洞悉智能生活安全風險,XPwn黑客高手展“神技”
原創【51CTO.com原創稿件】萬物互聯時代,智能手機、智能穿戴、智能汽車、智能家居,乃至智能機器人等智能化設備正出現在人類生產生活的各個角落,為人們的工作生活帶來便利。然而,與此同時各種各樣的新安全威脅也隨之慢慢凸顯。例如:攻擊者可以通過智能攝像頭的漏洞時刻監視你的一舉一動,攻擊者遠程控制智能汽車隨時可以實現啟動等操作……
立足未來安全,洞悉智能生活安全風險
萬物互聯互通時代,如何讓智能設備更好的服務人們的生活,守住安全大門?8月30日,由國家信息安全漏洞庫(CNNVD)指導,北京未來安全信息技術有限公司主辦,螞蟻金服安全響應中心、百度安全共同支持的“XPwn2018 未來安全探索盛會”在北京召開。
XPwn旨在幫助廠商發現并解決智能設備上存在的安全問題,并及時進行修正,從而提高產品安全質量,提高廠商的安全意識,促使民眾和廠商更加注重安全,為社會帶來更大的價值,讓智能設備更好服務生活。與往屆XPwn相比,本屆在關注現今生活比較流行的信息領域的安全問題的同時,更加關注未來信息技術領域的安全問題。讓大眾對智能安全問題進行重視,讓未來的生活更加安全、美好。
在致辭中,XCon&XPwn創始人、北京未來安全信息技術有限公司CEO王英鍵表示:“我們希望通過XPwn傳播發現的安全問題,并讓廠商和民眾重視安全問題,提升安全感。同時,希望傳播安全思想,發揚極客精神。我們還希望,未來把XPwn活動作為一個常態,持續不斷向大家發布安全問題,讓大家認識理解安全問題的存在,讓安全研究人員被大家理解,得到更好的支持,讓安全研究員做出更好的貢獻。”
百度安全事業部總經理馬杰也表示:“XPwn上有很多非常有價值的議題。黑客這個詞的英文本義是Hacker,沒有黑白之分,我們做的是對系統的探索,是對本質的追求。我們要探索世界、改變世界。我們要用開放的心態迎接未來的變化,讓世界更加美好。”
XPwn黑客高手展“神技”
會上,來自螞蟻金服光年實驗室、百度安全實驗室、未來安全胖猴實驗室、中科院信工所和復旦大學等機構的破解選手,演示了破解智能收銀機、智能門鎖等多個物聯網智能設備的過程,雖未詳細透露破解細節卻提供了解決方案,幫助大家守護智能設備安全。
◆我吃飯你買單,黑客帶你免費吃大餐
來自百度安全實驗室的安全研究員和復旦大學白澤戰隊都選擇了破解智能收銀系統。目前,一般商戶通常不具備安全意識,這給黑客帶來了可乘之機。據介紹,一旦黑客攻破了智能收銀系統,便會讓商戶帶來直接的經濟損失,黑客不但可以“免費吃大餐”,甚至還可以悄然不覺偷走商戶的錢,篡改商戶的訂單。
安全研究人員還介紹到,這些漏洞的影響范圍巨大,至少有數十萬臺設備會受到影響,如果這些漏洞被黑客利用,一般商戶或許會遭到巨大的損失。這些漏洞的發現有助于讓商戶提高自己的安全防范意識,保護自己的權益。
◆物聯網設備存在多個漏洞,或被黑客劫持
從智能門鎖到路由器,物聯網中每個設備都可能成為黑客的目標。來自未來安全的胖猴實驗室和中科院信工所,為大家展示了物聯網設備被攻破后帶來的嚴重后果。據胖猴實驗室安全研究員介紹,當漏洞被黑客利用后,智能門鎖將形同虛設:黑客利用漏洞將智能門鎖的固件變成自己的,他們可以用任意密碼打開你的大門,當這種情形發生后,你家中的財物便會不翼而飛,如果在公司,后果更是不堪設想。
路由器是時下必不可少的物聯網設備之一,來自中科院信工所的安全研究員利用漏洞攻破了路由漫游系統,另一組安全研究員則攻破了某知名廠商的商用企業路由器。用戶瀏覽網站時會被黑客劫持到指定頁面,黑客可以利用頁面植入木馬,或進行詐騙。而這些漏洞的研究有助于推動行業了解黑客的攻擊手法,增加保護機制,從而減少黑客的攻擊。
◆一錘定音,手機電腦被黑客接管
會議中,來自螞蟻金服安全實驗室安全研究員為大家展示了攻破某手機瀏覽器和OS X系統。螞蟻金服光年安全實驗室的安全研究員僅僅讓用戶點擊了一個網頁鏈接,便監控了瀏覽器此后的所有上網行為。比如,獲取用戶的瀏覽網站內容、盜取登錄憑證、盜取用戶名和密碼。也就是說,各類賬號均在黑客的掌握之下。
此外,Mac電腦也不是絕對安全的。螞蟻金服光年安全實驗室的另一組安全研究員展示了如何攻破OS X系統,攻擊者最終可獲得內核權限,完全接管受害者運行macOS的電腦,實現多種惡意行為。
用極客方法抓娃娃
除了以上專業議題內容,XPwn還邀請了兩位抓娃娃機的網紅高手在現場為大家演示了一把。抓娃娃機的高手能把一個娃娃機瞬間清空,他們是怎么做到的呢?
其中一位多次獲得抓娃娃冠軍的網絡高手“堂主”告訴大家,他曾經以為抓娃娃是“騙局”,不過后來發現,這里面其實是有技巧有學問的,抓娃娃機的型號、大小、爪機模型等等都是不一樣的,不但是有算法和概率,還有甩爪、別爪等各種技巧。
而另一位抓娃娃網紅解先生介紹說,其實抓娃娃不僅僅要練技巧,還要動腦子,比如盒子怎么抓,不能選爪子的時候,怎么把爪子插到娃娃的標簽里勾出來……他表示,真正的抓娃娃玩家心中都有一個底線,盡量不會清機的。
一個安全峰會,為什么要請來抓娃娃界的快手紅人來演示? XCon & XPwn創始人王英鍵表示,這是一種極客精神和黑客的精神,是對于一些很多問題不斷的探索去追究、去挖掘的精神。抓娃娃從一開始和黑客、研究安全都是一樣的,都是在對某一件事情,在某一個點上產生了濃厚的興趣,為了任何一個東西,發現他的特點,然后找到他的機制(進而解決這個問題)。
安全離生活并不遙遠,XPwn讓未來安全走向大眾
據悉,XPwn2018極智未來未來安全探索盛會的目的不僅僅在于發現問題,更重要的是解決問題,同時鼓勵選手帶著解決方案來XPwn披露漏洞,演示從發現到解決的一系列過程。此次盛會不僅僅面向專業觀眾,更力求讓大眾增進對安全的了解和認識,讓大眾明白安全離生活并不遙遠,同時,也讓大家懂得極客和黑客精神的內涵,讓智能生活更加先進與安全。
【51CTO原創稿件,合作站點轉載請注明原文作者和出處為51CTO.com】
