GeekPwn 2017 :从击败AI到盗窃奥特曼
作者: 日期:2017年10月25日 阅:4,014

10月24日,GeekPwn(极棒)2017国际安全极客大赛在上海举行,本次大赛主要内容为探索人工智能的安全问题,白帽黑客对决AI,现场亮点不断。

真假欠条:AI宣战人类专业笔迹鉴定师

笔迹是一个人留下的特殊痕迹,然而,我们的笔迹会不会被人模仿,答案是肯定,而我们的笔迹又是否会被机器模仿,来自中国金融认证中心机器学习实验室的成员携其人工智能机械臂通过现场的展示给了我们一个肯定答案。

现场邀请到了中国著名科幻作家陈楸帆和笔迹鉴定专家,在比赛开始之前就把陈楸帆先生的笔迹文本进行提交,以便机器能够提前对其书写习惯,笔触等个人书写特征进行深度学习和训练,现场命题了一张“欠条”并让陈楸帆先生和机械臂同时进行书写,随后对字进行随机打乱并让笔迹让鉴定专家进行识别,最终由机械臂书写的字迹骗过了笔迹鉴定专家,机器书写对人的误导率达50%,成功达到了以假乱真的目的。

从今儿起,暴走在外的你就是一个行动的活体密码

如何证明你就是你?随着指纹、人脸、声纹、虹膜等生物特征识别技术在身份验证中的广泛应用,我们不禁要问,它们都是安全的吗?由百度安全实验室X-Lab研究员小灰灰向我们展示了通过伪造的虹膜和人脸照片将手机成功解锁。

首先为我们演示的场景为在目标人物佩戴VR眼镜时截获目标人物虹膜的高清照片,通过相应的处理之后打印出目标人物的眼睛,并贴上隐形眼镜,以此瞒天过海,成功骗过手机虹膜扫描安全机制并将手机解锁;另外一个现场演示场景是通过捕获目标人物人脸高清照片,并经过处理后将照片打印出来,以此伪装人脸将目标人物手机成功解锁,可谓切切实实地将行走中的我们变成了一个活体密码。

此次演示意在呼吁相关技术厂商关注通过生物特征进行身份认证的潜在风险,在产品设计层面就考虑到安全因素。

GeekPwn联合卡巴斯基实验室推出工控安全攻防赛

在这场精彩的工业网络攻防竞赛中,分别来自中国、韩国、日本的三组参赛选手要完成“入侵炼油厂的挑战”,选手被要求通过公司网络入侵到工业网络,工业网络的系统采用西门子和ABB的产品,用来控制炼油厂。

工业网络分为三个防护层,第一层是入侵检测和病毒扫描,第二层是非核心网络,最后一层是核心网络。经过一天的努力,参赛选手均未能攻破最后的核心网络,最佳战绩只是攻破到第二层。在这场攻防战中,参赛选手所展示出的高超攻防能力,对于漏洞和端口的扫描、网络嗅探、代码分析等技术和工具让人眼花缭乱,同时西门子和ABB产品也展示了非常不错的安全特性以及防护能力,攻防竞赛令人印象深刻,现场很多安全界的江湖高手也在赛后第一时间和选手进行了沟通。

没有点“安装“,你的手机就是安全的吗?

如今,智能手机被攻击变得越来越常见,恶意的短信、二维码、钓鱼链接让人防不胜防,给我们的个人隐私带来了极大隐患,然而,“不授权”就不会受到威胁吗?“不安装”就是彻底安全的吗?通过来自蚂蚁金服光年实验室AFLSLab的选手现场挑战,我们看到通过点击一条陌生链接,某主流品牌的安卓手机中的一张指定照片就被替换成另外一张制定照片,“移花接木”的戏法成功上演。

选手现场为我们解说到,他们是利用了所发现的手机系统漏洞,远程在手机中默默安装了恶意APP,并利用恶意APP对手机的隐私数据进行操控,轻则可以操作手机通讯录和个人相册等,重则甚至可以删除数据以及破坏系统。

放在网络存储设备里的影片怎么泄露了?

随着公司及家用NAS网络存储设备的广泛使用,我们不禁要问,我们存储在其中的文件、影片等隐私数据是否有不安全因素存在?在NUDT长沙银河泛联网络安全实验室的选手现场挑战中我们看到,选手在短短36秒内就把现场一台NAS存储设备中的一部奥特曼影片远程拷贝到了自己电脑上。

此次挑战是选手利用未公开漏洞,获得NAS的root shell,从NAS中窃取到制定文件。而根据选手的现场介绍,此款NAS网络存储设备目前在市面上已经有多达75万用户。

此外,现场还为我们展示了解锁声纹验证、利用POS机盗取银行卡信息、0元成功购电影票……………等更多精彩挑战。通过这次盛会,我们感受到了来自于白帽黑客满满的正能量,而大会之后,选手们会把漏洞情况及攻克方法提供给主办方,帮助厂商能够尽快的修补漏洞,为社会提供更安全的信息化产品。

相关阅读

2016上海滩再续“极”情!
澳门风云:牛君的赌王之路

作者:王晶

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章