“补天杯”破解大赛火热进行 白帽黑客60秒内攻破多款物联网设备
发布时间:2020-04-24 | 发布者: 东东工作室 | 浏览次数: 次【天极网IT新闻频道】11月27日,湖湘杯网络安全技能大赛系列活动之“补天杯”破解大赛在湖南省长沙市火热进行。来自全国各地的企业、高校、民间的极客、白帽黑客、专家共同参与,以比赛竞技和现场表演秀的方式发现物联网智能设备存在的安全问题。多款智能路由器、智能摄像头、智能门锁、共享电动车等智能设备,均被挑战选手在60秒内完成破解。经过多轮近8个小时紧张刺激的挑战,参赛的10支团队全部获得破解成功奖,道格安全实验室、山石网科、IRT三支团队最终获得最具价值奖,并将瓜分18万元奖金池。
图1:参加补天杯大赛的团队及嘉宾
永恒之蓝凸显安全短板 破解大赛挖掘优秀白帽人才
未知攻、焉知防,从网络诞生的那一刻开始,攻与防的战争就从来没有停息。“现实世界中,钓鱼很有乐趣,但在网络世界里,就必须要‘反钓鱼’、保护安全。”本次大赛主持人湖南经视快乐垂钓频道刘雪沁直言,“白帽黑客身上肩负着正义感和责任感,他们是捍卫网络安全的力量。”
湖南省委网信办巡视员李球为大赛致辞。他表示,“2017年5月12日爆发的永恒之蓝勒索病毒,具有复杂的背景,该勒索病毒利用Windows高危漏洞,给高校、邮政、加油站、医院等机构造成严重影响。这次事件充分暴露出基础设施网络安全的薄弱性,以及目前网络安全人才的缺乏。湖南省委网信办作为本次大赛的主办单位之一,举办湖湘杯网络安全技能大赛和补天破解大赛等各种方向类型的网络安全大赛,以竞技的形式来发掘优秀的网络安全人才,助力省内网络安全的发展,提升安全能力。”
图2:湖南省委网信办巡视员李球为大赛致辞
“发现漏洞是一件极具天赋的事情,需要有非常强的逆向思维能力,这也造成过去白帽黑客文化在国内比较低迷。”奇安信集团助理总裁兼补天漏洞响应平台总经理白健表示,“随着网络安全成为国家战略,国内对安全人才培养的重视,各类安全比赛纷纷展开,为白帽子提供切磋技艺的同时也提供了高额的奖金。而今天举办的补天杯破解大赛,旨在号召各位白帽高手与智能硬件厂商、家电厂商、汽车厂商和安全厂商共同参与进来,借大赛共同探讨智能互联的安全防护技术,共同促进产业的健康发展!”
图3:奇安信集团助理总裁兼补天漏洞响应平台总经理白健讲话
白帽黑客向物联网设备发起挑战 智能设备分分钟被破解
27日上午比赛主要聚焦个人和家庭环境,破解的设备包括智能手机、家用路由器、智能摄像头、智能门锁等物联网设备,这些产品和我们每人的日常工作生活紧密相关。
在补天杯第一个比赛项目中,unic0rn团队先拔头筹,用一分多钟的时间,就破解了两款市面上热销的家用路由器,将其自动断网。如果用户正在玩游戏或者看视频、传文件,突然断网势必会带来很多不便。
图4:unic0rn团队破解两款主流家用路由器
此后,在智能摄像机的破解中,K&K团队和R3kapig团队分别使用了不到1分钟的时间,就轻松破解了智能摄像头,获取了监控界面。
图5:K&K和R3kapig团队破解智能摄像头
而来自道格安全研究实验室的Theseus选手同样出手不凡,不到2分钟就将某款智能门锁破解,对密码进行重置,轻松将门锁打开。这不禁给人们一个警示,负责安全的智能设备一定要保证自身的安全。
图6:道格安全研究员破解智能门锁
下午比赛的破解范围,扩大到智能汽车、工控设备、企业级路由器、共享电动车、智能贩卖机等领域。首先进行的是基于车联网环境、对智能汽车的破解,黑客轻松“替你控制”甚至驾驶汽车,这样的车你还敢开么?来自Vnet-X团队的表演项目,瞬间将下午的气氛点燃,更让观众感受到网络安全已经关乎到我们的交通安全、人身安全。
图7:Vnet-X团队表演队智能网联汽车的破解和控制
在智能制造日益深入的今天,工控安全不容忽视。IRT团队现场破解了工业环境中使用的PLC控制系统,且对其造成不可逆的损害。据选手介绍,如果放在实际生产环境中,PLC设备被攻击,可能会造成停产甚至爆炸等严重后果,损失难以估计。
图8:IRT团队现场破解工业领域的PLC设备
此后,山石网科团队表演了对企业级路由器的破解,该设备使用人数已达到几十万级。攻击者仅用2分多钟时间,攻破路由器进入内网,对电脑进行任意控制。
图9:山石网科团队破解企业级路由器
Syclover团队表演了对共享电动车的破解,仅用几十秒,就破解了需要扫码付费才能骑的电动车,速度简直超越了普通人的扫码支付。据说有人用这种方法,免费骑电动车达到1127天。
图10:Syclover团队表演破解共享电动车
最后一项比赛由盘古实验室完成,他们表演的项目是破解智能冰箱。通过设备的漏洞,可以任意打开智能冰箱门,一分钱不用花,拿完冰箱的零食。举办方特别强调,冰箱内所有商品均由举办方购买,此项目旨在提醒该类设备存在的安全漏洞,从而引起厂商的重视。
图11: 盘古团队表演用手机破解智能冰箱
生物黑客压轴表演 用身体和智能门禁、车锁、手机等设备交互
作为本次大赛的压轴环节,担任大赛评委的全球顶级生物黑客Patrick Paumen亮相舞台、再秀绝技,展示植入20块芯片、再度升级后的生物黑客“超能力”,让到场观众大开眼界,喝彩不断。
图12:Patrick Paumen表演用手腕的NFC芯片打开智能门锁