GeekPwn2018:人“攻”智慧非目的 享受智慧生活才是
用AI技術騙過AI“指鹿為馬”? 攻破虛擬機器開啟“上帝視角”?用一張紙秒破手機屏下指紋鎖?那些原本只可能存在於科幻大片中的未來場景在GeekPwn的舞臺上一一變成了現實。10月24日-25日,2018國際安全極客大賽(GeekPwn 2018)在上海如期而至,來自世界各地的安全研究員、白帽黑客、安全大牛們,組成黑客界“最強大腦”團隊,攻破重重關卡與迷陣,上演了一場現實版“黑客帝國”。
GeekPwn 2018以“人‘攻’智慧,洞見未來”為主題,旨在通過集結最強黑客戰隊,預演智慧裝置及人工智慧領域潛在的安全問題,探索智慧生活的安全之道,助力人們可以更安全地享受智慧生活。同時,為了更加全方位洞見未來安全風險,本屆大賽分為設定不同挑戰場景的命題專項賽,不設限制的非命題開放賽和PWN4FUN趣味挑戰賽。在24日上午的比賽現場,GeekPwn通過扣人心絃的沉浸式劇情串聯起各項賽事,觀眾得以無縫融入劇情。創新有趣的賽制,腦洞大開的破解,讓作為本次大賽主持人的,來自《最強大腦》的蔣昌建都不禁驚歎連連。
KEEN公司CEO、GeekPwn大賽發起和創辦人王琦
KEEN公司CEO、GeekPwn大賽發起和創辦人王琦表示:這已經極棒的第五個年頭,希望通過極棒能夠讓大家看得懂那些前沿科學。自創辦以來,極棒帶來了許多腦洞大開的破解展示,向廠商提交了數百個,近千個嚴重安全威脅漏洞,在GeekPwn的努力下,在還沒有在現實生活中爆發危害就已經被提前消滅。漏洞從來不是因為黑客才存在,恰恰是被黑客發現後消滅的。極棒要讓更多人關注到智慧生活中安全問題的重要性,人“攻”智慧不是目的,我們這些年的努力,是為了讓更多的人可以享受智慧生活,讓黑客帶給我們更安全的光明和未來。
騰訊高階副總裁丁珂在開場致辭中表示:我們希望在未來發展當中,以前瞻和敏銳的黑客思維去探索,發現世界的新規律,而GeekPwn的這個舞臺就是一個展現的平臺。騰訊安全與GeekPwn已有五年的深度合作,我們始終致力於推動安全社群的建立。一方面,騰訊安全保持對安全社群的持續關注和投入,通過組織極客賽事、釋出前沿技術、參與比賽等形式打造國際前沿的技術交流平臺;另一方面,騰訊安全團隊將自身安全能力開放給各行各業,為建設數字安全新生態提供助力。
黑客對決AI 上演“黑客帝國”絕地反擊
當AI將你識別為施瓦辛格,可不是為了討好獻媚。GeekPwn2018的選手現場用自己生成的對抗樣本成功騙過影象分類器,將宇宙飛船飛行器識別為巨石,將導彈物體誤認為安全的,甚至將現場的特邀嘉賓、“最強大腦”節目主持人蔣昌建老師的照片識別為阿諾德·施瓦辛格。AI版“指鹿為馬”讓現場觀眾大跌眼鏡。
作為全球首個探索人工智慧與專業安全的前沿平臺,極棒在探索AI安全的道路上從未止步。本屆大賽更是首創CAAD 視覺化對抗現場展示、AI“生成式對抗網路”技術趣味挑戰賽、利用AI對脫敏大資料進行追蹤還原等賽事,為AI安全帶來全新啟示。
為了推動CAAD技術的普及,由GeekPwn 聯合谷歌大腦人工智慧研究科學家 Ian Goodfellow、Alexey Kurakin 以及美國加州大學伯克利分校計算機系教授宋曉冬共同發起的 CAAD 對抗樣本攻防賽(CAAD CTF),在繼今年GeekPwn拉斯維加斯站首秀後,又一次登上GeekPwn 2018上海站的舞臺。在拉斯維加斯站比賽上100多支戰隊中脫穎而出的6支AI強隊在現場開戰。他們分別是來於自清華大學、中國科學技術大學、美國約翰·霍普金斯大學、Facebook、騰訊、阿里巴巴等知名高校與企業的六支 AI 強隊:TSAIL、IYSWIM、Blade Team、OWLET、USTC-ALIBABA、RNG。
CAAD對抗樣本攻防賽參賽隊伍
GeekPwn方面表示,希望預演人工智慧領域可能存在的風險,亦或是讓更多人瞭解如何以黑客思維去解決未來人工智慧與專業安全的跨界問題,最終幫助人工智慧健康安全成長。
攻防千千萬萬次消滅危機於萌芽
時至今日,隨著手機的越來越智慧化,讓手機承載了太多的功能與資訊,同時也成了每個現代人手中最不可侵犯之物。正所謂越禁忌、越吸引,手機幾乎成了各路黑客們的兵家必攻之器。
你以為加密的手機相簿,別人就看不到嗎?在GeekPwn2018的現場,來自AMC團隊楊志偉、胡強,在觀眾和主持人蔣昌建老師的配合下,成功完成手機私密相簿的破解演示。據悉,他們是利用手機作業系統的漏洞,通過在手機中安裝一個惡意APP,root許可權執行任意命令,從而實現在手機中靜默安裝木馬。對此選手還解釋到,即便相簿密碼再長、再複雜,都抵不過作業系統存在的漏洞。
你能想象一張紙就能開啟安卓手機的屏下指紋鎖?騰訊安全玄武實驗室在現場首度公開了影響觸屏解鎖型安卓裝置的“殘跡重用”漏洞——目前的屏下指紋解鎖功能是利用光學技術捕捉使用者的指紋影像,通過反射體欺騙的方法,可以利用螢幕上殘存的指紋痕跡,讓屏下指紋感測器認為手機的主人正在使用指紋驗證。
手機屏下指紋鎖專案破解演示
據悉,該漏洞屬於屏下指紋技術設計層面的問題,會幾乎無差別地影響所有使用屏下指紋技術的裝置。騰訊安全玄武實驗室負責人於暘(TK教主)同時也表示,使用者無需太過擔心,騰訊安全玄武實驗室早在今年初就開始和國內幾家主流手機廠商合作,不僅通過更新演算法修復了已上市手機中的漏洞,還將相關解決方案提交給相關晶片廠商,推動了供應鏈層面的安全修復。
此外,還有幾種或另闢蹊徑、或超高難度的攻擊方式在GeekPwn2018的舞臺上被選手“解鎖”。長亭科技團隊利用VMware虛擬機器系統漏洞,僅用9分鐘便成功獲取ESXi宿主機系統的最高許可權並進行任意控制,這無疑給私有云的執行安全和資料安全敲響了警鐘,提醒各雲端計算企業在防禦此類攻擊時能具備先機。
是專業的競技場,更是奇思妙想的舞臺
誠如KEEN公司CEO、GeekPwn大賽發起和創辦人王琦曾說過的那樣:“GeekPwn不止於破解,比起破解本身,我們更加註重腦洞大開的創意”,GeekPwn的舞臺從未缺少過奇思妙想。
除了在科技與智慧上演激烈 PK外,本屆GeekPwn還開創了很多天馬行空的新玩法。既有騰訊安全、百度安全、京東安全、小米安全帶來的燒腦遊戲派對,又有棒還聯合摩拜、唯品會、盤古、看雪論壇、機械工業出版社共同發起的“黑客公益集市”,有趣、有愛兩不誤。
人“攻”智慧,不是GeekPwn的目的,是預演潛在風險、拓寬安全思維、幫助智慧裝置更加安全地問世、協助人工智慧健康成長的手段。而GeekPwn所代表的安全極客們不倦的努力,終究是為了人們能夠更好地享受智慧生活。