1024是全球程序员的节日,而GeekPwn则成为了一场全球极客的年度盛会。参加了2019的GeekPwn,深受震撼,便记录下这篇博客。
主办方仅设定基础云计算环境(如下图),凡可在其上部署的应用系统均可作为研究目标,如数据库、webservice服务等,选手可自由选择目标研究,挖掘未公开漏洞,填写报名资料。
比赛现场,主办方将在基础云计算环境中预设赛题目标,同时参考选手报名设置赛题目标。选手可自行选择攻击路径,突破限制,获得目标分值。
云安全挑战赛的赛场是在主赛场旁边的分赛场,整场比赛下来我大概算了一下,OpenStack被成功攻破的概率为0.4%~0.5%,而高仿环境和可信环境被攻击成功的次数为0次。最终,上海交通大学凭借强大的实力夺得了首届云安全挑战赛的冠军,拿到了8万元人民币的奖金。
选手需要在限时20分钟内,从玻璃杯上提取指纹,并且玻璃杯上只给出2个指纹,然后制作出破解指纹的物品,其中,主办方提供的被破解的产品有传统的电容式指纹,有最近手机的屏下光学指纹以及三星被吹爆的超声波指纹。
这一次是来自腾讯的一位大佬。他自己对破解过程的评价就2个字:刺激。他的方案是先用手机将玻璃杯放在暗箱中拍照提取指纹,通过自己的算法进行优化,使用3D雕刻机(1000元,便携式可用充电宝供电)和特制硅胶(成本1元),雕刻出“指纹膜”贴在手上。他在拍第一张指纹时迷之手抖,打印出来的不太理想,就开始寻找并打印第二个指纹,由于时间限制,第二个指纹只打印了2/3就把雕刻机停掉了,硅胶屑也没有粘的很干净,而且在准备测试时还把膜掉到地上沾了灰,只凭这样就让所有指纹识别全部阵亡。真的是太强了!!!
比赛刚结束的晚上,三星就推出了指纹漏洞的更新,可以说速度是相当的快啊!
隐私安全之反偷拍挑战赛成了首届无人得奖的项目,这个项目可以说是本届最难的项目了。
GeekPwn联合RC2反窃密实验室推出的隐私安全之反偷拍挑战赛通过模拟自动化检测起居室、宾馆、会议室等场所中可能存在的针孔摄像头,旨在提升公众对个人隐私安全、特别是对非法偷拍设备的重视。比赛要求参赛选手根据常见针孔摄像头的技术特点自行制作检测工具。比赛中通过技术手段尽可能多地检测出比赛场地中存在的针孔摄像头,根据检测准确度、难度和技术水平获得相对应的分数。最后以总得分进行排名。
参赛选手(限1人)按抽签次序轮流进入房间开始比赛,每场比赛时间最多为 10 分钟,若比赛用时超过10分钟,则比赛终止。 非比赛选手与比赛选手隔离,不能观察到当前比赛状况。 为尽可能提高检测过程的自动化程度,减少人为因素干扰,比赛过程中参赛选手不能触碰检测设备和覆盖物品的布帘。比赛开始后由助理裁判将检测设备带入房间内。比赛选手可以进入房间观察检测设备输出,可以申请助理裁判协助执行简单操作。
助理裁判可以执行的简单操作仅限以下两种:
● 移动检测设备到指定位置。
● 通过使用简单点按、拨动等方式对检测设备开关机和切换工作模式。
提交比赛记录和检测结果只允许采用以下方式:
● 检测设备自动将检测到的列表如 MAC 地址,及其他信息保存到文本文件。比赛结束后由助理裁判导出该文件并提交到专家评委。
● 比赛过程中选手根据检测设备的输出信息判断可能隐藏针孔摄像头的对应帘布位置编号,告知并由助理裁判记录。
比赛场地为面积 25 平方米左右密闭房间(以下简称“房间”),模拟起居室、宾馆、会议室等环境, 布置各种常见物品,如桌、椅、插座、遥控器、书本,以及常见智能家居设备如路由器、智能插座、手机等。
房间内物品中隐藏摆放多个针孔摄像头作为检测目标。为避免人为因素干扰,所有物品(包括针孔摄像头)统一由布帘覆盖。物品对应布帘的位置有相应编号。
针孔摄像头包括常见的工作模式,包括全程开机、定时开机、支持WIFI(包括AP模式和客户端模式)、有线、不支持WIFI但支持SD存储卡模式等。
房间内除了移动信号、针孔摄像头自带信号、工作用无线 WIFI 网络信号、工作用摄像机相关信号外,不排除其他可能的信号来源。
这个项目是让主办方见识到了各种各样的脑洞大开,有的选手利用的红外热成像,有的选手使用的手机app,比如下面的这位选手使用的开源的硬件HackRF
虽然这场比赛,各位选手可谓是八仙过海,各显神通。但是由于没有一组选手达到了组委的最低分数线,所以这个项目无人获奖,还是比较遗憾的。
GeekPwn不仅仅是一场黑客大赛,更是一场盛宴,总是令我回味无穷。
版权声明:本站所有资料均为网友推荐收集整理而来,仅供学习和研究交流使用。
工作时间:8:00-18:00
客服电话
电子邮件
admin@qq.com
扫码二维码
获取最新动态
