流光异彩极客棒!
作者:星期日, 十月 26, 20140

0GeekPwn(极棒),堪称全球最大规模的智能设备破解挑战赛今日在京举行。

极客们的盛会,安全大牛的出场,屌丝们的渴望,带着复杂而略有小激动的心情,安全牛君郑(qián)重(lái)出(kāi)席(yǎn)本次为期两天的安全界嘉年华!

本次极棒大会在北京建国门万豪酒店二层举行,酒店门口下车后最先映入眼帘的是一辆:

一辆腾空(轮子未着地)的特斯拉,呆会儿在现场会再次见到它的倩影。

楼梯口处是即将在下月举办的XCTF攻防对抗赛宣传海报,该赛事由原网络安全应急技术国家工程实验室主任杜跃进组织发起(后面安全牛有一个对杜主任的简短采访),清华网络与信息安全实验室(蓝莲花)主办。

活动还未开始,安全牛君闲逛发现一黑帅哥,虽然衣着光彩但面带忧郁。

帅锅,你这是肿么了?

牛君操着一口纯正的普通话英语上前搭讪,原来是古巴人,再想细问为何如此忧郁,一句:I’m busy. 把牛君拒之门外。后来,知道此帅哥是干嘛递的了,答案后面揭晓。

进入会场,此时人还不多,趁机访了两个老外。

左边的是主办方Keen Team的研究员,东欧人皮特。右边的美女是一名学生,名字木有问啊木有问,主要是皮特拿着把剑呀拿着把剑。皮特主攻安卓系统漏洞挖掘,今天他的首次亮相 是拿一把中国宝剑现场舞剑。牛君问他剑术是在哪里学的?回答是东欧加中国。(估计是把牛君的英语武术听成安全技术了)

离开场还有点时间,牛君和现场唯一一家企业,安天实验室,聊了一下。他们讲解了四种破解技术:可以改变3D打印机打印出来的物体形状、改变接收国家授时中心发射信号的时钟的时间,记录无线键盘的击键记录,还有一种可以把打印机变成输入设备的黑客技术。

这时有人注册票晚了没有拿到票,我外面去接。接完回来后,里面已经人山人海了。

会议开始,首先出场的是乔布斯和比尔盖茨,没错,就是他哥俩,Kenn Team搞的全息屏显示。然后尼奥飞着出场,GeekPwn正式开始!

Keen Team老大,即江湖人称大牛蛙的王琦先是CCTV、铁岭TV的表示感谢,然后介绍了GeekPwn的举办意义和这两天活动议程,接着宣布活动正式开始。

首先是皮特耍剑:各位父老乡亲,有钱的捧个钱场,没钱的捧个人场……(安全牛君配旁白)

实际上,皮特舞剑只是一个助兴表演,他真正要演示的是现场秒破刚开包的酷派大神手机的启动界面。

手机固件flash里的启动画面已经成为GeekPwn的图片

接着,会务组抬出70台手机组成的GeekPwn标志,并挑选了一名现场观众演示如何把一台关了机的手机变成一台窃听器和偷拍器。过程中笑料不断,但结果令人瞠目,恕安全牛君无法一一为大家展现了。

第二项演示开始。清华大学网络安全实验室的段海新主任带领团队,也就是在国际黑客攻防大赛上多次斩获奖项的蓝莲化团队,上台现场演示三项入侵技术。该技术利 用了https协议的天然缺陷和某些网站的跨站脚本漏洞,分别实现了加Gtalk好友、某银行卡挂接某宝和在线支付购买。

最后一项演示。大家还记得门口的特斯拉君吗?现场演示的是入侵APP,远程控制特斯拉的门锁、后盖,启动、倒车和熄火。由于现场WiFi被大量的民间黑客占用频宽,无线信号十分微弱,远程控制遇到了点困难,但最终演示成功,现场观众群起鼓掌。

接下来是嘉宾致辞环节,原网络安全应急技术国家工程实验室主任杜跃进、腾讯副总裁丁珂、谷歌安全研究团队负责人Chris Evans、华为终端安全工程部部长徐亚新出席活动并为大会致辞。

杜主任的致辞非常诙谐草根。比如,谈到激情二字,杜主任特别嘱咐了一下是“三点水的激”,谈到民间研究人员的辛苦,“苦那个啥,反正是个不雅的字……”

杜主任在接收安全牛采访时表示,GeekPwn属于挑战赛,主要目的在于发现新问题,而XCTF属于对抗赛,目的在于发现优秀的安全人才的发现,另外在安全人才培养的问题上,相关部门正在推进和建立更广泛的高校和企业之间的合作,平台之间的合作。

谷歌安全研究团队负责人Chris Evans的致辞灰常有特点,堪称秒杀(一共就10秒钟),不过没关系,反正说得和尼奥飞的一样快,听不懂。

Chris霸气的走位

Chris Evans在全球安全界的地位非常之高,具体怎样的高法牛君不得而知(功力不够,汗),但咱们国内的安全大牛TK教主,对其感慨赞叹、钦佩不已。牛君不明 而厉,想趁机采访,却被告知,需要谷歌PR的同意才可接收采访,悻悻然。但俗语说,那个啥不走空,留照一张以示记念吧。

致辞之后挑战赛正式开始,智能家居Nest、智能摄像头、各种流行品牌包括某数字路由器、监听笔记本、智能门锁,甚至是1024情趣用品(你懂的),应有尽有。

由于破解过程不便公开,只能由现场评委根据选手的破解难度和使用手法给予打分,无法在本文里详细展现了。

下面是花絮:

安全牛君现场采访了几位观众,大都表示慕名而来,一睹极棒风采,真过瘾,下次还来。

从南京赶来的邮电大学信息安全专业研究生

中科院研究所计算机专业的研究生

国家信息中心网络安全部赵睿斌博士

还有一对不愿透露身份,但可以透露照片的lover:

现场免费发放矿泉水、饮料和牛君最爱的哈(měi)啤(nǚ)

神秘的X’con大门紧闭

本文开始的谜底揭晓,黑帅哥是:

“极棒”的Safeguards

本次略有遗憾的是,现场的wifi太不给力,影响了能更加震撼的演示效果。另外,参赛选手为了真实和保密性,被破解的设备要全新手拆包,并当天运到现场,令 破解过程有些拖拉。最后,最大的遗憾是,安全牛君未能采访到极棒的核心人物王琦,现场的他太忙了,而且昨夜一夜睡。只好把通稿中的一些内容做为本文的结束语吧:

“Keen(碁震)公司举办极棒挑战赛的 初衷并不是为了炫技,而是通过破解并发现智能设备的漏洞,推动厂商提高产品的安全性,进而为消费者使用安全提供保障。我们希望发现更多的安全极客人才,和 我们一起发现和消灭安全问题,共同保护我们的未来生活。对于攻破的产品来说,也是非常好的促进,因为我们相信,产品被发现和消灭的安全问题越多,产品越安 全。这是GeekPwn首倡的新安全观。”

极棒,明天见。极棒,明年见!

---

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛!

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章