云端攻防、致盲AI、守护隐私、挖掘新秀,GeekPwn2019备战安全下一战
如何快速发现房间里隐藏的偷拍摄像头?最被看好的人脸识别技术为何也会出错?你的智能音箱为何突然胡言乱语?发现强大技术中不为常人察觉的“弱点”,并把世界拉回正轨,一直是极客们最引以为傲的事情。
10月24日,以“Geek Me 5”为主题的2019国际安全极客大赛(GeekPwn2019)在上海开幕,来自全球各地的白帽黑客、少年极客齐聚一堂,通过预演安全风险,探索产业智能与消费智能潜在的安全问题,提升大众和厂商的安全意识,助力产业健康成长。同时,本届大赛再次特邀“足球名嘴”黄健翔担任主持人,妙趣横生的解说,极客的机智对答,现场“火花四溅”。
碁震KEEN公司创始人兼CEO、GeekPwn大赛发起创办人王琦演讲
碁震KEEN公司创始人兼CEO、GeekPwn大赛发起创办人王琦提出,要承认数字化世界带给我们的美好,也要承认数字化世界带给我们的不美好。GeekPwn和极客们的使命,就是消灭那些不美好的事物。“完美的未来必然是安全的未来。”王琦认为,对极客来讲,消灭更多不安全的问题,我们才有更安全的未来。
腾讯集团副总裁丁珂在开场致辞中表示:今年的GeekPwn在坚持初心的同时,实现了新突破,变得更加纯朴,更加包容,今年不仅推出了云安全的攻防挑战赛,还有代表中国安全未来的青少年力量参与挑战。从第一届GeekPwn大会走到现在,GeekPwn这个舞台已经走出了不少中国安全领域的顶梁柱级的人物,有了越来越多的朋友,也推动了越来越多的厂商认识到安全的重要性,借助GeekPwn舞台来推动产品升级与漏洞修复。
实战演练全新挑战,感受攻与防的极致乐趣
以云计算、AI、物联网、5G为代表的前沿科技的普及,正在拓宽极客的影响力边界。这些技术的应用,既是人们开始享受科技前沿生活的“下一站”,也是极客们永不停歇挑战未来的“下一战”。
为了应对新形势下的安全威胁,GeekPwn2019赛事全面升级,分为设置挑战场景的命题专项赛和不设限制的非命题开放赛,以更前沿、更普世、更专业的视角为全球极客的技术交流提供更大的舞台。其中,命题专项赛包括 CAAD对抗样本攻防赛、隐私安全之反偷拍挑战赛、青少年机器特工挑战赛和云安全挑战赛;非命题开放赛则秉承GeekPwn“无所不 PWN”的精神,分设基于漏洞PWN和非基于漏洞PWN。本次赛事从世界各地的数百支队伍中筛选出52支参赛队伍,共计参与8大类目的挑战。
云安全挑战赛参赛队伍
今年,由GeekPwn与腾讯安全云鼎实验室联合推出的全新命题专项赛“云安全挑战赛”,是首个基于真实通用云环境的安全挑战赛,覆盖全路径攻击与防御,通过攻防对决实战开拓防御思路,鼓励选手积极探索云上攻防问题,提升云计算整体的安全性。赛题设定了四个难度级别,共十六道真实攻击场景赛题。最终0ops战队率先突破9道赛题,累计得到2210分,拿下云安全挑战赛一等奖,复旦白泽、r3kapig分列二、三位。但没有一支战队突破最后一个级别的挑战。
作为GeekPwn的传统项目,让AI犯错依旧是比赛的大热门,除了比赛难度和规则上的升级,GeekPwn2019组委会希望极客们可以进一步拓宽AI攻防的视野。在“CAAD CTF图像对抗样本攻防赛”现场,多个战队成功利用图片对抗样本针对图像分类器发起攻击,导致分类器出错,骗过AI图像识别。其中,TSAIL战队在第三关“人脸识别攻击”中用图片成功欺骗Clarifai人脸识别系统,让AI将黄健翔识别成了“美国第一千金”伊万卡,并最终以229.77分的累计得分,成功拿到GeekPwn2019 CAAD CTF图像对抗样本攻防赛的第一名。
除了让AI“脸盲”,参赛者们还可以让AI“失明”。在比赛现场,Hiding Cat、NISLer、TSAIL三支战队选手通过一张“图像对抗样本”,并让现场观众将样本举在胸前,成功躲过了检测系统的识别完成挑战。而值得一提的是,此次比赛选手全部攻破的是被视为“目标检测网络的巅峰之作”的YOLOv3系统。
CAAD隐身挑战赛的选手参与挑战
与全民联系紧密的“反偷拍挑战赛”由GeekPwn联合RC2反窃密实验室共同推出。参赛选手化身侦探,在起居室或房间等密闭空间中,仅依靠自制的设备、不靠眼睛寻找房间内隐藏的摄像头。为了避免人为因素干扰,所有物品(包括针孔摄像头)统一由布帘覆盖。GeekPwn希望利用极客的智慧为广大群众解决实际问题,用技术让普通人也拥有检测偷拍摄像头的能力。尽管参赛选手采用的技术手段五花八门,令人脑洞大开,但没有一支战队攻克全部隐藏的摄像头,本年度的挑战以失败告终。
反偷拍挑战赛的选手查找隐藏的摄像头
而清华-奇安信网络安全联合研究中心的参赛队伍,通过利用HTTPS协议的漏洞,攻击部署了HTTPS最佳实践的网站,远程劫持篡改HTTPS保护的网页内容、窃取HTTPS保护的用户密码;来自腾讯安全移动安全实验室的韩紫东和韩景维,利用三个主流品牌手机中的未知安全漏洞,实现在手机中自动安装、运行APP,获取手机的GPS位置信息等操作;武影 AIoT安全团队的瘦和炜唯则在现场演示了利用账号认证的漏洞,攻击并登录多款APP 账号,获取被攻击者账号中的隐私数据;来自腾讯安全玄武实验室的挑战队伍通过获取玻璃表面指纹,进行自动化克隆复原,产生新指纹模型,通过了多款指纹身份认证设备的识别……诸多精彩的攻防赛事,在GeekPwn 2019的舞台上不断呈现。
此外,在GeekPwn2019大赛上,腾讯安全、华为终端安全、百度安全、OPPO安全、小米安全、京东安全等通过酷炫展位、脑洞大开的互动、极具挑战性的测试,成为比赛之外的另一个亮点。
释放极客潜能,打造最前沿的安全赛事平台
世界上没有绝对的安全,极客总是乐于出现在更为关键的赛场。
从2014年创办至今,GeekPwn始终聚焦前沿安全议题,从智能生活领域,到AI领域,再到如今的产业互联网安全,GeekPwn不仅带领全球极客构筑了更加广泛地、针对公众智能生活的安全防线,更推动他们在最为前沿的安全技术探索上,展现更具创新的突破。历经此前五年赛事经验的累积与沉淀,GeekPwn已经成为了全球首个关注智能生活的安全平台、全球首个探索人工智能与专业安全的前沿平台、全球首个产业安全实战操练地。
得益于对企业信息安全的持续关注,GeekPwn已经赢得包括华为、小米、腾讯等全国最具影响力的ICT和互联网企业的支持,例如华为主动提供其平台产品用于选手在GeekPwn上进行安全实战演练,腾讯安全更是GeekPwn多年来的联合主办方,并在每年的比赛中输送了众多参赛队伍。
5年来,GeekPwn通过引领极客的跨界、跨维漏洞发现,利用对基础系统与协议、移动支付、物联网以及人工智能等安全领域的研究,创建了业界一流的安全实战演练平台,实现更多创新安全技术人才的发现与培养,促进智能安全生态进一步良性发展。
拓展极客防线的安全边界
凭借与时俱进的硬核赛制、丰富多维的安全思考、顶级人才的参赛团队、奇思妙想的智能对抗、风趣幽默的现场互动,以及多媒体的立体展示,GeekPwn赛事不仅成为全球极客世界的视听交互盛宴,也成为了输出全球信息安全人才的“黄埔军校”。
青少年机器特工挑战赛的参赛者
今年,GeekPwn 2019特设“青少年机器特工挑战赛”,让年少的技术梦想照进现实,为少年极客提供一个全新的平台,让他们尽情释放脑洞。更重要的是,挖掘并鼓励更多具备优秀极客潜力的青少年,为安全行业培养后备军。经过激烈角逐,来自猴赛雷队的凌深杰与KO战队的王正杰摘得冠军,而凭借创意大开的脑洞,游刃有余的熟练操作,WIN队的陈天泽被网友评为“最具魅力机器人奖”。
从移动互联网到产业互联网,GeekPwn总是站在安全技术探索的前沿。当下,数字化科技正在从消费领域向产业领域不断纵深发展。作为全球首个产业安全实战操练地,GeekPwn将产业安全作为“下一战”的挑战目标之一,并推动全球极客聚焦产业互联网应用的前沿探索,为全球产业生态持续保驾护航。
安全漏洞永远不会消失,黑客的目光也不止于此刻,极客的使命远在未来的“下一战”。在安全危机尚未发生之前,找到对抗这些攻击的方法,将安全隐患扼杀在摇篮里,这是极客精神的核心,也是GeekPwn的初心。