10月24日-25日,GeekPwn2018国际安全极客大赛在上海如期而至,来自世界各地的安全大咖、白帽黑客组成黑客界“最强大脑”战队,上演了一场现实版“黑客帝国”。京东牧者安全实验室也同北京大学、北京邮电大学一起联手,利用最新研究的挖掘IoT漏洞工具,在现场挖掘了多款智能硬件的漏洞,上演了一出“人攻智能”的精彩大戏。
人“攻”智能,四秒绝杀
参赛过程中,出现小插曲,选手们现场调整战略现场编码,团队配合默契,在距离倒计时结束只剩4秒时攻破最后一个摄像头,成功完成了整场挑战,最终取得优胜奖和最佳展示奖两个奖项。
参赛团队队长,京东牧者安全实验室高级研究员KJ表示是第一次带队参加GeekPwn挑战赛,本次Pwn主要演示了常见的几种IoT攻击,包括物理端、Web端口调试和栈溢出等,几乎覆盖了所有 IOT 的攻击方式。在赛后回顾中,KJ介绍了本次选择破解智能硬件,仅是为了展示攻击手法,而智能设备漏洞引发的安全隐患很多,黑产不仅可以窃取用户隐私,进行典型诈骗,还可能利用智能设备漏洞挖矿,谋取暴利。因此,更早一步发现IoT漏洞,及时修复,不仅能提升设备安全性能保护用户隐私,还能帮助硬件厂商及时止损。
KJ还透漏,本次参赛使用的自动化挖洞工具是京东牧者安全实验室研究的新框架,在10月31日-11月2日举办的 “2018京东HITB安全峰会”上,他们将现场演示这款挖洞工具。
人“攻”智能,一触即发
万物互联让生活越来越便捷的同时,也为人们带来了许多安全隐忧。路由器从上网的钥匙变成泄密的窗口、摄像头从证据采集器变成隐私曝光机……智能硬件之所以会变得如此危险,很大程度上是因为自身存在的漏洞未被厂商察觉,而让一些不法分子钻了空子。
在本次大会上,京东安全硅谷研究员分享了利用汽车智能硬件安全漏洞进行恶意谋利的攻击思路,为整个IoT安全行业敲响了警钟。研究员介绍,北美的车险公司会在车辆中安装一个设备来检查驾驶员的驾驶行为,但是这个设备接口上存在一个硬件漏洞,京东安全硅谷研究团队发现了这个问题并加以研究,发现黑客、黑产可以利用这个漏洞,勾结保险公司、4S店、保险公司等,篡改用户的驾驶习惯记录,使得用户缴纳更多甚至双倍的保险费,从而获取大额利润。
安全研究员还介绍称:由于这个攻击是从物理层面发起的,所以仅凭软件更新是无力应对的,而在我们的日常生活中,类似存在漏洞的硬件还有很多,对于IoT安全的重视程度我们还远远不够。
蓝军视角 变被动防御为主动防御
或许你会奇怪,挖掘漏洞破解设备应该是攻击者做的事情,为什么防御者也会“同流合污”?事实上,网络安全从来都是一场非对称的对抗,可怕的不是敌人有多强大,而是不知道敌人会在什么时候什么地方攻击。而漏洞挖掘技术恰恰是打破这一僵局的有效手段。这就类似军事演习上的“假想敌”概念,以蓝军视角,发现自身缺点,同时理解对手的攻击思路,才能知己知彼,从而更有针对性的做出应对措施,变被动防御为主动防御。就像大赛发起人、KEEN公司CEO王琦说的:漏洞从来不是因为黑客才存在,恰恰是被黑客发现后消灭的。人“攻”智能不是目的,我们这些年的努力,是为了让更多的人可以享受智能生活,让黑客带给我们更安全的光明和未来。
令人欣喜的是,事情正在朝好的方向改变。就在本次Geekpwn大会上,各个参赛团队带来的 “人攻智能”项目,现场展示挖掘智能硬件漏洞的过程,让越来越多的厂商、学术机构和白帽子们,甚至让越来越多的普通人关注到IoT安全,并形成了更多积极有建设性的合作。京东首席安全专家Tony Lee表示:希望更多这种IoT安全研究,并开放研究成果,使得组织和厂商能提前知道和修复这些危险,人们才能享受更智能也是更安全的生活。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- GitLab将告别中国区用户:是时候选择新的“极狐”或保护账号了
- 苹果明年推至少22款新品,阿里非洲首站启动,科技新品盛宴拉开帷幕
- SUSE预测:未来私有AI平台崛起,让我们共同见证AI的未来
- AI伴侣“小奇”:奇富科技重塑金融服务体验的探索之作
- 揭秘软银孙正义神秘芯片计划:打造超越NVIDIA的未来科技新星
- 大模型创企星辰资本获数亿融资,腾讯启明等巨头入局,人工智能新篇章开启
- 大模型独角兽阶跃星辰融资新动态:数亿美金B轮,揭秘星辰未来之路
- 哪吒汽车创始人资金遭冻结,1986万元股权风波引关注
- 本田与日产酝酿合并:明年6月敲定协议,新公司社长待本田推荐
- 金融大模型新突破:百川智能Baichuan4-Finance引领行业,准确率领先GPT-4近20%,变革金融业未来
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。