今天,国际安全极客大赛GeekPwn2019在上海正式拉开帷幕。作为GeekPwn的“老朋友”,腾讯安全连续六年来到现场,与GeekPwn一起见证极客的奇思妙想。 今年的GeekPwn稍显不一样,在产业互联网的浪潮下,极客们的挑战开始了新的征程。正如腾讯副总裁丁珂在GeekPwn现场开幕致辞中表示,伴随着产业互联网的到来,极客们开始进入了攻防“下一战”,也将他们肩负的安全使命推向了更加重要的地位。安全的本质,是人和人的对抗,其实就是攻防。以GeekPwn为代表的安全大赛,就是最好的攻防技术操练场。在这里展示的攻防技术、积累下来的攻防经验、挖掘到的攻防人才,今后都将输出给产业互联网,共同推动产业互联网的安全建设。 那么在今年的GeekPwn现场,腾讯安全带来了哪些产业安全的前沿对决? 首创云上攻防赛事➤云鼎实验室携手GeekPwn发起首个基于真实通用云环境的云安全挑战赛 作为本届GeekPwn的特色赛事之一,腾讯安全云鼎实验室携手GeekPwn发起的云安全挑战赛,也是目前全世界首个基于真实通用云环境的云安全攻防竞赛。腾讯安全云鼎实验室通过采用最主流的云平台开源组件,结合实验室云攻防靶场黑科技,构建了一个真实的、可以完整工作的全栈云环境,完全复现主流云平台的架构、技术和系统软硬件环境,预演云上攻防。 云安全挑战赛的试题设置了4个难度级别、16道赛题,供参赛选手自由选择。 最终,来自上海交通大学的0ops战队率先突破9道赛题,累计得到2210分,获得本届云安全挑战赛一等奖,复旦白泽战队与r3kapig战队分获二、三等奖。所有参赛选手展示出来的攻防能力和思路都将反哺现实世界的一线云上攻防,更好地守护用户的云端安全。 指纹识别研究新突破➤玄武实验室公布自动化破解指纹识别设备技术 在发起安全赛事的同时,腾讯安全在本届GeekPwn上还带来了多项前沿领域攻防技术的研究成果。继去年披露“残迹重用漏洞”后,腾讯安全玄武实验室今年再次在GeekPwn的舞台上,带来了指纹识别领域的最新研究——自动化破解多种类型指纹识别,通过提取用户在日常生活中留存的指纹,自动化进行克隆复原,进而可以破解各种智能手机、保险箱、考勤机等使用了电容、光学和超声波三种类型的指纹验证设备。 这次自动化破解各类指纹设备看上去是指纹的“复制”与“粘贴”,但创下了许多记录:
应用了玄武实验室独家自研的指纹破解APP及指纹采集框;
能够实现在极小面积指纹残影情况下提取复刻有效指纹;
首次将雕刻技术应用在系统破解领域;
国际上第一次成功攻破超声波屏下指纹识别技术。
目前,腾讯安全玄武实验室同华为、小米等国内主流手机厂商达成合作,携手构筑移动互联网安全生态,守护用户的信息安全。
破解智能手机新姿势➤移动安全实验室多漏洞组合攻破主流智能手机 智能手机的安全威胁屡见不鲜,但大部分都是单个漏洞引发的安全威胁。但如果那些单个没有严重威胁的漏洞组合在一起会怎样? 今天下午,腾讯安全移动安全实验室登台挑战三个品牌手机的破解项目——利用最新系统手机中的漏洞进行攻击,实现在手机中自动安装、运行APP,获取手机的GPS位置信息等操作。 通过在被攻击的手机访问一个网站,该网址里的内容是利用手机漏洞构造好的一些链接,一旦被攻击的手机访问这些链接,就会触发相关的漏洞,当漏洞一个一个被触发并组合串联起来,最终会安装指定的应用程序,并将其调起。在现场验证中,腾讯安全移动安全实验室最多用了7个漏洞、最少用了4个漏洞,便攻破了3款当下主流的安卓手机。 随着物联网的发展和智能家居设备为广大的用户接受,各类设备、流量、账号系统、甚至移动端app,安全边界越来越模糊,生态体系包括第三方授权和集成的纬度也越来越多,导致在各个层面安全问题频繁出现。移动安全实验室和众多的设备厂商联合,在智能设备准入,身份认证,账号体系,以及行业解决方案上深度合作,给个人用户和企业用户提供领先的安全保障能力。 安全攻防体验➤腾讯安全展台搭建“黑入办公区”互动 为了进一步向在场观众传递安全攻防技术的魅力和成果,腾讯安全在GeekPwn设置了主题为“黑入办公区”的三个互动体验游戏,直指当下备受关注的身份验证安全问题,寓教于乐,呼吁用户提升安全意识。 不断重视并打磨安全攻防能力的过程中,腾讯安全已取得了显著的成果,不仅在Pwn2Own、DEF CON等世界顶级黑客大会上斩获多项冠军荣誉,让世界看到中国极客的力量;还曾发现特斯拉漏洞、应用克隆、残迹重用等重磅漏洞,协同相关厂商,助力构建安全生态。并以此为基础,面向政府、金融、泛互联网、大交通等产业互联网转型的重点行业领域,形成了完善的行业安全解决方案,助力政府机构及企业应对新时期的安全威胁与挑战。 产业互联网时代,安全的重要性已经被提到前所未有的高度,安全需求也将迎来爆发式增长。伴随着GeekPwn平台凝聚越来越多的极客力量,在产业层面对前沿攻防的研究、对安全威胁的预演,对安全技术的探索,都将在产业互联网时代厚积薄发,发挥更大的“护航”作用。 |