9月13日下午,2017HACKPWN破解秀暨物联网安全论坛在国家会议中心召开。作为ISC2017的重点特色活动,HACKPWN是由全球顶尖黑客团队与360集团旗下众多安全团队共同发起,在吸收国内外各安全峰会优点的基础上,融入最新颖最有趣的各类智能硬件破解秀与破解赛,重金打造的基于物联网安全的大型安全专题活动。
360集团首席安全官谭晓生致辞
网络安全已经进入大安全时代。360集团首席安全官谭晓生在致辞中表示,消费级的物联网产品在安全上比过去两年有改进,但总体安全情况还需要重视起来,我们希望通过HACKPWN把好玩和有用相结合,通过活动帮助智能设备厂商找到和解决存在的漏洞,同时也希望加强民众对智能设备的安全防范意识。本届HACKPWN专注物联网安全,邀请了来自不同国家地区的安全专家分享最前沿的物联网安全议题,更有90后黑客们带来精彩的智能设备破解秀,还有全球首个乐高主题CTF破解赛。
亮点赛事:全球首个乐高主题CTF破解赛
在本届HACKPWN的互动环节中,黑客世界是一大亮点赛事。在一个由乐高构建的虚拟世界中,有火车站、游乐园、食品工厂等各种城市基础设施。参赛者需要组队反击恐怖袭击,保护游乐园、城市和工厂,在限定时间内通过线索追踪到具体的恐怖袭击目标。
乐高主题CTF破解赛
本次破解挑战赛中,三叶草安全小组Syclover率先破解乐高城市系统之后以40分位居榜首,来自平安科技(深圳)有限公司的战队Galaxy20分紧随其后。主办方介绍,第一轮破解比赛更考验选手的综合素质,三叶草安全小组以绝对优势持续领先赢得本次乐高主题CTF破解赛的冠军。
四大前沿议题
“给汽车网络请一位自动化的健康医生”
目前的汽车网络安全测试方法通常手动执行,来自硅谷的连接汽车安全供应商VisualThreat研发副总监钟剑介绍了第一款自动化汽车网络安全基准测试工具包,因此OEM可以快速轻松地识别其车辆中的安全漏洞。钟剑介绍了测试的过程和心得,该工具在许多车辆中成功发现了许多严重的安全漏洞,此外,对流行的无人驾驶车型也进行了深度测试,并发现了严重的安全问题。
“谁来保护未来物联网安全”
任何的数据保护方法解决不了未来安全领域的问题,例如勒索病毒和设备劫持攻击,这个概念能够解决那些安全问题。来自台湾国立交通大学的渡边教授指出,下一个大事件应该是用区块链来保护物联网。但是现有的区块链技术无法真正保护物联网,因此渡边教授提出了一种新的身份识别技术,可以用于未来的物联网安全保护。
“智能家居平台设计应该躲避哪些坑”
供智能设备接入的智能家居平台通常会提供一套帮助设备开发的软件开发工具包(SDK),以及用于部署管理设备的相关的管理系统。上海交通大学密码与计算机安全实验室实验室(LoCCS)软件安全小组(GoSSIP)博士刘慧以国内某智能家居平台为例,介绍了智能家居平台设计及实现的关键因素,以及不正确的设计实现所能带来的安全和隐私威胁。
“物联网攻击可以悄悄蒙上你的眼”
浙江大学USSLAB智能系统安全实验室博士闫琛介绍,传统的安全研究都是面向计算机及其网络中处理和传输的数字态信息,但对于物联网来说,由于信息的来源多了对“物”(物理世界)的感知,信息的去向多了对“物”的控制,所以模拟态信息的安全问题尤为突出。他还演示了仅仅通过超声波攻击Apple Siri、Google Now等语音助手就可以不知不觉的发送短信、邮件、拨打电话、打开网页,甚至直接在目标用户手机上植入木马。
三大破解秀
满是干货的议题演讲中间,来自360三大安全团队的90后黑客穿插了精彩的破解秀环节。360UnicornTeam的单好奇,也是DEFCON历史上最年轻的Speaker,表演了NFC通信破解,通过搭建特殊“桥梁”,欺骗POS机和信用卡(各类RFID卡片),扩大NFC近距离非接触刷卡的距离,在靠近别人的时候盗刷其信用卡。
而360CERT团队的王宇恒、肖雄将展示破解智能设备通信认证加密方式,在未主人经授权的情况下控制指定智能家居设备,如调转摄像头,获取智能门锁密码等。360Skygo团队的李佳琳、李嘉豪,利用智能保险箱身份认证方式和通信过程存在的漏洞,远程开启保险箱;利用智能门锁的结构缺陷,通过物理方法无破坏阻断报警,并且实现开锁。