查看原文
其他

集齐黑客界的“最强大脑”,这届极棒有点Cool!

看雪学院 2019-05-26




10月24日,是各位极客狂欢的日子,看雪也在今日走进极棒2018。以“人攻智能,洞见未来”为主题的GeekPwn2018国际安全极客大赛在上海开幕,顶尖黑客团队再次集结,预演智能生活以及人工智能领域潜在的安全问题。


秒破指纹锁,让无人机自由落体,解锁加密手机相册,智能音箱、扫地机器人、还原机器特工场景、加密U盘破解、GAN掉马赛克......极棒2018首日精彩初发。


那接下来就让我们一起来看看,今日极棒有哪些精彩内容~


安全极客预演“云端危机” ,世界级难度“虚拟机逃逸”


在诸多挑战项目中,来自长亭科技所挑战的“虚拟机逃逸”项目是具备世界顶级水平的挑战


选手利用虚拟机系统漏洞控制宿主机


互联网的飞速发展使得传统计算环境向云计算环境迁移,但是云计算环境也带来了全新的安全问题。由于云底层系统是虚拟化系统,虚拟机的安全性几乎关乎整个云安全系统的稳定运行。虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。

 

目前,针对虚拟机的攻击已经从理论慢慢变成现实。在此次极棒1024上海站的舞台上,长亭科技团队利用VMware虚拟机3个漏洞,从一台Linux虚拟机内部进行攻击,仅用9分钟便成功获取ESXi宿主机系统的最高权限并进行任意控制,展示了私有云系统所存在的安全问题。



黑客对决AI  上演“黑客帝国”绝地反击


当AI将你识别为“终结者”,可不是为了讨好献媚。GeekPwn2018的选手现场用自己生成的对抗样本成功骗过图像分类器,将宇宙飞船飞行器识别为巨石,将导弹物体误认为安全的,甚至将现场的特邀嘉宾、“最强大脑”节目主持人蒋昌建老师的照片识别为阿诺德·施瓦辛格。AI版“指鹿为马”让现场观众大跌眼镜。

 

作为全球首个探索人工智能与专业安全的前沿平台,极棒在探索AI安全的道路上从未止步。本届大赛更是首创CAAD 可视化对抗现场展示、AI“生成式对抗网络”(GAN)技术趣味挑战赛、利用AI对脱敏大数据进行追踪还原等赛事,为AI安全带来全新启示。

 

为了推动GAN技术的普及,由GeekPwn 联合谷歌大脑人工智能研究科学家 Ian Goodfellow、Alexey Kurakin 以及美国加州大学伯克利分校计算机系教授宋晓冬共同发起的 CAAD 对抗样本攻防赛。在CAAD线上比赛的100多支战队中成绩优异的6支战队在现场展开CAAD CTF线下对战的激烈角逐。他们分别是来自于自清华大学、中国科学技术大学、美国约翰·霍普金斯大学、Facebook、腾讯、阿里巴巴等知名高校与企业。


CAAD对抗样本攻防赛参赛队伍


此次GeekPwn设置的CAAD专项挑战,在预演人工智能领域可能存在风险的同时,让更多人了解到如何以黑客思维去解决未来人工智能与专业安全的跨界问题,最终帮助人工智能健康安全成长。


攻防千千万万次 消灭危机于萌芽


时至今日,随着手机的越来越智能化,让手机承载了太多的功能与信息,同时也成了每个现代人手中最不可侵犯之物。正所谓越禁忌、越吸引,手机几乎成了各路黑客们的兵家必攻之器。

 

你以为加密的手机相册,别人就看不到吗?在GeekPwn2018的现场,来自AMC团队杨志伟、胡强,在观众和主持人蒋昌建老师的配合下,成功完成手机私密相册的破解挑战。据悉,他们是利用手机操作系统的漏洞,通过在手机中安装一个恶意APP,root权限执行任意命令,从而实现在手机中静默安装木马。对此选手还解释到,即便相册密码再长、再复杂,都抵不过操作系统存在的漏洞。

 

你能想象一张纸就能打开安卓手机的屏下指纹锁?腾讯安全玄武实验室在现场首度演示了影响触屏解锁型安卓设备的“残迹重用”漏洞——安全研究员通过一张普通的卡片,可以让任何人对手机的屏下指纹进行解锁。目前的屏下指纹解锁功能是利用光学技术捕捉用户的指纹影像,通过反射体欺骗的方法,可以利用屏幕上残存的指纹痕迹,让屏下指纹传感器认为手机的主人正在使用指纹验证。


手机屏下指纹锁项目破解演示


据悉,该漏洞属于屏下指纹技术设计层面的问题,会几乎无差别地影响所有使用屏下指纹技术的设备。腾讯安全玄武实验室负责人于旸(TK教主)同时也表示,用户无需太过担心,腾讯安全玄武实验室早在今年初就开始和国内几家主流手机厂商合作,不仅通过更新算法修复了已上市手机中的漏洞,还将相关解决方案提交给相关芯片厂商,推动了供应链层面的安全修复。

 

此外,更有“世界级难度”的挑战在GeekPwn2018的舞台上演。长亭科技团队利用VMware虚拟机系统漏洞,仅用9分钟便成功获取ESXi宿主机系统的最高权限并进行任意控制,这无疑给私有云的运行安全和数据安全敲响了警钟,提醒各云计算企业在防御此类攻击时能具备先机。




除了在科技与智慧上演激烈 PK外,本届GeekPwn还开创了很多天马行空的新玩法。既有腾讯安全、百度安全、京东安全、小米安全带来的烧脑游戏派对,又有棒还联合摩拜、唯品会、盘古、看雪论坛、电子工业出版社共同发起的“黑客公益集市”,有趣、有爱两不误。



极客通过购买现场的纪念 T 恤、技术书籍、鼠标垫等,献出一份爱心。会后,售卖所得的全部善款将捐给“抗战老兵关怀计划”,让我们从网络安全到国家安全,不要忘记那些守护和平的战士。


人“攻”智能,不是GeekPwn的目的,是预演潜在风险、拓宽安全思维、帮助智能设备更加安全地问世、协助人工智能健康成长的手段。而GeekPwn所代表的安全极客们正在通过不倦的努力,为人们提供安全的智能生活。


看雪智能硬件小组的演讲项目将在明天展示,更多故事,我们明日再继续!




公众号ID:ikanxue
官方微博:看雪安全

商务合作:wsc@kanxue.com

Modified on

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存