赛事背景
智慧型设备已经融入每个人的生活,成为人类身体器官的延伸,而万物互联的智慧型生活带来无限便捷的,也随时暗藏着各类不同的安全隐患;在享受智慧型生活的绝不能忽视潜在的安全威胁。
GeekPwn(极棒)把目光聚焦在智慧型生活安全领域,旨在通过活动吸引一流的极客发现智慧型软硬体存在的安全问题,推动设备厂商及时修复存在的问题,从而进一步增强产品的安全性,为普通消费者使用安全提供保障。
,人工智慧等前沿领域也逐渐被人们所熟知,目前被尝试性地运用于聊天机器人、无人驾驶、精準医疗、人机对弈等多个领域,而人工智慧还处于初级发展阶段,安全问题依旧不容小觑。
GeekPwn(极棒)始终保持敏锐的科技洞察力,首个探索人工智慧与安全跨界领域,关注到机器学习、视觉识别等人工智慧最炙手可热的技术安全的研究
GeekPwn(极棒)始终为拥有不可思议能量的极客提供广阔的平台,让他们充分展示对新科技、新技术、新设备的奇思妙想。,GeekPwn作为国际安全人才交流及展现的舞台,为科技企业与高素质的安全人才搭建一个桥樑。
主办团队
碁震(KEEN)是一支由中国“白帽”安全专家组成的信息安全研究团队,实现 3 年 5 个冠军的战绩,成为 Pwn2Own 历史上获胜次数最多的亚洲团队。碁震(KEEN)
碁震(KEEN)是世界範围内由厂商官方确认发现计算机漏洞数量最多的安全团队之一。致力于包括基础系统与协定、移动支付、物联网以及人工智慧安全等新兴和未来技术套用领域的安全研究,并依託GeekPwn大赛等平台,帮助智慧型生态产品提升安全性。
赛事发展
2014年10月24日,全球首届黑客大赛GeekPwn在北京举办,在现场号称具有“全球第一款基于安全的“360路由器系统”的安全路由器,在比赛一分钟内即被黑客攻破,在GeekPwn赛场上还实现了全球攻破特斯拉,可远程操控特斯拉汽车移动。
2015年10月24日,第二届GeekPwn在上海举办,包括无人机、POS机、智慧型路由器、手机等近40款智慧型软硬体产品被攻破。次日,首届极棒安全峰会举行, Pwn2Own黑客大赛组织者及谷歌、微软、高通、腾讯等公司的安全专家分享了最前沿的黑客技术乾货,共话攻防对抗。
2016年,GeekPwn打造一年两站的形式,形成5月12日年中赛澳门站及10月24日上海主赛场+美国硅谷分会场的组合,为全球安全极客提供更加国际化的竞技与交流。在GeekPwn2016澳门站上,惊现了包括“远程任意TCP劫持连线技术”;攻破智慧型保险箱,甚至将其变成闹钟秒破微软Surface Pro 4
而GeekPwn2016嘉年华上海站上,首创了“机器特工挑战赛”、“人工智慧PWN”、“跨次元CTF”等颠覆性项目。,传奇黑客Geohot带着全新自动驾驶系统Comma One2亮相GeekPwn2016嘉年华,以无人驾驶领域的“破局者”身份分享了他的人工智慧梦。
而在硅谷同步举行的GeekPwn2016则吸引了包括OpenAI顶级人工智慧科学家Ian Goodfellow和谷歌大脑研究员Alexey Kurakin等在内的AI安全领域的顶级专家,分享了包括“对抗性图像”可以轻易骗过机器视觉在内的前瞻AI安全观点。
2017年5月13日,GeekPwn于香港邮轮举办年中赛,成为全球首个海上黑客赛事。90后女黑客tyy攻破四款共享脚踏车、智慧型手表演示“危险通话”、新型移动攻击模型等破解展示。
2017年10月24日,GeekPwn2017国际安全极客大赛在上海举办,全球首创“人工智慧安全挑战赛”及“AI仿声验声攻防赛”,上演了人工智慧与全球顶尖黑客的巅峰对决。3D印表机模仿人类笔迹、合成语音“欺骗”声纹识别系统、突破人脸识别门禁等看似不可思议的破解项目,都通过黑客的挑战,成为了现实。
2017年11月13日,GeekPwn2018国际安全极客大赛启动仪式在美国硅谷举办。来自国内外的顶尖黑客和专家学者在本次启动仪式上展示了众多首发性、独创性的尖端技术精心设计的AI算法可轻鬆破解Google验证码套用——reCAPTCHA;远程TCP劫持技术让网银密码“不翼而飞”;AI安全领域最炙手可热的研究成果发布。
美国当地时间8月10日,GeekPwn(极棒)2018在美国拉斯维加斯举办。全球首创CAAD CTF,六大顶级 AI 安全研究团队上演对抗样本攻防战;CAAD Village聚焦AI安全领域,十大AI安全议题首发;破次元壁机器特工,真实场景入侵;“黑客与禅”Geek Pwn-ty,致敬黑客文化。
GeekPwn 2018以“人‘攻’智慧型,洞见未来”为主题,设定不同挑战场景的命题专项赛,不设限制的非命题开放赛和PWN4FUN趣味挑战赛。现场有GeekPwn首创的CAAD 可视化对抗现场展示、AI“生成式对抗网路”(GAN)技术趣味挑战赛、利用AI对脱敏大数据进行追蹤还原等赛事,为AI安全带来全新启示。
赛事评价
GeekPwn自2014年创办至今,先后涌现出上百位顶尖选手,累积已为行业贡献了上百个漏洞,提前制止了诸多潜藏隐患的巨大威胁。GeekPwn为国际顶尖安全人才搭建起对话的桥樑,吸引了包括传奇黑客Geohot、“GANs之父”Ian GoodFellow在内的全球近百位顶尖黑客参加。
GeekPwn倡导脑洞大开的创新思维,并全球首创了包括“人工智慧安全挑战赛”、“AI仿声验声攻防赛”、“跨次元CTF”等项目,上演了众多极具颠覆性的破解展示。GeekPwn鼓励安全极客的创新尝试,希望以安全极客的思维提前预演现实中可能存在的安全风险。GeekPwn呼吁更多的极客和厂商,共同关注安全问题,加入到GeekPwn的平台,共同维护未来安全。
历届回顾
GeekPwn2018国际安全极客大赛上海站
GeekPwn2018国际安全极客大赛上海站于2018年10月24-25日在上海举办。来自于自清华大学、中国科学技术大学、美国约翰·霍普金斯大学、Facebook、腾讯、阿里巴巴等国内外高校与企业的顶级选手们,在极棒现场预演智慧型设备及人工智慧领域潜在的安全问题,探索智慧型生活的安全之道,助力人们更安全地享受智慧型生活。
现场回顾
黑客对决AI 上演“黑客帝国”绝地反击
2018年Geekpwn首创CAAD 可视化对抗现场展示、AI“生成式对抗网路”(GAN)技术趣味挑战赛、CAAD专项挑战、利用AI对脱敏大数据进行追蹤还原等赛事,为AI安全带来全新启示。
攻防千千万万次 消灭危机于萌芽
腾讯安全玄武实验室在现场首度演示了影响触屏解锁型安卓设备的“残迹重用”漏洞——安全研究员通过一张普通的白色卡片对光的反射,利用萤幕上残存的指纹痕迹,让屏下指纹感测器认为手机的主人正在使用指纹验证。手机屏下指纹锁项目破解演示
据悉,该漏洞属于屏下指纹技术设计层面的问题,会几乎无差别地影响所有使用屏下指纹技术的设备。腾讯安全玄武实验室在2018年初就开始和国内几家主流手机厂商合作,不仅通过更新算法修复了已上市手机中的漏洞,还将相关解决方案提交给相关晶片厂商,推动了供应链层面的安全修复。
GeekPwn不只有专业的比赛,还有趣味的周边项目
本届GeekPwn既有腾讯安全、百度安全、京东安全、小米安全带来的烧脑游戏派对,还联合了摩拜、唯品会、盘古、看雪论坛、机械工业出版社共同发起的“黑客公益集市”,有趣、有爱两不误。现场丰富烧脑的互动游戏
GeekPwn2018上海站获奖名单
GeekPwn1024 2018年上海站获奖信息 |
比赛/挑战项目 | 奖项名称 | 获奖团队 |
对抗样本攻防赛CAAD CTF | 第一名 | IYSWIM |
第二名 | OWLET |
第三名 | TSAIL |
优胜奖 | RNG、USTC-ALIBABA、BLADE TEAM |
数据追蹤挑战赛 | 第一名 | EATWOLF |
第一名(并列) | 小安团队 |
第三名 | CAVEMASTER |
优胜奖 | JUSTDOIT、自由在高处、清华大学NISL |
机器特工挑战赛 | 第一名 | OP-USA |
第二名 | 阿凡达 |
第三名 | 玖_死_壹_生 |
GAN掉马赛克挑战赛 | 第一名 | 杜昂昂 |
黑客屋挑战赛 | | 雪豹团队 |
其它项目挑战 | 极棒名人堂 | f1yyy@长亭科技 |
T3JRC团队 |
伏宸安全实验室团队 |
优胜奖 | 小猪矿主团队 |
AMC团队 |
移动安全实验室团队 |
explorer_z@长亭科技 |
轩辕SRG@VARAS |
李泽@看雪智慧型硬体小组 |
Crixer&Jung(来自韩国) |
GeekPwn2018国际安全极客大赛美国站
GeekPwn2018国际安全极客大赛美国站于美国当地时间2018年8月10日在美国拉斯维加斯举办,来自清华大学、加州伯克利分校、康奈尔大学、耶鲁、京东等国内外的顶尖黑客和专家学者在本次大赛上展示了众多AI安全领域首发性、独创性的技术。
现场回顾
全球首创CAAD CTF赛制 六大世界级战队用AI攻防
首届CAAD CTF汇聚了来自Blade Team、京东、清华大学、康奈尔大学、耶鲁等科技企业、顶级高校组成的六大战队。值得一提的是,此次GeekPwn不仅邀请到在安全领域深耕多年的Blade Teamm以及由顶尖安全专家组成的NorthWest Security团队,还有由耶鲁、康奈尔等国际顶尖院校的毕业生或在校生组成的“小鲜肉”团队——YYZZ和UCNESL。除此之外,更有来自清华大学,获得过NIPS2017三项冠军、实力强劲的TSAIL团队以及来自京东安全团队的JD-Omega团队加盟。六支顶级 AI 安全研究团队根据比赛现场随机匹配的团队图像,生成“定向对抗样本”对其他战队的防御系统进行欺骗。经过数小时的鏖战,最终,清华大学TSAIL战队问鼎本届CAAD CTF大赛的冠军,NorthWestTSec团队获得第二名,YYZZ则获得第三名,UCNESL、Blade Teamm以及JD-Omega获得优胜奖。
CAAD Village黑客村 十大议题力破AI对抗样本之谜
除激烈的AI攻防大战外,GeekPwn2018拉斯维加斯站还为全球信息技术爱好者们带来了十场乾货满满的议题分享,GeekPwn CAAD Village作为DEF CON Village的新生力量,邀请了来自克莱姆森大学、加州大学、清华大学、NorthWestSec团队、Blade Team团队、JD-Omega团队、百度X实验室、UCNESL团队、YYZZ团队等十位AI和黑客届的研究者,分享各自关于人工智慧安全及对抗样本的最新研究,包括自动驾驶汽车、语音识别系统、防毒软体、神经网路等AI领域的最新研究成果曝光,引发AI创业者、从业者、学者的极大关注。
让脑洞“野蛮生长” GeekPwn带你体验最极致的黑客文化
除了聚焦人工智慧安全领域,机器特工挑战赛的重磅回归也成为GeekPwn2018的亮点之一。GeekPwn期望以机器特工挑战赛这样的比赛形式,让更多机器人领域的专家参与进来,共同关注通过物理和网路空间跨界的安全性问题。而作为机器特工挑战赛的揭幕秀,在本次GeekPwn2018拉斯维加斯站上,来自内华达大学DASL实验室的研究员也在现场展示了他们自製的机器人,外形其貌不扬的的机器人在选手的操控下,完成了插随身碟、黑掉电脑的任务,为现场观众带来一场脑洞盛宴。
GeekPwn2018国际安全极客大赛启动仪式
GeekPwn2018国际安全极客大赛于2017年11月13日在美国硅谷举办。
来自Google、微软、苹果、英伟达、广达、京东、特斯拉、蔚来、三星、Trustlook、惠普等国际顶尖科技企业代表亮相,与全球顶尖黑客共同探讨未来信息安全的发展之路。
现场回顾
20秒成功破解谷歌黑科技算法——reCAPTCHA安全系统
两位资深安全研究者李伟和沈里用“神经网路”打造了一个能够自动预测并识别验证码图像的“机器人”,仅用20秒就成功“欺骗”了reCAPTCHA安全系统,使其无法正确区分机器和人类的差别,简单来说,Google reCAPTCHA安全系统相当于网站的“防盗门”,而选手则是利用AI成功複製出无数把“钥匙”。
两分钟“盗取”网银密码!揭开TCP劫持的秘密
来自加州大学河滨分校的钱志云教授和他的学生陈伟腾在现场带来了关于TCP劫持的破解演示。他们是利用WiFi特性导致的侧信道来实现TCP旁路注入,由此可以在某银行网站非HTTPS加密的子页面中插入一个假的登录框,获取用户的账号密码。这种攻击能够实现对所有非HTTPS加密网站进行劫持攻击,强行篡改HTTP网站内容。
深度学习安全性的新思考 机器视觉上演戏剧性错误
加州大学伯克利分校博士后研究员Bo Li,分享了关于“对抗性样本“在物理世界中的影响。通过利用”对抗性样本“对交通标誌牌进行细微改动,就能诱导机器视觉做出错误的判断。未来,该项研究也将被套用在自动驾驶汽车的实际检测中。
来自谷歌大脑谷研发工程师、计算机视觉与图像处理博士Alex Kurakin和谷歌的机器学习研究员Ian Fischer展示了对抗性机器学习领域的最新研究成果。他们的分享或许能为如何利用对抗性样本指导人工智慧完成複杂任务提供一个全新的思路。
技术大咖解读智慧型生活安全隐患
Nick Stephen再现了在GeekPwn2016上海站曾攻破的手机最安全地区Trustzone的破解展示,分享了关于如何利用八个漏洞打穿手机最安全地区Trustzone的技术细节,揭开全球攻破手机指纹解锁背后的秘密。
,来自腾讯玄武实验室的安全研究员刘惠明也带来了曾在GeekPwn2017年中赛上所展示的令人震惊的移动无线攻击样本——Wombie Attack,并公开其技术原理。
开启GeekPwn2018年中赛全球招募
GeekPwn2018年中赛将于 5 月 12 日在硅谷举办,“PWN AI”、“AI PWN”、“无所不PWN”将构成GeekPwn2018年中赛三大比赛内容。,曾在GeekPwn2016嘉年华上演的“机器特工挑战赛”也将在GeekPwn2018年中赛上惊喜回归
GeekPwn2017上海站
GeekPwn2017国际安全极客大赛于2017年10月24日在上海举办。
GeekPwn2017国际安全极客大赛
今年GeekPwn2017将人工智慧挑战赛作为全年的重点项目,联合NEXT IDEA(腾讯创新大赛)发起“人工智慧安全挑战赛”,特别增设“AI仿声验声攻防赛”,全面探索人工智慧领域的安全威胁。
GeekPwn2017还邀请“激情解说”黄健翔作为本届比赛主持人。
项目设定
人工智慧安全挑战赛
根据功能区分,人工智慧安全挑战赛分为 PWN AI 与 AI PWN 两部分。PWN AI 是将 AI 作为挑战对象。AI PWN 是将 AI 作为工具实施PWN。
AI仿声验声攻防赛
参赛队伍从目标人物的声音中学习声纹特徵併合成语音音频,攻击若干语音验证系统,突破或欺骗目标系统本身的用户身份鉴别功能。
被攻击目标使用语音鉴别进行用户登录的软体系统、带语音鉴别功能的智慧型产品等。
Industrial CTF(工控攻防夺旗赛)
Industrial CTF(工控攻防夺旗赛)
GeekPwn今年与卡巴斯基联合推出Industrial CTF(工控攻防夺旗赛)决赛(简称为ICTF)。比赛中,选手需要向一个由变速离心泵、储罐(油箱)、热交换器和缓冲罐构成的铁罐卸料器发起“进攻”,尝试挑战“入侵炼油厂”。
智慧型生活PWN
该项目面向市场在售的所有智慧型设备、物联网(IoT)产品或产品中的安全模组。在合理的攻击条件下,对于範围内的产品或者模组,实现越权控制、越权访问数据或者突破原有安全机制。
现场回顾
黑客与AI的“安全较量”
来自中国金融认证中心(CFCA)的选手带着3D印表机来到GeekPwn2017比赛现场,挑战人类专业笔迹鉴定师。选手通过构建一个深度学习 “DeepWritting“,利用它就能让3D印表机拿笔在纸上自由书写,伪造真人笔迹,颠覆立字为据。
“AI仿声验声攻防赛”上,“Maxmon”、SmartParrot、“有点意思”、“神牛gogo”及“清晨李唐王”等五组选手,根据当下最火热游戏《王者荣耀》里的英雄人物——妲己等英雄配音者所提供的声音样本,模拟了其声纹特徵,合成一段“攻击”语音,对现场提供的四个具有声纹识别功能的设备发起攻击,欺骗并通过“声纹锁”的验证。
最真实的网路安全攻防
GeekPwn今年与卡巴斯基联合推出Industrial CTF(工控攻防夺旗赛)决赛(简称为ICTF),将“基础设施安全模拟演练”的赛场带到了中国。经过近十个小时的激烈角逐,最终,CyKor(韩国)战队问鼎本届ICTF大赛的冠军,TokyoWesterns(日本)获得第二名,FlappyPig(中韩)则获得第三名。
深入挖掘智慧型生活潜藏威胁
深入挖掘智慧型生活的潜藏威胁也是GeekPwn2017的精彩项目,智慧型手机、智慧型摄像头都是舞台上的热门“破解单品”。“入侵”一部装有最新iOS系统的iPhone8手机、通过网路智慧型摄像头漏洞查看摄像头信息、“欺骗”人脸识别门禁系统、複製目标人物的生物识别特徵、利用汽车盒子远程控制汽车急停等脑洞大开的破解项目令现场观众目不暇接。
评审及顾问团队
KEEN CEO、GeekPwn发起及创办人王琦;
腾讯安全玄武实验室负责人于旸;
百度首席安全科学家、百度安全实验室负责人韦韬博士;
腾讯湛泸实验室总监袁仁广;
清华大学网路科学与网路空间研究院NISL实验室副研究员诸葛建伟博士;
盘古联合创始人、犇众信息CTO徐昊;
美国知名安全公司派拓网路公司安全专家屈波博士;
滴滴出行安全专家、前美国 FireEye资深研究员王宇;
乐视云计算安全中心总经理、IDF极安客实验室、益云社会创新中心联合创始人万涛;
清华大学语音和语言技术中心主任、北京得意音通技术有限责任公司董事长郑方博士;
清华大学优秀博士学位论文奖获得者、北京一流科技有限公司创始人袁进辉博士。
GeekPwn2017上海站获奖名单
奖项 | 选手 | 项目 |
最酷展示奖&优胜奖 | 安恆海特实验室 | 利用汽车盒子远程控制汽车急停 |
优胜奖 | 中国金融认证中心(CFCA) | 3D印表机模仿人类手写字迹 |
TYY | “欺骗”人脸识别门禁系统 |
NUDT长沙银河泛联网路安全实验室 | 通过网路远程攻击NAS(网路附属存储) |
秦皓 | 利用JCG路由器漏洞,远程控制电视插播视频 |
MD5_SALT | 利用APP服务端漏洞,实现0元看电影 |
看雪智慧型硬体小组 | 智慧型摄像头 |
AI仿声验声攻防赛 | 第一名 | 清晨李唐王 | |
第二名 | 神牛GOGO |
第三名 | SMARTPARROT |
优胜奖 | 有点意思
MAXMON |
Industrial CTF(工控攻防夺旗赛) | 第一名 | CyKor(韩国) | |
第二名 | TokyoWesterns(日本) |
第三名 | FlappyPig(中韩) |
GeekPwn2017香港年中赛
KEEN公司CEO、极棒大赛发起和创办人王琦
GeekPwn2017香港站于2017年5月13日举办。此次比赛,GeekPwn秉承挑战、突破、创新的极客精神,打破地点的界限,登上首个亚洲本土豪华邮轮品牌——星梦邮轮旗下的“云顶梦号”,成为全球海上安全极客赛事。
项目设定
本次比赛覆盖智慧型出行,智慧型家居、智慧型手机、智慧型手錶等几乎智慧型生活的所有领域。
面向市场在售的所有智慧型设备、物联网(IoT)产品,或产品中的安全模组。在合理的攻击条件下,对于範围内的产品或者模组,实现越权控制、越权访问数据或者突破原有安全机制。
对于已发布的AI服务或产品完成误导、欺骗,使它们做出违反常规或者错误的判断、决策。
现场回顾
女黑客tyy利用共享脚踏车漏洞,成功获取了评审老师的共享脚踏车账号、余额、骑行记录等隐私信息,通过场外连线用评审的共享脚踏车账号开锁、骑行消费,实现了“花别人的钱,骑自己的车”。
安恆海特实验室的rainman将其攻击目标锁定在另一款智慧型出行设备——小米9号平衡车。他利用组合漏洞,通过电脑蓝牙连线平衡车, 在电脑上运行脚本,就可绕过密码,通过程式脚本完全远程控制平衡车,让其无法移动和关机。
“手机殭尸”隔空窃密
腾讯玄武实验室的“X兴趣小组”在2017极棒黑客大赛年中赛上通过“手机殭尸”项目展示了一种新的移动安全威胁模型——Wombie Attack,此攻击模型不但可以实现传染式攻击,而且攻击过程不依赖网际网路,所以甚至无法从网路层面检测攻击。
此次GeekPwn2017年中赛还有远程秒破智慧型门锁、与儿童智慧型手錶亲密对话、禁用手机锁屏密码与指纹、让智慧型门铃响起“怪声”等覆盖智慧型出行、智慧型家居等多个领域的破解演示。
GeekPwn2017香港站获奖名单
奖项 | 选手 | 项目 |
最佳技术奖 | George Nosenko | 攻破思科交换机的最高许可权 |
最佳脑洞奖 | 腾讯玄武实验室X兴趣小组 | 新型移动安全威胁模型——Wombie Attack |
最佳表现奖 | tyy | 攻破四款共享脚踏车 |
优胜奖 | 中国海洋大学信息安全实验室 | 远程获得路由器最高许可权 |
百度安全实验室 | 攻破果加智慧型门锁 |
看雪智慧型硬体小组 | 远程控制一系列家居设备 |
crixer | 利用漏洞,将路由器变成攻击肉鸡 |
小灰灰 | 攻破小天才儿童智慧型手錶 |
安恆海特安全实验室 | 通过恶意二维码直接获取摄像头root许可权 |
| | 远程控制小米9号平衡车 |
清华大学网路与信息安全实验室 | 利用漏洞,将路由器变成攻击肉鸡 |
Cofe-team | OPPO R9手机 |
GeekPwn 2016上海+美国硅谷站
2016年6月20日,GeekPwn2016上海+美国硅谷站正式启动全球选手招募。
2016年10月24日,GeekPwn2016嘉年华在上海主赛场+美国硅谷分赛场同步连线。
项目设定
2016年GeekPwn大胆革新,除传统智慧型生活Pwn的项目外,还引入了人工智慧Pwn比赛项目,并创造性地首推机器人特工挑战赛、极棒跨次元CTF,共同构成了今年的四大项目,并设立了500万元的奖金池。
1.人工智慧PWN
选手需要实现对已发布的AI服务或产品完成误导、欺骗,使它们做出违反常规或者错误的判断、决策。
2.机器人特工挑战赛
参赛者需要设计并製作一个拥有机械手臂、可自主移动、能入侵系统的机器人,完成的任务至少包括机器人被装在快递包装箱里并能从内部自行打开包装箱,或者以其它任何合理的方式进入赛场中模拟的办公环境,在远程控制下找到在地面上的台式机,将一个USB设备插到台式机面板上的USB口,然后按下电源开关。
3.极棒跨次元CTF
每支参赛队会分配到一个无人机作战系统,参赛队伍不但要进行传统CTF比赛的网路攻防,争夺无人机作战系统的控制权,还要控制无人机发起对其他队伍作战基地的物理攻击。
4.智慧型生活PWN
除了延续极棒关注智慧型生活的传统外,IoT设备,VR、AR等新颖的输入输出模组也将成为比赛项目;在攻击条件上,不再要求全新未改动的设备,而可以基于任何合理的有现实意义的改动前提下实现越权控制或越权访问数据。
重点话题
2016年GeekPwn将“人工智慧”作为重点话题
奖项设定
在原有一二三等奖基础上增设最大脑洞奖、最霸技术奖、最酷展示奖、极客精神奖等奖项。
还设定了“三年最佳团队”、“三年最佳选手” 等一系列特别奖项。
单项奖最高80万,奖金池高达500万。
现场回顾
GeekPwn2016嘉年华吸引了包括传奇黑客Geohot、Open AI 权威科学家 Ian Goodfellow在内的58名分别来自中、美、俄、新加坡等国际顶级黑客参加,成功搭建起中国最大规模、最高规格的国际白帽黑客切磋交流平台。
国际顶级黑客引领人工智慧与专业安全新方向
Comma.ai 创始人兼CEO,传奇黑客Geohot在现场展示了其售价仅999美元并可套用于所有车型的自动驾驶系统,并且表示“我相信自动驾驶汽车将会成为非常重要的AI套用领域”。Geohot并获得极棒斗士奖。
而OpenAI顶级人工智慧科学家Ian Goodfellow和谷歌大脑研究员Alexey Kurakin也出现在了GeekPwn2016嘉年华美国硅谷站,并分享了他们的发现——“对抗性图像”可以轻易骗过机器视觉。“
黑客技术登峰造极 全新破解思维颠覆传统安全
研究安全防御工作的白泽安全团队通过网路触发漏洞,进而远程入侵併控制了Aldebaran NAO机器人,看机器人所见,听机器人所听,成功实现对其远程监视和窃听。试想一下,使用机器人的用户信息将会变成透明将是一件可怕的事情。
来自美国的Amat Cama找到了Source游戏引擎可以任意代码执行的漏洞,在不接触对方设备,不知道对方账号信息的情况下,侵入了正在游戏的电脑,还通过电脑摄像头监控了美女主播的实时视频。而据悉,此漏洞将会对千万游戏玩家产生影响。
而同样来自美国的Shellphish团队,突破了最新版本手机的最坚实防线——“指纹识别搭配TrustZone”,而这不仅能获得安全区中的敏感数据,还能直接进入支付等高许可权场景。该团队捧得今年的最高奖35万奖金,而团队中的 Nick Stephens也获得了极棒技术奖。
凤凰解码安全团队通过触发漏洞,获取APP控制端发出的认证信息,通过该认证信息远程控制并攻击Edimax智慧型插座。,可以利用协定漏洞篡改固件,控制其传送了一条微博。而该团队研究网路安全与隐私保护。
跨界碰撞带来火花 前所未见的跨维对抗抓人眼球
今年,GeekPwn创新性地增设机器人特工挑战和跨次元CTF。
与其他CTF比赛迥然不同,GeekPwn的跨次元CTF的四支参赛团队以代码对抗,争夺无人机控制权,并展开一场突破数字世界与物理世界的较量,最终FlappyPig战队技高一筹,夺得冠军,获得6万奖金。
而在机器特工挑战赛中,选手自製的机器人“特工”潜入进主办方设定的“办公场景”, 并通过高难度的物理接触插随身碟的方式获取电脑数据。最终来自薛恩鹏的机器人成功完成任务,获得4万奖金。
周边亮点
Geek基因充斥在GeekPwn2016嘉年华的每一个角落,除了可以在现场观看超高水平的黑科技破解秀与国际黑客大咖的顶级演讲外,在互动区也可以感受到浓烈的极客范儿。
在互动区,设定了探索者、挑战者、伪装者、操控者、及破解者五大游戏种类,参与者可凭藉电子胸卡参与其中,根据挑战的成功率和难度分别点亮胸卡的灯,最终将胸卡灯全部点亮的为全场最牛的参与者。
除此之外,在互动区还设定了机器人ShowTime区,参与者可观看到种类多样的机器人。
评审及顾问团队
GeekPwn活动发起和创办人,碁震KEEN创始人兼CEO王琦;
腾讯玄武安全实验室负责人”TK教主”于旸;
中国鹰派联盟创始人“黑客老鹰”万涛;
知名iOS越狱团队盘古主力研究院徐昊;
清华蓝莲花战队领队诸葛建伟;
原360安全团队负责人“yuange”袁仁广;
阿里巴巴集团安全部技术副总裁杜跃进;
知名网路安全公司王宇;
百度安全实验室负责任韦韬(美国场主评审);
英特尔实验室安全研究院和架构师李晓宁(美国场评审)
合作伙伴
腾讯安全、百度安全、京东智慧型、小米、华为
GeekPwn2016嘉年华获奖名单
奖项 | 选手 | 比赛项目/演讲 |
三年特别奖项 | 极棒安全团队奖 | TSRC | / |
极棒贡献奖 | 长亭科技 | / |
第一名 | FlappyPig战队 | 跨次元CTF |
薛恩鹏 | 机器特工挑战赛 |
优胜奖 | Clarence Chio | 对抗式机器学习实践 |
Chris Salls
Jake Corina
(Shellphish团队) | Root Sony Xperia XA |
Phenix Coder | 智慧型插座PWN |
Denis Makrushin
Vladimir Dashchenko | “智慧型城市”为何变得如此愚蠢? |
付山阳(白泽安全团队) | 远程入侵Aldebaran NAO机器人 |
长亭科技 | 越狱PS4 |
Root华为畅享5手机 |
Amat Cama
(Shellphish团队) | 游戏引擎挑战 |
极棒精神奖 | Stephen Chavez | 攻击移动医疗器械——电子轮椅 |
极棒脑洞奖 | Allan Cecil | 机器是如何快速通关游戏 |
极棒技术奖 | Nick Stephens
(Shellphish团队) | Pwn掉华为P9 Lite的TrustZone |
极棒斗士奖 | Geohot | 自动驾驶系统 |
GeekPwn2016澳门站
GeekPwn 2016年中赛于5月12日在澳门金沙城喜来登大酒店举办。
项目设定
包括智慧型手机、智慧型交通、智慧型穿戴、智慧型家居、智慧型娱乐、“网际网路+”APP六大领域。
比赛规则
延续GeekPwn关注智慧型生活的传统,在奖金的评定上与2015年10月24日的GeekPwn嘉年华上海站保持统一的标準。为了更贴近智慧型生活的真实使用环境,GeekPwn2016的项目评审将在过去重视技术难度的基础上,增加影响力,攻击动机,演示效果三个维度。
奖项设定
在原有一二三等奖基础上增设最大脑洞奖、最霸技术奖、最酷展示奖、极客精神奖四个特别奖项。
单项最高奖金80万。
现场回顾
高中生小鲜肉钟情破解技术
本次比赛年龄最小的选手是两名16岁的高中生,他们演示了如何用手机劫持无人机,使得无人机不受遥控器控制而起降,以及不听指挥自动返航。虽然最终评审从严格漏洞判断标準角度判定该项目不属于无人机的安全漏洞,但两名少年因对破解技术的热情而获得了本届比赛的“极客精神鼓励奖”。
女黑客随意远程操控智慧型遥控器
全场唯一的女黑客将攻破目标锁定在智慧型家居,她攻破了巢控智慧型遥控器,凡是可以通过红外遥控器控制的家电都可以被劫持。试想一下,如果遥控启动电热毯或者电热浴霸甚至可能引发火灾。
黑客叔叔玩坏保险箱
“誓要玩坏各种智慧型与不智慧型的保险箱”的“黑客叔叔”将各种保险箱玩弄于股掌之间,不仅劫持了“SAFEOK防黑客保险箱”的密码,还能将其改造成“闹钟”——特定时间不起床,就可能钱财不保。这个项目因其脑洞大开的改造精神被评为“最酷展示奖”。
顶级黑客大赛难度级别的项目现身 获最霸技术奖
曾经在另一个世界黑客大赛Pwn2Own夺冠的团队也现身GeekPwn大赛,他们获得了“最霸技术奖”。最新微软产品Surface Pro 4成为他们的炫技道具,展示了真实世界中高级持续性威胁攻击APT技术通过利用Windows和Adobe Reader的漏洞,来自腾讯电脑管家网路攻防小组的选手可以完全控制SurfacePro——“黑客”给受害者传送了一个恶意的PDF档案,当受害者打开这个PDF档案,Surface摄像头在现场拍摄的影像即被上传到“黑客”的电脑。
加州博士生重现历史头号黑客攻击手段 可远程任意劫持通讯
现场最令人咋舌的,是来自美国加州大学的博士生曹跃利用可被称为“网路基础设施”的TCP/IP协定栈实现漏洞进行远程劫持的演示。在90年代网际网路发展早期,凯文·米特尼克利用当时还不完善的TCP协定实施了“任意网际网路会话劫持技术”并一举成名,如今,曹跃所在的团队针对现代已经不断完善的TCP协定,从中挖掘出如此重量级的漏洞,无疑对世界的信息安全研究都有着重大的参考意义。
曹跃在GeekPwn比赛现场展示了他的“魔术”攻击者获知世界任意一地方受害者的IP位址后,即可能远程劫持其通讯。在展示中,受害者电脑显示屏上正在浏览的新闻网页突然跳出了一个虚假的登录页面,按提示输入账号及密码之后,相同的内容便出现在了选手曹跃的电脑上。与新闻中常见网路犯罪手段(如木马、钓鱼、欺诈)不同的是,受害者无需犯任何错——就会沦为攻击者的羔羊。
有40多亿种可能的序列号以及6万多种可能的连线埠号,两者相组合形成的不可预测性是TCP/IP协定的安全基石。曹跃成功地实现了一种能够在短时间内就探测到TCP连线的连线埠号及序列号的技术,这意味着网际网路上几乎所有的安卓和Linux系统,都可以在任意时间、任意位置被攻击,被劫持通讯。
数万家庭Wi-Fi可被随时随地侵入
来自山石网科安全团队的两位选手率先攻下TP-Link路由器。在一个模拟安装路由器的家庭中,演示了如何未经主人许可获取路由器的敏感配置信息,并通过路由器的一个未公开的漏洞的得到该路由器的最高许可权,之后可以在路由器主人不知情的情况下将路由器变成黑客的肉鸡,篡改路由器的DNS解析方式,将支付类的网站重定向到自己的钓鱼网站,劫持受害者的资金。
随后本次比赛的大奖选手长亭科技带来了市面上10款路由器破解项目,包括思科路由器、360路由器、TP-Link路由器、网件路由器、华硕路由器等10款路由器逐一被破解。根据现场演示,安卓手机在连线了有漏洞的路由器后,在使用正规软体市场下载套用时,正规的软体便会被替换为植入了木马的恶意程式,使得攻击者可以收发查看受害者简讯、控制手机的电话功能、调用手机摄像头等。除此之外,长亭科技还发现了存在漏洞的华硕路由器服务被暴露在网际网路上,攻击者可以在全世界任意位置对其发起远程攻击,受影响的路由器达数万台。
周边亮点
一向会玩的GeekPwn将2016澳门站比赛打造成了一场澳门风云。
比赛现场布置充满了澳门赌场元素巨大灯牌,筹码,骰子,甚至还把赌桌搬到了比赛现场。
现场设定了两张赌桌,还配备了荷官为大家服务。参与者可以在每一个破解项目开始之前下注押宝比赛时间。不间的赔率不同,时间越短赔率越高。在当天比赛结束后,根据参与者手中筹码的数量评出一至五等奖,奖品从周边产品、1024上海站尊贵席位到真金白银的澳门赌场1000港币的筹码应有尽有。
除了竞猜破解时间来获得更多筹码,现场还设定了猜车牌互动游戏和黑客潜质测试让观众们也可以一展身手。
评审及顾问团队
GeekPwn活动发起和创办人,碁震KEEN创始人兼CEO王琦、
腾讯玄武安全实验室负责人”TK教主”于旸、
中国鹰派联盟创始人“黑客老鹰”万涛、
知名iOS越狱团队盘古主力研究院徐昊、
清华蓝莲花战队领队诸葛建伟、
原360安全团队负责人“yuange”袁仁广
合作伙伴
京东智慧型、小米、华为
获奖名单
GeekPwn2016澳门站获奖名单 |
奖项 | 选手 | 比赛项目 |
一等奖 | 长亭科技 | 智慧型路由器(思科、小米、华为荣耀、360、TP-Link、极路由、网件、D-Link、阿里、华硕) |
二等奖 | 腾讯电脑管家网路攻防小组 | 微软 Surface Pro 4 |
三等奖 | 曹跃 | TCP远程劫持 |
优胜奖 | 黑客叔叔p0tt1 | SAFEOK防黑客保险箱 |
优胜奖 | syjzwjj@Hillstone-NEURON
akast@Hillstone-NEURON | Tp-link TL-WDR5510 AC900触屏路由器 |
优胜奖 | 贾云 | 巢控智慧型遥控器 |
最大脑洞奖 | 曹跃 | TCP远程劫持 |
最酷展示奖 | 黑客叔叔p0tt1 | SAFEOK防黑客保险箱 |
最霸技术奖 | 腾讯电脑管家网路攻防小组 | 微软 Surface Pro 4 |
极客精神奖 | 王丙坤、刘杰炜 | 无人机劫持 |
GeekPwn 2015
第二届GeekPwn嘉年华于2015年10月24日在上海举办。
2015年6月25日,GeekPwn 2015在上海启动。
2015年7月27日,GeekPwn 2015官网正式上线启动报名。
项目设定
GeekPwn 2015嘉年华项目覆盖手机、无人机、智慧型穿戴、智慧型家居、 “网际网路+”APP、SSL/TLS协定、指纹专场等八大领域。
手机主要针对手机及一些常见智慧型终端设备的未知漏洞进行利用和攻击,最终实现对设备的完全控制。
汽车\无人机目标範围包括智慧型汽车、车联网、无人机等智慧型设备和系统。
智慧型穿戴目标範围包括智慧型眼镜、智慧型手环、智慧型手錶等智慧型可穿戴类设备和系统。
智慧型家居目标範围包括家庭监控、安防类,如智慧型门铃、摄像头、智慧型门磁等;环境感测类,如空气净化、环境监测等;家庭控制类,如智慧型插座、插板、路由等。
智慧型娱乐目标範围包括游戏机等智慧型娱乐类设备和系统。
“网际网路+”此类项目包含“网际网路+”智慧社区服务,如O2O社区服务平台APP+O2O社区服务套用APP;“网际网路+”智慧交通出行服务,如智慧出行服务套用APP;“网际网路+”移动支付服务,如移动支付APP;社交及普通手机APP类,如社交类移动套用、工具类移动套用等。
SSL/TLS专场针对SSL/TLS协定的新密码学安全问题、流行SSL/TLS Library的系统安全漏洞、流行浏览器中SSL/TLS相关的新安全漏洞、流行App/智慧型设备中的SSL/TLS漏洞等进行展示攻击。
指纹专场比赛设备包括但不限于使用指纹的手机、智慧型平板、笔记本、打卡机,不得对设备进行物理改动。在比赛前已经公布的机型/获取方法不能参赛。
比赛规则
相比2014年增加了场景化的规则。场景化指参赛选手在规定的场景中完成相应的PWN。
奖项设定
本届极棒嘉年华总奖金额度达500万元人民币。单项最高奖金分配如下SSL协定专场比赛,奖金达80万元人民币;手机类PWN,最高奖金为80万元人民币。其他类项目奖金设定20—50万元人民币不等。
现场回顾
一架大疆无人机在GeekPwn评审“老鹰”的操作下起飞,按照评审的遥控指稳定飞行,评审将无人机遥控器放置在一边,不料,此时无人机旋翼开始缓缓转动并飞行起来。这是GeekPwn嘉年华选手在外场演示劫持无人机的画面。
主流手机成选手目标全线路由器、摄像头产品被攻破
活动过程中,华为、小米等主流手机品牌纷纷被选手攻破。选手通过在安卓手机上安装一个普通许可权的app,利用本地提权漏洞获取系统许可权后,该app会替换手机的开机画面。
多名白帽黑客演示了360、D-link、TP-link等十个品牌的路由器被攻破的场景,三组参赛选手分别选择了某电商网站十款销量最高的路由器,利用智慧型路由器的未知漏洞,完成获取ROOT许可权,演示本来要打开正常的GeekPwn官网,却连结到一个黑客山寨的被PWN掉的GeekPwn官网。
移动金融支付成重灾区
在当天的演示中,白帽黑客利用SSL网际网路底层协定的未知漏洞在用户不知不觉中查询余额和消费记录,个人隐私将被侵害,个人信息一览无遗。
在GeekPwn智慧型软硬体破解大赛现场,选手还轻鬆攻破了拉卡拉收款宝POS机,使卡内余额莫名消失。同样被攻破的还有盒子支付POS机。
O2O让黑客任性买买买
白帽黑客现场演示了如何利用嘟嘟美甲充值系统项目的漏洞,通过在自己手机上调用支付宝,在实际支付1分钱的情况下,完成任意价格的订单充值。
现场选手还进行了利用“阿姨帮”系统未知漏洞,进行任意充值的的演示,其实,除了“阿姨帮”很多O2O产品都在支付接口有着类似的漏洞。
智慧型家居安全隐患无处不在
智慧型家居类产品已逐渐步入寻常百姓家,GeekPwn选手现场演示证明,黑客可以让智慧型摄像头变成侵犯用户隐私的道具。选手现场演绎攻破智慧型烤箱,随意调节其温度、频率等。想像一下,电影中烤箱爆炸的情景或许真的可能在现实生活中上演并威胁生命安全。
手机厂商安全负责人现场接受漏洞披露
GeekPwn主办方KEEN公司CEO王琦表示,坚持科学中立的评判和负责任的漏洞披露是GeekPwn始终坚持的原则。据悉,在GeekPwn参赛项目确定后,组委会以邮件方式通知项目涉及的厂商,对厂商和用户负责。
10月24日挑战赛当天,华为、360、小米等厂商安全负责人参加现场活动,挑战赛结束后,组委会第一时间向现场的厂商提交了漏洞报告,以帮助厂商儘早修复产品漏洞,从而大大降低了潜在的安全风险,让智慧型生活更安全。
周边亮点
在GeekPwn嘉年华的活动现场,可以欣赏精彩的破解秀、学习高超的黑客技术外,可以利用戒指中的游戏点数参与极棒漫画机、极棒足球赛、极棒驾驶员、破解厕所等丰富有趣的周边游戏互动
除此之外,现场观众的胸卡为一个智慧型硬体——由安天设计的电子微萤幕。现场观众通过胸卡答题挑战,获胜者的ID可以闪亮在所有人胸卡上。每一位成功演示攻破项目的选手的名字会出现其中。
评审及顾问团队
评审
包括腾讯玄武安全实验室负责人”TK教主”于旸、MITBBS的创始人之一韦韬、知名iOS越狱团队盘古主力徐昊、KeenTeam首席安全研究员陈良、清华蓝莲花战队领队诸葛建伟、0x557成员屈波、知名安全专家王宇、中国鹰派联盟创始人“黑客老鹰”万涛、Pwn2Own新晋冠军KeenTeam高级研究员Peter等业内顶级安全专家组成豪华评审团。
顾问团
GeekPwn2015顾问团成员包括启明星辰首席战略官“大潘”潘柱延、阿里巴巴集团安全部技术副总裁杜跃进、中国科学院软体研究所研究员丁丽萍、KEEN首席科学家吴石、原360安全团队负责人“yuange”袁仁广。
合作伙伴
XCon、腾讯玄武实验室、阿里神盾局、IDF实验室、0x557、安天实验室、盘古安全团队、UCloud、上海市信息安全行业协会、启明星辰ADlab、卫士通、众人科技、实数科技、安恆信息、知道创宇、XCTF全国网路安全技术对抗联赛、TRUSTLOOK、复旦大学系统软体与安全实验室、百度云安全、赛客网路安全夏令营、看雪软体安全论坛、i春秋学院、易安线上、ISG、腾讯电脑管家、绿盟科技、乌云漏洞平台、腾讯安全应急回响中心、Freebuf、西普学院、威客众测平台。
获奖名单
GeekPwn2015嘉年华获奖名单 |
极棒一等奖 |
选手 | 比赛项目 |
清华大学网路与信息安全实验室
走马 、Godric 、tsingfu | HTTPS Side Channel项目 |
HTTPS BREACH 攻击增强项目 |
国内金融服务HTTPS项目 |
赵泽光@Team 509 | 智慧型路由大擂台
(TP-Link、D-Link 、小米、 360) |
长亭科技 | 智慧型路由大擂台(Newifi) |
智慧型摄像头系列项目
(联想、 沃士达、 小蚁、 易视眼 、乔安、 凯聪、 中兴) |
达派/威士POS机项目 |
极棒二等奖 |
选手 | 比赛项目 |
ABC | 最新安卓手机root项目 |
0ops | 智慧型路由大擂台(小米 、极路由) |
极棒优胜奖 |
选手 | 比赛项目 |
riusksk | 最新拉卡拉收款宝项目 |
DroidSec.cn安卓安全中文站 | 长帝智慧型电烤箱项目 |
复旦大学系统软体与安全实验室
张源博士 | 中国电信翼支付项目 |
Gmxp | 大疆PHANTOM 3无人机项目 |
zhuliang | 盒子支付POS机项目 |
闻观行、曹琛 | 微插座项目 |
cnbragon、crackerzwx | 海尔SmartCare智慧型家居套装项目 |
无心喃呢、
eaglezhang 、momohc | 海尔SmartCare智慧型家居套装项目 |
Rabbit | Parrot无人机项目 |
丁羽@3251team | Lenovo ThinkPad X240项目 |
奇酷手机指纹验证项目 |
0ops | 微票儿支付系统项目 |
阿姨帮充值系统项目 |
嘟嘟美甲充值系统项目 |
一号店通过银联/支付宝付款项目 |
谢君 | 最新Broadlink智慧型设备项目 |
GeekPwn 2014
奖项设定
2014年10月24日,首届GeekPwn(极棒)安全极客嘉年华官方网站正式上线,也宣告着将在10月24日拉开大幕的嘉年华进入倒计时阶段。智慧型设备不同领域,GeekPwn单项最高奖金分配如下智慧型交通50万元(智慧型汽车、车联网等智慧型交通类设备和系统),智慧型家居10万元(智慧型卫浴、智慧型空气监测、智慧型路由器等智慧型家居类设备和系统)、智慧型穿戴20万元(智慧型眼镜、智慧型手环、智慧型手錶、智慧型运动等智慧型可穿戴类设备和系统)、智慧型娱乐30万元(智慧型电视、机顶盒、游戏机等智慧型娱乐类设备和系统)和智慧型终端25万(智慧型手机、智慧型平板电脑等智慧型终端类设备和系统)。总奖金池还会随着更多厂商的加入不断增加,GeekPwn静候各路顶尖极客10月24日在正式活动中一显身手,赢高额奖励。
活动现场
2014年10月24日下午,GeekPwn智慧型硬体破解大赛现场,号称具有“全球第一款基于安全的路由器系统”360安全路由器,在比赛中一分钟即被黑客攻破,让人大跌眼镜。
独家纪录片
中国首部大型黑客纪录片——《我是黑客》
创办了21年的央视《新闻调查》在2017年推出了中国首部大型黑客纪录片《我是黑客》,节目组历经3个月的跟蹤拍摄,全景记录了全球首个关注智慧型生活的黑客大赛GeekPwn(极棒)年中赛的全过程,展现了一场惊心动魄的黑客赛事,并分别于7月29日、8月5日播出了该纪录片的上集及下集,了真实白帽黑客的生存状态。
GeekPwn登入2016年央视3·15
2016年,央视3·15晚会特别联合GeekPwn为亿万观众献上了一部现实版“黑客帝国”,旨在揭露智慧型领域普遍存在的安全问题,提高大众智慧型安全意识,为广大消费者提供安全防护建议。
在当时的直播现场,GeekPwn以往比赛中的智慧型设备攻破演示场景再现央视舞台,手机APP、路由器、无人机、智慧型家居、智慧型汽车等产品所存在的安全漏洞问题以及导致的严重后果被悉数曝光,引发了广泛关注。
GeekPwn相关
特训营
极棒特训营是由知名的国际智慧型安全社区GeekPwn(极棒)所创办。至今,已经成功举办两年。
2015年7月15日,第一期极棒特训营在南京开营。
2016年,极棒特训营重装上阵。全新的极棒特训营针对有安全需求的厂商,讲解从未曝光的极棒真实项目案例,形成了专属独门教材,这些最前沿、最鲜活、最真实的破解案例,不断帮助厂商提高安全防护能力。全新的极棒特训营旨在帮助厂商提升智慧型软硬体产品的安全质量,助力整个智慧型行业的安全能力向前发展。
极棒特训营2016
2016年,极棒特训营全新升级。此次极棒特训营为期两天,来自京东智慧型、华为、小米等厂商从事信息安全及软体开发的学员参与了此次“安全特训”。整个课程以安全开发生命周期为纲,在产品设计开发过程中採用已经被广泛验证的最先进的系统安全工程方法,有效减少产品中的安全问题、降低产品的控制成本。
极棒特训营2015
极棒特训营2015于2015年7月15日,在南京开营。
极棒特训营2015从全国4000名XCTF联赛选手中选出40名选手入营。部分学员则是为冲击全球最高水平的DEFCONCTF安全大赛接受充电特训。
特训营梦想导师
诸葛建伟GeekPwn2015评审、XCTF全国联赛共同发起人与执行组织者、蓝莲花战队领队
聂森KeenTeam高级研究员
陈良KeenTeam高级研究员、世界黑客大赛三个冠军获得者
龙海对网路防护墙和终端防护产品有深入研究,2010年加入腾讯电脑管家任安全研究员,负责电脑管家云引擎,动态行为系统,静态系统,学习系统的建设
蒋洪伟GeekPwn2014的获奖选手、360儿童卫士攻破者
课程信息
极棒特训课程包含漏洞挖掘利用特训和攻防对抗竞技特训两大部分,内容涵盖CTF式的对抗竞技实战特训,以及作业系统、主流软体、智慧型设备、硬体固件等全方位的漏洞挖掘利用特训。
漏洞挖掘利用特训
KeenTeam的高级研究员聂森特训课程《漏洞挖掘利用特训作业系统篇——Android》;
KeenTeam的高级研究员陈良特训课程《漏洞挖掘利用特训主流软体篇——浏览器》;
GeekPwn2014参赛选手、360儿童卫士攻破者蒋洪伟特训课程《漏洞挖掘利用特训智慧型设备篇——实例讲解》;
腾讯安全的龙海、郑文选特训课程《漏洞挖掘利用特训硬体固件篇——实例讲解》。
攻防对抗竞技特训
GeekPwn2015评审诸葛建伟特训课程《攻防对抗竞技特训成长之路》;
蓝莲花战队陈宇森、傅裕特训课程《攻防对抗竞技特训题解与复盘》。
安全峰会
Geekon 极棒安全峰会由KEEN举办,会议邀请到国内外顶级安全研究人员发表有关智慧型安全的前沿技术演讲。
演讲嘉宾及议题
Brian Gorenc惠普安全研究院的漏洞研究主管。他负责领导ZDI项目,Brian也负责组织享有盛誉的Pwn2Own黑客大赛。
Abdul-Aziz Hariri惠普安全研究院的一名研究员。他负责处理和分析数百个报告给ZDI项目的零日漏洞。他也负责模糊测试和攻击代码编写工作。
议题力挽狂澜 – 惠普ZDI项目和Pwn2Own比赛
Adobe Reader JavaScript API利用
Dmitry Vyukov为C/C++和Go语言设计动态测试工具,用于检测地址/记忆体和执行绪导致的问题。他也致力于将类似工具移植到Linux核心中。
议题Kernel Sanitizers: 下一代核心漏洞挖掘工具
葛仁伟过去的8年中他一直从事高通产品安全方面的工作。目前他作为产品安全总监,带领的团队涉足产品的开发周期、安全事件回响、攻击事件情报、硬体、平台和套用安全等各个环节。他拥有德拉瓦大学的信息安全博士学位。
议题守卫龙之国度
杨坤北京长亭科技有限公司首席安全研究员及联合创始人,蓝莲花战队队长,曾带领战队连续三次闯入DEFCON CTF总决赛。主要研究软体漏洞挖掘和利用技术。
议题掘金CTF/Mining Gold in CTFs
褚诚云微软云安全部门首席安全经理。于2001年加入微软。历任微软安全回响中心(Microsoft Security Response Center – MSRC) 防御和检测团队主管,在微软公司範围的软体安全应急回响流程中提供技术指导。现加入微软云安全部门最新成立的威胁情报中心(Microsoft Threat Intelligence Center – MSTIC),领导云端的安全分析检测团队。
议题微软安全策略 – 从防御到云端检测
玄武实验室腾讯在 2014 年新成立的部门。玄武是中国传统文化“四象”之一。构成玄武的龟和蛇象徵着安全技术的一体两面防御和攻击。实验室的定位是围绕安全攻防技术,展开面向实用的基础研究。
议题微软安全策略 – 从防御到云端检测
陈良KeenTeam高级研究员。主要从事高级漏洞利用技术的研究,包括主流浏览器Safari, Internet Explorer, Chrome的漏洞利用,沙盒对抗技术的研究,以及手机端Root技术的研究。曾在Mobile Pwn2Own 2013中突破iOS 7, Pwn2Own 2014中突破Mavericks获得冠军。
议题OS X 核心信息泄露的艺术
公开课
由KeenTeam主办的GeekPwn公开课面向全国安全高校学生与爱好者。KeenTeam表示,创办GeekPwn公开课的原因是希望能够给信息安全爱好者,提供一个学习交流的平台,通过互动交流,与大家一起分享国际先进的安全技术经验、思维,将GeekPwn打造成属于所有信息安全爱好者的专业社区。
GeekPwn公开课第一期于2015年3月29日在北京开课;第二期于2015年4月26日在上海举办;第三期于2015年6月25日随GeekPwn2015启动仪式在上海开讲;GeekPwn公开课第四期于2015年7月12日在南京开课,
GeekPwn公开课第二期于2015年4月26日在上海举办。KeenCOO吕一平、KeenTeam研究员陈良、腾讯电脑管家毛军、上海交大0ops战队副队长许文现场讲解,如何攻破70款主流智慧型手机、如何远程操控特斯拉等若干技术乾货并分享了Pwn2Own夺冠的心路历程。
GeekPwn公开课第三期,于2015年6月25日来到上海,浙大教授、南卡终身教授徐文渊、知名iOS越狱盘古团队王铁磊、KeenTeam高级研究员何淇丹、腾讯玄武实验室安全研究员王连赢、徐文渊教授团队、浙江大学博士闫琛共5位安全专家分享了通过黑客技术实现干扰心脏起搏器、如何通过智慧型电錶对你的生活进行监控、如何侵入汽车智慧型系统等独家攻防秘籍。
GeekPwn公开课第四期于2015年7月12日在南京开课,与全国网路安全技术对抗联赛XCTF总决赛无缝对接。来自智慧型安全社区GeekPwn2015的两位评审国际知名安全专家王宇和KeenTeam高级研究员陈良,腾讯无线安全研发中心的高级工程师彭庆棠,以及江苏省公安厅网路安全保卫总队神探童瀛等专家现场分享黑客偷梁换柱盗骗百万元、守护一亿台手机的安全等黑客技术乾货。
实验站
GeekPwn(极棒)安全极客嘉年华主办方相关负责人介绍,建立GeekPwn实验站的真正意义,还要回到举办GeekPwn嘉年华活动的初衷,“中国不缺好的技术人才,缺的是没有一个好的平台让他们来发挥才华,展现才能,于是诞生了GeekPwn这个可供极客人才聚集,交流和发展的公共平台。
该负责人表示,极客人才分布较多的城市都有了实验站,并且提供了市场面比较流行和新颖的智慧型设备,这些设备都可以让极客们实际接触和研究。“我们相信,实验站只是一个开始,后续我们还会继续完善其他方面的支持,供极客们实现梦想”。
最新资讯
GeekPwn2017上海站已于2017年10月24日在上海圆满落幕,上演了一场惊心动魄的黑客与人工智慧的精彩对决。同年11月13日,GeekPwn在美国硅谷举办2018年中赛启动仪式,并汇聚全球顶级人工智慧安全领域专家,继续解锁人工智慧安全领域的前瞻观点及技术分享。