“补天杯”破解大赛火热进行 白帽黑客60秒内攻破多款物联网设备
11月27日,湖湘杯网络安全技能大赛系列活动之“补天杯”破解大赛在湖南省长沙市火热进行。来自全国各地的企业、高校、民间的极客、白帽黑客、专家共同参与,以比赛竞技和现场表演秀的方式发现物联网智能设备存在的安全问题。多款智能路由器、智能摄像头、智能门锁、共享电动车等智能设备,均被挑战选手在60秒内完成破解。经过多轮近8个小时紧张刺激的挑战,参赛的10支团队全部获得破解成功奖,道格安全实验室、山石网科、IRT三支团队最终获得最具价值奖,并将瓜分18万元奖金池。
图1:参加补天杯大赛的团队及嘉宾
永恒之蓝凸显安全短板 破解大赛挖掘优秀白帽人才
未知攻、焉知防,从网络诞生的那一刻开始,攻与防的战争就从来没有停息。“现实世界中,钓鱼很有乐趣,但在网络世界里,就必须要‘反钓鱼’、保护安全。”本次大赛主持人湖南经视快乐垂钓频道刘雪沁直言,“白帽黑客身上肩负着正义感和责任感,他们是捍卫网络安全的力量。”
湖南省委网信办巡视员李球为大赛致辞。他表示,“2017年5月12日爆发的永恒之蓝勒索病毒,具有复杂的背景,该勒索病毒利用Windows高危漏洞,给高校、邮政、加油站、医院等机构造成严重影响。这次事件充分暴露出基础设施网络安全的薄弱性,以及目前网络安全人才的缺乏。湖南省委网信办作为本次大赛的主办单位之一,举办湖湘杯网络安全技能大赛和补天破解大赛等各种方向类型的网络安全大赛,以竞技的形式来发掘优秀的网络安全人才,助力省内网络安全的发展,提升安全能力。”
图2:湖南省委网信办巡视员李球为大赛致辞
“发现漏洞是一件极具天赋的事情,需要有非常强的逆向思维能力,这也造成过去白帽黑客文化在国内比较低迷。”奇安信集团助理总裁兼补天漏洞响应平台总经理白健表示,“随着网络安全成为国家战略,国内对安全人才培养的重视,各类安全比赛纷纷展开,为白帽子提供切磋技艺的同时也提供了高额的奖金。而今天举办的补天杯破解大赛,旨在号召各位白帽高手与智能硬件厂商、家电厂商、汽车厂商和安全厂商共同参与进来,借大赛共同探讨智能互联的安全防护技术,共同促进产业的健康发展!”
图3:奇安信集团助理总裁兼补天漏洞响应平台总经理白健讲话
白帽黑客向物联网设备发起挑战 智能设备分分钟被破解
27日上午比赛主要聚焦个人和家庭环境,破解的设备包括智能手机、家用路由器、智能摄像头、智能门锁等物联网设备,这些产品和我们每人的日常工作生活紧密相关。
在补天杯第一个比赛项目中,unic0rn团队先拔头筹,用一分多钟的时间,就破解了两款市面上热销的家用路由器,将其自动断网。如果用户正在玩游戏或者看视频、传文件,突然断网势必会带来很多不便。
图4:unic0rn团队破解两款主流家用路由器
此后,在智能摄像机的破解中,K&K团队和R3kapig团队分别使用了不到1分钟的时间,就轻松破解了智能摄像头,获取了监控界面。
图5:K&K和R3kapig团队破解智能摄像头
而来自道格安全研究实验室的Theseus选手同样出手不凡,不到2分钟就将某款智能门锁破解,对密码进行重置,轻松将门锁打开。这不禁给人们一个警示,负责安全的智能设备一定要保证自身的安全。
图6:道格安全研究员破解智能门锁
下午比赛的破解范围,扩大到智能汽车、工控设备、企业级路由器、共享电动车、智能贩卖机等领域。首先进行的是基于车联网环境、对智能汽车的破解,黑客轻松“替你控制”甚至驾驶汽车,这样的车你还敢开么?来自Vnet-X团队的表演项目,瞬间将下午的气氛点燃,更让观众感受到网络安全已经关乎到我们的交通安全、人身安全。
图7:Vnet-X团队表演队智能网联汽车的破解和控制
在智能制造日益深入的今天,工控安全不容忽视。IRT团队现场破解了工业环境中使用的PLC控制系统,且对其造成不可逆的损害。据选手介绍,如果放在实际生产环境中,PLC设备被攻击,可能会造成停产甚至爆炸等严重后果,损失难以估计。
图8:IRT团队现场破解工业领域的PLC设备
此后,山石网科团队表演了对企业级路由器的破解,该设备使用人数已达到几十万级。攻击者仅用2分多钟时间,攻破路由器进入内网,对电脑进行任意控制。
图9:山石网科团队破解企业级路由器
Syclover团队表演了对共享电动车的破解,仅用几十秒,就破解了需要扫码付费才能骑的电动车,速度简直超越了普通人的扫码支付。据说有人用这种方法,免费骑电动车达到1127天。
图10:Syclover团队表演破解共享电动车
最后一项比赛由盘古实验室完成,他们表演的项目是破解智能冰箱。通过设备的漏洞,可以任意打开智能冰箱门,一分钱不用花,拿完冰箱的零食。举办方特别强调,冰箱内所有商品均由举办方购买,此项目旨在提醒该类设备存在的安全漏洞,从而引起厂商的重视。
图11: 盘古团队表演用手机破解智能冰箱
生物黑客压轴表演 用身体和智能门禁、车锁、手机等设备交互
作为本次大赛的压轴环节,担任大赛评委的全球顶级生物黑客Patrick Paumen亮相舞台、再秀绝技,展示植入20块芯片、再度升级后的生物黑客“超能力”,让到场观众大开眼界,喝彩不断。
图12:Patrick Paumen表演用手腕的NFC芯片打开智能门锁
Patrick Paumen在现场讲解了如何将芯片植入体内,表演了用身体的芯片,和磁铁、门禁系统、车锁、智能手机等各种电子设备交互,身兼万磁王、万能解锁手、意念操控术、人形计算机、超能零部件五大特殊能力,堪比现实版“终结者”。Patrick Paumen挥舞手臂,就能用身体内的NFC芯片,轻松打开家里的门锁、车锁,以及手机、电脑等。不仅如此,他只需轻抬手指,就成功的向iPhone分享了Vcard(电子名片)等信息。
所有团队均获破解成功奖 三支团队斩获18万元最具价值奖池
万物互联,安全为先,最终,评委会根据现场选手项目的思路新颖程度、技术难度经最终审议,所有团队均获得破解成功奖,每支团队奖励1万元。其中智能门锁项目、企业级路由器项目、PLC-DDOS攻击项目,获得最具价值奖,并将瓜分18万元奖金池。具体排名,将在11月28日2019湖南(长沙)网络安全·智能制造大会之网络安全技术及产业高峰论坛上,由奇安信集团董事长齐向东公布。
图13:现场公布获奖项目
据介绍,湖湘杯网络安全技能大赛系列活动之首届“补天杯”破解大赛由湖南省委网信办、湖南省工业和信息化厅、湖南省科学技术协会、长沙市人民政府、中国电子信息产业集团有限公司主办,长沙市委网信办、长沙市工业和信息局、湖南湘江新区管委会经济发展局、奇安信集团承办。补天漏洞响应平台承担了此次大赛的独家技术支持工作。同时,快手官方平台“快手正能量”还对大赛向1500多万粉丝和数亿快手用户进行了全程直播,获得了约700万的观看和高达77万的点赞。
- 标签:
- 编辑:程成
- 相关文章