1. 程式人生 > >這兩天,上海吹起一股“極棒”風……

這兩天,上海吹起一股“極棒”風……

“極棒”?

“很贊”?

very good?

如果你能親臨現場,就能明白小編我絕對所言非虛,剛剛結束的GeekPwn2018國際安全極客大賽真如其名“極棒”一般著實精彩!

據瞭解,比賽以“人‘攻’智慧,洞見未來”為主題,主要通過集結最強黑客戰隊,預演智慧裝置及人工智慧領域潛在的安全問題,探索智慧生活的安全之道。

同時,為了更加全方位洞見未來的安全風險,還首次設定了不同挑戰場景的命題專項賽,不設限制的非命題開放賽以及PWN4FUN趣味挑戰賽。

具體的賽事情況如何呢?我們賽場上見!

話說你能想象僅憑一張紙就可以秒破安卓手機的屏下指紋鎖嗎?聽著好像是“天橋絕技”一般,但現場的白帽黑客們經過縝密研究居然做到了……

這不在挑戰過程中,騰訊安全玄武實驗室首度演示了影響觸屏解鎖型安卓裝置的“殘跡重用”漏洞,安全研究員只需通過一張普通卡片就可以輕鬆讓任何人對手機的屏下指紋進行解鎖。

據悉,目前屏下指紋解鎖功能是利用光學技術捕捉使用者的指紋影像,通過反射體欺騙的方法,利用螢幕上殘存的指紋痕跡,讓屏下指紋感測器認為手機的主人正在使用指紋驗證。

但該漏洞屬於屏下指紋技術設計層面的問題,會幾乎無差別地影響所有使用屏下指紋技術的裝置。

基於此類發現,騰訊安全玄武實驗室負責人於暘(TK教主)也表示,使用者無需太過擔心。

實驗室早在今年初就開始和國內幾家主流手機廠商合作,不僅通過更新演算法修復了已上市手機中的漏洞,還將相關解決方案提交給相關晶片廠商,推動了供應鏈層面的安全修復,大可以放寬心!

時至今日,智慧化讓手機承載了太多的功能與資訊,同時也成了每個現代人手中最不可侵犯之物。難道上了“鎖”的手機私密相簿還能任由他人隨意翻閱?

別說,在GeekPwn2018的現場,來自AMC團隊楊志偉、胡強,在觀眾和主持人蔣昌建的配合下,還真就成功完成了手機私密相簿的破解挑戰。

據悉,他們利用手機作業系統的漏洞,通過安裝一個惡意APP,root許可權執行任意命令,從而實現在手機中靜默安裝木馬。

對此選手還解釋到,即便相簿密碼再長、再複雜,都抵不過作業系統存在的漏洞。

誠如KEEN公司CEO、GeekPwn大賽發起創辦人王琦曾言:“GeekPwn不止於破解,比起破解本身,我們更加註重腦洞大開的創意”,GeekPwn的舞臺從未缺少過奇思妙想。

除了以上“創舉”外,選手們還通過AI的“腦補”,成功還原照片中的馬賽克,這便是PWN4FUN趣味挑戰專案“GAN 掉馬賽克”。

相關資訊顯示,自8月1日起,GeekPwn官方通過微信小程式“極棒黑客趣味挑戰”,先後釋出了10張經馬賽克處理的圖片,供各路極客前來挑戰。

其中來自中國海洋大學的選手杜昂昂一路過關斬將來到GeekPwn2018的舞臺,他利用AI技術成功將一張經過馬賽克處理的漢堡照片自然還原,帶觀眾一起解鎖了新視界。

除此之外,本次GeekPwn設定的“CAAD對抗性樣本攻防挑戰賽”和“GAN 掉馬賽克”趣味挑戰賽,在預演人工智慧領域可能存在風險的同時,讓更多人瞭解到如何以黑客思維去解決未來人工智慧與專業安全的跨界問題,作用巨大。

如今儘管各種雲端儲存風行,但U盤仍被奉為最主要、最常見的儲存形式被使用。

不幸丟了只能算小事,但如果其中的資料洩露可能就是大事兒了,所以在對資訊保安的強烈需求下,市場上大批指紋加密U盤面世。

這樣就安全了嗎?

據瞭解,即便是採用唯一“身份 ID”指紋解鎖,加上軍事級256 位 AES 加密技術的指紋加密U盤,也逃不過被Pwn的宿命。

來自湖南長沙的伏宸安全實驗室團隊在沒有破壞儲存和主控晶片的情況下,移除原有的指紋識別模組,通過自制的偽造指紋模組裝置,利用數學模型,計算出關鍵資料成功實現破解,看似“密不透風”的加密系統也無法保證資料的萬無一失,實在令人咋舌!

在諸多挑戰專案中,來自長亭科技所挑戰的“虛擬機器逃逸”專案是具備世界頂級水平的挑戰。

網際網路的飛速發展使傳統計算環境向雲端計算環境遷移,但云計算環境也帶來了全新的安全問題。

由於雲底層系統是虛擬化系統,虛擬機器的安全性幾乎關乎整個雲安全系統的穩定執行。

目前,針對虛擬機器的攻擊已經從理論慢慢變成現實。

在此次極棒1024上海站的舞臺上,長亭科技團隊利用VMware虛擬機器3個漏洞,從一臺Linux虛擬機器內部進行攻擊,僅用9分鐘便成功獲取ESXi宿主機系統的最高許可權並進行任意控制,展示了私有云系統所存在的安全問題。

對此騰訊安全玄武實驗室負責人於暘表示,因為本身虛擬機器技術設計的目標就是把你隔在裡面,就像一個牢籠,目的是隔離,而我們要逃逸出來。對於這種比賽,真正攻擊的時間是非常短的,但是從發現漏洞到進行分析到攻破是非常困難的。

而另一位評委,盤古聯合創始人徐昊則認為,之所以它的難度高,是因為軟體的應用範圍在全球非常廣泛,並不是去挑戰一個使用範圍很小的軟體,很多主流的公司在提供雲服務的時候,都會使用這樣的軟體,所以它的影響對全球來說都是非常大的。

KEEN公司CEO、GeekPwn大賽發起和創辦人王琦表示,過去,人們攻擊的是晶片以及作業系統,軟硬體的方向,安全的本質是人與人的對抗;未來攻擊的則是感知以及意識,範圍逐漸擴大,例如AI 騙AI,就是機器對抗機器的典型情況。

大賽讓更多人關注安全研究,真正AI 的安全問題還是需要AI 的專業人士才可以解決,黑客只是為人們提供一個思路。

騰訊高階副總裁丁珂在開場致辭中也表示:我們希望在未來發展當中,以前瞻和敏銳的黑客思維去探索、發現世界的新規律,而GeekPwn這個舞臺就是一個展現的平臺。騰訊安全與GeekPwn已有五年的深度合作,始終致力於推動安全社群的建立。

一方面,騰訊安全保持對安全社群的持續關注和投入,通過組織極客賽事、釋出前沿技術、參與比賽等形式打造國際前沿的技術交流平臺;另一方面,騰訊安全團隊將自身安全能力開放給各行各業,為建設數字安全新生態提供助力。

這是極棒的第五個年頭,自創辦就帶來了許多腦洞大開的破解展示,同時向廠商提交了數百個嚴重安全威脅漏洞,在其努力下,還沒有在現實生活中爆發危害就已經被提前消滅。

未來極棒要讓更多人關注到智慧生活中安全問題的重要性,人“攻”智慧不是目的,讓人們可以享受智慧生活並帶來更安全的光明和未來才是最重要的。