查看原文
其他

现场直击 | “GEEKCON 2023”中国站,用对抗检验安全防御的有效性

蓝河小天使&绵总 安在 2024-03-18


网络安全量化似乎是今年安全产业的主题之一,甲方安全从业者期望着用可视化的安全向上级领导、高管及企业讲述安全的重要性,乙方安全厂商也在探索和钻研安全量化的路径和方法,让越来越多的企业认知和了解安全的同时,提高对网络安全的投入和建设。


然而,网络安全的本质是对抗,是安全从业者与网络黑灰产之间的强对抗。因此,无论是测试安全策略的有效性和可落地性,还是评估企业整体安全架构的完整性和全面性,都离不开基于实战的考量。对此,GEEKCON 组委会主席、DARKNAVY 董事长兼CEO王琦表示,攻击视角的对抗,是检验安全防御有效性的唯一科学标准。

GEEKCON 组委会主席、DARKNAVY 董事长兼CEO王琦

10月24日,“GEEKCON2023”中国站比赛在上海西岸艺术中心举行。今年,全球首个探索人工智能与专业安全的前沿平台GeekPwn 升级为 “GEEKCON·新极棒”,旨在聚焦安全对抗,提升白帽价值,传递网络安全价值和企业、社会意义,助力推动科技、产业以及数字经济的高质量有序发展。此次比赛囊括了包括蚂蚁集团、华为、百度、京东、OPPO、腾讯、小米、vivo等科技、互联网公司的顶级安全专家、行业顶尖专业人士、顶尖白帽黑客选手等参与此次大赛。



本届GEEKCON2023 中国赛现场设立五大专场,分别是“对抗研判 AVSS挑战赛”“深蓝洞察之特别披露”“年度主题大碰撞:GPT与黑客”“漏洞与利用 DAF挑战赛”“15+5深度分享”,涵盖真实攻防对抗、深度技术分享、黑灰产业揭秘、GPT和安全趋势研判等。

























DAF挑战赛,极客们的“角斗场”

拉开本届GEEKCON2023 中国赛序幕的是“DAF挑战赛”的“致命”脉冲环节。在本项挑战中,主办方在隔离网络中提供一个某DNS服务器。挑战者使用攻击电脑在100秒内向该目标DNS服务器发送较小的流量,使DNS服务器向拒绝服务攻击的目标IP地址发起9次流量放大万倍级拒绝服务的攻击。在现场观众的注视下,挑战者仅用了60余秒的时间就完成了挑战。在进一步的演示中,挑战者向现场观众演示了万倍级拒绝服务攻击的效果,某视频播放平台在刚开始被攻击时,视频只有零星的卡顿,随着攻击时间的延长,视频近乎完全卡顿,最终无法观看。


另一个DAF挑战赛是“顺走一辆新能源车,需要多久”,几位戴面具的挑战者远程攻破了一辆新能源汽车,并最终启动汽车。对此,极氪智能科技副总裁刘昊表示,从行业发展趋势来说,2025年智能汽车对代码行数将超过10亿行,因此除了汽车物理安全外,数字安全的路程会更长。比赛的结果也暗示了当下汽车不再只有物理安全,数字安全也非常重要。

此外,DAF挑战赛还包括“消逝的声波”“知攻者明”“看一眼车窗破解并定位一辆车”“穿越”。其中,“消逝的声波”的挑战者演示了如何利用自静默装置对抗隐蔽录音;“知攻者明”讲述了一种利用未知缺陷远程控制国产某操作系统的挑战,“看一眼车窗”再一次重申了智能网联汽车的安全性;“穿越”则展现了虚拟机平台逃逸的挑战。

























“15+5”,深度解析安全漏洞

“15+5深度分享”是本届GEEKCON2023 全新设置的专场,参与“15+5深度分享”专场的分享者不仅深度分享了技术实践路径(限时15分钟),还进行了现场演示(限时5分钟)。

在“无限手套”攻击环节中,来自腾讯安全玄武实验室的分享者不仅利用技术和受害者的指纹信息(如指纹残迹)成功复刻了受害者指纹,还成功欺瞒了手机的指纹解锁系统,最终解锁手机。在演示环节中,演示者用自己的鼻子解锁了手机,赢得了现场的掌声。

在Attacking the Pixel Modem Over the Air环节中,远在加利福尼亚州的谷歌研究人员通过攻击目标手机的基带,成功控制了目标手机。在成功控制后,演示者不仅能够利用该手机发送短信,还能修改包括推特等社交媒体的密码,更深层次地伪装成受害者。

此外,“15+5深度分享”专场还包括“URB之剑”,一种VMware Fusion虚拟机的逃逸方法;“曝光7年的攻击手段再现”,窃取BitLocker加密数据;“Pwn Everything With Electron”,V8漏洞攻击和控制APP;“办公文档中的隐藏威胁”,OLE漏洞实现代码执行。

























“AVSS挑战赛”,验证安全的唯一标准

“对抗研判AVSS挑战赛”也是GEEKCON·新极棒设置的全新专场,该专场搭建了全球首个基于真实的网络安全“碰撞测试场”。AVSS挑战赛旨在通过真实设备与环境中的攻防对抗挑战,测试设备、系统的安全性;推动对抗视角的漏洞利用能力和防御水平综合研判,促进通过科学、量化的维度对产品的安全性进行判定。

本届GEEKCON·AVSS线上选拔赛共收到由高校、企业、个人等组成的 93 支战队,横跨亚、欧、美、非四大洲,最终决出了6支队伍,其中AVSS 网络安全碰撞测试场(手机赛道)线上预选赛第一名天枢Dubhe战队,是来自北京邮电大学(BUPT)的一群小伙伴组成的安全团队,核心团队有三十人左右,活跃在国内外大大小小的安全赛事上,致力于研究和交流各个方向的安全技术。

比赛日现场,6支顶尖战队经过8小时激烈决赛,现场展示了针对多个版本的安卓手机分别在浏览恶意网站时是否会被木马入侵、手机是否容易出现霸屏广告或者流氓软件、位置信息是否被泄露、短信等敏感信息被劫持等的对抗性测试。

当下,随着汽车已经从传统机械产品越来越向电子消费产品转变,在车辆本身的安全性能以外,汽车的信息安全也至关重要。越来越智能化的汽车储存了更多的个人信息、驾驶习惯、导航记录等敏感信息,如果这些数据被窃取,则可能会引发一系列问题。此外,车辆控制数据如果被恶意攻击、窃取和篡改,使车辆被非法控制,会产生严重的社会道路安全问题。

自2014 年第一届极客大赛开始,汽车安全相关项目就是舞台上的焦点。不同品牌、不同漏洞、不同问题,先后有十几个汽车破解的项目在赛场上出现。本届 AVSS挑战赛还特别关注了汽车数字安全。今年参赛的几组选手针对极氪全系智能网联汽车,进行研究,找出相关网络安全问题。从比赛现场一直延续到12月,极氪汽车都会接受安全研究员的测试,帮助品牌不断提升产品的安全能力。

























“特别披露”,揭开黑灰产的神秘面纱


利用网络漏洞破坏网络和信息安全,并为自己谋取非法利益的被称为黑帽黑客,找出系统漏洞,维护网络信息安全和社会正义良序的被称为白帽黑客。换句话说,白帽黑客就是使用黑客技术来维护网络信息安全的黑客,他们是执黑行白的正义使者。历年来参加极客大赛的白帽黑客选手,均是国内外顶尖的正义高手,虽然他们中很多人相对年轻,但已经通过技术能力帮助互联网公司或执法部门追查地下黑灰产,走在反诈骗、打击黑灰产、保护广大用户的最前沿。

在今年的特别披露环节上,几组选手披露了一年间帮助执法部门铲除黑产团伙的案例,包括通过层层攻击溯源、追踪违法行为痕迹、追查违法资金流向等,剥丝抽茧式找到APP中的恶意组件,防止黑产利用系统漏洞造假流量,操控手机点击浏览网页欺骗广告主和平台,以及防止用户的账户被盗取造成数据泄漏和被操控,防止用户账户被利用进行点赞、刷评论、刷单等。其中,他们帮助执法部门打掉了移动端最大的黑产团伙,涉及被操控的手机数量过亿。他们的存在也对各大互联网公司的漏洞修复、用户隐私和数据甚至财产安全保护起到非常大的作用。

此外,今年的特别披露环节还披露了某上市公司是利用用户当做肉鸡的具体流程。另外,特别披露环节还对网络黑灰产进行了详细的阐释,很多人误认为网络黑灰产离自己很远,但在披露者的展示下,大多数观众都发现自己或多或少参与过黑灰产的部分环节。

























“GPT与黑客”,大模型环境下的新挑战


伴随GPT大模型的不断迭代和各种应用场景的广泛增加,已经在行业中不断创造出新业态、新模式、新工具和新市场,同时也在推动各行业的智能化提升,但伴随而来的是,保障安全、合理使用AI是快速发展的前提。

来自蚂蚁安全光年实验室等多个实验室的研究员们,针对GPT 安全进行挑战,并展示他们的研究成果:用自制工具批量生成“越狱”提示词,误导 GPT 突破限制,或出现错误;从正向角度利用GPT 辅助安全研究,将 GPT 应用于安全攻防,防止 AI 技术被滥用和利用,维护网络的秩序和安全。

另外,在GPT与黑客环节中还展开了一场名为“干掉还是被干掉?”的辩论会,辩论双方就GPT是否会做坏事展开了激烈的讨论。最后,大家一致认为GPT作为工具,它做好事还是坏事取决于利用它的人,技术本身是无罪的。

蚂蚁集团副总裁、首席技术安全官同时也是GEEKCON 赛事评委、议题评审委员韦韬表示,未来的通用技术就是AI和安全,伴随GPT带来的生产效率的极大提升,一定需要匹配相应的安全能力。当互联网行业和各行业数字化产值越来越大,如果正向安全投入不足,反向就会越大规模发生被侵害,且程度深范围广。

目前安全领域每年的投入还不到AI的千分之一,且国内外安全的市场体量差距也比较大,安全行业还有很大的提升空间。蚂蚁集团每年协助执法部门,在大数据泄漏、反诈骗方面做了很多工作,比如我们曾经打掉的非洲诈骗团伙,他们利用GPT生成欺诈脚本、翻译工具对国内进行投资诈骗等,但这只是安全行业的一角,整个安全行业发展和市场化进程需要通过合规、实战、保险等多领域共同发展,同时,信息安全的科普让每个人、每个企业都具备安全意识和认知的提升,才有可能在复杂多变的国际环境、发展迅速的国内环境中,切实保护各方安全。

























写在最后


“GEEKCON2023”中国站比赛的现场还有蚂蚁集团、华为终端安全、小米安全中心、京东安全、OPPO安全中心、百度安全、vivo安全的展位。各个展位不仅分享了今年在安全方面的新产品和新技术,还从各自视角对网络安全进行了深度解读。

在经过了8个小时的鏖战后,“BlueThanos”“来自东方的神秘力量”“拼洞洞团队”三支战队最终荣获“AVSS·网络安全碰撞测试场 ”手机赛道决赛前三名;“Polaris”“NeSE”“天枢Dubhe”获得优胜奖。

此外在“DAF · 漏洞利用挑战赛”环节,凭借利用不同未知缺陷实现多个虚拟机平台逃逸,最终由HAC团队挑战的“穿越”项目摘得第一;TNB团队的“致命脉冲”以及天空实验室的“穿越”分获二三名;“看一眼车窗,破解并定位一台车”“知攻者明”以及“消逝的声波”获得优胜奖。

本届“GEEKCON2023”中国站比赛的安全极客们不仅展示了2023年的新技术成果,还公布了多个重要漏洞,其中包括新漏洞的应用和旧漏洞的新模式,在对抗实践中,现场观众看到了新的风险点,安全产业收获了新的人才和趋势。

一直以来,GEEKCON关注整个安全行业、极客群体的发展和变化,从关注前沿AI安全,到智能生活安全,再到关注产业安全和价值的可衡量、可视化,GEEKCON 大赛始终行走在安全行业的最前线,为整个产业和消费者提供安全的标准和检验。正如王琦在致辞中提到的,通过安全对抗测试比赛,逐步建立安全行业标准和标杆效应,让安全性能成为企业和产品品牌价值的衡量维度之一。

期待GEEKCON 的进一步创新,也期待越来越多的安全研究员、学生及网络安全爱好者加入进来,为整个安全产业的发展助力。


花絮










END








点【在看】的人最好看

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存