2020年10月24日,由刘璟老师带队,9968新浦京官网网络空间安全专业的4名研究生和6名优秀本科生共同参加并观摩了GeekPwn 2020国际安全极客大赛。今年的GeekPwn盛会在上海浦东1862时尚艺术中心成功举办。今年的GeekPwn以“极有担当,无畏逆行”为主题,汇聚全球顶尖的白帽黑客和少年极客,聚焦人工智能、机器人、云安全、5G等领域前沿技术,通过预演安全风险,打响“新基建”安全前哨站,探索产业智能与消费智能潜在的安全问题,助力产业健康成长。同学们表示,通过观看全球顶级黑客对各个赛项精妙绝伦的攻击演示,自己对网络空间安全和网络攻防技术有了更深入的理解,并激起了自己未来参与网络攻防竞赛的强烈兴趣。
图1 GeekPwn2020大赛现场
大赛精彩回顾
24号早上八点的上海,整个城市在按自己的节奏悠悠转醒。黄浦江边的GeekPwn2020活动会场已经分外热闹,参会嘉宾和媒体陆续来到了签到处,在活动背景板前拍照打卡。
图2 9968新浦京官网参会成员合影
此次大赛主要有攻破挑战赛、新基建安全大赛、AI变脸口罩挑战赛、少年黑客马拉松大赛等四大赛项,其中以攻破挑战赛和新基建安全大赛最为受人瞩目。
AI变脸口罩挑战赛:利用AI技术特制口罩欺骗人脸识别
CAAD AI变脸口罩挑战赛现场,来自清华大学计算机系和瑞莱智慧公司TSAIL、由清华大学和北京大学师生组成的动动动动弦、海棠初白、AFMask战队的选手们都戴上了有AI生成图像的口罩,选手们利用算法缺陷欺骗人脸识别算法,分别对人脸识别的售货机和ATM机进行白盒与黑盒攻击。最终,AFMask战队自制的口罩实现伪装、在30秒内成功欺骗人脸识别,识别率都超过0.5,项目挑战成功。受现场灯光、网络等因素的干扰,下午,比赛在场下进行了精彩角逐。最终动动动动弦战队以3783分成功问鼎;海棠初白战队以3754分获得第二名,AFMASK战队与TSALL战队以2224分与1185位列第三与第四名。
图3 选手利用算法缺陷,自制口罩成功伪装,骗取“美金”
攻破挑战赛:绕过常见X光安检仪检测的攻破挑战
近日一则新闻显示,福州海关在安检扫描时,查获了包裹里的侏罗纪化石。能扫描出违禁物品(如液体、道具、火种材料等)的X光安检机在生活中很常见,广泛应用于地铁站、火车站、机场、海关、大型会议等,保障公众安全。然而,如果有一天,危险物品能在X光机下隐身,被人带到各种公共场合,那么我们的生活是否还会如此平静?
挑战选手浮士德利用X光安检仪的漏洞,用自制设备改装了行李箱,将瑞士军刀、打火机等危险物品 “隐藏”在行李箱中,顺利通过了全方位、无死角的安检仪的监测。挑战成功后,这位低调的大佬打算离场去赶飞机。主持人蒋昌建将他截住,怀疑的问道:“这些刀是你随身带上飞机、带来会场的吗?”得到了选手肯定的回答。软院的同学们闻言纷纷想献上自己的膝盖!
图4 被选手攻击的X光安检仪并未检测出违禁物品
新基建安全大赛:自动驾驶汽车雷达干扰的改进攻破展示
好好的自动驾驶汽车,怎么突然就“瞎”了呢?在第一个户外比赛项目,新基建安全大赛自动驾驶汽车雷达枪干扰的比赛中,选手吴潍浠利用一种小型、低成本的雷达干扰枪,对自动驾驶汽车的雷达系统进行干扰,使其无法及时启动前方碰撞预警和自动紧急制动系统,从而直撞前方障碍物,造成了交通事故。在进行的四次测试中,两次成功对自动驾驶汽车的雷达进行干扰,使其无法识别障碍物、不能自动刹车。今年4月份该漏洞已提交至特斯拉,由于技术较为复杂,目前仍在修复中。
图5 被选手干扰的自动汽车雷达刹车失灵,发生事故
除了以上比赛项目,还有许多令人惊呼的项目,比如新基建安全大赛中利用汽车后装钥匙漏洞控制汽车的远程攻破挑战,直接让场外驾驶老司机变成了马路杀手;攻破挑战赛中利用漏洞远程攻破智能摄像头的挑战,直接让个人生活变成直播现场等等,这些项目让同学们明白了网络空间安全专业在国家和社会中的定位,大家一致认为维护网络安全就是维护个人生命财产安全,就是维护国家安全!
其中有一个项目让研究生同学们更加赞叹不已,那就是新基建安全大赛中利用漏洞劫持5G网络TCP传输的攻破项目。远翱战队的满柯宇、钱志云、郑镐东、杨秋实、沈凯文、郑晓峰利用新型攻击方式对互联网基础DNS协议发起挑战。短短几分钟内,选手成功地攻击互联网基础DNS协议,实现DNS污染,劫持了域名,使得移动设备的网络受到影响,导致访问的网站内容被替换了。这项创新研究论文被计算机安全领域顶级学术会议CCS收录,技术细节将于今年年底公布。
图6 ACM CCS顶会成果
在关注5G、AI、云计算等前沿领域安全挑战的同时,本届GeekPwn给极客设置的新挑战还在“少年黑客马拉松”大赛中继续上演。继去年“少年特工”的挑战主题之后,今年9-16岁的少年黑客在GeekPwn的舞台,不仅要解密发明于1837年的Morse密码,还要他们利用安全知识去解决生活场景中的安全问题。最终,由上海的两名五年级小学生组成的“二中心58hacker小分队”成功还原了加密信息的明文“CJDLXYRJNS”,他们也是“少年黑客加密破解挑战赛”中唯一获胜的战队。少年强则国强,这些少年黑客让我们更加相信未来我国的网络空间必将会由一代又一代的网络安全人才共同筑起的网络安全长城而变得更加安全!
图7 英雄出少年