你以为黑客的目标只有你的电脑和手机?那你就太不了解黑客了。在黑客的手中,机器人不仅可以变身窃听专家窃取你的隐私,还可以化身机器特工完成对真实世界信息系统的入侵;索尼PS4不仅能玩“生化危机”还能越狱玩起“超级玛丽”;就连美国国家安全局的网站也无力招架。而这一切绝不是在道听途说,你以为的前所未见,其实正在发生。
2016年11月10日下午,第二届中国互联网安全领袖峰会(Cyber Security Summit,简称CSS)安全极客秀分论坛在京召开。国际黑客大赛GeekPwn(极棒)携重磅技术干货来到CSS2016安全领袖峰会,国内顶尖白帽黑客现场炫技,首次揭秘破解背后的故事和技术。六场精彩纷呈的“黑客秀”,将CSS2016安全领袖峰会变成了峰会版的“黑客帝国”。
(GeekPwn创始人,KEEN公司CEO王琦致辞)
如果有人说:“一不小心,你就有可能变成艳照门的主角。”你可能不会相信。而在CSS2016安全极客秀的现场,腾讯电脑管家网络攻防小组成员尹亮会告诉你,通过利用Windows和Adobe的漏洞,他们就可以完全控制Surface Pro 4,利用一个恶意的pdf文件他们就能获得你的电脑及摄像头的控制权,你还会说这一切是不可能的吗?
为什么会选择Surface Pro 4?尹亮是风趣的说:“Surface Pro 4是微软Surface 家族产品中最新的一款高效办公设备,搭载了全新 Windows 10操作系统,号称有史以来最安全的Windows操作系统。既然是最安全的,那当然就要选择它。我们就是想要挑战别人口中所有的最安全和不可能。”据悉,2016年腾讯电脑管家攻防小组共挖掘41次漏洞,堪称全球之最。
同样亮相安全极客秀的还有长亭科技安全研究室的成员,他们带来了最新的MTK构架手机以及对索尼PS游戏机4.0.1的破解。你的手机是如何被黑客控制的?用游戏机来办公是怎样一种体验?在于晨升和杨坤的操作下,最新的MTK构架手机不需连接数据线即可破解,PS4游戏机4.0.1成功实现越狱,玩起了超级玛丽。同时,杨坤也在安全极客秀现场首次透露了长亭科技的“PS4越狱简史”:我们首先通过浏览器漏洞,获取用户态执行权限(user mode),然后再通过内核漏洞,获得内核权限,最终实现在PS4主机上运行自制Linux系统。
(长亭科技成员杨坤)
如何“黑”掉美国国家安全局(NSA)网站呢?这听起来像是天方夜谭,来自清华大学网络与信息安全实验室的陈建军在安全极客秀现场首次揭秘利用HTTP协议头的二义性黑掉NSA背后的故事和技术。
陈建军说:“我发现互联网中应用最广泛的HTTP协议存在重大安全漏洞——Host of Toubles,该漏洞会影响大量HTTP软件。攻击者只需要发送一个精心构造的HTTP请求,便可以实现污染ISP缓存(包括毒鱿鱼攻击), 污染CDN缓存,绕过防火墙,绕过WAF等攻击。其中,污染ISP缓存攻击,会对互联网安全产生重大影响,危害极大。 而利用这个漏洞完全有可能黑掉美国国家安全局的网站。”
手机、电脑与我们的生活息息相关,人们对于其安全方面的认知相对是比较高的。而对于机器人,绝大多数人对它们的认知都来自电影。但是,如果有一天这些机器人真的来到我们身边,那会是什么样子呢?在安全极客秀,薛邵基和付山阳可以告诉你。
Aldebaran NAO是目前学术领域世界范围内运用最广泛的人工智能机器人。而就是这样一个“明星”机器人却被白泽安全团队“盯上了”。来自白泽安全团队的付山阳在安全极客秀的现场,向所有人秀出了这项技术——他们轻而易举的攻破了NAO,使其变身窃听专家,他们不仅可以控制NAO说话、行走、抓拍图片,还让NAO在现场跳起了《小苹果》。同时,付山阳也表示:这一漏洞若被利用,极有可能对全球范围内的NAO机器人产生影响。
(白泽安全团队成员付山阳及NAO机器人)
不仅如此,在刚刚结束的GeekPwn2016黑客大赛上夺得机器特工挑战赛冠军的薛邵基也来到安全极客秀的现场,讲述了他的“机器特工”诞生记。薛邵基说:“这是一种全新突破物理隔离的窃密方式,这种方式是很挑战DIY机器人精准度的。”
在安全极客秀“(弱)人工智能”领域的Hacking与伪智能领域的防御”圆桌讨论环节,来自小米安全团队、京东、清华大学网络科学与网络空间研究院、百度、腾讯公司玄武实验室、极棒实验室等资深安全等专家就弱人工智能与强人工智能展开讨论,深入探讨人工智能领域的话题。
在AI、智能设备发展的现阶段,白帽黑客挖掘人工智能漏洞的意义究竟在哪里?小米安全团队资深安全专家文炜表示:“随着人工智能的发展,在未来,人工智能将带来更多的可能性和一些看不见的威胁。我们作为厂商,在肩负各自智能安全使命的同时,非常欢迎白帽黑客来帮助我们寻找产品的瑕疵,帮助我们共同把产品做得更安全,让用户更放心。” 而GeekPwn创办人、KEEN公司CEO王琦也在圆桌上表示:“一个优秀的黑客相当于10个或20个工程师,而我始终认为更年轻的人才是真正能够改变我们未来现状的力量。GeekPwn会一直致力于挖掘最顶尖黑客人才,助力国际安全生态圈的建设。”
(“弱人工智能领域的Hacking与伪智能领域的防御”圆桌论坛)
2016中国互联网安全领袖峰会以“智慧安全,连接赋能”为主题,立足全球格局,倡导“国际安全交流与融合” ,如果说CSS安全领袖峰会的安全极客秀分会场是深讨黑客技术应用的安全生态平台,那么GeekPwn则是国际黑客人才交流及展现才能的舞台。GeekPwn的加入也为CSS2016安全领袖峰会的国际安全生态带来新的突破与探索。