“1024”这天,世界各地的天才黑客,在GeekPwn2017国际安全极客大赛上,上演了别样的“程序员节”。
GeekPwn2017国际安全极客大赛
“骗过”人脸识别门禁、独一无二的声音被机器”偷走”、汽车被他人控制、3D打印机模仿真人笔迹写下的欠条难分真假、银行卡密码不翼而飞、iOS 11系统漏洞首次纰漏……一系列令人惊掉下巴的攻防秀,再一次将影片中出现过的“画面”搬到了现实。
KEEN公司CEO、GeekPwn大赛发起和创办人王琦在致辞中表示,鼓励安全极客的创新尝试,并呼吁更多极客和厂商,关注安全问题,加入到极棒的平台,共同保护未来安全。
KEEN公司CEO、GeekPwn大赛发起和创办人王琦
同时,王琦也吐露了自己的心声,“真心希望研究安全的人能好起来,人好起来整个安全行业才能好起来,漏洞才能少起来,人们的生活才能更加安全起来”!
好了,闲言少叙,让我们再次回顾下赛场上,那些令人亮眼的攻防秀:
开场第一个破解秀,居然是一个看上去“人畜无害”的萌妹子,用时仅仅两分半钟,就成功实现了用任意人脸通过门禁系统。这位毕业于浙江大学计算机专业的90后女黑客”tyy”,再一次刷新人们对黑客的认识,萌妹子破解起来一点也不含糊!
为了便于人们处理生活、工作上的一些事务,人脸识别已经广泛应用于移动支付、手机解锁、门禁出入以及公园领取厕纸等等,但在技术发展带来便利的同时也可能带来新的安全风险。
据“tyy”在介绍,人脸识别系统并非万无一失,不法分子利用设备漏洞,攻击者就可以直接修改设备中的人脸信息,实现用任意人脸来“蒙骗”人脸识别系统,进出如入无人之境。
这个场景是模拟大家日常生活中,用银行卡刷POS机会遇到的安全问题。由于会场蓝牙设备众多,利用无线的方式来攻破POS机的挑战并没有在规定的时间内完成。而现场观众提出再多给选手5分钟时间,主办方应大家的呼声,选手更换另外一种数据线连接的方式,很快就获取了用户的账号和密码等个人隐私信息。
在会后采访中了解到,看上去不太会在生活中出现的场景,其实存在非常高的安全隐患,不法分子利用一些手法,趁收银员不注意时就能轻松将木马程序注入POS机,之后再刷卡的用户信息便会源源不断输入黑客指定的服务器中,复制卡片信息即可实现盗取用户钱财的目的。
数字信息化的发展,使声纹识别逐渐成为未来生物识别的主流,而声纹鉴定已成为刑事司法中有效证据。但这种安全保护形势是否真的安全可靠?在GeekPwn2017的现场,参赛选手表示,依托生物特征的识别系统更容易遭到黑客的攻击,针对声纹识别的攻击已经成为新的安全威胁。
在本次GeekPwn2017”AI 仿声验声攻防赛”上,五组选手根据《王者荣耀》英雄人物——妲己的配音者所提供的声音样本,模拟了其声纹特征,合成一段”攻击”语音,对现场提供的四个具有声纹识别功能的设备发起攻击,欺骗并通过”声纹锁”的验证。
该攻破秀是模拟生活中,家中电视被非法插播其他内容的场景。场上的两组选手分别攻击两台路由器。而路由器是当前家中上网的一个入口,当黑客入侵家里的WiFi后,通过获取路由的ROOT权限,进而对接入网络的智能设备进行攻击。
其中一组选手展现的是对路由器上网进行DNS劫持,这样用户在打开任意网址时,都会访问黑客让你访问的地址;另外一组选手,主要展示的是对路由播放的视频进行劫持。
这个项目的攻击目标是苹果最近刚刚推出的iPhone 8手机,通过远程的攻击方式,受害者只要打开攻击者控制的链接,浏览某个网站,其手机便已经被黑客所控制。
生活中常见的场景就是一个二维码,当用户扫描二维码自动打开一个链接,只要受害者点了该链接,不法分子便可对手机发起攻击。因此,在日常生活中,对于不确定的二维码,或者手机短信收到的链接地址,都要非常慎重,以免个人财产受到损失。
这个闯关挑战主要是攻击网络摄像头,参赛选手通过黑进摄像头来达到比赛要求。据大会评委万涛介绍,令他比较深刻的是一个叫《网络犯罪调查》的美剧,第一季有讲到网络摄像头,原本父母希望通过摄像头来看孩子,结果黑客通过黑进摄像头,来观察家中是否有人,借此实现偷孩子的目的。
因此,在现实生活中,在选择网络摄像头产品时要非常慎重,而近两年时有新闻曝光摄像头被不法分子入侵的消息,尤其在卧室、卫生间等私密空间,尽可能的避免放置网络摄像头。
这个项目听上去是一项非常“有趣”的事情,请全国人民看电影?别多想,参赛者或许不差钱,但作为一名“黑客”,如果花钱请人看电影说出去一定不是一件光彩的事情。该项目演示的情景是攻击手机上一款互联网购票软件,以实现零元购票的“目标”。
说到这里,想必大家明白为啥能请全国人民看电影了吧!虽然在攻击APP过程中出了一个小小的插曲,但最后评委还是认定这个环节的挑战是成功的。
来自安恒信息海特实验室的选手制作了仅有两枚硬币大小的”攻击”盒子,将其放在汽车底盘,同时通过车载智能盒子的漏洞,用一条短信就能实现在任何地方操控这辆汽车在行驶中急停,亦或让车子打不着火。
一旦行驶中的车子受到攻击,这将是一件非常可怕的事情,仿佛《速度与激情8》电影中出现的画面,所有的车子都受到黑客的控制,为所欲为。
这是一项非常惊艳的展示,起初笔者并不认为机器人能模仿出与人类如此相像的字体,毕竟每个人每次书写的字体都会所有变化,更别说让机器来模仿人了。
而最后展示的结果非常令人吃惊,通过专业的辨别字体的专家也很难识别出哪个是机器人写的,哪个是人写的,真是非常相似,惟妙惟肖。
据介绍,该机器人所应用的技术是基于GAN,也是深度学习的一种能力。通过自身不断的模仿与对比,直至及其自身都辨别不出来以后,就默认模仿成功了。而最终呈现的结果也是这样,确实真假难辨,彻底颠覆了“立字为证”这个说法。
这个攻破秀是攻击一款某品牌的最新Android手机,通过向手机安装木马,已达到篡改手机内照片的目的。其生活中常见的场景依旧是手机短信接收到的莫名地址,在此再次提醒大家,对于陌生链接一定不要随意点开。
这个攻破秀看上去有点吓人,行动的“我”又是如何成为活体密码的呢?在生活中,为了便于人们应用,用生物识别技术替代了过去应用密码保护账号的方式,如指纹、刷脸、虹膜,这样做是否真的可靠呢?
在这场秀中,由于种种原因,指纹攻击并没有实现,但刷脸和虹膜都被一一攻破了。可见,生物识别特征也并没有那么安全。
这个项目的选手要攻击一款使用率很高的家用存储设备,在图片和信息大爆炸时代,家用存储的市场慢慢壮大,家庭成员的手机、电脑和数据共享,一般都依赖这样的存储设备来实现。
据选手介绍,其攻击所应用的是一个命令执行漏洞,通过植入一个木马,利用木马将数据偷出来,并且这个型号的设备在全球就有75万台。如此多的家庭存储设备,其内部存储的资料都面临极大的安全隐患,想想还是非常后怕。
看到GeekPwn2017国际安全极客大赛上展示的攻防秀,是不是对未来充满了恐惧?尤其在当前人工智能技术得到飞速发展的时代,未来可以说是一切皆有可能,人们是不是即将处于水深火热之中?
其实恰恰相反,正是因为有了这些“黑客”的存在,及时发现如此之多的漏洞问题,迅速反馈给企业,企业及时修补漏洞,才能有效的避免漏洞对人们的财产带来损失。
正如王琦所说的那样:“安全问题从来不是因为黑客才存在的,恰恰是因为黑客发现而被消灭”!