堪稱全球最大規模的智能設備破解挑戰賽在北京舉行。在這次中國頂級黑客的“華山論劍”中,特斯拉無人駕駛被Keen Team全球首次實現,此外,一次性攻破七十款主流智能手機,借助未公開網絡基礎協議設計漏洞攻破網絡銀行等展示均為活動最大亮點,各大安全路由器、智能家居、電視盒子、手環等主流智能硬件產品悉數被攻破。
10月24日,為期兩天的由三次獲得頂級安全賽事Pwn2Own冠軍的世界知名安全研究團隊Keen Team主辦,XCon安全焦點峰會協辦的全球首個關注智能生活的安全賽事——GeekPwn(極棒)安全極客嘉年華在京舉辦。
知名智能硬件設備悉數落馬
在為期兩天的嘉年華中,最亮眼的部分當屬主辦方KeenTeam帶領GeekPwn組委為破解挑戰賽熱身時設計的“Pwn for Fun”環節。
誰都知道智能手機有安全隱患,但誰都不能直觀的去表達。然而Keen Team采用互動游戲的方式,讓7位業余觀眾一次性“黑掉”70款主流安卓手機。Keen Team負責人王琦介紹游戲規則,誰能最快將手機攻破奪取手機控制權,將獲得70款手機中的任一一款。而完成它只需要使用一個Keen Team設計的APP,這僅僅是利用了Keen Team研究近半年來移動系統安全漏洞中的幾個芯片級高危漏洞。
游戲結束后,王琦留下獲獎者,讓其將獎品手機關機,并對手機說一句話。隨即會場內的麥克風響起獲獎者說的聲音。王琦解讀,他的手機在他關機且不知情的情況下被攻破,正是利用了“斯諾登”式方法,化身成為黑客的監聽器,上演現實版的“竊聽風云”。
隨后清華大學段海新教授現場展示了一項高深技術,利用未公開的漏洞劫持HTTPS加密銀行交易,電子銀行將化身黑客的提款機。“這是一項影響巨大的網絡基礎協議設計中存在的漏洞,無需木馬、無需釣魚,就可以讓你打給別人賬戶的錢悄無聲息轉到我的賬戶里。”段教授解釋道。
接下來,王琦表示,又到了邀請觀眾當黑客的環節,這次并非是破解手機,而是會場外那被架起來的“最安全智能汽車”——特斯拉。利用Keen Team與V2S研究團隊發現的安全漏洞,現場隨機的觀眾在自己的手機上用微信就實現了特斯拉的“無人駕駛”,并且現場演示了特斯拉在行駛狀態下被悄無聲息遠程控制從前行突然變為倒車,甚至熄火失控的全過程,即使是頂尖極客評委,也露出驚訝的表情。
值得一提的是,GeekPwn的組委、國內盤古安全團隊還將在GeekPwn大會第二天,帶來iOS8全球第一個越獄的首秀。
除了Keen Team安全研究團隊聯合組委會帶來趣味性十足的硬件破解秀外,兩天比賽期間,包括360安全路由器、中國市場占有率最高的路由器品牌TP-link旗下的隨身路由器、極路由、360兒童衛士、錘子手機等眾多熱門智能硬件全部面對世界頂級黑客的挑戰。
未知攻 焉知防
對于漏洞,王琦表示,Keen公司舉辦GeekPwn的初衷并不是為了炫技,而是通過攻破并發現智能設備的漏洞,推動廠商提高產品的安全性,進而為消費者使用安全提供保障。“我們希望發現更多的安全極客人才,和我們一起發現和消滅安全問題,共同保護我們的未來生活。對于攻破的產品來說,也是非常好的促進,因為我們相信,產品被發現和消滅的安全問題越多,產品越安全。這是GeekPwn首倡的新安全觀。”
據悉,GeekPwn愿意將發現的漏洞按照業界規則及時提交給廠商,并協助其修復漏洞和安全隱患。在廠商修復漏洞之前所有細節不會對外公開,避免被人利用。
據了解,GeekPwn破解挑戰賽比賽項目覆蓋智能家居、智能穿戴、智能終端、智能交通、智能娛樂五大智能生活安全領域,并獲得政府單位以及谷歌、騰訊、微軟、華為、聯想等全球知名企業的贊助和支持,獎金池額度高達叁佰萬元人民幣,為了吸引極客人才,主辦方賽前就公布選手黑掉什么、就可以拿走什么,即便是特斯拉。
據王琦介紹,比賽最大獎項的獎金金額超過一輛特斯拉。
打造世界級黑客安全大賽
GeekPwn與Pwn2Own、 DEFCON CTF并列為世界三大安全賽事,所以為了保證大賽的規格和專業度,GeekPwn不僅對海量的參賽選手和項目進行嚴格的篩選,還特別選擇業內知名安全專家組成豪華顧問團隊和評委陣容。
連續四次獲得全球計算機漏洞挖掘年度白金獲的唯一華人、現任Keen Team首席科學家吳石,中國最大專業信息安全公司啟明星辰首席戰略官潘柱廷,復旦大學國務學院教授、《美國國家網絡安全戰略》一書作者沈逸博士,“幻影旅團”創始人、《白帽子講Web安全》和“道哥的黑板報”的作者和創辦者吳瀚清,中國最具影響力的漏洞報告平臺烏云創始人方小頓,國際計算機漏洞挖掘領域領軍人物、近年微軟漏洞貢獻榜排名第一的屈波,中國云計算和安全行業領軍人物季昕華等業內資深安全專家組成了國內最頂配的顧問團隊。
而擔綱大賽的評委均為偶像級白帽子黑客。包括谷歌安全負責人ChirsEveans在內,騰訊玄武安全研究實驗室負責人、“TK教主”于旸,第一個在國際最高級安全學術會議NDSS發表研究成果的華人韋韜,亞洲唯一連續三次獲得Pwn2Own冠軍的Keen Team主攻手陳良,第一個中國人iOS越獄團隊盤古主力徐昊,首個并多次入圍全球Defcon CTF總決賽圈的清華大學藍蓮花團隊領隊諸葛建偉,多次奪得全球最權威防病毒測試AVTest第一名的安天實驗室的創始人肖新光,無線安全研究團隊Radiowar創始人營智敏等技術大牛也悉數到場。
原網絡安全應急技術國家工程實驗室主任杜躍進、騰訊副總裁丁珂、谷歌安全研究團隊負責人Chris Evans出席活動并為大會致辭。
GeekPwn不僅是一場比賽
對于極客來說它是一個平臺。GeekPwn 創辦者、KEEN公司CEO、安全研究團隊Keen Team負責人王琦表示,中國不缺具有極客精神和技術的人才,缺的是一個好的平臺讓他們來發揮才華。所以GeekPwn致力于給視創新、技術和時尚為生命意義的、熱愛技術的極客一個廣闊舞臺,讓他們實現改變世界的夢想,引領未來科技和智能生活的潮流。
對安全廠商來說,GeekPwn是一座橋梁。無論是在全球各地建立11個聯合實驗站打造人才孵化網絡,并定期舉辦沙龍傳播白帽黑客文化,GeekPwn已無形中為安全人才和企業之間開辟了一個公開、透明的橋梁,經歷世界級大賽洗禮的安全研究人員必將比其他安全研究人員受到更多的青睞。
對于智能硬件行業來說,GeekPwn是風向標。在智能硬件破解大賽結束后,GeekPwn將開設主題為“如何讓智能生活更安全”的高峰論壇。進一步鞏固大賽成果,探討智能硬件發展趨勢和未來智能生活安全挑戰。
(新聞稿 2014-10-24)