大家好,今天是10月24日,这一天不仅仅是广大程序员的无冕之节,更是我们安全圈的一个狂欢日。因为,GeekPwn 2019 今天如约而至。小编也来到了上海,前来观摩一下这一极客盛宴。
今年的极棒以“Geek Me 5”为主题,召集来自全球各地的白帽黑客和少年极客,通过预演安全风险,探索产业智能与消费智能潜在的安全问题,提高大众和厂商的安全意识,助力产业健康成长。本届极棒再次邀请黄健翔老师担任主持人,通过黄健翔老师与评委之间的机智问答,原本难以理解的技术原理,都变成了简单易懂的知识,让参加极棒的观众收益匪浅。
在开场演讲中,碁震KEEN公司创始人兼CEO、GeekPwn大赛发起创办人王琦提出,要承认数字化世界带给我们的美好,也要承认数字化世界带给我们的不美好。GeekPwn和极客们的使命,就是消灭那些不美好的事物。“完美的未来必然是安全的未来。”王琦认为,对极客来讲,消灭更多不安全的问题,我们才有更安全的未来。
腾讯集团副总裁丁珂在开场致辞中指出:今年的GeekPwn在坚持初心的同时,实现了新突破,变得更加纯朴,更加包容,今年不仅推出了云安全的攻防挑战赛,还有代表中国安全未来的青少年力量参与挑战。从第一届GeekPwn大会走到现在,GeekPwn这个舞台已经走出了不少中国安全领域的顶梁柱级的人物,有了越来越多的朋友,也推动了越来越多的厂商认识到安全的重要性。
实战演练 现场攻防 探寻安全“下一战”
安全挑战并不是一成不变的,挑战每天都在升级。为了应对新形势下的安全威胁,GeekPwn2019赛事全面升级,分为设置挑战场景的命题专项赛和不设限制的非命题开放赛,以更前沿、更普世、更专业的视角为全球极客的技术交流提供更大的舞台。其中,命题专项赛包括 CAAD 对抗样本攻防赛、隐私安全之反偷拍挑战赛、青少年机器特工挑战赛和云安全挑战赛;非命题开放赛则秉承GeekPwn“无所不 PWN”的精神,分设基于漏洞 PWN 和非基于漏洞 PWN。本次赛事从世界各地的数百支队伍中筛选出52支参赛队伍,共计参与8大类目的挑战。
今年,在极棒现场还有联合腾讯安全云鼎实验室推出的全新命题专项赛“云安全挑战赛”,是首个基于真实通用云环境的安全挑战赛,覆盖全路径攻击与防御,通过攻防对决实战开拓防御思路,这个挑战赛是贯穿全天的,通过一整天的挑战,而且在舞台的一侧,想必参赛者也是盯着压力在挑战吧。
CAAD系列挑战 让AI频频出错
CAAD 对抗样本攻防赛(Competition on Adversarial Attacks and Defenses)是由GeekPwn 联合谷歌大脑的 Alexey Kurakin、苹果公司的 Ian Goodfellow 以及美国加州大学伯克利分校计算机系教授宋晓冬于 2018 年共同发起。大赛聚焦让机器学习分类器频频犯错的对抗样本,通过机器学习领域的安全攻防对抗研究,预演 AI 领域可能存在的风险并不断完善,从而推动人工智能安全健康成长。包括AI图像识别,AI语音识别等。
作为GeekPwn的开场秀,在“CAAD CTF图像对抗样本攻防赛”现场,多个战队成功利用图片对抗样本针对图像分类器发起攻击,导致分类器出错,骗过AI图像识别。其中,TSAIL战队在第三关“人脸识别攻击”中用图片成功欺骗Clarifai人脸识别系统,让AI将黄健翔识别成了“美国第一千金”伊万卡。
除了让AI“脸盲”,参赛者们还可以让AI“失明”。在比赛现场,Hiding Cat、NISLer、TSAIL三支战队选手通过一张“图像对抗样本”,并让现场观众将样本举在胸前,成功躲过了检测系统的识别完成挑战。而值得一提的是,此次比赛选手全部攻破的是被视为“目标检测网络的巅峰之作”的YOLOv3系统。
CAAD隐身挑战赛的选手参与挑战
与全民联系紧密的“反偷拍挑战赛”由GeekPwn联合RC2反窃密实验室共同推出。参赛选手化身侦探,在起居室或房间等密闭空间中,仅依靠自制的设备、不靠眼睛寻找房间内隐藏的摄像头。为了避免人为因素干扰,所有物品(包括针孔摄像头)统一由布帘覆盖。GeekPwn希望利用极客的智慧为广大群众解决实际问题,用技术让普通人也拥有检测偷拍摄像头的能力。小编看到来自这个挑战赛的现场图片的时候都惊呆了——我真的做不到啊。
喝杯水的功夫,指纹锁屏形同虚设
今天让小编印象深刻的真的是眼花缭乱。无论是劫持投屏设备并开启电脑摄像头,还是通过运营商网络替身无感登陆应用,都让小编感到震惊—没想到真的可以这样。不过,最让小编感到害怕的还是通过一个水杯就可以得到指纹并解锁手机的那个题目。
挑战者只能通过手机拍摄一个只残留4个现场随机挑选观众的拇指指纹的杯子,并通过自动化设备克隆复原该指纹,再用这个指纹去解锁稍早前预置该指纹手机和考勤机。
小编看到来自腾讯安全玄武实验室的挑战者竟然真的在玻璃杯上通过手机拍照的方式获取到了几乎无干扰的指纹,并攻破了包括电容、光学和超声波三种识别技术的指纹验证设备。
在比赛之后,小编还从挑战者那里得知,这还是只用了识别出来的三分之二的指纹,剩下的三分之一因为时间不够五分钟,不能完整打印了就只能赶紧切出来指纹来用…不过他也说,大家不要害怕,只要生活中记得多擦下指纹就行了。
小编此时的心情正如黄健翔老师现场的打趣一样“千万不能在身边看到他”,安全威胁真的是无处不在。
拓展极客防线的安全边界
在今年的极棒上,小编还看到新开设的“青少年机器特工挑战赛”,这里是为少年极客搭建的一个全新的平台,让他们尽情释放脑洞。更重要的是,挖掘并鼓励更多具备优秀极客潜力的青少年,为安全行业培养后备军。
安全漏洞永远不会消失,黑客的目光也不止于此刻,极客的使命远在未来的“下一战”。在安全危机尚未发生之前,找到对抗这些攻击的方法,将安全隐患扼杀在摇篮里,这是GeekPwn的初心,也是极客精神的核心。
相信GeekPwn将在未来继续带领极客走向安全更光明的未来!极棒,明年见。