9月13日下午,2017HACKPWN破解秀暨物聯(lián)網(wǎng)安全論壇在國家會(huì)議中心召開。作為ISC2017的重點(diǎn)特色活動(dòng),HACKPWN是由全球頂尖黑客團(tuán)隊(duì)與360集團(tuán)旗下眾多安全團(tuán)隊(duì)共同發(fā)起,在吸收國內(nèi)外各安全峰會(huì)優(yōu)點(diǎn)的基礎(chǔ)上,融入最新穎最有趣的各類智能硬件破解秀與破解賽,重金打造的基于物聯(lián)網(wǎng)安全的大型安全專題活動(dòng)。
360集團(tuán)首席安全官譚曉生致辭
網(wǎng)絡(luò)安全已經(jīng)進(jìn)入大安全時(shí)代。360集團(tuán)首席安全官譚曉生在致辭中表示,消費(fèi)級(jí)的物聯(lián)網(wǎng)產(chǎn)品在安全上比過去兩年有改進(jìn),但總體安全情況還需要重視起來,我們希望通過HACKPWN把好玩和有用相結(jié)合,通過活動(dòng)幫助智能設(shè)備廠商找到和解決存在的漏洞,同時(shí)也希望加強(qiáng)民眾對(duì)智能設(shè)備的安全防范意識(shí)。本屆HACKPWN專注物聯(lián)網(wǎng)安全,邀請(qǐng)了來自不同國家地區(qū)的安全專家分享最前沿的物聯(lián)網(wǎng)安全議題,更有90后黑客們帶來精彩的智能設(shè)備破解秀,還有全球首個(gè)樂高主題CTF破解賽。
亮點(diǎn)賽事:全球首個(gè)樂高主題CTF破解賽
在本屆HACKPWN的互動(dòng)環(huán)節(jié)中,黑客世界是一大亮點(diǎn)賽事。在一個(gè)由樂高構(gòu)建的虛擬世界中,有火車站、游樂園、食品工廠等各種城市基礎(chǔ)設(shè)施。參賽者需要組隊(duì)反擊恐怖襲擊,保護(hù)游樂園、城市和工廠,在限定時(shí)間內(nèi)通過線索追蹤到具體的恐怖襲擊目標(biāo)。
樂高主題CTF破解賽
本次破解挑戰(zhàn)賽中,三葉草安全小組Syclover率先破解樂高城市系統(tǒng)之后以40分位居榜首,來自平安科技(深圳)有限公司的戰(zhàn)隊(duì)Galaxy20分緊隨其后。主辦方介紹,第一輪破解比賽更考驗(yàn)選手的綜合素質(zhì),三葉草安全小組以絕對(duì)優(yōu)勢持續(xù)領(lǐng)先贏得本次樂高主題CTF破解賽的冠軍。
四大前沿議題
“給汽車網(wǎng)絡(luò)請(qǐng)一位自動(dòng)化的健康醫(yī)生”
目前的汽車網(wǎng)絡(luò)安全測試方法通常手動(dòng)執(zhí)行,來自硅谷的連接汽車安全供應(yīng)商VisualThreat研發(fā)副總監(jiān)鐘劍介紹了第一款自動(dòng)化汽車網(wǎng)絡(luò)安全基準(zhǔn)測試工具包,因此OEM可以快速輕松地識(shí)別其車輛中的安全漏洞。鐘劍介紹了測試的過程和心得,該工具在許多車輛中成功發(fā)現(xiàn)了許多嚴(yán)重的安全漏洞,此外,對(duì)流行的無人駕駛車型也進(jìn)行了深度測試,并發(fā)現(xiàn)了嚴(yán)重的安全問題。
“誰來保護(hù)未來物聯(lián)網(wǎng)安全”
任何的數(shù)據(jù)保護(hù)方法解決不了未來安全領(lǐng)域的問題,例如勒索病毒和設(shè)備劫持攻擊,這個(gè)概念能夠解決那些安全問題。來自臺(tái)灣國立交通大學(xué)的渡邊教授指出,下一個(gè)大事件應(yīng)該是用區(qū)塊鏈來保護(hù)物聯(lián)網(wǎng)。但是現(xiàn)有的區(qū)塊鏈技術(shù)無法真正保護(hù)物聯(lián)網(wǎng),因此渡邊教授提出了一種新的身份識(shí)別技術(shù),可以用于未來的物聯(lián)網(wǎng)安全保護(hù)。
“智能家居平臺(tái)設(shè)計(jì)應(yīng)該躲避哪些坑”
供智能設(shè)備接入的智能家居平臺(tái)通常會(huì)提供一套幫助設(shè)備開發(fā)的軟件開發(fā)工具包(SDK),以及用于部署管理設(shè)備的相關(guān)的管理系統(tǒng)。上海交通大學(xué)密碼與計(jì)算機(jī)安全實(shí)驗(yàn)室實(shí)驗(yàn)室(LoCCS)軟件安全小組(GoSSIP)博士劉慧以國內(nèi)某智能家居平臺(tái)為例,介紹了智能家居平臺(tái)設(shè)計(jì)及實(shí)現(xiàn)的關(guān)鍵因素,以及不正確的設(shè)計(jì)實(shí)現(xiàn)所能帶來的安全和隱私威脅。
“物聯(lián)網(wǎng)攻擊可以悄悄蒙上你的眼”
浙江大學(xué)USSLAB智能系統(tǒng)安全實(shí)驗(yàn)室博士閆琛介紹,傳統(tǒng)的安全研究都是面向計(jì)算機(jī)及其網(wǎng)絡(luò)中處理和傳輸?shù)臄?shù)字態(tài)信息,但對(duì)于物聯(lián)網(wǎng)來說,由于信息的來源多了對(duì)“物”(物理世界)的感知,信息的去向多了對(duì)“物”的控制,所以模擬態(tài)信息的安全問題尤為突出。他還演示了僅僅通過超聲波攻擊Apple Siri、Google Now等語音助手就可以不知不覺的發(fā)送短信、郵件、撥打電話、打開網(wǎng)頁,甚至直接在目標(biāo)用戶手機(jī)上植入木馬。
三大破解秀
滿是干貨的議題演講中間,來自360三大安全團(tuán)隊(duì)的90后黑客穿插了精彩的破解秀環(huán)節(jié)。360UnicornTeam的單好奇,也是DEFCON歷史上最年輕的Speaker,表演了NFC通信破解,通過搭建特殊“橋梁”,欺騙POS機(jī)和信用卡(各類RFID卡片),擴(kuò)大NFC近距離非接觸刷卡的距離,在靠近別人的時(shí)候盜刷其信用卡。
而360CERT團(tuán)隊(duì)的王宇恒、肖雄將展示破解智能設(shè)備通信認(rèn)證加密方式,在未主人經(jīng)授權(quán)的情況下控制指定智能家居設(shè)備,如調(diào)轉(zhuǎn)攝像頭,獲取智能門鎖密碼等。360Skygo團(tuán)隊(duì)的李佳琳、李嘉豪,利用智能保險(xiǎn)箱身份認(rèn)證方式和通信過程存在的漏洞,遠(yuǎn)程開啟保險(xiǎn)箱;利用智能門鎖的結(jié)構(gòu)缺陷,通過物理方法無破壞阻斷報(bào)警,并且實(shí)現(xiàn)開鎖。