58位中外黑客輪番攻破秀 GeekPwn成最炫酷極客賽事
責編:mhshi |2016-10-25 13:48:47北京時間10月24日,國際黑客大賽GeekPwn2016上海站·硅谷站如期舉行。本屆GeekPwn吸引了包括傳奇黑客Geohot、Open AI 權威科學家 Ian Goodfellow在內的58名分別來自中、美、俄、新加坡等國際頂級黑客參加中,搭建起中國最大規模、最高規格的國際白帽黑客切磋交流平臺。
在激烈的比拼過后,大賽組委向表現突出選手們頒布了特別的獎項,其中:來自美國的選手Stephen Chave憑借用Xbox360手柄遠程控制智能輪椅獲得極棒精神獎;憑借游戲漏洞快速通關的Allan Cecl和破解華為P9 Lite任意指紋解鎖的Nick分別獲得極棒腦洞獎和極棒技術獎。大賽組委還將極棒斗士獎授予黑客界旗幟性人物,傳奇黑客Geohot,并將極棒三周年特別獎項,安全團隊獎和貢獻獎分別頒發給了TSRC和長亭科技。
國際頂級黑客引領人工智能與專業安全新方向
Geohot獲得極棒斗士獎
Comma.ai 創始人兼CEO,傳奇黑客Geohot帶著全新自動駕駛系統亮相GeekPwn2016嘉年華現場。他展示了這款僅售價999美元并可應用于所有車型的自動駕駛系統。
這個前幾年還混跡于破解圈并且戰績頗豐的“神奇小子”,為何突然轉移“戰場”開始挑戰自動駕駛系統?帶著所有觀眾共同的好奇,GeekPwn發起創辦人,KEEN CEO王琦對Geohot進行提問:有人說你可以搞定那么多破解,但不一定能做好人工智能駕駛,你怎么看?
Geohot表示:很多人在說人工智能怎么怎么樣,但是我覺得AI現在還只是個概念,還遠遠沒有實現。我們現在有深度的神經學習網絡,一切又變得與眾不同,我相信自動駕駛汽車將會成為非常重要的AI應用領域,這也是我們來到這里的原因,我們將會繼續加強評估。并且在未來我覺得AI領域將會取得巨大的成功,這將成為一個非常激動人心的時期。
永遠自信、充滿活力的Geohot也對他帶來的Comma One 的安全性做出了評價“我覺得它還是很安全的,安全性還是非常不錯的。基本上想黑進來非常難,大家想要做的話完全可以來試試,如果真的黑進來的話不要忘了給我們提供一些反饋。“
Ian Goodfellow
GeekPwn2016的美國硅谷站,OpenAI頂級人工智能科學家Ian Goodfellow和谷歌大腦研究員Alexey Kurakin分享了他們的發現——“對抗性圖像”可以輕易騙過機器視覺。“。畢業于斯坦福大學研究人工智能的安全專家Clarence Chio在上海站現場展示了“對抗式機器學習實踐”,即利用DEEP-PWNING框架,欺騙圖像識別系統和惡意軟件分類器,讓采用了機器學習的系統做出錯誤判斷。Clarence Chio的演示,打破了人們對人工智能的迷信,他希望被過度炒作的“深度學習”可以回歸到安全的保護傘下,開發者能夠在至關重要的應用程序中放心使用。
黑客技術登峰造極 ?全新破解思維顛覆傳統安全
研究安全防御工作的白澤安全團隊在GeekPwn2016黑客大賽上展示了遠程控制Aldebaran NAO機器人的技術。他們通過網絡觸發漏洞,進而遠程入侵并控制了Aldebaran NAO機器人,看機器人所見,聽機器人所聽,成功實現對其遠程監視和竊聽。
來自美國的Amat Cama單槍匹馬帶來用于眾多流行游戲的Valve Source引擎攻擊,Amat Cama找到了Source游戲引擎可以任意代碼執行的漏洞。破解過程中,Amat Cama邀請了一位正在現場進行直播的美女游戲主播上臺參與互動。就在美女主播開始操作游戲后不久,Amat就在不接觸對方設備,不知道對方賬號信息的情況下,侵入了正在游戲的電腦,還通過電腦攝像頭監控了美女主播的實時視頻。
Source引擎由Valve軟件公司開發,廣泛應用于多款主流游戲,如CS、反恐精英、絕地要塞等。據悉,該漏洞將影響數千萬游戲玩家。
華為P9 Lite手機的任意指紋解鎖捧得今年的最高獎35萬獎金。來自美國的Shellphish團隊,突破了最新版本手機的最堅實防線——“指紋識別搭配TrustZone”。現場觀眾通過鼻尖即實現了手機指紋解鎖。通過利用這些漏洞,攻擊者不僅能獲得安全區中的敏感數據,還能直接進入支付等高權限場景。
互動觀眾通過鼻子解鎖華為P9lite手機
在現場演示發現的漏洞被攻破之后,華為第一時間對主辦方提供的漏洞進行了慎重仔細的分析及修復工作,以保障華為手機系統的安全性進一步提升。
研究網絡安全與隱私保護的鳳凰解碼安全團隊通過偽裝攻擊目標Edimax智能插座,觸發漏洞,獲取APP控制端發出的認證信息,通過該認證信息遠程控制該智能插座。不僅如此,研究人員還可以利用協議漏洞篡改固件,把智能插座變成被黑客任意操控的“肉雞”,選手成功突破插座安全限制之后,發送流量包,控制其發送了一條微博。
此次破解背后的寓意令人深省。近日發生的美國的互聯網“癱瘓”事件的幕后真兇就是DDoS攻擊。而DDos攻擊之所以屢次刷新“史上最大規模網絡攻擊”的記錄,就與物聯網世界智能硬件安全性息息相關。
跨界碰撞帶來火花 前所未見的跨維對抗抓人眼球
GeekPwn2016創新地設置了前所未見的比賽模式。其中,在以往任何黑客大賽都從未出現過的:機器人特工挑戰和打破結界的跨次元CTF對抗賽著實讓所有現場眼前一亮。
不同于以往的CTF比賽,來自GeekPwn的跨次元CTF呈現了一場突破數字世界與物理世界的“四國部隊”無人機諜戰。四個團隊以代碼對抗,爭奪無人機控制權,展開一場打破結界的較量。最終FlappyPig戰隊技高一籌,奪得冠軍,獲得6萬獎金。
選手薛恩鵬制作的機器人完成高難度的插U盤動作
同樣開啟“跨維打擊”的還有機器特工挑戰賽。現場,數位來自全國各地的機器人愛好者,帶著他們的“鋼鐵俠”,在主辦方設定的“辦公場景”內讓自己的機器人“偷偷”潛入,通過高難度的物理接觸插U盤的方式獲取電腦數據。最終來自薛恩鵬的機器人成功完成任務,獲得4萬獎金。
三年以來,超過百名極客選手參加了GeekPwn ,累計獎金池超過千萬,選手發現的安全漏洞由GeekPwn統一提交給智能廠商,累計負責任披露過百個高危安全漏洞。