Marhaban！ 我是微软安全响应中心（MSRC）的Maarten Van Horenbeeck。这是我首次在EcoStrat博客发文。作为MSRC的安全项目经理，我的职责之一是与安全研究人员合作，这经常需要参加安全会议与大家交流。两周前，我们可信计算（TwC）部门的几位成员参加了在炎热迪拜举办的Hack in the Box（HITB）安全会议。

阿拉伯语有句谚语：“每个阿拉伯语单词要么表示自身，要么表示反义，要么表示骆驼”。在信息安全行业工作时，我常用这句话向客户说明：一段被某人视为漏洞的代码，很可能被另一人视为有效功能。因此，我和微软同事都很有兴趣了解其他能应用于整个信息安全行业的阿拉伯谚语。

Hack in the Box是每年两次的会议，4月在阿联酋迪拜举行，年底在马来西亚吉隆坡举行。基于以往对该会议演讲价值的认可，微软本次作为钛金赞助商参与。迪拜会议比马来西亚的规模更小，但这正是当地信息安全专业人士建立联系、了解全球尖端安全研究的绝佳机会。演讲者来自印度尼西亚、美国和德国等遥远地区。

在微软，我们可以坦然承认：为了开创安全事业，我们不得不犯下所有可能的错误并从中学习。我刚加入公司时，就被我们强大的学习能力所震撼。处理问题时，我们总是思考如何更有效地解决类似问题。因此，我们不仅为学习而参会，更为开启对话——我们既分享自身经验，也希望与他人交流。

微软员工本次有两个演讲。信息安全工具总监Mark Curphey发表了关于安全工具与技术在有效风险管理中应用的主题演讲。Mark指出，与在线游戏或医疗等其他风险管理领域相比，现有的大多数安全工具和技术只能称为原始。根据我作为安全顾问的经验，确实如此——Microsoft Office Excel往往是风险管理人员最有效的工具。

考虑到组织面临的风险程度，这种状况令人担忧，但当Mark说明他的团队正在微软致力于解决这一问题后，观众们普遍松了一口气。

Mark演讲后，微软安全保证团队的Ian Hellen和我与多位与会者交流，他们想深入了解微软如何处理应用安全问题。我们了解到迪拜有大量支持业务流程的内部软件开发，许多与会者询问如何使自己的应用更安全。我们向他们介绍了微软安全开发生命周期（SDL）——我们的标准化软件安全方法。如果您有类似需求，可以在此了解更多。

我们的安全工程师Billy Rios做了关于Web应用信任关系的精彩演讲，重点阐述了Web应用实现的安全模型与托管这些应用的浏览器实现的安全模型之间的差异。此外，他还与谷歌的Chris Evans合作，向观众分享了他们在跨域问题和SSL中间人攻击方面的实践经验。

会议内容过于丰富，无法在此详述，但我将提及其他一些亮点。

WabiSabiLabi的Roberto Preatoni（BlueHat 6的嘉宾之一）就网络战进行了演讲。他通过列举几个当代网络战实例，反驳了Marcus Ranum 2007年在HITB马来西亚会议上关于网络战被高估的观点，并说明网络战不仅影响国家，其利益冲突也可能影响行业和个别公司。

观众中的逆向工程师对Zynamics的Sebastian Porst表示欢迎。他介绍了REIL（逆向工程中间语言），特别是如何用它优化静态二进制代码分析。他们实际使用了我们的一个漏洞——MS08-067中修补的Windows服务器服务漏洞（在此和在此了解更多）来演示其工具工作原理。这无疑是我们许多工程师深感兴趣的话题。

另一场广受欢迎的演讲来自IOActive的Wes Brown。他提供了分析恶意代码的优秀入门指导，并通过描述语言、Unicode甚至文化如何产生影响，使逆向工程师的工作变得更加困难，为演讲增添了独特视角。

会议结束时，微软赞助了日落会后招待会，提供了更多宝贵的交流机会。

有时处理安全事件和漏洞就像穿越沙漠。保密是不言而喻的要求，通常你只能依靠自己的感知、知识和直觉。值得庆幸的是，就像在迪拜一样，存在我们可以聚集并相互隐依赖的"水坑"，分享信息并推动行业技术发展。感谢Hack in the Box举办了一场精彩的会议，我们下次再见。Ma’a salama。