【51CTO.com原创稿件】万物互联时代,智能手机、智能穿戴、智能汽车、智能家居,乃至智能机器人等智能化设备正出现在人类生产生活的各个角落,为人们的工作生活带来便利。然而,与此同时各种各样的新安全威胁也随之慢慢凸显。例如:攻击者可以通过智能摄像头的漏洞时刻监视你的一举一动,攻击者远程控制智能汽车随时可以实现启动等操作……
立足未来安全,洞悉智能生活安全风险
万物互联互通时代,如何让智能设备更好的服务人们的生活,守住安全大门?8月30日,由国家信息安全漏洞库(CNNVD)指导,北京未来安全信息技术有限公司主办,蚂蚁金服安全响应中心、百度安全共同支持的“XPwn2018 未来安全探索盛会”在北京召开。
XPwn旨在帮助厂商发现并解决智能设备上存在的安全问题,并及时进行修正,从而提高产品安全质量,提高厂商的安全意识,促使民众和厂商更加注重安全,为社会带来更大的价值,让智能设备更好服务生活。与往届XPwn相比,本届在关注现今生活比较流行的信息领域的安全问题的同时,更加关注未来信息技术领域的安全问题。让大众对智能安全问题进行重视,让未来的生活更加安全、美好。
在致辞中,XCon&XPwn创始人、北京未来安全信息技术有限公司CEO王英键表示:“我们希望通过XPwn传播发现的安全问题,并让厂商和民众重视安全问题,提升安全感。同时,希望传播安全思想,发扬极客精神。我们还希望,未来把XPwn活动作为一个常态,持续不断向大家发布安全问题,让大家认识理解安全问题的存在,让安全研究人员被大家理解,得到更好的支持,让安全研究员做出更好的贡献。”
百度安全事业部总经理马杰也表示:“XPwn上有很多非常有价值的议题。黑客这个词的英文本义是Hacker,没有黑白之分,我们做的是对系统的探索,是对本质的追求。我们要探索世界、改变世界。我们要用开放的心态迎接未来的变化,让世界更加美好。”
XPwn黑客高手展“神技”
会上,来自蚂蚁金服光年实验室、百度安全实验室、未来安全胖猴实验室、中科院信工所和复旦大学等机构的破解选手,演示了破解智能收银机、智能门锁等多个物联网智能设备的过程,虽未详细透露破解细节却提供了解决方案,帮助大家守护智能设备安全。
◆我吃饭你买单,黑客带你免费吃大餐
来自百度安全实验室的安全研究员和复旦大学白泽战队都选择了破解智能收银系统。目前,一般商户通常不具备安全意识,这给黑客带来了可乘之机。据介绍,一旦黑客攻破了智能收银系统,便会让商户带来直接的经济损失,黑客不但可以“免费吃大餐”,甚至还可以悄然不觉偷走商户的钱,篡改商户的订单。
安全研究人员还介绍到,这些漏洞的影响范围巨大,至少有数十万台设备会受到影响,如果这些漏洞被黑客利用,一般商户或许会遭到巨大的损失。这些漏洞的发现有助于让商户提高自己的安全防范意识,保护自己的权益。
◆物联网设备存在多个漏洞,或被黑客劫持
从智能门锁到路由器,物联网中每个设备都可能成为黑客的目标。来自未来安全的胖猴实验室和中科院信工所,为大家展示了物联网设备被攻破后带来的严重后果。据胖猴实验室安全研究员介绍,当漏洞被黑客利用后,智能门锁将形同虚设:黑客利用漏洞将智能门锁的固件变成自己的,他们可以用任意密码打开你的大门,当这种情形发生后,你家中的财物便会不翼而飞,如果在公司,后果更是不堪设想。
路由器是时下必不可少的物联网设备之一,来自中科院信工所的安全研究员利用漏洞攻破了路由漫游系统,另一组安全研究员则攻破了某知名厂商的商用企业路由器。用户浏览网站时会被黑客劫持到指定页面,黑客可以利用页面植入木马,或进行诈骗。而这些漏洞的研究有助于推动行业了解黑客的攻击手法,增加保护机制,从而减少黑客的攻击。
◆一锤定音,手机电脑被黑客接管
会议中,来自蚂蚁金服安全实验室安全研究员为大家展示了攻破某手机浏览器和OS X系统。蚂蚁金服光年安全实验室的安全研究员仅仅让用户点击了一个网页链接,便监控了浏览器此后的所有上网行为。比如,获取用户的浏览网站内容、盗取登录凭证、盗取用户名和密码。也就是说,各类账号均在黑客的掌握之下。
此外,Mac电脑也不是绝对安全的。蚂蚁金服光年安全实验室的另一组安全研究员展示了如何攻破OS X系统,攻击者最终可获得内核权限,完全接管受害者运行macOS的电脑,实现多种恶意行为。
用极客方法抓娃娃
除了以上专业议题内容,XPwn还邀请了两位抓娃娃机的网红高手在现场为大家演示了一把。抓娃娃机的高手能把一个娃娃机瞬间清空,他们是怎么做到的呢?
其中一位多次获得抓娃娃冠军的网络高手“堂主”告诉大家,他曾经以为抓娃娃是“骗局”,不过后来发现,这里面其实是有技巧有学问的,抓娃娃机的型号、大小、爪机模型等等都是不一样的,不但是有算法和概率,还有甩爪、别爪等各种技巧。
而另一位抓娃娃网红解先生介绍说,其实抓娃娃不仅仅要练技巧,还要动脑子,比如盒子怎么抓,不能选爪子的时候,怎么把爪子插到娃娃的标签里勾出来……他表示,真正的抓娃娃玩家心中都有一个底线,尽量不会清机的。
一个安全峰会,为什么要请来抓娃娃界的快手红人来演示? XCon & XPwn创始人王英键表示,这是一种极客精神和黑客的精神,是对于一些很多问题不断的探索去追究、去挖掘的精神。抓娃娃从一开始和黑客、研究安全都是一样的,都是在对某一件事情,在某一个点上产生了浓厚的兴趣,为了任何一个东西,发现他的特点,然后找到他的机制(进而解决这个问题)。
安全离生活并不遥远,XPwn让未来安全走向大众
据悉,XPwn2018极智未来未来安全探索盛会的目的不仅仅在于发现问题,更重要的是解决问题,同时鼓励选手带着解决方案来XPwn披露漏洞,演示从发现到解决的一系列过程。此次盛会不仅仅面向专业观众,更力求让大众增进对安全的了解和认识,让大众明白安全离生活并不遥远,同时,也让大家懂得极客和黑客精神的内涵,让智能生活更加先进与安全。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】