GEEKCON安全极客大赛现场直击,从攻击可视化到安全可度量
2023-10-25 10:31:56 Author: www.freebuf.com(查看原文) 阅读量:42 收藏

哪个品牌的汽车最安全?来一场汽车碰撞测试,结果一目了然。随着汽车智能化程度快速上升,网络安全已经成为影响汽车安全的重要因素,安全性又该如何直观展现?答案是来一场网络安全版“碰撞测试”,将攻击与防守直观展示。

2023年10月24日,“GEEKCON 2023”中国站比赛在上海西岸艺术中心举行,FreeBuf现场直击大会精彩瞬间。

当安全研究人员用鼻尖解锁安卓手机屏下指纹时,现场响起来热烈的掌声;当场外安全团队利用某个安全漏洞,顺利打开一辆新能源的车门并开走时,现场响起一片呼声;当安全人员协助警方抓获八百多黑产,我们才明白黑产一直就在身边......

这也是GEEKCON安全极客大赛的精彩之处,揭开“网络攻击”的神秘面纱并展示在观众眼前,让虚拟网络空间中的攻防对抗真实呈现给所有人。

GEEKCON 2023 中国赛现场设立五大专场:“对抗研判 AVSS挑战赛”、“深蓝洞察之特别披露”、“年度主题大碰撞:GPT与黑客”、“漏洞与利用 DAF挑战赛”、“15+5深度分享”,涵盖真实攻防对抗、深度技术分享、黑灰产业揭秘、GPT和安全趋势研判等。

GEEKCON 组委会主席、DARKNAVY 董事长兼CEO王琦为大会致辞并表示,今年极客大赛对安全行业的关注,从极客“个人能力价值”升级为聚焦“企业安全价值”,通过安全对抗测试比赛,验证智能汽车、手机等产品的安全,逐步建立安全行业标准和标杆效应,让安全性能成为企业和产品品牌价值的衡量维度之一。

漏洞与利用DAF挑战赛

DAF挑战赛是此次GEEKCON安全极客大赛的第一个现场分享环节,选手需要现场实现相应的目标,激烈、紧张的节奏感染现场每一位观众。与此同时,主持人会在旁边对安全人员的操作进行解释,以便大家更好地理解。

在“致命”脉冲挑战赛中,安全研究人员利用某种缺陷实现对任意网站的万倍级拒绝服务的攻击,经过短短的60多秒钟,安全人员成功发起10次万倍级DDoS攻击,顺利完成挑战。为了进一步展示DDoS攻击的效果,安全人员现场发起千倍级攻击,只见现场播放的视频开始出现卡顿,随着时间的延长卡顿愈发明显。

而这仅仅是此次GEEKCON安全极客大赛DAF挑战赛的第一个项目,在接下来的挑战赛中,安全人员向我们展示了,如何利用漏洞顺利开走一辆新能源智能汽车;利用自制静默装置对抗隐蔽录音;只需看一眼车窗就能破解并定位一台车;利用不同未知缺陷实现多个虚拟机平台逃逸等,令不少观众表示很“惊奇”,表示“不虚此行”。

独具特色的15+5深度分享

和往年不同的是,GEEKCON安全极客大赛首次采取15+5深度分享模式。所谓15+5的深度分享,是指演讲嘉宾须准备技术分享(限时15分钟)及对应的技术演示(限时5分钟)。这类演讲+实操的模式让人印象深刻,对于攻击过程和网络安全也有更深刻的理解。

1.“无限手套”攻击技术分享与展示:我是如何暴力破解多款主流手机指纹验证的

在本议题中,安全人员首次研究了针对 SFA 的通用零知识攻击,在这种攻击中不需要关于受害者的任何知识。这是一种新的针对智能手机的新颖指纹暴力破解攻击,安全人员将之命名为"InfinityGauntlet"。

简单来说,安全人员发现不同制造商、操作系统和指纹类型的 SFA 系统中存在的设计漏洞,从而实现了无限的验证尝试。在大会现场,安全人员使用 SPI MITM 绕过有效性(活体)检测,进行自动尝试,并定制了合成指纹生成器,以获得有效的暴力指纹字典。

最后,“无限手套”攻击的最高潮部分来了,安全人员用自己的鼻子轻轻触碰手机指纹解锁,“哗”的一声手机被解锁了,现场也响起来热烈的掌声。

2.URB 之剑技术分享与展示:我们是如何实现 VMware Fusion 虚拟机逃逸的

在该技术分享中,安全人员现场介绍了 VMware Fusion 虚拟机的攻击面——USB控制器、漏洞的原理和触发方式。在分享结束后,安全人员现场挑战,成功实现VMware Fusion 虚拟机逃逸。

VMware虚拟机软件的安全性有目共睹。2022年VMware官方只通告了11个和虚拟机、沙箱有关的CVE,但安全人员的演示表明,VMware虚拟机仍然存在安全风险。

3.曝光7年的攻击手段再现我们是如何“窃取”到 BitLocker 加密数据的

该研究从 PCIe 工作原理入手,安全人员首先介绍 PCIe DMA 攻击方法,企业 Windows 办公笔记本常用的安全策略,以及包括 Intel,Microsoft,笔记本厂商对 PCIe DMA 攻击的防御手段。

在此基础上具体分析了两家笔记本厂商的设备,通过两种不同的攻击方法分别绕过了两家笔记本厂商的 PCIe DMA 防御手段,成功在不知道用户密码的情况下,获取了 BitLocker 加密的数据。

除上述精彩分享外,安全人员还现场分享了“Attacking the Pixel Modem Over The Air:我们是如何远程攻破手机基带芯片的”,“办公文档中的隐藏威胁:我们是如何隐蔽高效地利用OLE漏洞实现代码执行的”等多个议题。

黑客与GPT,是干掉还是被干掉?

在GEEKCON安全极客大赛下午场,一场有关于“黑客与GPT,是干掉还是被干掉?”的辩论赛吸引了大家的关注。这是国内首个针对“GPT与黑客”的深入讨论,双方就此观点展开了精彩的辩论。也许在某一天,AI深入世界的各个角落,那时会不会“GPT 才是黑客,而我们人类已成为BUG”?

来自蚂蚁安全光年实验室等多个实验室的研究员们,首先针对 GPT 安全进行挑战,并展示他们的研究成果:用自制工具批量生成”越狱“提示词,误导 GPT 突破限制,或出现错误;从正向角度利用GPT 辅助安全研究,将 GPT 应用于安全攻防,防止 AI 技术被滥用和利用,维护网络的秩序和安全。

蚂蚁集团副总裁、首席技术安全官同时也是GEEKCON 赛事评委、议题评审委员韦韬表示,未来的通用技术就是AI和安全,伴随GPT带来的生产效率的极大提升,一定需要匹配相应的安全能力。当互联网行业和各行业数字化产值越来越大,如果正向安全投入不足,反向就会越大规模发生被侵害,且程度深范围广。

目前安全领域每年的投入还不到AI的千分之一,且国内外安全的市场体量差距也比较大,安全行业还有很大的提升空间。

蚂蚁集团每年协助执法部门,在大数据泄漏、反诈骗方面做了很多工作,比如我们曾经打掉的非洲诈骗团伙,他们利用GPT生成欺诈脚本、翻译工具对国内进行投资诈骗等,但这只是安全行业的一角,整个安全行业发展和市场化进程需要通过合规、实战、保险等多领域共同发展,同时,信息安全的科普让每个人、每个企业都具备安全意识和认知的提升,才有可能在复杂多变的国际环境、发展迅速的国内环境中,切实保护各方安全。

对抗研判 AVSS 挑战赛让安全可度量

除了主舞台精彩的分享以外,GEEKCON安全极客大赛还设有“对抗研判 AVSS 挑战赛”专场,搭建全球首个基于真实的网络安全“碰撞测试场”,旨在通过真实设备与环境中的攻防对抗挑战,测试设备、系统的安全性。

AVSS 挑战赛分为线上选拔赛和线下决赛两个阶段。2023年GEEKCON·AVSS线上选拔赛由高校、企业、个人等组成的 93 支战队,横跨亚、欧、美、非四大洲,经过激烈的竞争与角逐,六只队伍脱颖而出。

其中AVSS 网络安全碰撞测试场(手机赛道)线上预选赛第一名天枢Dubhe战队,是来自北京邮电大学(BUPT)的一群小伙伴组成的安全团队,核心团队有三十人左右,活跃在国内外大大小小的安全赛事上,致力于研究和交流各个方向的安全技术。

GEEKCON安全极客大赛现场,6支顶尖战队现场实战对抗,角逐最终的冠军。经过8小时激烈决赛,现场展示了针对多个版本的安卓手机分别在浏览恶意网站时是否会被木马入侵、手机是否容易出现霸屏广告或者流氓软件、位置信息是否被泄露、短信等敏感信息被劫持等的对抗性测试。

王琦表示,希望通过大赛,推动网络安全的价值可度量,安全的能力可视化。可度量是通过AVSS攻防对抗挑战及评分体系,为安全价值度量标准化提供有力支撑;可视化是通过一系列的攻防对抗真实场景化呈现,现场直观表达。

结语

一直以来,GEEKCON 关注整个安全行业、极客群体的发展和变化,从关注前沿AI安全,到智能生活安全,再到关注产业安全和价值的可衡量、可视化,GEEKCON 大赛始终行走在安全行业的最前线,汇聚国内外顶尖人才,在比赛场上诞生了无数个“世界第一”“世界首个”“全球唯一”的技术成果,其社会价值、产业价值也不断被行业和权威机构认可,为整个产业和消费者提供安全的标准和检验。

世界上不存在没有漏洞的系统,所有的安全努力,都是为了尽可能保障网络信息安全。网络安全是一场没有硝烟的战争,每个国家、企业和个体都是参与者。


文章来源: https://www.freebuf.com/news/381706.html
如有侵权请联系:admin#unsafe.sh