賽事背景
智慧型設備已經融入每個人的生活,成為人類身體器官的延伸,而萬物互聯的智慧型生活帶來無限便捷的同時,也隨時暗藏著各類不同的安全隱患;在享受智慧型生活的同時絕不能忽視潛在的安全威脅。
GeekPwn(極棒)把目光聚焦在智慧型生活安全領域,旨在通過活動吸引一流的極客發現智慧型軟硬體存在的安全問題,推動設備廠商及時修復存在的問題,從而進一步增強產品的安全性,為普通消費者使用安全提供保障。
此外,人工智慧等前沿領域也逐漸被人們所熟知,目前被嘗試性地運用於聊天機器人、無人駕駛、精準醫療、人機對弈等多個領域,而人工智慧還處於初級發展階段,安全問題依舊不容小覷。
GeekPwn(極棒)始終保持敏銳的科技洞察力,首個探索人工智慧與安全跨界領域,關注到機器學習、視覺識別等人工智慧最炙手可熱的技術安全的研究
GeekPwn(極棒)始終為擁有不可思議能量的極客提供廣闊的平台,讓他們充分展示對新科技、新技術、新設備的奇思妙想。另外,GeekPwn作為國際安全人才交流及展現的舞台,為科技企業與高素質的安全人才搭建一個橋樑。
主辦團隊
碁震(KEEN)是一支由中國“白帽”安全專家組成的信息安全研究團隊,實現 3 年 5 個冠軍的戰績,成為 Pwn2Own 歷史上獲勝次數最多的亞洲團隊。
碁震(KEEN)是世界範圍內由廠商官方確認發現計算機漏洞數量最多的安全團隊之一。致力於包括基礎系統與協定、移動支付、物聯網以及人工智慧安全等新興和未來技術套用領域的安全研究,並依託GeekPwn大賽等平台,幫助智慧型生態產品提升安全性。
賽事發展
2014年10月24日,全球首屆黑客大賽GeekPwn在北京舉辦,在現場號稱具有“全球第一款基於安全的“360路由器系統”的安全路由器,在比賽一分鐘內即被黑客攻破,在GeekPwn賽場上還實現了全球首次攻破特斯拉,可遠程操控特斯拉汽車移動。
2015年10月24日,第二屆GeekPwn在上海舉辦,包括無人機、POS機、智慧型路由器、手機等近40款智慧型軟硬體產品被攻破。次日,首屆極棒安全峰會舉行, Pwn2Own黑客大賽組織者及谷歌、微軟、高通、騰訊等公司的安全專家分享了最前沿的黑客技術乾貨,共話攻防對抗。
2016年,GeekPwn打造一年兩站的形式,形成5月12日年中賽澳門站及10月24日上海主賽場+美國矽谷分會場的組合,為全球安全極客提供更加國際化的競技與交流。在GeekPwn2016澳門站上,驚現了包括“遠程任意TCP劫持連線技術”;攻破智慧型保險箱,甚至將其變成鬧鐘秒破微軟Surface Pro 4
而GeekPwn2016嘉年華上海站上,首創了“機器特工挑戰賽”、“人工智慧PWN”、“跨次元CTF”等顛覆性項目。此外,傳奇黑客Geohot帶著全新自動駕駛系統Comma One2亮相GeekPwn2016嘉年華,以無人駕駛領域的“破局者”身份分享了他的人工智慧夢。
而在矽谷同步舉行的GeekPwn2016則吸引了包括OpenAI頂級人工智慧科學家Ian Goodfellow和谷歌大腦研究員Alexey Kurakin等在內的AI安全領域的頂級專家,分享了包括“對抗性圖像”可以輕易騙過機器視覺在內的前瞻AI安全觀點。
2017年5月13日,GeekPwn於香港郵輪舉辦年中賽,成為全球首個海上黑客賽事。90後女黑客tyy攻破四款共享腳踏車、智慧型手表演示“危險通話”、新型移動攻擊模型等破解展示。
2017年10月24日,GeekPwn2017國際安全極客大賽在上海舉辦,全球首創“人工智慧安全挑戰賽”及“AI仿聲驗聲攻防賽”,上演了人工智慧與全球頂尖黑客的巔峰對決。3D印表機模仿人類筆跡、合成語音“欺騙”聲紋識別系統、突破人臉識別門禁等看似不可思議的破解項目,都通過黑客的挑戰,成為了現實。
2017年11月13日,GeekPwn2018國際安全極客大賽啟動儀式在美國矽谷舉辦 。來自國內外的頂尖黑客和專家學者在本次啟動儀式上展示了眾多首發性、獨創性的尖端技術:精心設計的AI算法可輕鬆破解Google驗證碼套用——reCAPTCHA;遠程TCP劫持技術讓網銀密碼“不翼而飛”;AI安全領域最炙手可熱的研究成果首次發布。
美國當地時間8月10日,GeekPwn(極棒)2018在美國拉斯維加斯舉辦。全球首創CAAD CTF,六大頂級 AI 安全研究團隊上演對抗樣本攻防戰;CAAD Village聚焦AI安全領域,十大AI安全議題首發;破次元壁機器特工,真實場景入侵;“黑客與禪”Geek Pwn-ty,致敬黑客文化。
GeekPwn 2018以“人‘攻’智慧型,洞見未來”為主題,設定不同挑戰場景的命題專項賽,不設限制的非命題開放賽和PWN4FUN趣味挑戰賽。現場有GeekPwn首創的CAAD 可視化對抗現場展示、AI“生成式對抗網路”(GAN)技術趣味挑戰賽、利用AI對脫敏大數據進行追蹤還原等賽事,為AI安全帶來全新啟示。
賽事評價
GeekPwn自2014年創辦至今,先後湧現出上百位頂尖選手,累積已為行業貢獻了上百個漏洞,提前制止了諸多潛藏隱患的巨大威脅。 GeekPwn為國際頂尖安全人才搭建起對話的橋樑,吸引了包括傳奇黑客Geohot、“GANs之父”Ian GoodFellow在內的全球近百位頂尖黑客參加。
GeekPwn倡導腦洞大開的創新思維,並全球首創了包括“人工智慧安全挑戰賽”、“AI仿聲驗聲攻防賽”、“跨次元CTF”等項目,上演了眾多極具顛覆性的破解展示 。GeekPwn鼓勵安全極客的創新嘗試,希望以安全極客的思維提前預演現實中可能存在的安全風險。 GeekPwn呼籲更多的極客和廠商,共同關注安全問題,加入到GeekPwn的平台,共同維護未來安全。
歷屆回顧
GeekPwn2018 國際安全極客大賽上海站
GeekPwn2018國際安全極客大賽上海站於2018年10月24-25日在上海舉辦。來自於自清華大學、中國科學技術大學、美國約翰·霍普金斯大學、Facebook、騰訊、阿里巴巴等國內外高校與企業的頂級選手們,在極棒現場預演智慧型設備及人工智慧領域潛在的安全問題,探索智慧型生活的安全之道,助力人們更安全地享受智慧型生活。
現場回顧
黑客對決AI 上演“黑客帝國”絕地反擊
2018年Geekpwn首創CAAD 可視化對抗現場展示、AI“生成式對抗網路”(GAN)技術趣味挑戰賽、CAAD專項挑戰、利用AI對脫敏大數據進行追蹤還原等賽事,為AI安全帶來全新啟示 。
攻防千千萬萬次 消滅危機於萌芽
騰訊安全玄武實驗室在現場首度演示了影響觸屏解鎖型安卓設備的“殘跡重用”漏洞——安全研究員通過一張普通的白色卡片對光的反射,利用螢幕上殘存的指紋痕跡,讓屏下指紋感測器認為手機的主人正在使用指紋驗證。
據悉,該漏洞屬於屏下指紋技術設計層面的問題,會幾乎無差別地影響所有使用屏下指紋技術的設備。騰訊安全玄武實驗室在2018年初就開始和國內幾家主流手機廠商合作,不僅通過更新算法修復了已上市手機中的漏洞,還將相關解決方案提交給相關晶片廠商,推動了供應鏈層面的安全修復。
GeekPwn不只有專業的比賽,還有趣味的周邊項目
本屆GeekPwn既有騰訊安全、百度安全、京東安全、小米安全帶來的燒腦遊戲派對,還聯合了摩拜、唯品會、盤古、看雪論壇、機械工業出版社共同發起的“黑客公益集市”,有趣、有愛兩不誤。
GeekPwn2018上海站獲獎名單
GeekPwn1024 2018年上海站獲獎信息 | ||
比賽/挑戰項目 | 獎項名稱 | 獲獎團隊 |
對抗樣本攻防賽CAAD CTF | 第一名 | IYSWIM |
第二名 | OWLET | |
第三名 | TSAIL | |
優勝獎 | RNG、USTC-ALIBABA、BLADE TEAM | |
數據追蹤挑戰賽 | 第一名 | EATWOLF |
第一名(並列) | 小安團隊 | |
第三名 | CAVEMASTER | |
優勝獎 | JUSTDOIT、自由在高處、清華大學NISL | |
機器特工挑戰賽 | 第一名 | OP-USA |
第二名 | 阿凡達 | |
第三名 | 玖_死_壹_生 | |
GAN掉馬賽克挑戰賽 | 第一名 | 杜昂昂 |
黑客屋挑戰賽 | 雪豹團隊 | |
其它項目挑戰 | 極棒名人堂 | f1yyy@長亭科技 |
T3JRC團隊 | ||
伏宸安全實驗室團隊 | ||
優勝獎 | 小豬礦主團隊 | |
AMC團隊 | ||
移動安全實驗室團隊 | ||
explorer_z@長亭科技 | ||
軒轅SRG@VARAS | ||
李澤@看雪智慧型硬體小組 | ||
Crixer&Jung(來自韓國) |
GeekPwn2018國際安全極客大賽美國站
GeekPwn2018國際安全極客大賽美國站於美國當地時間2018年8月10日在美國拉斯維加斯舉辦 ,來自清華大學、加州伯克利分校、康奈爾大學、耶魯、京東等國內外的頂尖黑客和專家學者在本次大賽上展示了眾多AI安全領域首發性、獨創性的技術。
現場回顧
全球首創CAAD CTF賽制 六大世界級戰隊用AI攻防
首屆CAAD CTF匯聚了來自Blade Team、京東、清華大學、康奈爾大學、耶魯等科技企業、頂級高校組成的六大戰隊。值得一提的是,此次GeekPwn不僅邀請到在安全領域深耕多年的Blade Teamm以及由頂尖安全專家組成的NorthWest Security團隊,還有由耶魯、康奈爾等國際頂尖院校的畢業生或在校生組成的“小鮮肉”團隊——YYZZ和UCNESL。除此之外,更有來自清華大學,獲得過NIPS2017三項冠軍、實力強勁的TSAIL團隊以及來自京東安全團隊的JD-Omega團隊加盟。六支頂級 AI 安全研究團隊根據比賽現場隨機匹配的團隊圖像,生成“定向對抗樣本”對其他戰隊的防禦系統進行欺騙。經過數小時的鏖戰,最終,清華大學TSAIL戰隊問鼎本屆CAAD CTF大賽的冠軍,NorthWestTSec團隊獲得第二名,YYZZ則獲得第三名,UCNESL、Blade Teamm以及JD-Omega獲得優勝獎。
CAAD Village黑客村 十大議題力破AI對抗樣本之謎
除激烈的AI攻防大戰外,GeekPwn2018拉斯維加斯站還為全球信息技術愛好者們帶來了十場乾貨滿滿的議題分享,GeekPwn CAAD Village作為DEF CON Village的新生力量,邀請了來自克萊姆森大學、加州大學、清華大學、NorthWestSec團隊、Blade Team團隊、JD-Omega團隊、百度X實驗室、UCNESL團隊、YYZZ團隊等十位AI和黑客屆的研究者,分享各自關於人工智慧安全及對抗樣本的最新研究,包括自動駕駛汽車、語音識別系統、防毒軟體、神經網路等AI領域的最新研究成果首次曝光,引發AI創業者、從業者、學者的極大關注。
讓腦洞“野蠻生長” GeekPwn帶你體驗最極致的黑客文化
除了聚焦人工智慧安全領域,機器特工挑戰賽的重磅回歸也成為GeekPwn2018的亮點之一。GeekPwn期望以機器特工挑戰賽這樣的比賽形式,讓更多機器人領域的專家參與進來,共同關注通過物理和網路空間跨界的安全性問題。而作為機器特工挑戰賽的揭幕秀,在本次GeekPwn2018拉斯維加斯站上,來自內華達大學DASL實驗室的研究員也在現場展示了他們自製的機器人,外形其貌不揚的的機器人在選手的操控下,完成了插隨身碟、黑掉電腦的任務,為現場觀眾帶來一場腦洞盛宴 。
GeekPwn2018國際安全極客大賽啟動儀式
GeekPwn2018國際安全極客大賽於2017年11月13日在美國矽谷舉辦。
來自Google、微軟、蘋果、英偉達、廣達、京東、特斯拉、蔚來、三星、Trustlook、惠普等國際頂尖科技企業代表亮相,與全球頂尖黑客共同探討未來信息安全的發展之路。
現場回顧
20秒成功破解谷歌黑科技算法——reCAPTCHA安全系統
兩位資深安全研究者李偉和沈里用“神經網路”打造了一個能夠自動預測並識別驗證碼圖像的“機器人”,僅用20秒就成功“欺騙”了reCAPTCHA安全系統,使其無法正確區分機器和人類的差別,簡單來說,Google reCAPTCHA安全系統相當於網站的“防盜門”,而選手則是利用AI成功複製出無數把“鑰匙”。
兩分鐘“盜取”網銀密碼!揭開TCP劫持的秘密
來自加州大學河濱分校的錢志雲教授和他的學生陳偉騰在現場帶來了關於TCP劫持的破解演示。他們是利用WiFi特性導致的側信道來實現TCP旁路注入,由此可以在某銀行網站非HTTPS加密的子頁面中插入一個假的登錄框,獲取用戶的賬號密碼。這種攻擊能夠實現對所有非HTTPS加密網站進行劫持攻擊,強行篡改HTTP網站內容。
深度學習安全性的新思考 機器視覺上演戲劇性錯誤
加州大學伯克利分校博士後研究員Bo Li,分享了關於“對抗性樣本“在物理世界中的影響。通過利用”對抗性樣本“對交通標誌牌進行細微改動,就能誘導機器視覺做出錯誤的判斷。未來,該項研究也將被套用在自動駕駛汽車的實際檢測中。
來自谷歌大腦谷研發工程師、計算機視覺與圖像處理博士Alex Kurakin和谷歌的機器學習研究員Ian Fischer展示了對抗性機器學習領域的最新研究成果。他們的分享或許能為如何利用對抗性樣本指導人工智慧完成複雜任務提供一個全新的思路。
技術大咖解讀智慧型生活安全隱患
Nick Stephen再現了在GeekPwn2016上海站曾攻破的手機最安全地區Trustzone的破解展示,分享了關於如何利用八個漏洞打穿手機最安全地區Trustzone的技術細節,揭開全球首次攻破手機指紋解鎖背後的秘密。
同時,來自騰訊玄武實驗室的安全研究員劉惠明也帶來了曾在GeekPwn2017年中賽上所展示的令人震驚的移動無線攻擊樣本——Wombie Attack,並首次首次公開其技術原理。
開啟GeekPwn2018年中賽全球招募
GeekPwn2018年中賽將於 5 月 12 日在矽谷舉辦,“PWN AI”、“AI PWN”、“無所不PWN”將構成GeekPwn2018年中賽三大比賽內容。同時,曾在GeekPwn2016嘉年華上演的“機器特工挑戰賽”也將在GeekPwn2018年中賽上驚喜回歸
GeekPwn2017上海站
GeekPwn2017國際安全極客大賽於2017年10月24日在上海舉辦。
今年GeekPwn2017將人工智慧挑戰賽作為全年的重點項目,聯合NEXT IDEA(騰訊創新大賽)發起“人工智慧安全挑戰賽”,同時特別增設“AI仿聲驗聲攻防賽”,全面探索人工智慧領域的安全威脅。
GeekPwn2017還邀請“激情解說”黃健翔作為本屆比賽主持人。
項目設定
人工智慧安全挑戰賽
根據功能區分,人工智慧安全挑戰賽分為 PWN AI 與 AI PWN 兩部分。PWN AI 是將 AI 作為挑戰對象。AI PWN 是將 AI 作為工具實施PWN。
AI 仿聲驗聲攻防賽
參賽隊伍從目標人物的聲音中學習聲紋特徵併合成語音音頻,攻擊若干語音驗證系統,突破或欺騙目標系統本身的用戶身份鑑別功能。
被攻擊目標:使用語音鑑別進行用戶登錄的軟體系統、帶語音鑑別功能的智慧型產品等。
Industrial CTF (工控攻防奪旗賽)
GeekPwn今年與卡巴斯基聯合推出Industrial CTF(工控攻防奪旗賽)決賽(簡稱為ICTF)。比賽中,選手需要向一個由變速離心泵、儲罐(油箱)、熱交換器和緩衝罐構成的鐵罐卸料器發起“進攻”,嘗試挑戰“入侵煉油廠”。
智慧型生活PWN
該項目面向市場在售的所有智慧型設備、物聯網(IoT)產品或產品中的安全模組。在合理的攻擊條件下,對於範圍內的產品或者模組,實現越權控制、越權訪問數據或者突破原有安全機制。
現場回顧
黑客與AI的“安全較量”
來自中國金融認證中心(CFCA)的選手帶著3D印表機來到GeekPwn2017比賽現場,挑戰人類專業筆跡鑑定師。選手通過構建一個深度學習 “DeepWritting“,利用它就能讓3D印表機拿筆在紙上自由書寫,偽造真人筆跡,顛覆立字為據。
“AI仿聲驗聲攻防賽”上,“Maxmon”、SmartParrot、“有點意思”、“神牛gogo”及“清晨李唐王”等五組選手,根據當下最火熱遊戲《王者榮耀》里的英雄人物——妲己等英雄配音者所提供的聲音樣本,模擬了其聲紋特徵,合成一段“攻擊”語音,對現場提供的四個具有聲紋識別功能的設備發起攻擊,欺騙並通過“聲紋鎖”的驗證。
最真實的網路安全攻防
GeekPwn今年與卡巴斯基聯合推出Industrial CTF(工控攻防奪旗賽)決賽(簡稱為ICTF),首次將“基礎設施安全模擬演練”的賽場帶到了中國。經過近十個小時的激烈角逐,最終,CyKor(韓國)戰隊問鼎本屆ICTF大賽的冠軍,TokyoWesterns(日本)獲得第二名,FlappyPig(中韓)則獲得第三名。
深入挖掘智慧型生活潛藏威脅
深入挖掘智慧型生活的潛藏威脅也是GeekPwn2017的精彩項目,智慧型手機、智慧型攝像頭都是舞台上的熱門“破解單品”。“入侵”一部裝有最新iOS系統的iPhone8手機、通過網路智慧型攝像頭漏洞查看攝像頭信息、“欺騙”人臉識別門禁系統、複製目標人物的生物識別特徵、利用汽車盒子遠程控制汽車急停等腦洞大開的破解項目令現場觀眾目不暇接。
評審及顧問團隊
KEEN CEO、GeekPwn發起及創辦人王琦;
騰訊安全玄武實驗室負責人於暘;
百度首席安全科學家、百度安全實驗室負責人韋韜博士;
騰訊湛瀘實驗室總監袁仁廣;
清華大學網路科學與網路空間研究院NISL實驗室副研究員諸葛建偉博士;
盤古聯合創始人、犇眾信息CTO徐昊;
美國知名安全公司派拓網路公司安全專家屈波博士;
滴滴出行安全專家、前美國 FireEye資深研究員王宇;
樂視雲計算安全中心總經理、IDF極安客實驗室、益雲社會創新中心聯合創始人萬濤;
清華大學語音和語言技術中心主任、北京得意音通技術有限責任公司董事長鄭方博士;
清華大學優秀博士學位論文獎獲得者、北京一流科技有限公司創始人袁進輝博士。
GeekPwn2017上海站獲獎名單
獎項 | 選手 | 項目 | |
最酷展示獎&優勝獎 | 安恆海特實驗室 | 利用汽車盒子遠程控制汽車急停 | |
優勝獎 | 中國金融認證中心(CFCA) | 3D印表機模仿人類手寫字跡 | |
TYY | “欺騙”人臉識別門禁系統 | ||
NUDT長沙銀河泛聯網路安全實驗室 | 通過網路遠程攻擊NAS(網路附屬存儲) | ||
秦皓 | 利用JCG路由器漏洞,遠程控制電視插播視頻 | ||
MD5_SALT | 利用APP服務端漏洞,實現0元看電影 | ||
看雪智慧型硬體小組 | 智慧型攝像頭 | ||
AI仿聲驗聲攻防賽 | 第一名 | 清晨李唐王 | |
第二名 | 神牛GOGO | ||
第三名 | SMARTPARROT | ||
優勝獎 | 有點意思 MAXMON | ||
Industrial CTF(工控攻防奪旗賽) | 第一名 | CyKor(韓國) | |
第二名 | TokyoWesterns(日本) | ||
第三名 | FlappyPig(中韓) |
GeekPwn2017香港年中賽
GeekPwn2017香港站於2017年5月13日舉辦。此次比賽,GeekPwn秉承挑戰、突破、創新的極客精神,打破地點的界限,登上首個亞洲本土豪華郵輪品牌——星夢郵輪旗下的“雲頂夢號”,成為全球首次海上安全極客賽事。
項目設定
本次比賽覆蓋智慧型出行,智慧型家居、智慧型手機、智慧型手錶等幾乎智慧型生活的所有領域。
面向市場在售的所有智慧型設備、物聯網(IoT)產品,或產品中的安全模組。在合理的攻擊條件下,對於範圍內的產品或者模組,實現越權控制、越權訪問數據或者突破原有安全機制。
對於已發布的AI服務或產品完成誤導、欺騙,使它們做出違反常規或者錯誤的判斷、決策。
1.面向市場在售的所有智慧型設備、物聯網(IoT)產品,或產品中的安全模組。在合理的攻擊條件下,對於範圍內的產品或者模組,實現越權控制、越權訪問數據或者突破原有安全機制。
2.對於已發布的AI服務或產品完成誤導、欺騙,使它們做出違反常規或者錯誤的判斷、決策。
現場回顧
女黑客tyy利用共享腳踏車漏洞,成功獲取了評審老師的共享腳踏車賬號、餘額、騎行記錄等隱私信息,通過場外連線用評審的共享腳踏車賬號開鎖、騎行消費,實現了“花別人的錢,騎自己的車” 。
安恆海特實驗室的rainman將其攻擊目標鎖定在另一款智慧型出行設備——小米9號平衡車。他利用組合漏洞,通過電腦藍牙連線平衡車, 在電腦上運行腳本,就可繞過密碼,通過程式腳本完全遠程控制平衡車,讓其無法移動和關機。
“手機殭屍”隔空竊密
騰訊玄武實驗室的“X興趣小組”在2017極棒黑客大賽年中賽上通過“手機殭屍”項目展示了一種新的移動安全威脅模型——Wombie Attack,此攻擊模型不但可以實現傳染式攻擊,而且攻擊過程不依賴網際網路,所以甚至無法從網路層面檢測攻擊。
此次GeekPwn2017年中賽還有遠程秒破智慧型門鎖、與兒童智慧型手錶親密對話、禁用手機鎖屏密碼與指紋、讓智慧型門鈴響起“怪聲”等覆蓋智慧型出行、智慧型家居等多個領域的破解演示。
GeekPwn2017香港站獲獎名單
獎項 | 選手 | 項目 |
最佳技術獎 | George Nosenko | 攻破思科交換機的最高許可權 |
最佳腦洞獎 | 騰訊玄武實驗室X興趣小組 | 新型移動安全威脅模型——Wombie Attack |
最佳表現獎 | tyy | 攻破四款共享腳踏車 |
優勝獎 | 中國海洋大學信息安全實驗室 | 遠程獲得路由器最高許可權 |
百度安全實驗室 | 攻破果加智慧型門鎖 | |
看雪智慧型硬體小組 | 遠程控制一系列家居設備 | |
crixer | 利用漏洞,將路由器變成攻擊肉雞 | |
小灰灰 | 攻破小天才兒童智慧型手錶 | |
安恆海特安全實驗室 | 通過惡意二維碼直接獲取攝像頭root許可權 | |
遠程控制小米9號平衡車 | ||
清華大學網路與信息安全實驗室 | 利用漏洞,將路由器變成攻擊肉雞 | |
Cofe-team | OPPO R9手機 |
GeekPwn 2016上海+美國矽谷站
2016年6月20日,GeekPwn2016上海+美國矽谷站正式啟動全球選手招募。
2016年10月24日,GeekPwn2016嘉年華在上海主賽場+美國矽谷分賽場同步連線。
項目設定
2016年GeekPwn大膽革新,除傳統智慧型生活Pwn的項目外,還引入了人工智慧Pwn比賽項目,並創造性地首推機器人特工挑戰賽、極棒跨次元CTF,共同構成了今年的四大項目,並設立了500萬元的獎金池。
1.人工智慧PWN
選手需要實現對已發布的AI服務或產品完成誤導、欺騙,使它們做出違反常規或者錯誤的判斷、決策。
2.機器人特工挑戰賽
參賽者需要設計並製作一個擁有機械手臂、可自主移動、能入侵系統的機器人,完成的任務至少包括:機器人被裝在快遞包裝箱裡並能從內部自行打開包裝箱,或者以其它任何合理的方式進入賽場中模擬的辦公環境,在遠程控制下找到在地面上的台式機,將一個USB設備插到台式機面板上的USB口,然後按下電源開關。
3.極棒跨次元CTF
每支參賽隊會分配到一個無人機作戰系統,參賽隊伍不但要進行傳統CTF比賽的網路攻防,爭奪無人機作戰系統的控制權,還要控制無人機發起對其他隊伍作戰基地的物理攻擊。
4.智慧型生活PWN
除了延續極棒關注智慧型生活的傳統外,IoT設備,VR、AR等新穎的輸入輸出模組也將成為比賽項目;在攻擊條件上,不再要求全新未改動的設備,而可以基於任何合理的有現實意義的改動前提下實現越權控制或越權訪問數據。
重點話題
2016年GeekPwn將“人工智慧”作為重點話題
獎項設定
在原有一二三等獎基礎上增設最大腦洞獎、最霸技術獎、最酷展示獎、極客精神獎等獎項。
還設定了“三年最佳團隊”、“三年最佳選手” 等一系列特別獎項。
單項獎最高80萬,獎金池高達500萬。
現場回顧
GeekPwn2016嘉年華吸引了包括傳奇黑客Geohot、Open AI 權威科學家 Ian Goodfellow在內的58名分別來自中、美、俄、新加坡等國際頂級黑客參加,成功搭建起中國最大規模、最高規格的國際白帽黑客切磋交流平台。
國際頂級黑客引領人工智慧與專業安全新方向
Comma.ai 創始人兼CEO,傳奇黑客Geohot在現場展示了其售價僅999美元並可套用於所有車型的自動駕駛系統,並且表示:“我相信自動駕駛汽車將會成為非常重要的AI套用領域”。Geohot並獲得極棒鬥士獎。
而OpenAI頂級人工智慧科學家Ian Goodfellow和谷歌大腦研究員Alexey Kurakin也出現在了GeekPwn2016嘉年華美國矽谷站,並分享了他們的發現——“對抗性圖像”可以輕易騙過機器視覺。“
黑客技術登峰造極 全新破解思維顛覆傳統安全
研究安全防禦工作的白澤安全團隊通過網路觸發漏洞,進而遠程入侵併控制了Aldebaran NAO機器人,看機器人所見,聽機器人所聽,成功實現對其遠程監視和竊聽。試想一下,使用機器人的用戶信息將會變成透明將是一件可怕的事情。
來自美國的Amat Cama找到了Source遊戲引擎可以任意代碼執行的漏洞,在不接觸對方設備,不知道對方賬號信息的情況下,侵入了正在遊戲的電腦,還通過電腦攝像頭監控了美女主播的實時視頻。而據悉,此漏洞將會對千萬遊戲玩家產生影響。
而同樣來自美國的Shellphish團隊,突破了最新版本手機的最堅實防線——“指紋識別搭配TrustZone”,而這不僅能獲得安全區中的敏感數據,還能直接進入支付等高許可權場景。該團隊捧得今年的最高獎35萬獎金,而團隊中的 Nick Stephens也獲得了極棒技術獎。
鳳凰解碼安全團隊通過觸發漏洞,獲取APP控制端發出的認證信息,通過該認證信息遠程控制並攻擊Edimax智慧型插座。同時,可以利用協定漏洞篡改固件,控制其傳送了一條微博。而該團隊研究網路安全與隱私保護。
跨界碰撞帶來火花 前所未見的跨維對抗抓人眼球
今年,GeekPwn創新性地增設機器人特工挑戰和跨次元CTF。
與其他CTF比賽迥然不同,GeekPwn的跨次元CTF的四支參賽團隊以代碼對抗,爭奪無人機控制權,並展開一場突破數字世界與物理世界的較量,最終FlappyPig戰隊技高一籌,奪得冠軍,獲得6萬獎金。
而在機器特工挑戰賽中,選手自製的機器人“特工”潛入進主辦方設定的“辦公場景”, 並通過高難度的物理接觸插隨身碟的方式獲取電腦數據。最終來自薛恩鵬的機器人成功完成任務,獲得4萬獎金。
周邊亮點
Geek基因充斥在GeekPwn2016嘉年華的每一個角落,除了可以在現場觀看超高水平的黑科技破解秀與國際黑客大咖的頂級演講外,在互動區也可以感受到濃烈的極客范兒。
在互動區,設定了探索者、挑戰者、偽裝者、操控者、及破解者五大遊戲種類,參與者可憑藉電子胸卡參與其中,根據挑戰的成功率和難度分別點亮胸卡的燈,最終將胸卡燈全部點亮的為全場最牛的參與者。
除此之外,在互動區還設定了機器人ShowTime區,參與者可觀看到種類多樣的機器人。
評審及顧問團隊
GeekPwn活動發起和創辦人,碁震KEEN創始人兼CEO王琦;
騰訊玄武安全實驗室負責人”TK教主”於暘;
中國鷹派聯盟創始人“黑客老鷹”萬濤;
知名iOS越獄團隊盤古主力研究院徐昊;
清華藍蓮花戰隊領隊諸葛建偉;
原360安全團隊負責人“yuange”袁仁廣;
阿里巴巴集團安全部技術副總裁杜躍進;
知名網路安全公司王宇;
百度安全實驗室負責任韋韜(美國場主評審);
英特爾實驗室安全研究院和架構師李曉寧(美國場評審)
合作夥伴
騰訊安全、百度安全、京東智慧型、小米、華為
GeekPwn2016嘉年華獲獎名單
獎項 | 選手 | 比賽項目/演講 | |
三年特別獎項 | 極棒安全團隊獎 | TSRC | / |
極棒貢獻獎 | 長亭科技 | / | |
第一名 | FlappyPig戰隊 | 跨次元CTF | |
薛恩鵬 | 機器特工挑戰賽 | ||
優勝獎 | Clarence Chio | 對抗式機器學習實踐 | |
Chris Salls Jake Corina (Shellphish團隊) | Root Sony Xperia XA | ||
Phenix Coder | 智慧型插座PWN | ||
Denis Makrushin Vladimir Dashchenko | “智慧型城市”為何變得如此愚蠢? | ||
付山陽(白澤安全團隊) | 遠程入侵Aldebaran NAO機器人 | ||
長亭科技 | 越獄PS4 | ||
Root華為暢享5手機 | |||
Amat Cama (Shellphish團隊) | 遊戲引擎挑戰 | ||
極棒精神獎 | Stephen Chavez | 攻擊移動醫療器械——電子輪椅 | |
極棒腦洞獎 | Allan Cecil | 機器是如何快速通關遊戲 | |
極棒技術獎 | Nick Stephens (Shellphish團隊) | Pwn掉華為P9 Lite的TrustZone | |
極棒鬥士獎 | Geohot | 自動駕駛系統 |
GeekPwn2016澳門站
GeekPwn 2016年中賽於5月12日在澳門金沙城喜來登大酒店舉辦。
項目設定
包括智慧型手機、智慧型交通、智慧型穿戴、智慧型家居、智慧型娛樂、“網際網路+”APP六大領域。
比賽規則
延續GeekPwn關注智慧型生活的傳統,在獎金的評定上與2015年10月24日的GeekPwn嘉年華上海站保持統一的標準。為了更貼近智慧型生活的真實使用環境,GeekPwn2016的項目評審將在過去重視技術難度的基礎上,增加影響力,攻擊動機,演示效果三個維度。
獎項設定
在原有一二三等獎基礎上增設最大腦洞獎、最霸技術獎、最酷展示獎、極客精神獎四個特別獎項。
單項最高獎金80萬。
現場回顧
高中生小鮮肉鍾情破解技術
本次比賽年齡最小的選手是兩名16歲的高中生,他們演示了如何用手機劫持無人機,使得無人機不受遙控器控制而起降,以及不聽指揮自動返航。雖然最終評審從嚴格漏洞判斷標準角度判定該項目不屬於無人機的安全漏洞,但兩名少年因對破解技術的熱情而獲得了本屆比賽的“極客精神鼓勵獎”。
女黑客隨意遠程操控智慧型遙控器
全場唯一的女黑客將攻破目標鎖定在智慧型家居,她攻破了巢控智慧型遙控器,凡是可以通過紅外遙控器控制的家電都可以被劫持。試想一下,如果遙控啟動電熱毯或者電熱浴霸甚至可能引發火災。
黑客叔叔玩壞保險箱
“誓要玩壞各種智慧型與不智慧型的保險箱”的“黑客叔叔”將各種保險箱玩弄於股掌之間,不僅劫持了“SAFEOK防黑客保險箱”的密碼,還能將其改造成“鬧鐘”——特定時間不起床,就可能錢財不保。這個項目因其腦洞大開的改造精神被評為“最酷展示獎”。
頂級黑客大賽難度級別的項目現身 獲最霸技術獎
曾經在另一個世界黑客大賽Pwn2Own奪冠的團隊也現身GeekPwn大賽,他們獲得了“最霸技術獎”。最新微軟產品Surface Pro 4成為他們的炫技道具,展示了真實世界中高級持續性威脅攻擊APT技術:通過利用Windows和Adobe Reader的漏洞,來自騰訊電腦管家網路攻防小組的選手可以完全控制SurfacePro——“黑客”給受害者傳送了一個惡意的PDF檔案,當受害者打開這個PDF檔案,Surface攝像頭在現場拍攝的影像即被上傳到“黑客”的電腦。
加州博士生重現歷史頭號黑客攻擊手段 可遠程任意劫持通訊
現場最令人咋舌的,是來自美國加州大學的博士生曹躍利用可被稱為“網路基礎設施”的TCP/IP協定棧實現漏洞進行遠程劫持的演示。在90年代網際網路發展早期,凱文·米特尼克利用當時還不完善的TCP協定實施了“任意網際網路會話劫持技術”並一舉成名,如今,曹躍所在的團隊針對現代已經不斷完善的TCP協定,從中挖掘出如此重量級的漏洞,無疑對世界的信息安全研究都有著重大的參考意義。
曹躍在GeekPwn比賽現場展示了他的“魔術”:攻擊者獲知世界任意一地方受害者的IP位址後,即可能遠程劫持其通訊。在展示中,受害者電腦顯示屏上正在瀏覽的新聞網頁突然跳出了一個虛假的登錄頁面,按提示輸入賬號及密碼之後,相同的內容便出現在了選手曹躍的電腦上。與新聞中常見網路犯罪手段(如木馬、釣魚、欺詐)不同的是,受害者無需犯任何錯——就會淪為攻擊者的羔羊。
有40多億種可能的序列號以及6萬多種可能的連線埠號,兩者相組合形成的不可預測性是TCP/IP協定的安全基石。曹躍成功地實現了一種能夠在短時間內就探測到TCP連線的連線埠號及序列號的技術,這意味著網際網路上幾乎所有的安卓和Linux系統,都可以在任意時間、任意位置被攻擊,被劫持通訊。
數萬家庭Wi-Fi 可被隨時隨地侵入
來自山石網科安全團隊的兩位選手率先攻下TP-Link路由器。在一個模擬安裝路由器的家庭中,演示了如何未經主人許可獲取路由器的敏感配置信息,並通過路由器的一個未公開的漏洞的得到該路由器的最高許可權,之後可以在路由器主人不知情的情況下將路由器變成黑客的肉雞,篡改路由器的DNS解析方式,將支付類的網站重定向到自己的釣魚網站,劫持受害者的資金。
隨後本次比賽的大獎選手長亭科技帶來了市面上10款路由器破解項目,包括思科路由器、360路由器、TP-Link路由器、網件路由器、華碩路由器等10款路由器逐一被破解。根據現場演示,安卓手機在連線了有漏洞的路由器後,在使用正規軟體市場下載套用時,正規的軟體便會被替換為植入了木馬的惡意程式,使得攻擊者可以收發查看受害者簡訊、控制手機的電話功能、調用手機攝像頭等。除此之外,長亭科技還發現了存在漏洞的華碩路由器服務被暴露在網際網路上,攻擊者可以在全世界任意位置對其發起遠程攻擊,受影響的路由器達數萬台。
周邊亮點
一向會玩的GeekPwn將2016澳門站比賽打造成了一場澳門風雲。
比賽現場布置充滿了澳門賭場元素:巨大燈牌,籌碼,骰子,甚至還把賭桌搬到了比賽現場。
現場設定了兩張賭桌,還配備了荷官為大家服務。參與者可以在每一個破解項目開始之前下注押寶比賽時間。不同時間的賠率不同,時間越短賠率越高。在當天比賽結束後,根據參與者手中籌碼的數量評出一至五等獎,獎品從周邊產品、1024上海站尊貴席位到真金白銀的澳門賭場1000港幣的籌碼應有盡有。
除了競猜破解時間來獲得更多籌碼,現場還設定了猜車牌互動遊戲和黑客潛質測試讓觀眾們也可以一展身手。
評審及顧問團隊
GeekPwn活動發起和創辦人,碁震KEEN創始人兼CEO王琦、
騰訊玄武安全實驗室負責人”TK教主”於暘、
中國鷹派聯盟創始人“黑客老鷹”萬濤、
知名iOS越獄團隊盤古主力研究院徐昊、
清華藍蓮花戰隊領隊諸葛建偉、
原360安全團隊負責人“yuange”袁仁廣
合作夥伴
京東智慧型、小米、華為
獲獎名單
GeekPwn2016澳門站獲獎名單 | ||
獎項 | 選手 | 比賽項目 |
一等獎 | 長亭科技 | 智慧型路由器(思科、小米、華為榮耀、360、TP-Link、極路由、網件、D-Link、阿里、華碩) |
二等獎 | 騰訊電腦管家網路攻防小組 | 微軟 Surface Pro 4 |
三等獎 | 曹躍 | TCP遠程劫持 |
優勝獎 | 黑客叔叔p0tt1 | SAFEOK防黑客保險箱 |
優勝獎 | syjzwjj@Hillstone-NEURON akast@Hillstone-NEURON | Tp-link TL-WDR5510 AC900觸屏路由器 |
優勝獎 | 賈雲 | 巢控智慧型遙控器 |
最大腦洞獎 | 曹躍 | TCP遠程劫持 |
最酷展示獎 | 黑客叔叔p0tt1 | SAFEOK防黑客保險箱 |
最霸技術獎 | 騰訊電腦管家網路攻防小組 | 微軟 Surface Pro 4 |
極客精神獎 | 王丙坤、劉傑煒 | 無人機劫持 |
GeekPwn 2015
第二屆GeekPwn嘉年華於2015年10月24日在上海舉辦。
2015年6月25日,GeekPwn 2015在上海啟動。
2015年7月27日,GeekPwn 2015官網正式上線啟動報名。
項目設定
GeekPwn 2015嘉年華項目覆蓋手機、無人機、智慧型穿戴、智慧型家居、 “網際網路+”APP、SSL/TLS協定、指紋專場等八大領域。
手機:主要針對手機及一些常見智慧型終端設備的未知漏洞進行利用和攻擊,最終實現對設備的完全控制。
汽車\無人機:目標範圍包括智慧型汽車、車聯網、無人機等智慧型設備和系統。
智慧型穿戴:目標範圍包括智慧型眼鏡、智慧型手環、智慧型手錶等智慧型可穿戴類設備和系統。
智慧型家居:目標範圍包括家庭監控、安防類,如智慧型門鈴、攝像頭、智慧型門磁等;環境感測類,如空氣淨化、環境監測等;家庭控制類,如智慧型插座、插板、路由等。
智慧型娛樂:目標範圍包括遊戲機等智慧型娛樂類設備和系統。
“網際網路+”:此類項目包含“網際網路+”智慧社區服務,如O2O社區服務平台APP+O2O社區服務套用APP;“網際網路+”智慧交通出行服務,如智慧出行服務套用APP;“網際網路+”移動支付服務,如移動支付APP;社交及普通手機APP類,如社交類移動套用、工具類移動套用等。
SSL/TLS專場:針對SSL/TLS協定的新密碼學安全問題、流行SSL/TLS Library的系統安全漏洞、流行瀏覽器中SSL/TLS相關的新安全漏洞、流行App/智慧型設備中的SSL/TLS漏洞等進行展示攻擊。
指紋專場:比賽設備包括但不限於使用指紋的手機、智慧型平板、筆記本、打卡機,不得對設備進行物理改動。在比賽前已經公布的機型/獲取方法不能參賽。
比賽規則
相比2014年增加了場景化的規則。場景化指參賽選手在規定的場景中完成相應的PWN。
獎項設定
本屆極棒嘉年華總獎金額度達500萬元人民幣。單項最高獎金分配如下:SSL協定專場比賽,獎金達80萬元人民幣;手機類PWN,最高獎金為80萬元人民幣。其他類項目獎金設定20—50萬元人民幣不等。
現場回顧
一架大疆無人機在GeekPwn評審“老鷹”的操作下起飛,按照評審的遙控指穩定飛行,評審將無人機遙控器放置在一邊,不料,此時無人機旋翼開始緩緩轉動並飛行起來。這是GeekPwn嘉年華選手在外場演示劫持無人機的畫面。
主流手機成選手目標全線路由器、攝像頭產品被攻破
活動過程中,華為、小米等主流手機品牌紛紛被選手攻破。選手通過在安卓手機上安裝一個普通許可權的app,利用本地提權漏洞獲取系統許可權後,該app會替換手機的開機畫面。
多名白帽黑客演示了360、D-link、TP-link等十個品牌的路由器被攻破的場景,三組參賽選手分別選擇了某電商網站十款銷量最高的路由器,利用智慧型路由器的未知漏洞,完成獲取ROOT許可權,演示本來要打開正常的GeekPwn官網,卻連結到另外一個黑客山寨的被PWN掉的GeekPwn官網。
移動金融支付成重災區
在當天的演示中,白帽黑客利用SSL網際網路底層協定的未知漏洞在用戶不知不覺中查詢餘額和消費記錄,個人隱私將被侵害,個人信息一覽無遺。
在GeekPwn智慧型軟硬體破解大賽現場,選手還輕鬆攻破了拉卡拉收款寶POS機,使卡內餘額莫名消失。同樣被攻破的還有盒子支付POS機。
O2O 讓黑客任性買買買
白帽黑客現場演示了如何利用嘟嘟美甲充值系統項目的漏洞,通過在自己手機上調用支付寶,在實際支付1分錢的情況下,完成任意價格的訂單充值。
現場選手還進行了利用“阿姨幫”系統未知漏洞,進行任意充值的的演示,其實,除了“阿姨幫”很多O2O產品都在支付接口有著類似的漏洞。
智慧型家居安全隱患無處不在
智慧型家居類產品已逐漸步入尋常百姓家,GeekPwn選手現場演示證明,黑客可以讓智慧型攝像頭變成侵犯用戶隱私的道具。選手現場演繹攻破智慧型烤箱,隨意調節其溫度、頻率等。想像一下,電影中烤箱爆炸的情景或許真的可能在現實生活中上演並威脅生命安全。
手機廠商安全負責人現場接受漏洞披露
GeekPwn主辦方KEEN公司CEO王琦表示,堅持科學中立的評判和負責任的漏洞披露是GeekPwn始終堅持的原則。據悉,在GeekPwn參賽項目確定後,組委會以郵件方式通知項目涉及的廠商,對廠商和用戶負責。
10月24日挑戰賽當天,華為、360、小米等廠商安全負責人參加現場活動,挑戰賽結束後,組委會第一時間向現場的廠商提交了漏洞報告,以幫助廠商儘早修復產品漏洞,從而大大降低了潛在的安全風險,讓智慧型生活更安全。
周邊亮點
在GeekPwn嘉年華的活動現場,可以欣賞精彩的破解秀、學習高超的黑客技術外,可以利用戒指中的遊戲點數參與極棒漫畫機、極棒足球賽、極棒駕駛員、破解廁所等豐富有趣的周邊遊戲互動:
除此之外,現場觀眾的胸卡為一個智慧型硬體——由安天設計的電子微螢幕。現場觀眾通過胸卡答題挑戰,獲勝者的ID可以閃亮在所有人胸卡上。每一位成功演示攻破項目的選手的名字會出現其中。
評審及顧問團隊
評審
包括騰訊玄武安全實驗室負責人”TK教主”於暘、MITBBS的創始人之一韋韜、知名iOS越獄團隊盤古主力徐昊、KeenTeam首席安全研究員陳良、清華藍蓮花戰隊領隊諸葛建偉、0x557成員屈波、知名安全專家王宇、中國鷹派聯盟創始人“黑客老鷹”萬濤、Pwn2Own新晉冠軍KeenTeam高級研究員Peter等業內頂級安全專家組成豪華評審團。
顧問團
GeekPwn2015顧問團成員包括啟明星辰首席戰略官“大潘”潘柱延、阿里巴巴集團安全部技術副總裁杜躍進、中國科學院軟體研究所研究員丁麗萍、KEEN首席科學家吳石、原360安全團隊負責人“yuange”袁仁廣。
合作夥伴
XCon、騰訊玄武實驗室、阿里神盾局、IDF實驗室、0x557、安天實驗室、盤古安全團隊、UCloud、上海市信息安全行業協會、啟明星辰ADlab、衛士通、眾人科技、實數科技、安恆信息、知道創宇、XCTF全國網路安全技術對抗聯賽、TRUSTLOOK、復旦大學系統軟體與安全實驗室、百度雲安全、賽客網路安全夏令營、看雪軟體安全論壇、i春秋學院、易安線上、ISG、騰訊電腦管家、綠盟科技、烏雲漏洞平台、騰訊安全應急回響中心、Freebuf、西普學院、威客眾測平台。
獲獎名單
GeekPwn2015 嘉年華獲獎名單 | |
極棒一等獎 | |
選手 | 比賽項目 |
清華大學網路與信息安全實驗室 走馬 、Godric 、tsingfu | HTTPS Side Channel項目 |
HTTPS BREACH 攻擊增強項目 | |
國內金融服務HTTPS項目 | |
趙澤光@Team 509 | 智慧型路由大擂台 (TP-Link、D-Link 、小米、 360) |
長亭科技 | 智慧型路由大擂台(Newifi) |
智慧型攝像頭系列項目 (聯想、 沃士達、 小蟻、 易視眼 、喬安、 凱聰、 中興) | |
達派/威士POS機項目 | |
極棒二等獎 | |
選手 | 比賽項目 |
ABC | 最新安卓手機root項目 |
0ops | 智慧型路由大擂台(小米 、極路由) |
極棒優勝獎 | |
選手 | 比賽項目 |
riusksk | 最新拉卡拉收款寶項目 |
DroidSec.cn安卓安全中文站 | 長帝智慧型電烤箱項目 |
復旦大學系統軟體與安全實驗室 張源博士 | 中國電信翼支付項目 |
Gmxp | 大疆PHANTOM 3無人機項目 |
zhuliang | 盒子支付POS機項目 |
聞觀行、曹琛 | 微插座項目 |
cnbragon、crackerzwx | 海爾SmartCare智慧型家居套裝項目 |
無心喃呢、 eaglezhang 、momohc | 海爾SmartCare智慧型家居套裝項目 |
Rabbit | Parrot無人機項目 |
丁羽@3251team | Lenovo ThinkPad X240項目 |
奇酷手機指紋驗證項目 | |
0ops | 微票兒支付系統項目 |
阿姨幫充值系統項目 | |
嘟嘟美甲充值系統項目 | |
一號店通過銀聯/支付寶付款項目 | |
謝君 | 最新Broadlink智慧型設備項目 |
GeekPwn 2014
獎項設定
2014年10月24日,首屆GeekPwn (極棒)安全極客嘉年華官方網站正式上線,也宣告著將在10月24日拉開大幕的嘉年華進入倒計時階段。智慧型設備不同領域,GeekPwn單項最高獎金分配如下:智慧型交通50萬元(智慧型汽車、車聯網等智慧型交通類設備和系統),智慧型家居10萬元(智慧型衛浴、智慧型空氣監測、智慧型路由器等智慧型家居類設備和系統)、智慧型穿戴20萬元(智慧型眼鏡、智慧型手環、智慧型手錶、智慧型運動等智慧型可穿戴類設備和系統)、智慧型娛樂30萬元(智慧型電視、機頂盒、遊戲機等智慧型娛樂類設備和系統)和智慧型終端25萬(智慧型手機、智慧型平板電腦等智慧型終端類設備和系統)。總獎金池還會隨著更多廠商的加入不斷增加,GeekPwn靜候各路頂尖極客10月24日在正式活動中一顯身手,贏高額獎勵。
活動現場
2014年10月24日下午,GeekPwn智慧型硬體破解大賽現場,號稱具有“全球第一款基於安全的路由器系統”360安全路由器,在比賽中一分鐘即被黑客攻破,讓人大跌眼鏡 。
獨家紀錄片
中國首部大型黑客紀錄片——《我是黑客》
創辦了21年的央視《新聞調查》在2017年推出了中國首部大型黑客紀錄片《我是黑客》,節目組歷經3個月的跟蹤拍攝,全景記錄了全球首個關注智慧型生活的黑客大賽GeekPwn(極棒)年中賽的全過程,展現了一場驚心動魄的黑客賽事,並分別於7月29日、8月5日播出了該紀錄片的上集及下集,揭秘了真實白帽黑客的生存狀態。
GeekPwn登入2016年央視3·15
2016年,央視3·15晚會特別聯合GeekPwn為億萬觀眾獻上了一部現實版“黑客帝國”,旨在揭露智慧型領域普遍存在的安全問題,提高大眾智慧型安全意識,為廣大消費者提供安全防護建議。
在當時的直播現場,GeekPwn以往比賽中的智慧型設備攻破演示場景再現央視舞台,手機APP、路由器、無人機、智慧型家居、智慧型汽車等產品所存在的安全漏洞問題以及導致的嚴重後果被悉數曝光,引發了廣泛關注。
GeekPwn相關
特訓營
極棒特訓營是由知名的國際智慧型安全社區GeekPwn(極棒)所創辦 。至今,已經成功舉辦兩年。
2015年7月15日,第一期極棒特訓營在南京開營。
2016年,極棒特訓營重裝上陣。全新的極棒特訓營針對有安全需求的廠商,講解從未曝光的極棒真實項目案例,形成了專屬獨門教材,這些最前沿、最鮮活、最真實的破解案例,不斷幫助廠商提高安全防護能力。全新的極棒特訓營旨在幫助廠商提升智慧型軟硬體產品的安全質量,助力整個智慧型行業的安全能力向前發展。
極棒特訓營2016
2016年,極棒特訓營全新升級。此次極棒特訓營為期兩天,來自京東智慧型、華為、小米等廠商從事信息安全及軟體開發的學員參與了此次“安全特訓”。 整個課程以安全開發生命周期為綱,在產品設計開發過程中採用已經被廣泛驗證的最先進的系統安全工程方法,有效減少產品中的安全問題、降低產品的控制成本。
極棒特訓營2015
極棒特訓營2015於2015年7月15日,在南京開營。
極棒特訓營2015從全國4000名XCTF聯賽選手中選出40名選手入營。部分學員則是為衝擊全球最高水平的DEFCONCTF安全大賽接受最後充電特訓。
特訓營夢想導師
諸葛建偉GeekPwn2015評審、XCTF全國聯賽共同發起人與執行組織者、藍蓮花戰隊領隊
聶森KeenTeam高級研究員
陳良KeenTeam高級研究員、世界黑客大賽三個冠軍獲得者
龍海對網路防護牆和終端防護產品有深入研究,2010年加入騰訊電腦管家任安全研究員,負責電腦管家雲引擎,動態行為系統,靜態系統,學習系統的建設
蔣洪偉GeekPwn2014的獲獎選手、360兒童衛士攻破者
課程信息
極棒特訓課程包含漏洞挖掘利用特訓和攻防對抗競技特訓兩大部分,內容涵蓋CTF式的對抗競技實戰特訓,以及作業系統、主流軟體、智慧型設備、硬體固件等全方位的漏洞挖掘利用特訓。
漏洞挖掘利用特訓
KeenTeam的高級研究員聶森特訓課程《漏洞挖掘利用特訓:作業系統篇——Android》;
KeenTeam的高級研究員陳良特訓課程《漏洞挖掘利用特訓:主流軟體篇——瀏覽器》;
GeekPwn2014參賽選手、360兒童衛士攻破者蔣洪偉特訓課程《漏洞挖掘利用特訓:智慧型設備篇——實例講解》;
騰訊安全的龍海、鄭文選特訓課程《漏洞挖掘利用特訓:硬體固件篇——實例講解》。
攻防對抗競技特訓
GeekPwn2015評審諸葛建偉特訓課程《攻防對抗競技特訓:成長之路》;
藍蓮花戰隊陳宇森、傅裕特訓課程《攻防對抗競技特訓:題解與復盤》。
安全峰會
Geekon 極棒安全峰會由KEEN舉辦,會議邀請到國內外頂級安全研究人員發表有關智慧型安全的前沿技術演講。
演講嘉賓及議題
Brian Gorenc :惠普安全研究院的漏洞研究主管。他負責領導ZDI項目,同時Brian也負責組織享有盛譽的Pwn2Own黑客大賽。
Abdul-Aziz Hariri :惠普安全研究院的一名研究員。他負責處理和分析數百個報告給ZDI項目的零日漏洞。他同時也負責模糊測試和攻擊代碼編寫工作。
議題:力挽狂瀾 – 惠普ZDI項目和Pwn2Own比賽
Adobe Reader JavaScript API利用
Dmitry Vyukov :為C/C++和Go語言設計動態測試工具,用於檢測地址/記憶體和執行緒導致的問題。同時他也致力於將類似工具移植到Linux核心中。
議題:Kernel Sanitizers: 下一代核心漏洞挖掘工具
葛仁偉:過去的8年中他一直從事高通產品安全方面的工作。目 前他作為產品安全總監,帶領的團隊涉足產品的開發周期、安全事件回響、攻擊事件情報、硬體、平台和套用安全等各個環節。他擁有德拉瓦大學的信息安全博士學位。
議題:守衛龍之國度
楊坤:北京長亭科技有限公司首席安全研究員及聯合創始人,藍蓮花戰隊隊長,曾帶領戰隊連續三次闖入DEFCON CTF總決賽。主要研究軟體漏洞挖掘和利用技術。
議題:掘金CTF/Mining Gold in CTFs
褚誠云:微軟雲安全部門首席安全經理。於2001年加入微軟。歷任微軟安全回響中心(Microsoft Security Response Center – MSRC) 防禦和檢測團隊主管,在微軟公司範圍的軟體安全應急回響流程中提供技術指導。現加入微軟雲安全部門最新成立的威脅情報中心(Microsoft Threat Intelligence Center – MSTIC),領導雲端的安全分析檢測團隊。
議題:微軟安全策略 – 從防禦到雲端檢測
玄武實驗室:騰訊在 2014 年新成立的部門。玄武是中國傳統文化“四象”之一。構成玄武的龜和蛇象徵著安全技術的一體兩面:防禦和攻擊。實驗室的定位是:圍繞安全攻防技術,展開面向實用的基礎研究。
議題:微軟安全策略 – 從防禦到雲端檢測
陳良:KeenTeam高級研究員。主要從事高級漏洞利用技術的研究,包括主流瀏覽器Safari, Internet Explorer, Chrome的漏洞利用,沙盒對抗技術的研究,以及手機端Root技術的研究。曾在Mobile Pwn2Own 2013中突破iOS 7, Pwn2Own 2014中突破Mavericks獲得冠軍。
議題:OS X 核心信息泄露的藝術
公開課
由KeenTeam主辦的GeekPwn公開課面向全國安全高校學生與愛好者。KeenTeam表示,創辦GeekPwn公開課的原因是希望能夠給信息安全愛好者,提供一個學習交流的平台,通過互動交流,與大家一起分享國際先進的安全技術經驗、思維,將GeekPwn打造成屬於所有信息安全愛好者的專業社區。
GeekPwn公開課第一期於2015年3月29日在北京開課;第二期於2015年4月26日在上海舉辦;第三期於2015年6月25日隨GeekPwn2015啟動儀式在上海開講;GeekPwn公開課第四期於2015年7月12日在南京開課,
GeekPwn公開課第二期於2015年4月26日在上海舉辦。KeenCOO呂一平、KeenTeam研究員陳良、騰訊電腦管家毛軍、上海交大0ops戰隊副隊長許文現場講解,如何同時攻破70款主流智慧型手機、如何遠程操控特斯拉等若干技術乾貨並分享了Pwn2Own奪冠的心路歷程。
GeekPwn公開課第三期,於2015年6月25日來到上海,浙大教授、南卡終身教授徐文淵、知名iOS越獄盤古團隊王鐵磊、KeenTeam高級研究員何淇丹、騰訊玄武實驗室安全研究員王連贏、徐文淵教授團隊、浙江大學博士閆琛共5位安全專家分享了通過黑客技術實現干擾心臟起搏器、如何通過智慧型電錶對你的生活進行監控、如何侵入汽車智慧型系統等獨家攻防秘籍。
GeekPwn公開課第四期於2015年7月12日在南京開課,與全國網路安全技術對抗聯賽XCTF總決賽無縫對接。來自智慧型安全社區GeekPwn2015的兩位評審:國際知名安全專家王宇和KeenTeam高級研究員陳良,騰訊無線安全研發中心的高級工程師彭慶棠,以及江蘇省公安廳網路安全保衛總隊神探童瀛等專家現場分享揭秘黑客偷梁換柱盜騙百萬元、守護一億台手機的安全等黑客技術乾貨。
實驗站
GeekPwn(極棒)安全極客嘉年華主辦方相關負責人介紹,建立GeekPwn實驗站的真正意義,還要回到舉辦GeekPwn嘉年華活動的初衷,“中國不缺好的技術人才,缺的是沒有一個好的平台讓他們來發揮才華,展現才能,於是誕生了GeekPwn這個可供極客人才聚集,交流和發展的公共平台。
該負責人表示,極客人才分布較多的城市都有了實驗站,並且提供了市場面比較流行和新穎的智慧型設備,這些設備都可以讓極客們實際接觸和研究。“我們相信,實驗站只是一個開始,後續我們還會繼續完善其他方面的支持,供極客們實現夢想”。
最新資訊
GeekPwn2017上海站已於2017年10月24日在上海圓滿落幕,上演了一場驚心動魄的黑客與人工智慧的精彩對決。同年11月13日,GeekPwn在美國矽谷舉辦2018年中賽啟動儀式,並匯聚全球頂級人工智慧安全領域專家,繼續解鎖人工智慧安全領域的前瞻觀點及技術分享。