你以為黑客的目標(biāo)只有你的電腦和手機(jī)?那你就太不了解黑客了。在黑客的手中,機(jī)器人不僅可以變身竊聽專家竊取你的隱私,還可以化身機(jī)器特工完成對(duì)真實(shí)世界信息系統(tǒng)的入侵;索尼PS4不僅能玩“生化危機(jī)”還能越獄玩起“超級(jí)瑪麗”;就連美國國家安全局的網(wǎng)站也無力招架。而這一切絕不是在道聽途說,你以為的前所未見,其實(shí)正在發(fā)生。
2016年11月10日下午,第二屆中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)(Cyber Security Summit,簡(jiǎn)稱CSS)安全極客秀分論壇在京召開。國際黑客大賽GeekPwn(極棒)攜重磅技術(shù)干貨來到CSS2016安全領(lǐng)袖峰會(huì),國內(nèi)頂尖白帽黑客現(xiàn)場(chǎng)炫技,首次揭秘破解背后的故事和技術(shù)。六場(chǎng)精彩紛呈的“黑客秀”,將CSS2016安全領(lǐng)袖峰會(huì)變成了峰會(huì)版的“黑客帝國”。
GeekPwn創(chuàng)始人,KEEN公司CEO王琦致辭
白帽黑客現(xiàn)場(chǎng)揭秘影響億萬用戶的三大高危漏洞
如果有人說:“一不小心,你就有可能變成艷照門的主角。”你可能不會(huì)相信。而在CSS2016安全極客秀的現(xiàn)場(chǎng),騰訊電腦管家網(wǎng)絡(luò)攻防小組成員尹亮?xí)嬖V你,通過利用Windows和Adobe的漏洞,他們就可以完全控制Surface Pro 4,利用一個(gè)惡意的pdf文件他們就能獲得你的電腦及攝像頭的控制權(quán),你還會(huì)說這一切是不可能的嗎?
為什么會(huì)選擇Surface Pro 4?尹亮是風(fēng)趣的說:“Surface Pro 4是微軟Surface 家族產(chǎn)品中最新的一款高效辦公設(shè)備,搭載了全新 Windows 10操作系統(tǒng),號(hào)稱有史以來最安全的Windows操作系統(tǒng)。既然是最安全的,那當(dāng)然就要選擇它。我們就是想要挑戰(zhàn)別人口中所有的最安全和不可能。”據(jù)悉,2016年騰訊電腦管家攻防小組共挖掘41次漏洞,堪稱全球之最。
同樣亮相安全極客秀的還有長(zhǎng)亭科技安全研究室的成員,他們帶來了最新的MTK構(gòu)架手機(jī)以及對(duì)索尼PS游戲機(jī)4.0.1的破解。你的手機(jī)是如何被黑客控制的?用游戲機(jī)來辦公是怎樣一種體驗(yàn)?在于晨升和楊坤的操作下,最新的MTK構(gòu)架手機(jī)不需連接數(shù)據(jù)線即可破解,PS4游戲機(jī)4.0.1成功實(shí)現(xiàn)越獄,玩起了超級(jí)瑪麗。同時(shí),楊坤也在安全極客秀現(xiàn)場(chǎng)首次透露了長(zhǎng)亭科技的“PS4越獄簡(jiǎn)史”:我們首先通過瀏覽器漏洞,獲取用戶態(tài)執(zhí)行權(quán)限(user mode),然后再通過內(nèi)核漏洞,獲得內(nèi)核權(quán)限,最終實(shí)現(xiàn)在PS4主機(jī)上運(yùn)行自制Linux系統(tǒng)。
長(zhǎng)亭科技成員楊坤
最強(qiáng)破解來襲,美國國家安全局網(wǎng)站也無力招架、
如何“黑”掉美國國家安全局(NSA)網(wǎng)站呢?這聽起來像是天方夜譚,來自清華大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室的陳建軍在安全極客秀現(xiàn)場(chǎng)首次揭秘利用HTTP協(xié)議頭的二義性黑掉NSA背后的故事和技術(shù)。
陳建軍說:“我發(fā)現(xiàn)互聯(lián)網(wǎng)中應(yīng)用最廣泛的HTTP協(xié)議存在重大安全漏洞——Host of Toubles,該漏洞會(huì)影響大量HTTP軟件。攻擊者只需要發(fā)送一個(gè)精心構(gòu)造的HTTP請(qǐng)求,便可以實(shí)現(xiàn)污染ISP緩存(包括毒魷魚攻擊), 污染CDN緩存,繞過防火墻,繞過WAF等攻擊。其中,污染ISP緩存攻擊,會(huì)對(duì)互聯(lián)網(wǎng)安全產(chǎn)生重大影響,危害極大。而利用這個(gè)漏洞完全有可能黑掉美國國家安全局的網(wǎng)站!
機(jī)器人變身“特工”,從科幻走進(jìn)現(xiàn)實(shí)
手機(jī)、電腦與我們的生活息息相關(guān),人們對(duì)于其安全方面的認(rèn)知相對(duì)是比較高的。而對(duì)于機(jī)器人,絕大多數(shù)人對(duì)它們的認(rèn)知都來自電影。但是,如果有一天這些機(jī)器人真的來到我們身邊,那會(huì)是什么樣子呢?在安全極客秀,薛邵基和付山陽可以告訴你。
Aldebaran NAO是目前學(xué)術(shù)領(lǐng)域世界范圍內(nèi)運(yùn)用最廣泛的人工智能機(jī)器人。而就是這樣一個(gè)“明星”機(jī)器人卻被白澤安全團(tuán)隊(duì)“盯上了”。來自白澤安全團(tuán)隊(duì)的付山陽在安全極客秀的現(xiàn)場(chǎng),向所有人秀出了這項(xiàng)技術(shù)——他們輕而易舉的攻破了NAO,使其變身竊聽專家,他們不僅可以控制NAO說話、行走、抓拍圖片,還讓NAO在現(xiàn)場(chǎng)跳起了《小蘋果》。同時(shí),付山陽也表示:這一漏洞若被利用,極有可能對(duì)全球范圍內(nèi)的NAO機(jī)器人產(chǎn)生影響。
白澤安全團(tuán)隊(duì)成員付山陽及NAO機(jī)器人
不僅如此,在剛剛結(jié)束的GeekPwn2016黑客大賽上奪得機(jī)器特工挑戰(zhàn)賽冠軍的薛邵基也來到安全極客秀的現(xiàn)場(chǎng),講述了他的“機(jī)器特工”誕生記。薛邵基說:“這是一種全新突破物理隔離的竊密方式,這種方式是很挑戰(zhàn)DIY機(jī)器人精準(zhǔn)度的!
國內(nèi)頂尖安全廠商暢談人工智能,深入探討未來智能發(fā)展
在安全極客秀“(弱)人工智能”領(lǐng)域的Hacking與偽智能領(lǐng)域的防御”圓桌討論環(huán)節(jié),來自小米安全團(tuán)隊(duì)、京東、清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院、百度、騰訊公司玄武實(shí)驗(yàn)室、極棒實(shí)驗(yàn)室等資深安全等專家就弱人工智能與強(qiáng)人工智能展開討論,深入探討人工智能領(lǐng)域的話題。
在AI、智能設(shè)備發(fā)展的現(xiàn)階段,白帽黑客挖掘人工智能漏洞的意義究竟在哪里?小米安全團(tuán)隊(duì)資深安全專家文煒表示:“隨著人工智能的發(fā)展,在未來,人工智能將帶來更多的可能性和一些看不見的威脅。我們作為廠商,在肩負(fù)各自智能安全使命的同時(shí),非常歡迎白帽黑客來幫助我們尋找產(chǎn)品的瑕疵,幫助我們共同把產(chǎn)品做得更安全,讓用戶更放心! 而GeekPwn創(chuàng)辦人、KEEN公司CEO王琦也在圓桌上表示:“一個(gè)優(yōu)秀的黑客相當(dāng)于10個(gè)或20個(gè)工程師,而我始終認(rèn)為更年輕的人才是真正能夠改變我們未來現(xiàn)狀的力量。GeekPwn會(huì)一直致力于挖掘最頂尖黑客人才,助力國際安全生態(tài)圈的建設(shè)!
“弱人工智能領(lǐng)域的Hacking與偽智能領(lǐng)域的防御”圓桌論壇
2016中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)以“智慧安全,連接賦能”為主題,立足全球格局,倡導(dǎo)“國際安全交流與融合” ,如果說CSS安全領(lǐng)袖峰會(huì)的安全極客秀分會(huì)場(chǎng)是深討黑客技術(shù)應(yīng)用的安全生態(tài)平臺(tái),那么GeekPwn則是國際黑客人才交流及展現(xiàn)才能的舞臺(tái)。GeekPwn的加入也為CSS2016安全領(lǐng)袖峰會(huì)的國際安全生態(tài)帶來新的突破與探索。