9月13日下午，2017HACKPWN破解秀暨物聯(lián)網(wǎng)安全論壇在國(guó)家會(huì)議中心召開(kāi)。作為ISC2017的重點(diǎn)特色活動(dòng)，HACKPWN是由全球頂尖黑客團(tuán)隊(duì)與360集團(tuán)旗下眾多安全團(tuán)隊(duì)共同發(fā)起，在吸收國(guó)內(nèi)外各安全峰會(huì)優(yōu)點(diǎn)的基礎(chǔ)上，融入最新穎最有趣的各類(lèi)智能硬件破解秀與破解賽，重金打造的基于物聯(lián)網(wǎng)安全的大型安全專(zhuān)題活動(dòng)。

[[203520]]

圖1：360集團(tuán)首席安全官譚曉生致辭

網(wǎng)絡(luò)安全已經(jīng)進(jìn)入大安全時(shí)代。360集團(tuán)首席安全官譚曉生在致辭中表示，消費(fèi)級(jí)的物聯(lián)網(wǎng)產(chǎn)品在安全上比過(guò)去兩年有改進(jìn)，但總體安全情況還需要重視起來(lái)，我們希望通過(guò)HACKPWN把好玩和有用相結(jié)合，通過(guò)活動(dòng)幫助智能設(shè)備廠商找到和解決存在的漏洞，同時(shí)也希望加強(qiáng)民眾對(duì)智能設(shè)備的安全防范意識(shí)。本屆HACKPWN專(zhuān)注物聯(lián)網(wǎng)安全，邀請(qǐng)了來(lái)自不同國(guó)家地區(qū)的安全專(zhuān)家分享最前沿的物聯(lián)網(wǎng)安全議題，更有90后黑客們帶來(lái)精彩的智能設(shè)備破解秀，還有全球首個(gè)樂(lè)高主題CTF破解賽。

亮點(diǎn)賽事：全球首個(gè)樂(lè)高主題CTF破解賽

在本屆HACKPWN的互動(dòng)環(huán)節(jié)中，黑客世界是一大亮點(diǎn)賽事。在一個(gè)由樂(lè)高構(gòu)建的虛擬世界中，有火車(chē)站、游樂(lè)園、食品工廠等各種城市基礎(chǔ)設(shè)施。參賽者需要組隊(duì)反擊恐怖襲擊，保護(hù)游樂(lè)園、城市和工廠，在限定時(shí)間內(nèi)通過(guò)線(xiàn)索追蹤到具體的恐怖襲擊目標(biāo)。

[[203521]]

圖2：樂(lè)高主題CTF破解賽

本次破解挑戰(zhàn)賽中，三葉草安全小組Syclover率先破解樂(lè)高城市系統(tǒng)之后以40分位居榜首，來(lái)自平安科技(深圳)有限公司的戰(zhàn)隊(duì)Galaxy20分緊隨其后。主辦方介紹，第一輪破解比賽更考驗(yàn)選手的綜合素質(zhì)，三葉草安全小組以絕對(duì)優(yōu)勢(shì)持續(xù)領(lǐng)先贏得本次樂(lè)高主題CTF破解賽的冠軍。

四大前沿議題

“給汽車(chē)網(wǎng)絡(luò)請(qǐng)一位自動(dòng)化的健康醫(yī)生”

目前的汽車(chē)網(wǎng)絡(luò)安全測(cè)試方法通常手動(dòng)執(zhí)行，來(lái)自硅谷的連接汽車(chē)安全供應(yīng)商VisualThreat研發(fā)副總監(jiān)鐘劍介紹了第一款自動(dòng)化汽車(chē)網(wǎng)絡(luò)安全基準(zhǔn)測(cè)試工具包，因此OEM可以快速輕松地識(shí)別其車(chē)輛中的安全漏洞。鐘劍介紹了測(cè)試的過(guò)程和心得，該工具在許多車(chē)輛中成功發(fā)現(xiàn)了許多嚴(yán)重的安全漏洞，此外，對(duì)流行的無(wú)人駕駛車(chē)型也進(jìn)行了深度測(cè)試，并發(fā)現(xiàn)了嚴(yán)重的安全問(wèn)題。

“誰(shuí)來(lái)保護(hù)未來(lái)物聯(lián)網(wǎng)安全”

任何的數(shù)據(jù)保護(hù)方法解決不了未來(lái)安全領(lǐng)域的問(wèn)題，例如勒索病毒和設(shè)備劫持攻擊，這個(gè)概念能夠解決那些安全問(wèn)題。來(lái)自臺(tái)灣國(guó)立交通大學(xué)的渡邊教授指出，下一個(gè)大事件應(yīng)該是用區(qū)塊鏈來(lái)保護(hù)物聯(lián)網(wǎng)。但是現(xiàn)有的區(qū)塊鏈技術(shù)無(wú)法真正保護(hù)物聯(lián)網(wǎng)，因此渡邊教授提出了一種新的身份識(shí)別技術(shù)，可以用于未來(lái)的物聯(lián)網(wǎng)安全保護(hù)。   

“智能家居平臺(tái)設(shè)計(jì)應(yīng)該躲避哪些坑”

供智能設(shè)備接入的智能家居平臺(tái)通常會(huì)提供一套幫助設(shè)備開(kāi)發(fā)的軟件開(kāi)發(fā)工具包(SDK)，以及用于部署管理設(shè)備的相關(guān)的管理系統(tǒng)。上海交通大學(xué)密碼與計(jì)算機(jī)安全實(shí)驗(yàn)室實(shí)驗(yàn)室(LoCCS)軟件安全小組(GoSSIP)博士劉慧以國(guó)內(nèi)某智能家居平臺(tái)為例，介紹了智能家居平臺(tái)設(shè)計(jì)及實(shí)現(xiàn)的關(guān)鍵因素，以及不正確的設(shè)計(jì)實(shí)現(xiàn)所能帶來(lái)的安全和隱私威脅。

“物聯(lián)網(wǎng)攻擊可以悄悄蒙上你的眼”

浙江大學(xué)USSLAB智能系統(tǒng)安全實(shí)驗(yàn)室博士閆琛介紹，傳統(tǒng)的安全研究都是面向計(jì)算機(jī)及其網(wǎng)絡(luò)中處理和傳輸?shù)臄?shù)字態(tài)信息，但對(duì)于物聯(lián)網(wǎng)來(lái)說(shuō)，由于信息的來(lái)源多了對(duì)“物”(物理世界)的感知，信息的去向多了對(duì)“物”的控制，所以模擬態(tài)信息的安全問(wèn)題尤為突出。他還演示了僅僅通過(guò)超聲波攻擊Apple Siri、Google Now等語(yǔ)音助手就可以不知不覺(jué)的發(fā)送短信、郵件、撥打電話(huà)、打開(kāi)網(wǎng)頁(yè)，甚至直接在目標(biāo)用戶(hù)手機(jī)上植入木馬。

三大破解秀

滿(mǎn)是干貨的議題演講中間，來(lái)自360三大安全團(tuán)隊(duì)的90后黑客穿插了精彩的破解秀環(huán)節(jié)。360UnicornTeam的單好奇，也是DEFCON歷史上最年輕的Speaker，表演了NFC通信破解，通過(guò)搭建特殊“橋梁”，欺騙POS機(jī)和信用卡(各類(lèi)RFID卡片)，擴(kuò)大NFC近距離非接觸刷卡的距離，在靠近別人的時(shí)候盜刷其信用卡。

而360CERT團(tuán)隊(duì)的王宇恒、肖雄將展示破解智能設(shè)備通信認(rèn)證加密方式，在未主人經(jīng)授權(quán)的情況下控制指定智能家居設(shè)備，如調(diào)轉(zhuǎn)攝像頭，獲取智能門(mén)鎖密碼等。360Skygo團(tuán)隊(duì)的李佳琳、李嘉豪，利用智能保險(xiǎn)箱身份認(rèn)證方式和通信過(guò)程存在的漏洞，遠(yuǎn)程開(kāi)啟保險(xiǎn)箱;利用智能門(mén)鎖的結(jié)構(gòu)缺陷，通過(guò)物理方法無(wú)破壞阻斷報(bào)警，并且實(shí)現(xiàn)開(kāi)鎖。