漂浮在海上的这场黑客大赛是表演、也是探索:2017 GeekPwn香港年中赛纪实

2017-05-14 440553人围观 ,发现 5 个不明物体 活动

将一场比赛,或者说一场秀定在一艘船上进行,且在几天时间内,所有选手、评委、参与者都呆在船上吃住——出发点如果抛开有钱任性不谈,大概就是为了提升逼格了。即便是这篇文章敲下这些字的时间也都漂浮在船上。

今年的GeekPwn极棒年中赛就是在我抵达香港之后,从启德游轮码头出发,乘坐星梦游轮前往公海后开始的。这艘星梦游轮上下总共有19层,酒吧、游泳池、餐厅、运动场、画廊、展览、赌场、购物中心…什么都不缺,每晚都还能在这里欣赏各种歌舞表演——唯一缺的大概就是极客赛事了。

30980912.jpg  

这次的比赛就在这艘巨轮上进行,想看巨轮上的腐败生活吗?拉到文末!

好吧,最后一句是我自己加的。这种设定大概是极棒发起创办人、KEEN CEO王琦追求的效果。他在比赛快要结束的时候提了一句《瓦森纳协定》的限制,所以才这样邀请国际友人前来参赛,并将比赛定在公海上进行,“万一有些漏洞不能曝呢”?况且这次的活动有“乘风破浪”的SLOGAN,怎么能不出海呢?这都是提升逼格的出色说辞。不过去年王琦倒的确说过,要在今年带领技术宅们逃离城市陆地。

DSC_5283.jpg

极棒发起创办人、KEEN CEO 王琦

在我们看来,这场海上的GeekPwn极棒年中盛宴本质上还是场有趣的“秀”。就像星梦游轮本身像是个秀一样,每晚都有艺人穿着闪亮的演出服在舞台上绚丽登场,极棒香港站年中赛依旧是让参与的人们看到各种利用未公开漏洞炫技瞬间,让人眼前一亮,却又不告诉你这具体是怎么做到的——这不就是一场表演吗?就今天我们看到极棒赛况的呈现,都彻底说明了这个问题。

那三个让人眼前一亮的炫技

从表演的角度来看,做到最具体的坏事,并以完整、真实的方式呈现在你面前才让人感觉足够震撼和有趣。这次的秀最后有个投票环节,让现场观众投票决定所有参赛者中的最佳表现奖,包括FreeBuf在内的绝大部分观众都将票投给了女黑客“Tyy”,倒还真不是因为它是场子里出现的唯一一名女性参赛者。

这位来自浙大的女黑客表演的是,获取、接管其他人的共享单车帐号,针对的是小鸣、永安行、享骑和百拜四个品牌。Tyy直接在演示中获取了一位评委的共享单车帐号,完全掌握这名评委的骑行记录:是何时骑行的以及骑行轨迹怎样,最终还能用评委的帐号来骑行——骑行花的都是别人的钱。其实这听起来已经不算是什么新技术了,而且由于我们身处公海,没有办法将共享单车带到现场。

DSC_5597.jpg 

得到最佳表现奖的Tyy和评委袁仁广大神

但Tyy首先在现场当即获取评委的共享单车帐号,然后将这些信息同步给远在上海的朋友——现场用视频连线这位朋友。在上海那头拿到Tyy获取的帐号,并成功扫码,用评委的帐号成功骑走单车后,现场观众看着视频里单车被骑走的画面还是很自发地在鼓掌。

我们无从得知背后利用的漏洞详情,仅知Tyy利用的是云端逻辑漏洞——以篡改输入参数达到直接访问、控制他人帐号的目的,可以批量遍历获取所有帐号。即便这么说着,屏幕那头的各位大约体会不出现场的气氛。不过评委最终认为,由于这套攻击手法首先要求与目标用户同处一个WiFi环境嗅探部分数据后才可发动攻击,所以Tyy只是拿到了观众们投票的最佳表现奖。

DSC_5257.jpg

来自俄罗斯圣彼得堡的George Nosenko

要说真正对互联网世界形成足够大规模危害的,就现场的表演来说,大概就两个。其一是来自俄罗斯圣彼得堡的George Nosenko演示入侵思科Catalyst 2960交换机了。这位战斗民族的神人先前曾经获得Pwnie奖提名(传说中的黑客奥斯卡),而且据说在今天比赛前一天彩排的时候因为觉得太困,所以在演示完获取交换机的最高权限Shell之后,就不打算完成剩余的任务了(比如修改最高权限用户密码、设置端口镜像)。

他大概也是极棒历史上唯一一个穿着拖鞋就上场的参赛者吧,这才有极客风范。实际上,Nosenko在现场的确几乎是以秒速获取到这台交换机的最高权限Shell,之后战况便陷入“胶着”,用在台上观战的徐昊的话来说,是各种配置错误和实际问题,所以到最终完成将交换机某端口流量完全同步到另一端口的目标,已经是在下一个参赛者完成演示之后了。不过这也的确足够说明极棒赛制对于炫技的看重,毕竟获取最高权限这种结果是没法直接给观众作最直观展示的——这可能一直以来都是因为极棒在秀场上期望让所有人看到明确结果的关系。

DSC_5585.jpg

左边是评委于旸大神,右边是评委徐昊大神

极棒官方在宣传中将Nosenko利用的这个漏洞与CIA军火库类比,由于漏洞无法公开,我们只知道这是个缓冲区溢出漏洞,可实现任意代码执行。就Nosenko自己公布的结果来看,这个漏洞至少影响到全球25.2万台思科设备,包括Catalyst 6500/4500系列Supervisor Engine引擎,3850系列等等。未知当前思科对其修复情况如何。Nosenko也因为最终的成功演示获得本次比赛的最佳技术奖(和5万元奖金)——领奖的时候鞋子终于换了。

DSC_5418.jpg

腾讯玄武实验室X兴趣小组 郭大兴、刘惠明

除了上述两个项目,能够给现场爱好观战的观众和我们留下深刻印象的,就是所谓的“Wombie Attack”无线僵尸攻击了,来自腾讯玄武实验室X兴趣小组的郭大兴和刘惠明。不过其精彩主要在于实现方式的可行性,而不是现场表演——由于海上渣网速及其脚本写得本身不够完善,演示了三次才勉强成功。

这个攻击号称,只要攻击者用手机靠近你的手机,你的手机就会成为新的攻击者,所谓“他只是走近了我,我就成了新的攻击者…”具体说是,攻击者A用手机入侵附近的手机B,演示中据说手机B只是随意用浏览器访问一个网站就已经被攻击者控制,而且用户自己是感觉不到的。这个时候手机B就成为了新的攻击者,在手机B靠近手机C的时候就能入侵手机C,并从中窃取数据——当B再回到A附近时,会将获取到的数据回传给A(所有手机均为Android手机)。

DSC_5437.jpg

和观众C一起自个拍

这个攻击模型足够理想,如果说在操作上具有很高的成功率,那么这种移动攻击的传播大约是不可限量的。听起来是否感觉非常神奇?现场演示的时候,找了个一点都不像托儿的观众上台充当用户C——自拍了一堆照片,而评委则充当用户B,攻击者先攻击B,再令B靠近C,获取C自拍的照片,随后A也就拿到了C的自拍。

据说这种攻击是改造了被入侵手机的固件代码,令被入侵手机具有无线攻击功能,得以将其改造为新的入侵设备。对于其技术细节我们还真是一点都不清楚,比如被入侵设备是否需要同处一个网络,还有看起来至少被入侵设备应该需要被Root吧?不过这种思路的确很有趣,大约很值得攻击者借鉴,于是Wombie Attack很自然地成为本场比赛的“最佳脑洞奖”(以及5万元奖金)。

这是IoT漏洞炫技主场

从我拿到行程单的一刻,除了看到Nosenko要演示攻击思科交换机,其它所有项目几乎都是对IoT设备、智能家居产品的入侵。虽然大概这些炫技也都已经不稀罕了,但在选手通过获取别人的共享单车App帐号并成功解锁单车最终骑走时;以及智能门铃和智能灯泡开始各自任性地不听主人话时;还有监控摄像头遭遇入侵,将拍摄到的影像传输给攻击者时,场下还是很自发地响起了掌声。看样子没人不热爱表演的,即便都不清楚具体是怎么入侵的。

DSC_5477.jpg

看雪智能硬件安全小组 李伟

要说这是秀,可一点都不假。看雪智能硬件安全小组的李伟演示的主题为《我家门铃响起了怪声……》。他演示的实际是针对智能门铃、智能插座、智能灯泡和摄像头的控制——这些也正是当下智能家电中相当常见的产品。

李伟首先找观众上台录了段语音,随后利用一个漏洞远程将场上准备的智能门铃声替换成了这段录音;然后通过对智能插座的开关、改变智能灯泡的颜色,上演了一段智能家电“在主人离开时”的自我狂欢——智能门铃在家中响彻着自己的声音,智能灯泡则跳跃着颜色,配合被远程接管监控摄像头的摇摆,这段秀还真是经过了精心安排。当然了,这实际上是攻击者自己写的一段运行脚本,开启了这场秀。

DSC_5472.jpg

看雪智能硬件安全小组王启泽则针对雄迈的智能摄像头发动攻击,还记得去年Mirai让美国半个互联网瘫痪吗?雄迈制造的IoT设备就是Mirai感染重灾区,王启泽又发现了雄迈的新漏洞,又能发动一次瘫痪行动了

我们这些只能在桌边看热闹的看客当然也并不清楚所谓的“利用未公开漏洞”究竟是怎样的漏洞。仅知是这个名为控客的品牌设备与云端通讯协议存在漏洞,利用该漏洞就能完全控制智能家电;甚至还能伪造信令让主人都失去控制权。所以这其中的利用是“跨公网”远程进行的,不需要同处一个网络中。

DSC_5468.jpg

安恒海特实验室 王欣、徐凯翼

安恒海特实验室的王欣和徐凯翼也对智能家电进行了一套组合拳攻击。具体为小蚁摄像头、Netgear路由器和小米智能网关的连环入侵,这在思路上也显得很有趣。首先构造一个恶意二维码,在小蚁摄像头在未联网时扫描,摄像头在恢复联网后就会去攻击同网络下的Netgear路由器与小米智能网关,获取路由器Root权限,在智能网关中植入恶意固件,令设备功能失效。

这是套具备相当完整性的漏洞组合利用,从起始的摄像头扫二维码开始为跳板直至最终对相当部分智能家电的控制,网关下的传感器终端都会因此无法正常工作。

DSC_5210.jpg

百度安全实验室 黄正、谢海阔

另外针对智能家居攻击的,是今天这场比赛开场,来自百度安全实验室的黄正和谢海阔,演示攻击A220果加互联网智能门锁。这里的门锁既然说它智能,肯定是要和家里的网关连接的,所以首先找个观众上台先设置好门锁密码,接下来的任务就是由黄正获取到密码并成功开门。这个过程中也不需要物理连接门锁作破解。

DSC_5351.jpg

黄正开门中

不过海上噩梦般的网络令这两位在半小时内都没能开启门锁。似乎现场环境调试就出了不小的问题,门锁和网关连接就花了不少时间(万物互联时代的生活就是这么方便),黄正解释说,平常原本5分钟不到就能完成破解,但这里智能门锁的云端服务器连接不上——这么看来,这里利用的漏洞还需要与云端服务器配合。可知有关漏洞的解释大致是这样的:首先获取门锁ID信息(要求默认设置?),破解通信协议完整性校验算法和密码解密算法,然后向云端请求获得锁的所有密码(可以为门锁设置几组密码)。

据说黄正通过自己的一台手机就能把一个小区的智能锁密码搞到手。这里的演示在延后几组参赛队伍结束后最终还是顺利完成了,而且的确实现了秒破。

DSC_5489.jpg

舞台上新拆包的一些路由器

另外值得一提的是,下午有大量破解是针对路由器的,这原本也是极棒每次都会有的项目了,当然路由器也是IoT的重要组成部分。包括来自韩国的学生cixer(Yoseop Kim)针对Netgear R6220和腾达AC97路由器的Root Shell获取,并实现DNS劫持与发动DoS攻击;来自清华大学网络与信息安全实验室的研究生裴中煜和刘煜堃利用被劫持的路由器来挖矿;中国海洋大学信息安全实验室的孙磊、曲海鹏和赵汉青针对包括Netgear、腾达、Dlink、华硕、摩托罗拉等品牌在内10款路由器的破解,这两位先前的极棒就有这样的破解示例,都是为了表明现如今的路由器究竟有多不安全——孙磊和曲海鹏被收录进极棒名人堂(和获得10万元奖金)。

309809817.jpg

来自韩国的cixer,中国海洋大学信息安全实验室孙磊、曲海鹏(最右是评委 万涛大神)

DSC_5460.jpg

清华大学网络与信息安全实验室 裴中煜、刘煜堃

3908098172.jpg

安恒海特安全实验室 rain man

DSC_5360.jpg

café-team团队

未来的GeekPwn比赛:将AI运用到“攻击”中

今年年中的这场GeekPwn安全黑客大赛参赛队伍和内容,据说是从7个国家53个项目中挑选出来的。除了上面这些,还有一些项目比如今年针对OPPO R9s指纹识别的清除,实现安装恶意App就能实现,来自café-team团队。还有像是针对小米的小天才y03、小寻儿童智能手表的入侵,演示来自百度的资深安全工程师小灰灰。现场还真的找了个小朋友戴上儿童智能手表。在攻击者不接触儿童手表的情况下完全控制这块手表,如篡改儿童手表的地理位置和轨迹信息来欺骗家长,伪装成爸爸给小朋友打电话等等。再如针对小米9号平衡车的接管控制,来自安恒海特安全实验室的rain man完成了对平衡车原有控制密码的修改,最终实现对这辆平衡车的各种控制。

3098091862.jpg

百度资深安全工程师 小灰灰(右二为评委 诸葛建伟大神,小朋友就是他的儿子)

年中的这场比赛虽然依旧有亮点,不过脑洞大开的部分显得还是没有那么充沛。大约也正是因为如此,王琦在比赛的最后宣布,今年1024的选手招募开始。其中增加了人工智能AI安全挑战项目——AI PWN。我们以往常说的人工智能在安全领域的应用是从防守者的角度去谈的,比如说IBM Watson实现的认知安全,还有大数据、机器学习对威胁情报的协力。

王琦举了个比较有趣的例子,比如人工智能现如今对于图形、影像、音频的识别,已经很大程度与人类相当,如图灵测试对现如今的人工智能而言实在是小菜一碟,但如果我们能够通过攻击来干扰这种深度学习算法,比如让人工智能将一堆噪点识别成大熊猫——这样的攻击就是所谓的AI PWN了。更深入开去,如对特斯拉自动驾驶算法的入侵(而不止是对于其中的系统做到入侵),令其错将一个人识别为一棵树。这种程度的攻击,听起来会相当有趣,或者说从攻击者的角度来思考问题,更能了解人工智能在攻击中的应用深度,毕竟这也已经不是什么新鲜事。

2098091826.jpg

实际上,王琦在活动伊始就谈到了,在海上办GeekPwn更有驶向海洋去探索的寓意。无论这是体现逼格的说辞,还是“乘风破浪”的真正价值体现,在“人‘攻’智能AI时代,人人都能成为黑客”,就像微软先前的TayTweets机器人,没有程序员的参与,一天时间它就已经有了种族主义言论。这是这个攻防对抗时代的升级,才更有了“乘风破浪”的意思。

* FreeBuf官方报道,作者:欧阳洋葱,未经许可禁止转载

附:星梦游轮上的腐败生活与比赛花絮

DSC_5621.jpg

所有参赛选手和评委

DSC_5262.jpg

妹子都扛这么重的设备四处走

DSC_5496.jpg

安恒海特实验室,一个团队的动作都很统一

DSC_5461.jpg

盘古联合创始人徐昊不知在和韩国选手cixer聊些什么

DSC_5277.jpg

百度实验室的谢海阔首次演示没成功,正在后台准备再上场

2098091872.jpg

战斗民族穿拖鞋上台

DSC_5233.jpg

三位评委很焦急?

DSC_5293.jpg

战斗民族在板子后面默默配置交换机

DSC_5405.jpg

美丽的女主持

DSC_4880.jpg

要登船了!这是在启德码头,这个码头本身就有足够的历史逼格

30980981.jpg

船来了

DSC_5021.jpg

晚上的顶层甲板是这样的,我站在19层,下面是大型泳池

DSC_4963.jpg

离开启德游轮码头的时候,是这样的

DSC_5017.jpg

这才叫“乘风破浪”啊

DSC_4976.jpg

顶层有个小型高尔夫球场…

DSC_5080.jpg

你相信这是在船上的小街市吗?

DSC_5140.jpg

船上的抓娃娃机是这么玩的,看看里面抓的都是多少钱…

2980981.jpg

乐队是这样演唱的

DSC_5049.jpg

也有这样的,他们后面就是个赌场,赌场不让拍

DSC_5383.jpg

正在进行的拍卖会

DSC_4998.jpg

这台电话机后面就是两个篮球场

DSC_5388.jpg

DSC_5152.jpg

这些评论亮了

  • CPU 回复
    一炮下去,全球信息安全倒退五年 :mrgreen:
    )9( 亮了
  • 李彦宏 回复
    @ CPU 你太高看他们了
    )7( 亮了
发表评论

已有 5 条评论

取消
Loading...
css.php