GeekPwn2018:京东安全人“攻”智能上演四秒绝杀


10月24日至25日,极客2018国际安全极客大赛如期在上海举行。来自世界各地的安全极客和白帽黑客组成了黑客社区的“超级大脑”团队,上演了“黑客帝国”的真实版本。京东牧羊人安全实验室还与北京大学和北京邮电大学联手,现场开发最新的物联网漏洞工具和各种智能硬件的漏洞,上演了一出“人攻击智能”的精彩戏剧。

人们“攻击”智力,四秒钟的赢家

在比赛过程中,有一集,玩家在现场调整了策略编码,团队彼此默契地合作。倒计时结束前只剩下4秒钟的时候,他们突破了最后一架相机,成功完成了整个挑战,最终赢得了优胜奖和最佳展览奖。

组长京东牧羊人安全实验室高级研究员KJ表示,这是第一次带领团队参加极客挑战赛。该Pwn主要展示了几种常见的物联网攻击,包括物理端、网络端口调试和堆栈溢出,涵盖了几乎所有的IoT攻击方法。在赛后回顾中,KJ介绍说破解智能硬件的选择只是为了展示攻击方法。然而,智能设备的漏洞也带来了许多潜在的安全风险。黑色产品不仅可以窃取用户隐私,进行典型的欺诈,还可以利用智能设备的漏洞获取巨额利润。因此,物联网漏洞的早期检测和及时修复不仅可以提高设备的安全性,保护用户隐私,还可以帮助硬件制造商及时停止损失。

KJ还透露,本次比赛中使用的自动挖掘工具是京东牧羊人安全实验室研究的新框架。他们将在10月31日至11月2日举行的“2018京东HITB安全峰会”上现场展示这种挖掘工具。

人们“攻击”情报,这是在被触发的边缘。

万物的互联让生活越来越方便,但也给人们带来了许多安全隐患。路由器已经从互联网接入密钥变成了泄露窗口,摄像机从证据收集者变成了隐私暴露机器.智能硬件在很大程度上变得如此危险,因为制造商没有检测到其自身的漏洞,一些罪犯利用了这些漏洞。

在这次会议上,京东安全硅谷的研究人员分享了他们对恶意盈利攻击的想法,他们利用汽车智能硬件中的安全漏洞,为整个物联网安全行业敲响了警钟。研究人员表示,北美汽车保险公司将在他们的车辆上安装一个设备来检查司机的驾驶行为,但是设备接口存在硬件缺陷。京东证券硅谷研究团队发现了这个问题,并进行了研究。它发现黑客和黑色产品可以利用这个漏洞与保险公司、4S商店、保险公司等勾结。篡改用户的驾驶习惯记录,使用户支付更多甚至两倍的保险费,从而获得巨额利润。

安全研究人员还说:由于这次攻击是从物理层面发起的,因此仅靠软件更新是不可能应对的。在我们的日常生活中,仍然有许多类似的易受攻击的硬件,我们对物联网的安全性不够重视。

布鲁斯的视角从被动防御转变为主动防御

也许你会惊讶于挖洞和破解装置应该是攻击者的工作。为什么防御者“勾结”?事实上,网络安全一直是一种不对称的对抗。可怕的不是敌人有多强大,而是不知道敌人何时何地进攻。然而,漏洞挖掘技术只是打破这一僵局的有效手段。这类似于军事演习中“假想敌人”的概念。从布鲁斯(Blues)的角度来看,一个人可以发现自己的缺点,了解对手的攻击思想,从而了解自己和自己的敌人,从而做出更有针对性的应对措施,变被动防御为主动防御。正如本次竞赛的赞助商KEEN CEO王琦所说:漏洞从来都不是因为黑客而存在的,而是在黑客发现后被消除的。人们的“攻击”智能不是目的。我们多年来的努力是让更多的人享受智能生活,让黑客带给我们更安全的光明和未来。

幸运的是,事情是这样的

这篇文章是由网站管理员的用户提交的。未经站长家同意,严禁复制。例如,如果大多数用户在稿件中发现虚假报告,欢迎读者反馈、纠正和报告问题(反馈入口)。

免责声明:这篇文章是对用户的贡献。网站管理员的家只发表这篇文章来传达信息。这并不意味着网站管理员的家同意其观点,不对内容的真实性负责,仅供用户参考,不构成任何投资或使用建议。读者被要求核实真实性和可能的风险,任何后果将由读者自己承担。