【猎云网(微信:ilieyun
)上海】10月24日报道(文/史艺敏)
10月24日,GeekPwn2017国际安全极客大赛在上海召开,作为全球最大关注智能生活的安全极客大赛,GeekPwn2017以“解构行动”为主题,诠释了“好奇、质疑、打破、重塑”的极客精神。此次大赛,除了在无规则的智能生活PWN上别出心裁之外,人工智能安全挑战专项与AI仿声验声攻防赛均为全球首创,更与卡巴斯基联合推出Industrial CTF(工控攻防夺旗赛)决赛,以下简称为ICTF,将“基础设施安全模拟演练”的赛场,首次带到中国。
最终经过近十个小时的激烈角逐,安恒信息海特实验室凭借智能汽车盒子的破解演示摘得最酷展示奖,获得奖金十万元。
“笔记模仿”+“AI合成语音”——人工智能安全领域巅峰对决
作为全球首个探索人工智能与专业安全的前沿平台,GeekPwn在创建之初就开始关注AI安全,今年GeekPwn更是将人工智能挑战赛作为全年的重点项目,联合NEXT IDEA(腾讯创新大赛)发起“人工智能安全挑战赛”,同时增设“AI仿声验声攻防赛”,全面探索人工智能领域的安全威胁。GeekPwn方面表示,希望以黑客思维预演人工智能领域可能存在的风险,帮助人工智能安全成长,实现人类与AI的和平共处与发展。
来自中国金融认证中心(CFCA)的选手带着他的3D打印机来到GeekPwn2017的现场,挑战人类专业笔迹鉴定师。通过构建一个深度学习 “DeepWritting“,利用它就能让3D打印机拿笔在纸上自由书写,伪造真人笔迹,颠覆立字为据。
除了笔迹模仿挑战外,声音也成为AI挑战项目。
通过一段合成语音,竟能对声纹识别系统实现“诱骗袭击”。在GeekPwn2017的“AI仿声验声攻防赛”上,“Maxmon”、SmartParrot、“有点意思”、“神牛gogo”及“清晨李唐王”等五组选手,在现场根据当下最火热游戏《王者荣耀》里的英雄人物——妲己等英雄配音者所提供的声音样本,模拟了其声纹特征,合成一段“攻击”语音,对现场提供的四个具有声纹识别功能的设备发起攻击,欺骗并通过“声纹锁”的验证。最终,“清晨李唐王”成功破解三个声纹验证设备获得第一名。
三大战队巅峰对决,将基础设施安全攻防模拟首次带到中国
除了黑客与人工智能的较量外,GeekPwn与卡巴斯基实验室联合举办的ICTF决赛也首度登录中国大陆赛场。三大世界顶级CTF战队齐聚中国上海,向模拟工业控制系统炼油厂发起挑战,带来一场惊心动魄的脑力比拼。
经过前期的激烈角逐, CyKor(韩国)、TokyoWesterns(日本)和FlappyPig(中国)等三支战队进入决赛。据悉,最终参赛的队伍由七百多只队伍经过初赛厮杀进入最后决赛,用主持人黄健翔的话来说,难度系数超过足球世界杯。
经过长达十几小时的鏖战,最终,CyKor(韩国)战队问鼎本届ICTF大赛的冠军,TokyoWesterns(日本)获得第二名,FlappyPig(中国)则获得第三名。
KEEN公司CEO、GeekPwn大赛发起和创办人王琦表示:“卡巴斯基实验室是世界顶级网络安全供应商,我们很高兴能与之合作,并一同在GeekPwn2017嘉年华上海站举办ICTF决赛。这不仅为我们提供了与世界各地顶级网络安全研究员切磋技术的机会,还将智能生活网络安全性的影响扩展到影响范围更广阔的智能工业安全性方面”。
最新iOS系统的“iPhone8”被轻易破解,智能生活隐私何在
除了在人工智能及工业控制领域大展拳脚外,被称作“黑客奥运会”的GeekPwn继续保持“无所不Pwn”的比赛形式,鼓励全球黑客继续发挥脑洞,挖掘智能生活的潜藏威胁。
在GeekPwn2017的现场,一部装有最新iOS系统的iPhone8手机中的照片被“slipper@0ops”轻而易举地盗取,这也是该漏洞的首次揭秘。
同时“slipper@0ops”的这一破解,正是重现了KEEN团队在2013年11月于日本东京举行的世界顶级信息安全比赛Pwn2Own上所展现的破解奇迹——仅用30秒就破解了苹果最新的iOS7.0.3系统,这也是iOS7.0.3第一次被远程破解。
据选手透露,此次发现的漏洞将会影响从iPhone6到iPhone8甚至更早期型号的iPhone用户。同时,选手选择不提交漏洞给GeekPwn组委会,以作更多的后续研究。
而来自蚂蚁金服巴斯光年安全实验室的成员则带来了一个覆盖亿万安卓用户的漏洞, 通过一个恶意的网页链接在手机中植入木马病毒,只要用户打开含有“木马”病毒的链接,仅用5秒的时间,就能在不经过用户授权的情况下,远程在手机中强行装入恶意APP。这也就意味着,有大约亿级用户的手机将时刻暴露在危险环境中,而他们手机中的个人隐私信息、图片、网银、支付账户等,都有可能成为“公共”资料。
能够随时观看家中状况的智能摄像头也已经逐渐渗入到普通人的家庭。在GeekPwn2017的现场,来自中科院信工所 VARAS 团队以及猎豹移动安全实验室的选手,就带来了两组利用漏洞获取网络摄像头权限的演示。在他们的演示下,智能摄像头将不再是你用来监控家里猫咪和狗的“眼睛”,也可能成为坏人监控你起居生活的工具。
此外,还有两种全新的攻击方式在GeekPwn2017的舞台上被选手“解锁”。来自安恒信息海特实验室的选手制作了仅有两枚硬币大小的“攻击“盒子,将其放在汽车底盘,同时通过车载智能盒子的漏洞,用一条短信就能实现在任何地方操控这辆汽车在行驶中急停。
黑客轻易复制伪造人类生物特征,如何证明“你是你”
智能生活危险重重,而生物识别这一堪称“将改变世界”的技术同样暗藏危险,黑客可以轻易将其复制伪造。在GeekPwn2017的现场,第二次参加GeekPwn大赛的90后女黑客“tyy”通过利用设备本身存在的漏洞,仅用两分半钟的时间就能直接修改设备中的人脸信息,从而实现用任意人脸欺骗门禁系统,打破了人脸识别系统的安全人设,颠覆人们眼见为实的认知。
同样脑洞大开的安全演示来自于百度安全实验室 xLab的选手,他在现场演示了一幕本该存在于电影中的场景——克隆“人”。选手通过复制目标人物的生物识别特征,成功实现对人脸、虹膜的克隆。未来,脸部、声音、虹膜等独一无二的生物特征也许将再也不能帮助你“验明正身”了。选手在现场表示,目前,生物识别技术并不完善,攻击者利用这些漏洞随意入侵,获取用户的个人信息。
除了脑洞大开的破解演示外,GeekPwn2017还在场外打开沙龙新玩法,特别设置“极客沙龙”,邀请来自腾讯安全玄武实验室、阿里安全 IoT 安全研究团队、看雪论坛、上海交通大学以及南京大学等六位安全研究者,为全球网络安全技术爱好者首次揭秘黑客领域一些鲜为人知的破解故事以及未公开的破解细节。同时,极客餐吧”、“拆弹专家”、“追击反制”、“圆盘解码”等烧脑游戏更是再次升级GeekPwn场外玩法,为全球安全技术爱好者带来一场顶级黑客盛宴。
据悉,GeekPwn2017硅谷站将于11月13日在美国硅谷计算机历史博物馆举办,继续揭开人工智能未来安全的秘密。全球顶级安全专家将带来哪些前沿议题?是否会有选手演示震撼全球的“心脏出血”漏洞或带来其他相关破解,敬请期待。
