GEEKCON2024上海站收官:时刻好奇,保持乐观
2024年10月24日17:28分,距离GEEKCON2024上海站的分享结束还有37分钟。与绝大多数活动在散场前惨淡的观众留存率不同,此时GEEKCON的会场内依旧座无虚席,从全国各地集结而来的数百位极客正沉浸在专属于安全技术人的年度狂欢中。
作为全球创办时间最早、举办规模最大的黑客挑战赛之一,每一年GEEKCON的举办不仅会引发安全行业在前沿技术应用、实战人才培养等方面的崭新思考,更重要的是,每一年GEEKCON都会用它出其不意的设计与高质量的议题回馈这一年所有极客的期待。
这一次GEEKCON又别出心裁的把主会场选在了上海西岸艺术中心的一家电影院内。没有浮夸的舞美、搭建,甚至全场找不到一块LED屏幕,2024年的GEEKCON就在一块简约的电影荧幕前正式开始。为了迎合电影院的场景主题,主办方还特意选用了米高梅电影公司的雄狮片头,但紧随其后的FBI告知也充分展现了极客世界特有的幽默。
开幕致辞环节,GEEKCON 发起创办人、DARKNAVY CEO王琦(大牛蛙)表示“很多年前,他就曾设想有一天能在一个小黑屋里举办一场活动。没有任何搭建、舞美……这些外在的东西,只有一个狭小的空间,能把热爱技术的人聚在一起,大家纯粹的聊聊和技术有关的事儿……”当时的设想更多是一种境界上的追求,但令他没想到的是,这个设想在今年意外实现了。
谈及这突如其来的“圆梦”,大牛蛙也显得格外坦诚。他谈到“这些年受到全球经济下行的影响,整个安全行业也收到了很大冲击。这几年大家可能过的都不好,GEEKCON也显得更加艰难”。
他透露,从2014年起,GEEKCON就致力于打造最纯粹、开放的黑客赛事,这些年GEEKCON为参赛选手提供了累计超过千万级的奖金,但选手从厂商处获得的奖励回报却几乎为零。这样巨大的反差让GEEKCON的每一步都举步维艰,但值得庆幸的是,纵然生态环境时有恶劣,但每一年仍旧有数以万计的毕业生义无反顾的选择网络安全专业;在行业中,依旧有数以万计的极客,他们果断放弃黑灰产的“暴利”,转身成为守正出奇的白帽极客,以技术的利刃向恶意黑客勇敢宣战。致辞结束时,大牛蛙以“时刻好奇,保持乐观”作为结尾勉励了在场的极客朋友。
本届GEEKCON上海站依旧保留六大系列专场,分别为“漏洞与利用DAF挑战赛”、“深蓝洞察之特别披露”、“GEEKCON特别挑战赛”、 “AI与黑客挑战赛”、对抗研判AVSS精英挑战赛”以及“30+5深度分享”。
现场汇聚了华为、蚂蚁集团、OPPO、百度、vivo、小米、京东、荣耀、美团等科技互联网巨头的资深安全专家、行业领军人物和高水平的“白帽黑客”。在赛事的内容上,今年的大赛更加聚焦时下热门的网络安全问题,如:智能汽车安全、AI安全与电池安全,在持续关注漏洞攻防与前沿技术应用的同时,积极推动安全人才的培养和白帽价值的提升,以期通过提升网络安全能力的可视化与可度量,助力安全产业的高质量发展。
漏洞与利用DAF挑战赛:总有人负重前行,换世界岁月静好
作为GEEKCON赛场中,关注度最高且现场演示效果最好的版块,每年“漏洞与利用DAF挑战赛”总会受到格外的关注。今年DAF挑战赛将破解的议题向日常的生活、工作深度下沉,可以说议题所涉及的场景时刻都在发生。
无需任何外置硬件,扮演黑客的挑战者就轻松的将信息发出方的号码伪装成了组委会的指定号码,并将恶意篡改后的短信内容发送到了现场观众的手机上。更可怕的是,挑战者在现场还成功尝试了将发出方的号码伪装成工信部公共服务平台的号码“12381”。当官方机构的信息被任意伪造,当短信不再可信,由此产生的危害也将不可估量。
如果说短信更多的应用于日常生活场景,那么接下来曝光的会议投屏系统的漏洞则将枪口直接对准了职场的打工人。在现场的挑战中,挑战者仅用时数分钟,就轻松攻入了某主流会议投屏系统以及控制该系统的投屏电脑。他们打开了投屏电脑中的指定文件,并成功返投在投屏设备上。设想一下,此情此景如果恰好发生在你的一场重要的商业谈判中,由此造成的经济与声誉损失想必也是巨大的。
关于智能汽车的破解始终是近些年GEEKCON的保留项目,但不论是2023年的上海,还是数月前刚刚结束的新加坡站,选手在破解车辆时都或多或少的遇到了一些阻碍,而在本届上海站的智能汽车破解中,挑战团队仅用时3分钟就在没有钥匙的情况下,只凭借智能汽车的车架号打开了锁闭的车门,并成功发动汽车,将其开到了指定区域。这骤然缩短的挑战时间,无疑给众多智能车企敲响了警钟,与此同时,这一成果也充分彰显了青年极客与日俱增的技术战力。
或许正是因为有这样一群对技术满怀热忱的极客,他们以对技术的不懈追求和默默付出,让我们在面对变幻的未来时,又增添了一份勇气与信心。因为我们深知,会有人以负重前行,换世界的岁月静好。
深蓝洞察之特别披露——正义者,应该肆意的享受阳光
该专场旨在邀请正义的白帽黑客,直击无良厂商的安全漏洞,面对复杂的网安生态,以白帽之名,击穿黑暗。而出于对披露者的保护,“头戴面具演讲”也始终是该专场的一大特色。
本届的披露环节将威胁的焦点对准“智能手机”。带来《通知清不尽,应用杀又生》、《买手机,送木马》两大议题。在挑战《买手机,送木马》的演示中,披露者发现新购买的手机在打开某购物应用时不会直接进入应用的主界面,而是会率先跳转到指定的推荐页或广告页。通过埋点的方式,披露者将问题的源头锁定在了应用本身。利用静态代码分析的技术手段,披露者获取到App的异常数据和行为,经过对设备流量的抓取捕获了动态配置文件和代码补丁,最终结合代码的行为路径,完成了恶意路径的固证。
研究者还发现不仅是应用的启动环节,在桌面、负一屏、全局搜索、智能助手,甚至是手机的预装浏览器中,该木马都可能存在,让用户在不知不觉中便沦为了广告商或商业流量的变现工具。
该议题的披露一方面在警醒手机厂商谨慎使用开发者权限,遵循道德标准,保护用户的权限,同时也提醒用户,警惕异常的跳转,在发现异常后及时向安全团队作出反馈。
议题分享结束后,在主持人的鼓励下,2位披露者首次摘下面具,向全场观众一展真容。“真实的披露安全问题,先于黑客一步发现潜在的安全漏洞”始终是GEEKCON创办的宗旨,而让安全背后的英雄勇敢的走到阳光下,也将是GEEKCON持续存在的价值。
该环节,深蓝洞察的订阅版也正式发布。秉承“展示真实的安全行业,向行业输出更多价值”的核心,深蓝洞察订阅版将定期发布重要漏洞及其利用方式,深蓝研究团队也将对整个漏洞的利用过程进行复现,以期为从业者提供“高时效、高质量、高价值”的情报,成为客户的外脑,以专业的技术能力敏锐的发现问题;成为行业的外嘴,披露真实的安全动态。
GEEKCON特别挑战赛:看见真实的世界,传递真实的声音
倘若要评选本年度最具影响力与关注度的安全事件,“黎巴嫩BP机爆炸事件”一定榜上有名。该事件所导致的生命与财产损失无疑是巨大的,而由该事件引发的漫天谣言以及大众的恐慌也令人不容忽视。
本届GEEKCON特别挑战赛的赛题选定为“黑客真能远程爆掉手机吗”。在经过3周时间的报名招募后,该挑战赛无选手报名。为了带领大家深入探索手机电池的安全边界,DARKNAVY 技术组委依次尝试通过硬短路和电池大电流快速放电的方式对主流智能手机的电池进行测试,但很遗憾,令观众期待的爆炸场景并未出现。
在解析环节,研究人员表示,与黎巴嫩被动过手脚的BP机不同,正规渠道下购买的手机,电池中都会预装有BMS电池管理系统,正是该系统为电池的稳定运行提供了重要保护。
作为对比实验,研究人员在现场为我们展示了被拆除充电保护系统的电池,在过充情况下发生爆燃的视频,在视频中,我们看到其爆燃的威力与黎巴嫩BP机爆炸相比仍相去甚远。
实验的完整过程,为在场的观众消除了安全疑虑,以极客的严谨向大众展示了世界的真实。
AI与黑客挑战赛:Talk is Cheap,Show us your Pwn
自从AI诞生以来,人类与AI的权力纷争就从未停止。
作为2023年GEEKCON上海站的延续,本届GEEKCON的AI与黑客挑战赛将话题从辩论层的讨论下沉到了实战层的对抗。来自上海交通大学的Ph0t1n1a战队、安恒信息的GenZ战队以及Emmmmmm2024战队运用各自的AI自动化能力,完成组委会给出的指定赛题。
三支战队首先对复杂系统进行了漏洞的挖掘与定位,该赛题重点考验AI的逻辑思维能力;之后又对组委会给出的配置文件中埋藏的100个敏感信息进行了筛选。经过两轮的角逐,最终Ph0t1n1a团队获得总分冠军。
随着AI在现实中的应用越发深入,AI替代论总是不绝于耳,但正如尤瓦尔·赫拉利所言:“科学技术创造的只是新的机会,若要追求把握哪些新机会,依然是人类自己的选择。”因此,如何在信息爆炸的时代剔除谎言与舆论,让技术向善而生,将始终是安全技术人要持续思考的命题。
对抗研判AVSS精英挑战赛:提升安全水位,量化安全基线
本届AVSS挑战赛迎来了往届未解赛题的返场,以期通过攻击者的角度对智能系统进行全面、科学的碰撞测试,进而量化系统的安全水平,让消费者对于产品的安全性有更为直观的感受与评判,同时让厂商对产品安全的投入更加可视化。
最终Polaris战队、Nu1L战队、Emmmmmm2024战队位列挑战赛的一、二、三等奖。
30+5深度分享:用知识创造防护的力量
大赛特设“30+5深度分享”环节,Google Android Red Team和腾讯玄武实验室、星云防护实验室等前沿研究团队分享了Linux内核漏洞挖掘、Chrome浏览器WASM漏洞等前沿研究成果。通过干货分享与Demo双重输出的方式,揭示深层的安全隐患,以技术的突破构建起安全的坚实堡垒。
真实·黑客说:大佬间的犀利吐槽——安全行业是未来还是韭菜?
通过展示真实的行业现状,捕获行业真实的声音,来引导更多的青年极客正确的认识安全行业,始终是GEEKCON的重要使命,本届大赛中,组委会特别邀请到5位安全行业的资深大佬,同台吐槽,而抛给他们的命题也异常犀利——“安全,是个好行业吗?”
吐槽环节,清华大学网研院教授 段海新、獬豸安全实验室负责人 何淇丹、腾讯玄武安全实验室负责人 于旸、前阿里巴巴技术副总裁和首席安全专家 杜跃进、蚂蚁集团副总裁、首席技术安全官韦韬同台共议。
于旸率先发言表示“从收入情况来判断,对于仍在求学阶段的同学们而言,安全依旧是个好行业”。但杜总随后坦率补刀“前提是要先找到工作”。
拥有多年实战人才培养与教学经验的段海新教授坦言,“安全人员似乎是个不太招人喜欢的行业。首先黑客肯定不喜欢,因为安全人员的存在挡了他们来钱的路。其次厂商也不太喜欢,因为有些在他们看来“微不足道”的后门和漏洞,是商家刻意留下的商业或流量变现途径,一旦被安全人员发现并修复,也对他们的业绩实现造成了阻碍。”
韦韬提到,“行业的好坏不能一概而论,更多的取决于个人能力的大小。近些年,整个行业更侧重于对实战化能力的落地,因此迎合技术的变化,练就强劲的实战能力,发掘具有更强适应力与创造力的实战人才会是GEEKCON乃至整个安全行业要不断深化的工作。”
于旸鼓励现场信息安全专业的学生:“我们面临的威胁是来自于全球一个局部的一些情况,是不可能长期存在的,最终一定是在对抗中分出高下胜负,能看出到底谁是真正有价值的。”所以坚持选择的路走下去,最终努力一定能被看到。
獬豸安全实验室负责人、多次获得世界黑客大赛冠军的何淇丹表示:“极客精神,甚至说整个互联网起步的时候有一种精神,是让这个世界变得更好。希望大家还能坚持这种精神。”
因为有更长的路要探索,所以安全行业的未来,无法用好与坏的绝对论断来评判,尽管此时整个行业正经历着经济下行的冲击,但你会发现在GEEKCON的赛场上,在分散于全球各地的技术者社群中,那些热血的白帽极客依旧满怀热忱,在他们心中“安全的另一面从来不是黑客,而是精进探索后更加智能、可信、开放的未来。”
“力量从不是个人努力的结果,人类的力量总是源于大批人的合作”。于GEEKCON而言,持续跟随前沿技术的潮流,为全球极客搭建纯粹、开放的展示与分享平台,去集结更多热爱技术的极客共同传递知识的力量,一道探索真实的世界,未来的路道阻且长,但总有人并肩前往!