“骗过”人脸识别门禁、独一无二的声音被机器“偷走”、汽车被他人控制、3D打印机模仿真人笔迹写下的欠条难分真假、银行卡密码不翼而飞、“激情解说”黄健翔“开怼”黑客……10月24日, GeekPwn2017国际安全极客大赛在上海召开,来自世界各地的天才黑客们在GeekPwn2017的现场上演了一出出脑洞大开的黑科技破解秀,电影中演绎的未来场景,通过全球顶级黑客们的“奇思妙想”变为现实。
作为全球最大关注智能生活的安全极客大赛,GeekPwn2017以“解构行动”为主题,诠释了“好奇、质疑、打破、重塑”的极客精神。除了在无规则的智能生活PWN上别出心裁之外,人工智能安全挑战专项与AI仿声验声攻防赛均为全球首创,今年更与卡巴斯基联合推出Industrial CTF(工控攻防夺旗赛)决赛,以下简称为ICTF,将“基础设施安全模拟演练”的赛场,首次带到了中国。
经过近十个小时的激烈角逐,安恒信息海特实验室凭借智能汽车盒子的破解演示摘得最酷展示奖,获得奖金十万元。
巅峰对决终上演 黑客跨界护航人工智能安全
AI时代即将到来,而黑客或许将成为保护人类的英雄。随着AI逐渐深入到人们的生活,人工智能(AI)安全成为本届GeekPwn的核心亮点之一。
当机器人学会了握笔写字,它就能替代你签名。来自中国金融认证中心(CFCA)的选手带着他的3D打印机来到GeekPwn2017的现场,挑战人类专业笔迹鉴定师。通过构建一个深度学习 “DeepWritting“,利用它就能让3D打印机拿笔在纸上自由书写,伪造真人笔迹,颠覆立字为据。
根据比赛规则,中国著名科幻作家陈楸帆提供笔迹学习样本,并供选手前期学习。比赛现场,选手成功利用3D打印机,写下一张专业笔迹鉴定师都难分真假的 “欠条”,欠条内容如下:今欠极棒组委夸克币五亿个,日息陆厘。此款应一年内还清。逾期不还,按日收总额百分之八违约金——陈楸帆。
除了笔迹模仿挑战外,声音也成为AI挑战项目。
通过一段合成的语音,竟能对声纹识别系统实现“诱骗袭击”。这有趣的一幕发生在GeekPwn2017的“AI仿声验声攻防赛”上。“Maxmon”、SmartParrot、“有点意思”、“神牛gogo”及“清晨李唐王”等五组选手,在现场根据当下最火热游戏《王者荣耀》里的英雄人物——妲己等英雄配音者所提供的声音样本,模拟了其声纹特征,合成一段“攻击”语音,对现场提供的四个具有声纹识别功能的设备发起攻击,欺骗并通过“声纹锁”的验证。最终,“清晨李唐王”成功破解三个声纹验证设备获得第一名。
作为全球首个探索人工智能与专业安全的前沿平台,GeekPwn在创建之初就开始关注AI安全,今年GeekPwn更是将人工智能挑战赛作为全年的重点项目,联合NEXT IDEA(腾讯创新大赛)发起“人工智能安全挑战赛”,同时特别增设“AI仿声验声攻防赛”,全面探索人工智能领域的安全威胁。
GeekPwn方面表示,希望以黑客的思维预演人工智能领域可能存在的风险,帮助人工智能安全成长,实现人类与AI的和平共处与发展。
世界级对决!将基础设施安全攻防模拟首次带到中国
除了黑客与人工智能的较量外,GeekPwn与卡巴斯基实验室联合举办的ICTF决赛也首度登录中国大陆赛场。三大世界顶级CTF战队齐聚中国上海,向模拟工业控制系统炼油厂发起挑战,带来了一场惊心动魄的脑力比拼。
经过前期的激烈角逐, CyKor(韩国)、TokyoWesterns(日本)和FlappyPig(中国)等三支战队进入决赛。据悉,最终参赛的队伍由七百多只队伍经过初赛厮杀进入最后决赛,用主持人黄健翔的话来说,难度系数超过足球世界杯。
经过长达十几小时的鏖战,最终,CyKor(韩国)战队问鼎本届ICTF大赛的冠军,TokyoWesterns(日本)获得第二名,FlappyPig(中国)则获得第三名。
KEEN公司CEO、GeekPwn大赛发起和创办人王琦表示:“卡巴斯基实验室是世界顶级网络安全供应商,我们很高兴能与这样的公司合作,并一同在GeekPwn2017嘉年华上海站举办ICTF决赛。这不仅为我们提供了与世界各地顶级网络安全研究员切磋技术的机会,还将智能生活网络安全性的影响扩展到影响范围更广阔的智能工业安全性方面”。
全面渗透生活 黑客奥运会谁将创造奇迹
除了在人工智能及工业控制领域大展拳脚外,被称作“黑客奥运会”的GeekPwn继续保持“无所不Pwn”的比赛形式,鼓励全球黑客继续发挥脑洞,挖掘智能生活的潜藏威胁。
智能手机作为智能产品的“霸主”,一向是GeekPwn舞台上的热门“破解单品”。在GeekPwn2017的现场,一部装有最新iOS系统的iPhone8手机中的照片就被“slipper@0ops”轻而易举地盗取了,这也是该漏洞的首次揭秘。
而“slipper@0ops”的这一破解,正是重现了KEEN团队在2013年11月,于日本东京举行的世界顶级信息安全比赛Pwn2Own上所展现的破解奇迹——仅用30秒就破解了苹果最新的iOS7.0.3系统,这也是iOS7.0.3第一次被远程破解。
据选手透露,此次发现的漏洞将会影响从iPhone6到iPhone8甚至更早期型号的iPhone用户。同时,选手选择不提交漏洞给GeekPwn组委会,以作更多的后续研究。
而来自蚂蚁金服巴斯光年安全实验室的成员则带来了一个覆盖亿万安卓用户的漏洞, 通过一个恶意的网页链接在手机中植入木马病毒,只要用户打开含有“木马”病毒的链接,仅用5秒的时间,就能在不经过用户授权的情况下,远程在手机中强行装入恶意APP。这也就意味着,有大约亿级用户的手机将时刻暴露在危险环境中,而他们手机中的个人隐私信息、图片、网银、支付账户等,都有可能成为“公共”资料。
能够随时观看家中状况的智能摄像头也已经逐渐渗入到普通人的家庭。在GeekPwn2017的现场,来自中科院信工所 VARAS 团队以及猎豹移动安全实验室的选手,就带来了两组利用漏洞获取网络摄像头权限的演示。在他们的演示下,智能摄像头将不再是你用来监控家里猫咪和狗的“眼睛”,也可能成为坏人监控你起居生活的工具。
此外,还有两种全新的攻击方式在GeekPwn2017的舞台上被选手“解锁”。来自安恒信息海特实验室的选手制作了仅有两枚硬币大小的“攻击“盒子,将其放在汽车底盘,同时通过车载智能盒子的漏洞,用一条短信就能实现在任何地方操控这辆汽车在行驶中急停。
谁能定义独一无二的你? 黑客玩转“克隆”技术
智能生活危险重重,而生物识别这一堪称“将改变世界”的技术同样暗藏危险,黑客可以轻易将其复制伪造。在GeekPwn2017的现场,第二次参加GeekPwn大赛的90后女黑客“tyy”通过利用设备本身存在的漏洞,仅用两分半钟的时间就能直接修改设备中的人脸信息,从而实现用任意人脸欺骗门禁系统,打破了人脸识别系统的安全人设,颠覆人们眼见为实的认知。
同样脑洞大开的安全演示来自于百度安全实验室 xLab的选手,他在现场演示了一幕本该存在于电影中的场景——克隆“人”。选手通过复制目标人物的生物识别特征,成功实现对人脸、虹膜的克隆。未来,脸部、声音、虹膜等独一无二的生物特征也许将再也不能帮助你“验明正身”了。选手在现场表示,目前,生物识别技术并不完善,攻击者利用这些漏洞随意入侵,获取用户的个人信息。
除了脑洞大开的破解演示外,GeekPwn2017还在场外打开沙龙新玩法,特别设置“极客沙龙”,邀请来自腾讯安全玄武实验室、阿里安全 IoT 安全研究团队、看雪论坛、上海交通大学以及南京大学等六位安全研究者,为全球网络安全技术爱好者首次揭秘黑客领域一些鲜为人知的破解故事以及未公开的破解细节。同时,极客餐吧”、“拆弹专家”、“追击反制”、“圆盘解码”等烧脑游戏更是再次升级GeekPwn场外玩法,为全球安全技术爱好者带来一场顶级黑客盛宴。
据悉,GeekPwn2017硅谷站将于11月13日在美国硅谷计算机历史博物馆举办,继续揭开人工智能未来安全的秘密。全球顶级安全专家将带来哪些前沿议题?是否会有选手演示震撼全球的“心脏出血”漏洞或带来其他相关破解,敬请期待。
甩开英特尔?苹果被曝未来笔记本将搭载自家芯片
