“极棒”?
“很赞”?
very good?
如果你能亲临现场,就能明白小编我绝对所言非虚,刚刚结束的GeekPwn2018国际安全极客大赛真如其名“极棒”一般着实精彩!
据了解,比赛以“人‘攻’智能,洞见未来”为主题,主要通过集结最强黑客战队,预演智能设备及人工智能领域潜在的安全问题,探索智能生活的安全之道。
同时,为了更加全方位洞见未来的安全风险,还首次设置了不同挑战场景的命题专项赛,不设限制的非命题开放赛以及PWN4FUN趣味挑战赛。
具体的赛事情况如何呢?我们赛场上见!
话说你能想象仅凭一张纸就可以秒破安卓手机的屏下指纹锁吗?听着好像是“天桥绝技”一般,但现场的白帽黑客们经过缜密研究居然做到了……
这不在挑战过程中,腾讯安全玄武实验室首度演示了影响触屏解锁型安卓设备的“残迹重用”漏洞,安全研究员只需通过一张普通卡片就可以轻松让任何人对手机的屏下指纹进行解锁。
据悉,目前屏下指纹解锁功能是利用光学技术捕捉用户的指纹影像,通过反射体欺骗的方法,利用屏幕上残存的指纹痕迹,让屏下指纹传感器认为手机的主人正在使用指纹验证。
但该漏洞属于屏下指纹技术设计层面的问题,会几乎无差别地影响所有使用屏下指纹技术的设备。
基于此类发现,腾讯安全玄武实验室负责人于旸(TK教主)也表示,用户无需太过担心。
实验室早在今年初就开始和国内几家主流手机厂商合作,不仅通过更新算法修复了已上市手机中的漏洞,还将相关解决方案提交给相关芯片厂商,推动了供应链层面的安全修复,大可以放宽心!
时至今日,智能化让手机承载了太多的功能与信息,同时也成了每个现代人手中最不可侵犯之物。难道上了“锁”的手机私密相册还能任由他人随意翻阅?
别说,在GeekPwn2018的现场,来自AMC团队杨志伟、胡强,在观众和主持人蒋昌建的配合下,还真就成功完成了手机私密相册的破解挑战。
据悉,他们利用手机操作系统的漏洞,通过安装一个恶意APP,root权限执行任意命令,从而实现在手机中静默安装木马。
对此选手还解释到,即便相册密码再长、再复杂,都抵不过操作系统存在的漏洞。
诚如KEEN公司CEO、GeekPwn大赛发起创办人王琦曾言:“GeekPwn不止于破解,比起破解本身,我们更加注重脑洞大开的创意”,GeekPwn的舞台从未缺少过奇思妙想。
除了以上“创举”外,选手们还通过AI的“脑补”,成功还原照片中的马赛克,这便是PWN4FUN趣味挑战项目“GAN 掉马赛克”。
相关信息显示,自8月1日起,GeekPwn官方通过微信小程序“极棒黑客趣味挑战”,先后发布了10张经马赛克处理的图片,供各路极客前来挑战。
其中来自中国海洋大学的选手杜昂昂一路过关斩将来到GeekPwn2018的舞台,他利用AI技术成功将一张经过马赛克处理的汉堡照片自然还原,带观众一起解锁了新视界。
除此之外,本次GeekPwn设置的“CAAD对抗性样本攻防挑战赛”和“GAN 掉马赛克”趣味挑战赛,在预演人工智能领域可能存在风险的同时,让更多人了解到如何以黑客思维去解决未来人工智能与专业安全的跨界问题,作用巨大。
如今尽管各种云端存储风行,但U盘仍被奉为最主要、最常见的存储形式被使用。
不幸丢了只能算小事,但如果其中的数据泄露可能就是大事儿了,所以在对信息安全的强烈需求下,市场上大批指纹加密U盘面世。
这样就安全了吗?
据了解,即便是采用唯一“身份 ID”指纹解锁,加上军事级256 位 AES 加密技术的指纹加密U盘,也逃不过被Pwn的宿命。
来自湖南长沙的伏宸安全实验室团队在没有破坏存储和主控芯片的情况下,移除原有的指纹识别模块,通过自制的伪造指纹模块设备,利用数学模型,计算出关键数据成功实现破解,看似“密不透风”的加密系统也无法保证数据的万无一失,实在令人咋舌!
在诸多挑战项目中,来自长亭科技所挑战的“虚拟机逃逸”项目是具备世界顶级水平的挑战。
互联网的飞速发展使传统计算环境向云计算环境迁移,但云计算环境也带来了全新的安全问题。
由于云底层系统是虚拟化系统,虚拟机的安全性几乎关乎整个云安全系统的稳定运行。
目前,针对虚拟机的攻击已经从理论慢慢变成现实。
在此次极棒1024上海站的舞台上,长亭科技团队利用VMware虚拟机3个漏洞,从一台Linux虚拟机内部进行攻击,仅用9分钟便成功获取ESXi宿主机系统的最高权限并进行任意控制,展示了私有云系统所存在的安全问题。
对此腾讯安全玄武实验室负责人于旸表示,因为本身虚拟机技术设计的目标就是把你隔在里面,就像一个牢笼,目的是隔离,而我们要逃逸出来。对于这种比赛,真正攻击的时间是非常短的,但是从发现漏洞到进行分析到攻破是非常困难的。
而另一位评委,盘古联合创始人徐昊则认为,之所以它的难度高,是因为软件的应用范围在全球非常广泛,并不是去挑战一个使用范围很小的软件,很多主流的公司在提供云服务的时候,都会使用这样的软件,所以它的影响对全球来说都是非常大的。
KEEN公司CEO、GeekPwn大赛发起和创办人王琦表示,过去,人们攻击的是芯片以及操作系统,软硬件的方向,安全的本质是人与人的对抗;未来攻击的则是感知以及意识,范围逐渐扩大,例如AI 骗AI,就是机器对抗机器的典型情况。
大赛让更多人关注安全研究,真正AI 的安全问题还是需要AI 的专业人士才可以解决,黑客只是为人们提供一个思路。
腾讯高级副总裁丁珂在开场致辞中也表示:我们希望在未来发展当中,以前瞻和敏锐的黑客思维去探索、发现世界的新规律,而GeekPwn这个舞台就是一个展现的平台。腾讯安全与GeekPwn已有五年的深度合作,始终致力于推动安全社区的建立。
一方面,腾讯安全保持对安全社区的持续关注和投入,通过组织极客赛事、发布前沿技术、参与比赛等形式打造国际前沿的技术交流平台;另一方面,腾讯安全团队将自身安全能力开放给各行各业,为建设数字安全新生态提供助力。
这是极棒的第五个年头,自创办就带来了许多脑洞大开的破解展示,同时向厂商提交了数百个严重安全威胁漏洞,在其努力下,还没有在现实生活中爆发危害就已经被提前消灭。
未来极棒要让更多人关注到智能生活中安全问题的重要性,人“攻”智能不是目的,让人们可以享受智能生活并带来更安全的光明和未来才是最重要的。
832
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
