北京时间今晚10点开始,IEEE旗舰级的安全学术会议——第43届IEEE Symposium on Security and Privacy(另一个名字就是我们经常说的Oakland)将在旧金山拉开帷幕。虽然我们远在太平洋的另一边,但心之所向仍然是Oakland,特别是今年我们作为presenters第一次加入到了会议中去,因此我们会尽力克服时差和地理的阻碍,为大家带来关于2022年会议的更多报道。
本年度的Oakland议程已经在会议的官方网站上公布:https://www.ieee-security.org/TC/SP2022/program.html ,大家可以关注自己感兴趣的论文。值得一提的是,G.O.S.S.I.P 公众号在过去半年中已经推送了大量20篇今年会议录用的论文(我们是不是很棒啊!快夸奖我们!),也算是提前帮助大家做好了热身。欢迎大家先去重温一下我们的论文推荐,做好参会准备!
大家如果想索引一下G.O.S.S.I.P 公众号推荐过的论文,可以访问下面网址去自行搜索(目前只更新了2022年的所有阅读推荐):
https://gossip.team/reading/reading-list.html
更早的论文索引可以关注:
2021 G.O.S.S.I.P 学术论文推荐索引
G.O.S.S.I.P,公众号:安全研究GoSSIP2021年比较全的论文分享在这里
作为预告篇,今天带大家简单浏览一下Oakland在2022年的一些我们关注的研究内容(作为一个传统的安全研究团队,我们只能从自己的研究领域出发,为大家介绍一下相关的session和研究内容,欢迎其它领域的作者也来为我们推荐)。
第一日
在大会的第一天中,我们注意到首当其冲的是揭幕session——Fuzzing。可以说这是一个华语专场,来自北京、南京、香港的研究人员,以及UC Riverside的宋程昱教授和尹恒教授,甚至连主持人鲍由之教授都是我们熟知的华人安全研究人员。这个session将会给大家带来三篇关于fuzzing研究的论文的presentation,其中我们已经为大家推荐过的包括:
BEACON
G.O.S.S.I.P,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文推荐 2022-01-14 BEACON
PATA
G.O.S.S.I.P,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文推荐 2021-09-15
以及论文背后的团队们:
Wingtecher Lab
YuJiang@THU,公众号:安全研究GoSSIP安全研究实验室巡礼——清华大学软件学院软件系统安全保障小组
宋程昱教授团队
Chengyu@UCR,公众号:上海交大软件安全研究组GoSSIP安全研究实验室巡礼——加州大学河滨分校系统安全实验室
尹恒教授研究组
HengYin@UCR,公众号:上海交大软件安全研究组GoSSIP安全研究实验室巡礼——加州大学河滨分校尹恒研究组
Tiffany Bao @ SEFCOM 实验室
Fish@ASU,公众号:上海交大软件安全研究组GoSSIP安全研究实验室巡礼——亚利桑那州立大学未来计算安全工程安全实验室
接下来是智能家居安全和虚拟现实安全专场,主持人田园老师也在我们公众号向大家介绍过她的团队。这个session中的研究工作尽管都是北美高校主导,但是也有很多华裔研究人员参与(特别是一作!)
田园研究组
YuanTian,公众号:安全研究GoSSIP安全研究实验室巡礼——弗吉尼亚大学田园研究组
会议议程的第一天下午中,关于TEE的专场中,我们可以发现两位南方科技大学的知名研究人员——张殷乾教授和张锋巍教授的身影,关于南方科大的两位教授和他们的实验室,大家可以点击下方链接访问
COMPASS实验室
G.O.S.S.I.P,公众号:上海交大软件安全研究组GoSSIP安全研究实验室巡礼——南方科技大学COMPASS安全实验室
可信系统安全实验室
Yinqian@SUSTECH,公众号:安全研究GoSSIP安全研究实验室巡礼——南方科技大学可信系统安全实验室
在非常有特色的Attack Investigation专场中,论文研究工作都十分有趣,有一点福尔摩斯探案的味道。这里面也包括了中科院和凯斯西储大学RISE Lab肖旭生教授合作的论文
凯斯西储大学RISE Lab
Xusheng@CWRU,公众号:安全研究GoSSIP安全研究实验室巡礼——凯斯西储大学RISE Lab
北京时间5月24日早上,Oakland的密码实现安全研究专场将迎来G.O.S.S.I.P成员的debut——我们的论文CryptoMPK的论文一作金宣成将在杭州线上同大家分享相关研究内容。同时这个session中还有4篇论文,两篇理论性很强,两篇现实意义很足,欢迎大家(早起)围观!
CryptoMPK
GoSSIP,公众号:安全研究GoSSIP保护内存核心机密数据的魔法,名字叫做……
当然也要给我们的合作伙伴钱志云教授打call:
钱志云教授团队
Zhiyun@UCR,公众号:上海交大软件安全研究组GoSSIP安全研究实验室巡礼——加州大学河滨分校网络与系统安全实验室
同时提醒大家关注在我们之前作报告的这篇很有意思的现实世界密码学误用研究论文
Why Crypto-detectors Fail
RomanGol,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文推荐 2021-07-23
与密码实现安全研究专场同一时间进行的Spectre和Rowhammer专场中一共有五篇相关研究论文,既有总结性的SoK论文,也有从web侧执行相关攻击的研究,虽然它们很有意思,但是我们还是“奉劝大家不要不识好歹,来给我们的论文捧捧场”()
在(小编不是特别熟悉的)ML应用专场中,论文的内容都挺有意思的,有一篇来自浙大和UIUC
李博 @ Secure Learning Lab
BoLi@UIUC,公众号:安全研究GoSSIP安全研究实验室巡礼——伊利诺伊大学香槟分校李博研究组
第二日
当Oakland进入到第二天,首先开始的是充满乐趣的现实世界安全与可用性调研专场。在这个专场中,我们会看到去年就推荐的论文27 Years and 81 Million Opportunities Later: Investigating the Use of Email Encryption for an Entire University,也有一篇指出大公司里面为员工提供钓鱼邮件反欺诈培训无用性的论文Phishing in Organizations: Findings from a Large-Scale and Long-Term Study。小编个人感觉这会是整个会议里面非常有意思的专场(如果报告都能像小编这么风趣幽默就更棒了)!
邮件安全的27年漫漫路
G.O.S.S.I.P,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文特别推荐 2021-11-29——邮件安全的27年漫漫路
同一时间的认证安全与设备指纹专场,我们看到了浙江大学徐文渊教授团队与达姆施塔特工业大学合作的论文,还有一篇非常神奇的来自美国海军研究生学院的单人作者论文,大家有兴趣可以围观
会议进入到第二天上午,终于轮到软件安全专场了!在这个专场中,Vrije Universiteit Amsterdam和UCSB的明星研究团队纷纷亮相,而来自香港科技大学王帅教授(https://www.cse.ust.hk/~shuaiw/)团队的论文SoK: Demystifying Binary Lifters Through the Lens of Downstream Applications 看上去就是一项很吸引人去阅读的工作
在同时间段的另一个session还有我们的老朋友,(酒量)实在的张阳研究员团队的论文,欢迎大家去找张阳博士聊天!
GNN Model Stealing
Xinlei@CISPA,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文推荐 2022-02-23 GNN Model Stealing
张阳研究组
Almo@CIPSA,公众号:上海交大软件安全研究组GoSSIP安全研究实验室巡礼——德国CISPA研究中心张阳博士研究组
应该说,第二天和软件安全专场同一个时间段的几个专场都非常吸引人,在无线安全专场中,在本领域鼎鼎大名的达姆施塔特工业大学SEEMOO实验室又将带来什么力作?而这篇名为mmSpy: Spying Phone Calls using mmWave Radars更是让人充满了好奇!
第二日下午的侧信道攻击专场中,除了我们前几天推荐过的论文Augury和Meshup以外,来自Graz University of Technology的侧信道安全研究明星团队也会为大家送上他们的新论文Finding and Exploiting CPU Features using MSR Templating
占卜术攻击
G.O.S.S.I.P,公众号:安全研究GoSSIPG.O.S.S.I.P 阅读推荐 2022-05-13
Meshup
Junpeng@FDU,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文推荐 2022-03-23 MeshUp
李洲教授研究组
Joe@UCI,公众号:上海交大软件安全研究组GoSSIP安全研究实验室巡礼——加州大学尔湾分校数据驱动安全与隐私实验室
进入第二天下午最后一个时间段,在web安全专场中,我们再次见到诸多华人安全研究人员,这一场的论文也很精彩,不过这个时间段很难取舍,因为其它两个专场(嵌入式安全和物理层安全)也是异彩纷呈,简直是“乱花渐欲迷人眼,浅草才能没马蹄”,小编在今年Oakland第一次遇到选择困难症!
BLE Location Tracking Attack
G.O.S.S.I.P,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文推荐 2022-02-15 BLE Location Tracking Attack
IRQDebloat
G.O.S.S.I.P,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文推荐 2022-01-06 IRQDebloat
第三日
在第三天的会议议程中,首先大家就会看到我们前几天的爆款阅读Flawed, but like democracy we don’t have a better system,真想去会场现场围观一下这个报告呀!同时间段的漏洞分析与审计专场里面,有一篇很有意思的PGPATCH: Policy-Guided Logic Bug Patching for Robotic Vehicles,可以和最近刚刚上线的《爱,死亡与机器人》第三季配合服用哦!
Flawed, but like democracy we don’t have a better system
G.O.S.S.I.P,公众号:安全研究GoSSIPG.O.S.S.I.P 阅读推荐 2022-05-18
当时间进入到北京时间周四凌晨时,请大家注意,2022年的欧冠决赛G.O.S.S.I.P在今年Oakland的第二篇论文报告就要上线了,尽管我们已经(恬不知耻且不遗余力地)宣传过很多次了,还是希望大家如果失眠的话,来听听我们的报告,可能会帮助改善你的睡眠质量(请你们不要因为其他几个工作做得比我们更好,就为他们鼓掌!)同时也为我们的合作伙伴卢康杰教授打call~
P.S. 注意了,在这个软件安全专场中,除了我们的合作者Elisa Bertino教授以外,全部作者都来自东亚,请大家自觉在交流中使用UTF-8或者UTF-16编码,防止乱码!
内存破坏猎手 Goshawk
G.O.S.S.I.P,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文特别推荐 2022-03-07 内存破坏猎手——Goshawk
卢康杰教授团队
Ken@UMN,公众号:上海交大软件安全研究组GoSSIP明尼苏达大学系统安全实验室招人啦~
GREBE
Dongliang@HUST,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文推荐 2022-03-09 GREBE
邢新宇课题组
Xinyu@PSU,公众号:上海交大软件安全研究组GoSSIP安全研究实验室巡礼——宾夕法尼亚州立大学邢新宇课题组
如果你(胆敢)不喜欢我们的报告,那你可以去同时进行的另一个会场看看关于measurement study的研究,不光有教你戒赌的论文,也有研究人员去调查用户账户删除后,个人信息残留的调查报告Scraping Sticky Leftovers: App User Information Left on Servers After Account Deletion
戒赌篇
G.O.S.S.I.P,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文推荐 2022-01-21 Mobile Gambling Scams Analyzing
本时间段还有一个关于机器学习相关攻击的专场,大家可以去关注一下两位老师Neil Gong和马仕青老师参与的相关论文
BadEncoder
Jinyuan@Duke,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文推荐 2021-08-26
杜克大学Neil Gong研究组
Neil@Duke,公众号:安全研究GoSSIP安全研究实验室巡礼——杜克大学Neil Gong研究组
马仕青课题组
公众号:上海交大软件安全研究组GoSSIP安全研究实验室巡礼——新泽西州立罗格斯大学安全实验室
在(饶有兴致地)听完我们的报告Goshawk之后,大家肯定意犹未尽吧,欢迎进入到本次会议第二个Fuzzing专场,这里有上个月推荐过的哥伦比亚大学作者的投稿,也有世界著名大学——复旦大学的系统软件与安全实验室的Android安全研究
Fuzzing with Graph Centrality Analysis
G.O.S.S.I.P,公众号:安全研究GoSSIPG.O.S.S.I.P 阅读推荐 2022-04-20
Android Straw Attack
G.O.S.S.I.P,公众号:安全研究GoSSIPG.O.S.S.I.P 学术论文推荐 2022-02-11 揭秘Android Straw漏洞
复旦大学系统软件与安全实验室
SecLab@FDU,公众号:上海交大软件安全研究组GoSSIP安全研究实验室巡礼——复旦大学系统软件与安全实验室
同一时间段,还有另一个有趣的专场——Usable Security专场,在这个专场中,两篇SoK文章和一篇肯尼亚Mobile Loan Apps调研的论文。和小编一开始想象的完全不一样,原来这篇文章并不是要批评肯尼亚的(万恶的资本主义)网信贷金融乱象,反而表扬了它们,只是更关心这些app中的隐私泄露问题……
第三天下午的最后一个时间段里,在IoT专场中,我们推荐过两篇相关的论文,同时也推荐过两位超级棒的老师——廖晓静老师和邢璐祎老师(而且廖老师的工作非常《法证先锋》和《白夜追凶》,而邢老师长得非常帅,这些事小编是不会出去乱说的)。当然,大家如果还记得2020年在武汉举办的江夏晴川workshop,也会对Robbery on DevOps这篇论文背后的华中科技大学邹德清教授和金海教授团队有所了解吧!
Exposed Infrastructures
G.O.S.S.I.P,公众号:安全研究GoSSIPG.O.S.S.I.P 阅读推荐 2022-05-17
Robbery on DevOps
ZhiLi@HUST,公众号:安全研究GoSSIPG.O.S.S.I.P 阅读推荐 2022-05-05 Robbery on DevOps
廖晓静研究组
RomanGol,公众号:上海交大软件安全研究组GoSSIP安全研究实验室巡礼——印第安纳大学廖晓静课题组
邢璐祎课题组
Luyi@IU,公众号:上海交大软件安全研究组GoSSIP安全研究实验室巡礼——印第安纳大学邢璐祎课题组
第四日
第四天是Oakland的workshop day,今年大会共有6个workshop,其中大家都很喜欢的WOOT workshop里面有很多好玩的议题,可以去围观:
https://www.ieee-security.org/TC/SP2022/WOOT22/index.html
可惜的是,由于贫穷,小编今年并没有足够多的资金注册参加workshop,所以各位读者欢迎为我们注入大笔资金(现在还来得及),让我们写出更好的报道!
我们在整个预告篇中肯定遗漏了诸多很好的研究工作,欢迎读者自荐,或者指出我们的纰漏之处!谢谢大家,让我们周二和周四线上见!
原文始发于微信公众号(安全研究GoSSIP):IEEE S&P 2022 云端报道(1)