58位中外黑客轮番攻破秀 GeekPwn成最炫酷极客赛事

北京时间10月24日,国际黑客大赛GeekPwn2016上海站·硅谷站如期举行。本届GeekPwn吸引了包括传奇黑客Geohot、Open AI 权威科学家 Ian Goodfellow在内的58名分别来自中、美、俄、新加坡等国际顶级黑客参加中,搭建起中国最大规模、最高规格的国际白帽黑客切磋交流平台。

在激烈的比拼过后,大赛组委向表现突出选手们颁布了特别的奖项,其中:来自美国的选手Stephen Chave凭借用Xbox360手柄远程控制智能轮椅获得极棒精神奖;凭借游戏漏洞快速通关的Allan Cecl和破解华为P9 Lite任意指纹解锁的Nick分别获得极棒脑洞奖和极棒技术奖。大赛组委还将极棒斗士奖授予黑客界旗帜性人物,传奇黑客Geohot,并将极棒三周年特别奖项,安全团队奖和贡献奖分别颁发给了TSRC和长亭科技。

国际顶级黑客引领人工智能与专业安全新方向

image1

Geohot获得极棒斗士奖

Comma.ai 创始人兼CEO,传奇黑客Geohot带着全新自动驾驶系统亮相GeekPwn2016嘉年华现场。他展示了这款仅售价999美元并可应用于所有车型的自动驾驶系统。

这个前几年还混迹于破解圈并且战绩颇丰的“神奇小子”,为何突然转移“战场”开始挑战自动驾驶系统?带着所有观众共同的好奇,GeekPwn发起创办人,KEEN CEO王琦对Geohot进行提问:有人说你可以搞定那么多破解,但不一定能做好人工智能驾驶,你怎么看?

Geohot表示:很多人在说人工智能怎么怎么样,但是我觉得AI现在还只是个概念,还远远没有实现。我们现在有深度的神经学习网络,一切又变得与众不同,我相信自动驾驶汽车将会成为非常重要的AI应用领域,这也是我们来到这里的原因,我们将会继续加强评估。并且在未来我觉得AI领域将会取得巨大的成功,这将成为一个非常激动人心的时期。

永远自信、充满活力的Geohot也对他带来的Comma One 的安全性做出了评价“我觉得它还是很安全的,安全性还是非常不错的。基本上想黑进来非常难,大家想要做的话完全可以来试试,如果真的黑进来的话不要忘了给我们提供一些反馈。“

image2

Ian Goodfellow

GeekPwn2016的美国硅谷站,OpenAI顶级人工智能科学家Ian Goodfellow和谷歌大脑研究员Alexey Kurakin分享了他们的发现——“对抗性图像”可以轻易骗过机器视觉。“。毕业于斯坦福大学研究人工智能的安全专家Clarence Chio在上海站现场展示了“对抗式机器学习实践”,即利用DEEP-PWNING框架,欺骗图像识别系统和恶意软件分类器,让采用了机器学习的系统做出错误判断。Clarence Chio的演示,打破了人们对人工智能的迷信,他希望被过度炒作的“深度学习”可以回归到安全的保护伞下,开发者能够在至关重要的应用程序中放心使用。

黑客技术登峰造极  全新破解思维颠覆传统安全

研究安全防御工作的白泽安全团队在GeekPwn2016黑客大赛上展示了远程控制Aldebaran NAO机器人的技术。他们通过网络触发漏洞,进而远程入侵并控制了Aldebaran NAO机器人,看机器人所见,听机器人所听,成功实现对其远程监视和窃听。

image3

来自美国的Amat Cama单枪匹马带来用于众多流行游戏的Valve Source引擎攻击,Amat Cama找到了Source游戏引擎可以任意代码执行的漏洞。破解过程中,Amat Cama邀请了一位正在现场进行直播的美女游戏主播上台参与互动。就在美女主播开始操作游戏后不久,Amat就在不接触对方设备,不知道对方账号信息的情况下,侵入了正在游戏的电脑,还通过电脑摄像头监控了美女主播的实时视频。

image4

Source引擎由Valve软件公司开发,广泛应用于多款主流游戏,如CS、反恐精英、绝地要塞等。据悉,该漏洞将影响数千万游戏玩家。

华为P9 Lite手机的任意指纹解锁捧得今年的最高奖35万奖金。来自美国的Shellphish团队,突破了最新版本手机的最坚实防线——“指纹识别搭配TrustZone”。现场观众通过鼻尖即实现了手机指纹解锁。通过利用这些漏洞,攻击者不仅能获得安全区中的敏感数据,还能直接进入支付等高权限场景。

image5

互动观众通过鼻子解锁华为P9lite手机

在现场演示发现的漏洞被攻破之后,华为第一时间对主办方提供的漏洞进行了慎重仔细的分析及修复工作,以保障华为手机系统的安全性进一步提升。

研究网络安全与隐私保护的凤凰解码安全团队通过伪装攻击目标Edimax智能插座,触发漏洞,获取APP控制端发出的认证信息,通过该认证信息远程控制该智能插座。不仅如此,研究人员还可以利用协议漏洞篡改固件,把智能插座变成被黑客任意操控的“肉鸡”,选手成功突破插座安全限制之后,发送流量包,控制其发送了一条微博。

image6

此次破解背后的寓意令人深省。近日发生的美国的互联网“瘫痪”事件的幕后真凶就是DDoS攻击。而DDos攻击之所以屡次刷新“史上最大规模网络攻击”的记录,就与物联网世界智能硬件安全性息息相关。

跨界碰撞带来火花 前所未见的跨维对抗抓人眼球

GeekPwn2016创新地设置了前所未见的比赛模式。其中,在以往任何黑客大赛都从未出现过的:机器人特工挑战和打破结界的跨次元CTF对抗赛着实让所有现场眼前一亮。

不同于以往的CTF比赛,来自GeekPwn的跨次元CTF呈现了一场突破数字世界与物理世界的“四国部队”无人机谍战。四个团队以代码对抗,争夺无人机控制权,展开一场打破结界的较量。最终FlappyPig战队技高一筹,夺得冠军,获得6万奖金。

image7

选手薛恩鹏制作的机器人完成高难度的插U盘动作

同样开启“跨维打击”的还有机器特工挑战赛。现场,数位来自全国各地的机器人爱好者,带着他们的“钢铁侠”,在主办方设定的“办公场景”内让自己的机器人“偷偷”潜入,通过高难度的物理接触插U盘的方式获取电脑数据。最终来自薛恩鹏的机器人成功完成任务,获得4万奖金。

三年以来,超过百名极客选手参加了GeekPwn ,累计奖金池超过千万,选手发现的安全漏洞由GeekPwn统一提交给智能厂商,累计负责任披露过百个高危安全漏洞。