连线Insight

连线Insight

公告

产业升级创新者的聚集地。

统计

今日访问:2926

总访问量:13921401

全球顶级极客汇聚GeekPwn 2020,解剖新基建、云、AI安全威胁

2020年10月25日

评论数(0)

“这是成为名人的标准,也是成为名人的代价”。对于自己的人脸信息被盗用,主持人蒋昌建在今天的GeekPwn 2020大赛上无奈地说道。

仅凭一副口罩,白帽黑客就可以假扮他人瞒过AI摄像头。

CAAD AI变脸口罩挑战赛;来源:GeekPwn 2020

今年GeekPwn2020大赛首创CAAD AI变脸口罩挑战赛,在现场,参赛战队AFMask利用AI生成图像的口罩成功假扮蒋昌建骗过AI摄像头,最终在30秒内分别完成售货机掉货、ATM机吐钱的挑战任务。

大赛还原了AI 对抗样本在真实环境下的挑战,揭示了人脸识别技术应用的盲点与弱点,可引发隐私泄露、财产损失等后果。

利用AI变脸、自制雷达干扰自动驾驶的汽车、远程劫持农业无人机…

10月24日,以“极有担当,无畏逆行”为主题的国际安全极客大赛(GeekPwn 2020),汇聚了全球顶尖的白帽黑客和少年极客,展示无数奇思妙想,挖掘在云、AI、5G等前沿技术中可能存在的漏洞并预演安全威胁,打响“新基建”安全前哨战。

碁震KEEN公司创始人、GeekPwn大赛发起创办人王琦,在现场分享了GeekPwn举办第七年之际对于极客定义的感受和变化。他表示,“极客不应该是黑色的,也不应该是神秘的。极客其实像医务工作者一样,通过提前发现漏洞来避免问题。我相信极客可以用自己的好奇心去发现未知的缺陷,可以用自己的责任感去吹响提醒的号角。”

1、抢滩新基建安全战场,攻防预演安全威胁

自动驾驶汽车“致盲”,仅需一个雷达干扰枪!球首位获得谷歌安卓赏金的独立极客吴潍浠利用小型、低成本的雷达干扰枪实现对自动驾驶汽车雷达系统更改和设备干扰,使其无法及时启动前方碰撞预警和自动紧急制动系统,从而直撞前方障碍物,造成了交通事故。

雷达枪干扰自动驾驶;来源:GeekPwn 2020

据悉,今年4月份该漏洞已提交至特斯拉,由于技术原因,目前仍在修复中。

同样针对车联网,“无感充电”轻松被“盗刷”。腾讯Blade Team使用自制转接头,利用电动汽车BMS与直流充电桩通信协议中的身份认证漏洞,只需获取受害者的车架号码,即可盗用受害者的账户余额,为自己的车免费充电。

此次Blade Team发现的漏洞是国内首个充电桩行业安全漏洞,影响面大、修复难度高,对于行业健康发展具有很强的风险提示价值。

“目前新能源汽车的车辆身份标识多存在于车身外部,属于公开信息,也有很多黑产渠道会贩卖这类车辆数据,这种方法一旦被黑产掌握,有被大规模恶意利用的风险。”Blade Team高级安全研究员Nicky介绍道。

在备受关注的5G安全领域,腾讯安全玄武实验室演示了一场利用未知漏洞成功劫持5G网络下TCP传输的远程攻击,以此提醒通信行业,在产业快速发展的同时,安全要先行一步。在实例演示中,黑客可以利用5G通信协议的某个漏洞“劫持”同一个基站覆盖下的任意一台手机通讯,这将给用户带来无法预估的隐私泄露风险甚至是财产损失。

在智慧农业领域,应用广泛的植保无人机也被发现漏洞。农场主以为的天气原因导致农田“颗粒未收”,可能是喷洒农药的无人机早已失去了控制。这个同样来自TQL带来的破解秀,通过云端攻击连接到云端的植保无人机地面站,可以直接控制无人机的起飞或降落。

GeekPwn舞台的新基建安全大赛上,4G LET基站、DNS污染、绕过安检仪X光、智能电表、园区停车收费系统等涉及新基建场景的挑战也轮番上演,验证了安全是新基建的“基建”。

2、顶尖极客实战演练,挖掘前沿技术安全隐患

聚焦新基建场景安全的同时,本届GeekPwn对于云计算、AI、5G等前沿技术领域安全同样关注。继去年发起全球首个云安全挑战赛后,GeekPwn携手腾讯安全云鼎实验室推出第二届云安全比赛。今年的挑战赛继续保留云计算全栈环境覆盖的特色,7支进入决赛的战队不仅要破解基于真实云环境设置的层层关卡,还要互为攻守双方一较高下。最终,Emoji战队,凭借10209.7的唯一一个过万积分,夺得本届云靶场挑战赛第一名。

腾讯云安全副总经理李滨;来源:GeekPwn 2020

极客全情投入云端攻防的同时,腾讯云安全副总经理李滨还基于腾讯云安全建设的实践和云鼎实验室的前沿研究,发布了包括云原生安全、零信任、软硬件供应链安全等在内的九大云安全趋势,探索了在新基建快速发展之下,技术快速迭代、法律法规相继出台,云安全建设面临的全新挑战,

AI同样是新基建的重要技术支撑,但让AI“变笨”却是极棒舞台的“传统”。今年极棒首创两大赛事,考验AI“造假“和“识假”的能力。在CAAD AI变脸口罩挑战赛中,极棒首创利用AI技术特制口罩,从而欺骗人脸识别黑盒白盒算法。受现场灯光、网络等因素的干扰,比赛在场下进行了精彩角逐,最终“动动动动弦”战队以3783分成功问鼎。

除此之外,在CAAD虚假人脸AI识别大赛中,5支队伍利用AI技术对真假混合的人脸图像及视频进行对抗攻防识别挑战。最终,来自清华大学计算机系和瑞莱智慧公司TSALL以1450分取得冠军。

3、“萌新”迎战加密算法,趣味互动过足“极客瘾”

少年黑客加密破解挑战赛;来源:GeekPwn 2020

在关注5G、AI、云计算等前沿领域安全挑战的同时,本届GeekPwn给极客设置的新挑战还在“少年黑客马拉松”大赛中继续上演。

继去年“少年特工”的挑战主题之后,今年9-16岁的少年黑客在GeekPwn的舞台,不仅要解密发明于1837年的Morse密码,还要他们利用安全知识去解决生活场景中的安全问题。最终,由两名五年级小学生组成的“二中心58hacker小分队”成功还原了加密信息的明文“CJDLXYRJNS”,他们也是“少年黑客加密破解挑战赛”中唯一获胜的战队。

GeekPwn实验室的安全专家吕礼胜说:“GeekPwn本身是技术和展现的结合,会极大地激励青少年勇于突破限制,取得更大胜利。我们也在探索新的领域,去年是机器人,今年就是软件,明年可能还有其它,难度可能也会调整,我们会不断摸索研究更好的方式,给有志于成为少年黑客的小朋友们提供一个精彩的展示的舞台。”

GeekPwn自创办以来便致力为极客们搭建展示自己的舞台,不停挖掘顶尖安全人才,已经在今年9月颁布的《海南自由贸易港高层次人才分类标准》中,被判定为“互联网和电信业专业和社会认可标准”之一,GeekPwn选手们得到了更高的社会认可。。

在安全战场最前线,GeekPwn平台将继续与极客们并肩作战,打响新基建安全前哨战。

文章为作者独立观点,不代表联商专栏立场。

联商专栏原创文章由作者授权发表,转载须经作者同意,并同时注明来源:联商专栏+连线Insight。

下一篇:YY难“救”