專注物聯(lián)網(wǎng)安全 2017HACKPWN盛大開幕

長江商報消息 本報訊（記者 雷瑋）9月13日，2017 HACKPWN破解秀暨物聯(lián)網(wǎng)安全論壇在國家會議中心召開。作為ISC2017的重點特色活動，HACKPWN是由全球頂尖黑客團隊與360集團旗下眾多安全團隊共同發(fā)起，在吸收國內(nèi)外各安全峰會優(yōu)點的基礎(chǔ)上，融入最新穎、最有趣的各類智能硬件破解秀與破解賽，打造基于物聯(lián)網(wǎng)安全的大型安全專題活動。

本屆HACKPWN專注物聯(lián)網(wǎng)安全，邀請了來自不同國家地區(qū)的安全專家分享最前沿的物聯(lián)網(wǎng)安全議題，更有90后黑客們帶來精彩的智能設(shè)備破解秀，還有全球首個樂高主題CTF破解賽。

360集團首席安全官譚曉生在致辭中表示，“消費級的物聯(lián)網(wǎng)產(chǎn)品在安全上比過去兩年有改進，但總體安全情況還需要重視起來，我們希望通過HACKPWN把好玩和有用相結(jié)合，通過活動幫助智能設(shè)備廠商找到和解決存在的漏洞，同時也希望加強民眾對智能設(shè)備的安全防范意識�！�

在本屆HACKPWN的互動環(huán)節(jié)中，黑客世界是一大亮點賽事。在一個由樂高構(gòu)建的虛擬世界中，有火車站、游樂園、食品工廠等各種城市基礎(chǔ)設(shè)施。參賽者需要組隊反擊恐怖襲擊，保護游樂園、城市和工廠，在限定時間內(nèi)通過線索追蹤到具體的恐怖襲擊目標。

本次破解挑戰(zhàn)賽中，三葉草安全小組Syclover率先破解樂高城市系統(tǒng)之后以40分位居榜首，來自平安科技（深圳）有限公司的戰(zhàn)隊Galaxy20分緊隨其后。根據(jù)主辦方介紹，第一輪破解比賽更考驗選手的綜合素質(zhì)，三葉草安全小組以絕對優(yōu)勢持續(xù)領(lǐng)先贏得本次樂高主題CTF破解賽的冠軍。

目前的汽車網(wǎng)絡(luò)安全測試方法通常手動執(zhí)行，來自硅谷的連接汽車安全供應(yīng)商VisualThreat研發(fā)副總監(jiān)鐘劍，介紹了第一款自動化汽車網(wǎng)絡(luò)安全基準測試工具包，使得OEM廠商可以快速輕松地識別其車輛中的安全漏洞。鐘劍在活動中還講解了測試的過程和心得，該工具在許多車輛中成功發(fā)現(xiàn)了許多嚴重的安全漏洞，此外，對流行的無人駕駛車型也進行了深度測試，并發(fā)現(xiàn)了嚴重的安全問題。

目前，智能設(shè)備接入的智能家居平臺通常會提供一套幫助設(shè)備開發(fā)的軟件開發(fā)工具包，以及用于部署管理設(shè)備的相關(guān)的管理系統(tǒng)。在本次活動中，上海交通大學(xué)密碼與計算機安全實驗室實驗室軟件安全小組博士劉慧以國內(nèi)某智能家居平臺為例，介紹了智能家居平臺設(shè)計及實現(xiàn)的關(guān)鍵因素，以及不正確的設(shè)計實現(xiàn)所能帶來的安全和隱私威脅。

浙江大學(xué)USSLAB智能系統(tǒng)安全實驗室博士閆琛介紹，傳統(tǒng)的安全研究都是面向計算機及其網(wǎng)絡(luò)中處理和傳輸?shù)臄?shù)字態(tài)信息，但對于物聯(lián)網(wǎng)來說，由于信息的來源多了對“物”(物理世界)的感知，信息的去向多了對“物”的控制，所以模擬態(tài)信息的安全問題尤為突出。并在現(xiàn)場演示了僅通過超聲波攻擊Apple Siri、Google Now等語音助手就可以不知不覺的發(fā)送短信、郵件、撥打電話、打開網(wǎng)頁，甚至直接在目標用戶手機上植入木馬的過程。

除了四大前沿議題的演講環(huán)節(jié)中，來自360三大安全團隊的90后黑客穿插了精彩的破解秀環(huán)節(jié)。360UnicornTeam的單好奇，也是DEFCON歷史上最年輕的Speaker，表演了NFC通信破解，通過搭建特殊“橋梁”，欺騙POS機和信用卡（RFID卡片），擴大NFC近距離非接觸刷卡的距離，在靠近別人的時候盜刷其信用卡。

而360CERT團隊的王宇恒、肖雄將展示破解智能設(shè)備通信認證加密方式，在未主人經(jīng)授權(quán)的情況下控制指定智能家居設(shè)備，如調(diào)轉(zhuǎn)攝像頭、獲取智能門鎖密碼等。360Skygo團隊的李佳琳、李嘉豪，利用智能保險箱身份認證方式和通信過程存在的漏洞，遠程開啟保險箱；利用智能門鎖的結(jié)構(gòu)缺陷，通過物理方法無破壞阻斷報警，并且實現(xiàn)開鎖。

責(zé)編：ZB