个漏洞通过自己编写程序来关闭保护,直观地让同学们了解到了软件漏洞。
(关维鑫同学上台协助老师完成演示)
漏洞发现的趋势是结合人工智能和大数据等新技术,随着自动驾驶、5G技术等的产生,漏洞发现也需要关注到这些新的领域。而漏洞分析经历了从分析萌芽到单一化漏洞挖掘,进而发展到多样化漏洞挖掘,最终到系统化漏洞管控的历程。
在现场问答交流环节,霍老师针对同学们感兴趣的话题通过列举新颖的例子进行了全面解答,满足了同学们的好奇心和求知欲。最后,讲座在同学们热烈的掌声中圆满结束。
