再來一場黑客盛會!GeekPwn亮相 CSS2016安全極客秀
責編:mhshi |2016-11-11 10:41:02你以為黑客的目標只有你的電腦和手機?那你就太不了解黑客了。在黑客的手中,機器人不僅可以變身竊聽專家竊取你的隱私,還可以化身機器特工完成對真實世界信息系統的入侵;索尼PS4不僅能玩“生化危機”還能越獄玩起“超級瑪麗”;就連美國國家安全局的網站也無力招架。而這一切絕不是在道聽途說,你以為的前所未見,其實正在發生。
2016年11月10日下午,第二屆中國互聯網安全領袖峰會(Cyber Security Summit,簡稱CSS)安全極客秀分論壇在京召開。國際黑客大賽GeekPwn(極棒)攜重磅技術干貨來到CSS2016安全領袖峰會,國內頂尖白帽黑客現場炫技,首次揭秘破解背后的故事和技術。六場精彩紛呈的“黑客秀”,將CSS2016安全領袖峰會變成了峰會版的“黑客帝國”。
(GeekPwn創始人,KEEN公司CEO王琦致辭)
白帽黑客現場揭秘影響億萬用戶的三大高危漏洞
如果有人說:“一不小心,你就有可能變成艷照門的主角。”你可能不會相信。而在CSS2016安全極客秀的現場,騰訊電腦管家網絡攻防小組成員尹亮會告訴你,通過利用Windows和Adobe的漏洞,他們就可以完全控制Surface?Pro 4,利用一個惡意的pdf文件他們就能獲得你的電腦及攝像頭的控制權,你還會說這一切是不可能的嗎?
為什么會選擇Surface Pro 4?尹亮是風趣的說:“Surface Pro 4是微軟Surface 家族產品中最新的一款高效辦公設備,搭載了全新 Windows 10操作系統,號稱有史以來最安全的Windows操作系統。既然是最安全的,那當然就要選擇它。我們就是想要挑戰別人口中所有的最安全和不可能。”據悉,2016年騰訊電腦管家攻防小組共挖掘41次漏洞,堪稱全球之最。
同樣亮相安全極客秀的還有長亭科技安全研究室的成員,他們帶來了最新的MTK構架手機以及對索尼PS游戲機4.0.1的破解。你的手機是如何被黑客控制的?用游戲機來辦公是怎樣一種體驗?在于晨升和楊坤的操作下,最新的MTK構架手機不需連接數據線即可破解,PS4游戲機4.0.1成功實現越獄,玩起了超級瑪麗。同時,楊坤也在安全極客秀現場首次透露了長亭科技的“PS4越獄簡史”:我們首先通過瀏覽器漏洞,獲取用戶態執行權限(user mode),然后再通過內核漏洞,獲得內核權限,最終實現在PS4主機上運行自制Linux系統。
(長亭科技成員楊坤)
最強破解來襲,美國國家安全局網站也無力招架、
如何“黑”掉美國國家安全局(NSA)網站呢?這聽起來像是天方夜譚,來自清華大學網絡與信息安全實驗室的陳建軍在安全極客秀現場首次揭秘利用HTTP協議頭的二義性黑掉NSA背后的故事和技術。
陳建軍說:“我發現互聯網中應用最廣泛的HTTP協議存在重大安全漏洞——Host of Toubles,該漏洞會影響大量HTTP軟件。攻擊者只需要發送一個精心構造的HTTP請求,便可以實現污染ISP緩存(包括毒魷魚攻擊), 污染CDN緩存,繞過防火墻,繞過WAF等攻擊。其中,污染ISP緩存攻擊,會對互聯網安全產生重大影響,危害極大。 而利用這個漏洞完全有可能黑掉美國國家安全局的網站。”
機器人變身“特工”,從科幻走進現實
手機、電腦與我們的生活息息相關,人們對于其安全方面的認知相對是比較高的。而對于機器人,絕大多數人對它們的認知都來自電影。但是,如果有一天這些機器人真的來到我們身邊,那會是什么樣子呢?在安全極客秀,薛邵基和付山陽可以告訴你。
Aldebaran NAO是目前學術領域世界范圍內運用最廣泛的人工智能機器人。而就是這樣一個“明星”機器人卻被白澤安全團隊“盯上了”。來自白澤安全團隊的付山陽在安全極客秀的現場,向所有人秀出了這項技術——他們輕而易舉的攻破了NAO,使其變身竊聽專家,他們不僅可以控制NAO說話、行走、抓拍圖片,還讓NAO在現場跳起了《小蘋果》。同時,付山陽也表示:這一漏洞若被利用,極有可能對全球范圍內的NAO機器人產生影響。
(白澤安全團隊成員付山陽及NAO機器人)
不僅如此,在剛剛結束的GeekPwn2016黑客大賽上奪得機器特工挑戰賽冠軍的薛邵基也來到安全極客秀的現場,講述了他的“機器特工”誕生記。薛邵基說:“這是一種全新突破物理隔離的竊密方式,這種方式是很挑戰DIY機器人精準度的。”
國內頂尖安全廠商暢談人工智能,深入探討未來智能發展
在安全極客秀“(弱)人工智能”領域的Hacking與偽智能領域的防御”圓桌討論環節,來自小米安全團隊、京東、清華大學網絡科學與網絡空間研究院、百度、騰訊公司玄武實驗室、極棒實驗室等資深安全等專家就弱人工智能與強人工智能展開討論,深入探討人工智能領域的話題。
在AI、智能設備發展的現階段,白帽黑客挖掘人工智能漏洞的意義究竟在哪里?小米安全團隊資深安全專家文煒表示:“隨著人工智能的發展,在未來,人工智能將帶來更多的可能性和一些看不見的威脅。我們作為廠商,在肩負各自智能安全使命的同時,非常歡迎白帽黑客來幫助我們尋找產品的瑕疵,幫助我們共同把產品做得更安全,讓用戶更放心。”?而GeekPwn創辦人、KEEN公司CEO王琦也在圓桌上表示:“一個優秀的黑客相當于10個或20個工程師,而我始終認為更年輕的人才是真正能夠改變我們未來現狀的力量。GeekPwn會一直致力于挖掘最頂尖黑客人才,助力國際安全生態圈的建設。”
(“弱人工智能領域的Hacking與偽智能領域的防御”圓桌論壇)
2016中國互聯網安全領袖峰會以“智慧安全,連接賦能”為主題,立足全球格局,倡導“國際安全交流與融合” ,如果說CSS安全領袖峰會的安全極客秀分會場是深討黑客技術應用的安全生態平臺,那么GeekPwn則是國際黑客人才交流及展現才能的舞臺。GeekPwn的加入也為CSS2016安全領袖峰會的國際安全生態帶來新的突破與探索。