10月24日,GeekPwn2019国际安全极客大赛在上海举行。
2019年,来到产业互联网时代,GeekPwn将自身的影响力进一步辐射,为产业安全带来更多的防护,挖掘更多的安全人才。
![]()
GeekPwn2019推出了“CAAD 语音对抗样本挑战赛”、“CAAD CTF 图像对抗样本挑战赛”、“云安全挑战赛”、“青少年机器特工挑战赛”、“隐私安全之反偷拍挑战赛”等命题专项赛,全面覆盖机器学习、云安全、隐私安全、机器人等不同领域,让安全挑战无处不在,促进跨领域的安全研究,激发各个领域研究者与爱好者的无限潜能。下面是极客大赛的一些精彩回顾,让我们一起来看一下吧。来自清华大学的TSAIL等多个战队成功利用图片对抗样本针对图像分类器发起攻击,导致分类器出错,骗过AI图像识别。TSAIL战队首先在前两关“非定向识别”、“定向识别”取得高分,最后在第三关“人脸识别攻击”中用图片成功欺骗图像分类器,让AI将黄健翔识别成了伊万卡,虽然置信度很低,但依照比赛规则,选手攻破成功,累计得分229.77分,成功拿到GeekPwn2019 CAAD CTF图像对抗样本攻防赛的第一名。10月24日,GeekPwn2019国际安全极客大赛在上海举行,Hiding Cat、NISLer、TSAIL战队成功利用图像对抗样本,利用一张纸在AI镜头下实现了“隐身”。在比赛现场,三支战队分别打印了多张“图像对抗样本”,让现场观众将样本举在胸前,放在镜头前就能躲过目标检测系统的识别,让系统感知不到有人存在,在镜头下实现了“隐身”,成功完成了挑战。值得一提的是,全部攻破的是被视为“目标检测网络的巅峰之作”的YOLOv3系统。来自清华-奇安信网络安全联合研究中心的参赛队伍,通过利用HTTPS协议的漏洞,攻击部署了HTTPS最佳实践的网站,远程劫持篡改HTTPS保护的网页内容、窃取HTTPS保护的用户密码。在比赛现场,参赛成员在事先未获得受害者电脑的任何配置信息和账号口令的情况下,通过攻击篡改受害者访问的网页中的二维码,还可以通过攻击获得受害者在加密网站输入的用户名与密码。据了解,该漏洞属于通用底层协议安全问题。此攻击不同于已知攻击,如 SSL Stripping、SSL Sniffing,这些攻击均已在最新的安全策略中被修复或危害较低,但参赛选手的挑战仍然可以对加密流量进行用户无感知的劫持。赛后主办方将该漏洞提交给厂商,并协助厂商进行修复。白帽黑客攻破无线投屏和平板电视,可实现远程操控链接设备窃取信息来自长亭科技的参赛队伍利用无线投屏设备的漏洞和平板电视的漏洞,实现了对办公设备的远程控制。
在比赛现场,参赛队伍利用未知安全漏洞,植入了恶意攻击程序,感染了其它连接投屏设备的电脑,然后远程控制被感染的电脑拍摄了用户的照片;并且还利用平板电视的漏洞,获得了平板电视的root shell,截屏并获取了图片。这两项漏洞可以被应用于针对企业的渗透测试中。赛后主办方将会把漏洞同步给相关厂商,并协助厂商进行漏洞修复。来自腾讯安全玄武实验室的挑战队伍通过获取玻璃表面指纹,进行自动化克隆复原,产生新指纹模型,通过了多款指纹身份认证设备的识别。
在比赛现场,腾讯安全玄武实验室的挑战队伍通过一名观众随机留在玻璃杯上的指纹,使用特殊拍照方法进行提取,经过APP解析形成有效指纹信息,通过雕刻机克隆指模,通过了多款使用超声波、电容、光学等不同指纹验证技术的设备的识别。据了解,指纹破解APP及指纹采集方法为腾讯安全玄武实验室独家自研技术,能够在小面积的指纹残影情况下提取复刻有效指纹。目前玄武实验室已与多家指纹验证设备提供商进行沟通,推动该问题的解决。据参赛选手陈昱介绍,用户不用过于恐慌,只要在日常使用中养成及时擦去指纹的习惯,即可大幅提升指纹设备安全。
白帽黑客突破思科路由器发起DNS劫持,实现对设备访问的网页进行篡改来自韩国的安全研究员Gyengtak Kim、Jeongun Baek和Sanghyuk Lee利用漏洞攻击cisco路由器,并获取路由器最高权限,劫持篡改用户访问的网站。
在比赛现场,三位韩国选手利用安全漏洞获得路由器的 root 权限,进行DNS劫持,让接入路由器的设备在打开显示网页时呈现假新闻。目前该漏洞可影响思科路由器 RV110W、RV130W、RV215W 三款产品。
赛后,主办方会将漏洞报送给相关厂商,并协助厂商进行修复。
来自中国网安·广州三零卫士木星安全实验室的伍智波、周坤,现场仅用一分多钟就成功利用飞利浦智能音箱的漏洞,攻击并获得root权限,成功控制音箱播放内容:播放指定声音、替换开机音效、控制音箱在投票网站投票。
越来越多的家庭用户购买和使用智能音箱,在用户享受其带来便利的同时,往往不了解其安全性。此次极客挑战旨在协助智能设备厂商完善产品安全性能,保护用户安全。赛后主办方会将漏洞提交给厂商,并协助厂商进行修复。
白帽黑客破解D-link企业网关,上演办公室“上帝视角”10月24日,GeekPwn2019国际安全极客大赛在上海举行。来自安恒信息的选手乐清小俊杰、w0lfzhang,在比赛中利用D-Link DI系列全版本企业路由器中的漏洞,成功攻击并获取路由器最高权限,现场演示监控到正在“办公室”看股票的“员工”。
这是一种利用多个未知安全漏洞针对流行品牌企业级网关的攻击挑战,如果发生,可能导致上演企业办公室里的“上帝视角”,用户网络行为和一举一动被监控。此次挑战促使企业加强安全管控能力,而在赛后主办方也会将漏洞提交给厂商,并协助厂商进行修复。
今年的极棒大赛一如既往的精彩,通过预演安全风险项目,让我们感受到了创新和进步,互联网的安全一直有人在守护,而看雪也是其中之一。
今天公益集市中看雪展台所得全部款项将用于为需要科技器材、科普教育的青少年提供帮助,点燃他们的科技梦想,助力孩子们拥有“极棒”的未来!
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458300222&idx=1&sn=943c5aa2ec45b2e27b56d8a187cf3d1a&chksm=b1819fb486f616a2e626759d3f05d01392d53e8c65027376cf125e4f0a9ecb662bdc52f8fdf6#rd
如有侵权请联系:admin#unsafe.sh