精彩回顾 | XPwn 2018未来安全探索盛会

阅读量411557

|评论3

发布时间 : 2018-08-30 17:45:38

官网:http://xpwn.xfocus.org/

 

会议简介

XPwn是由XCon组委会主办,北京未来安全信息技术有限公司承办的智能生活产品安全问题研究探索大会。承载着对安全的使命感,XPwn旨在促进更多对智慧生活、智能设备和系统安全有研究的人们发现,并解决设备和系统中存在的安全问题,从而推动安全技术的发展,促使厂商更加注重安全,提高安全产品和技术的安全质量。XPwn在关注现今生活比较流行的信息领域的安全问题的同时,更加关注未来信息技术领域的安全问题。

 

会议时间

2018年08月30日 09:30-16:00

 

会议地点

751D-park 第一车间(北京市朝阳区酒仙桥路4号)

 

主办方

北京未来安全信息技术有限公司

 

精彩报道

早上9点,来参会的各个嘉宾和媒体陆陆续续达到现场并在接待小姐姐的指引下进行签到~


会议外场内有许多展台,嘶吼、百度安全、蚂蚁金服都为大家准备了各式各样的精彩游戏,并且有美女小姐姐指导~还有主播在进行现场直播。呆神在抓娃娃机的一旁开怀大笑,不知道今天这几台抓娃娃机又要发挥何种作用,我们拭目以待~

在主持人小姐姐的介绍下,呆神首先上场进行致辞,算上今天,呆神说,他已经在这里呆3天了,他希望在今天的XPow会议好朋友们都能大家一起聚集起来,共同探索一些比较火的安全问题,同时也让大家玩的开心,破解的开心。他还提到了外边的抓娃娃机,他希望XPwn能够为大家带来更多更有意思的东西,今天就会有人来为大家演示如何迅速抓娃娃机~

百度安全事业部总经理马杰认为XPwn上有很多非常有价值的议题,在大会开幕后会有非常多精彩的漏洞演示和分析。黑客这个词英文本义是Hacker,没有黑白之分,我们做的是对系统的探索,是对本质的追求。我们要探索世界、改变世界。我们要用开放的心态迎接未来的变化,让世界更加美好。

都说”天下没有免费的午餐”,可你知道吗?通过某些技术手段,远程攻击收银系统,不仅可以享受到免费的午餐,还能顿顿吃大餐!这给很多餐饮和其他一些消费类商家造成了极大的损失和危害。复旦大学白泽战队的两位研究员(根据主办方要求,为保护选手安全,本次不做具体选手信息介绍~)为我们带来了分享:

远程攻破智能收银台–无需付费吃大餐~

复旦大学白泽战队

在现在的订餐流程上,在技术层面目前已知的安卓系统漏洞就有几百个,定制化过程引入大量的未知漏洞;在运营层面,商家的安全意识不足,商户的无线网络同时还开放给顾客,这就给了我们可乘之机!他给我们讲解了一系列攻击流程,不管是演示者的哪一方点菜下单,都能把自己的账单结算到别人的账户上,真正演示了别人帮你买单的操作~

破解主流收银系统,你的订单我做主

百度安全实验室

百度安全实验室 的两位小伙伴上场为我们演示的是破解主流收银系统,一位演示者首先讲解到:未来会是一个智能化的世界,生活日常都离不开日常,他们的寻找目标就是1,与生活息息相关.2.影响广泛,3.可真实利用的漏洞场景,4.可能产生威胁到健康、个人隐私、金钱的安全问题。本着能提升行业整体安全性和探索未来安全方向和方法的原则他接下来为我们演示了如何让整排桌号瞬间结单,并且所有的攻击都是远程攻击,菜品先上来再退单,这样就能完美躲避付款、通过控制打印机,无限享受菜品,想吃什么就吃什么。

收银台的安全问题在过往很容易就被忽视,大家可能想当然地认为,只要收银员靠谱就不会有漏洞。没有多少人会盯上商家的收银系统。但如今是智能的时代,漏洞会带来的安全隐患可能是无处不在的,需要我们大家,特别是商家和企业时时处处,提高警惕!

一锤定音——手机浏览器的破解秀!

蚂蚁金服光年实验室

说到安全漏洞问题,可能大家最直接的认知和体验来自网络浏览器的使用过程,我想现在大多数使用手机的人都会用到手机浏览器。确实,手机的轻巧、便捷和智能化,让现代人越来越依赖手机的通讯、信息、社交、娱乐和办公等多项功能,但恰恰因此,手机才成为最常,也是最易被攻击对象之一。

会议中,来自蚂蚁金服安全实验室安全研究员为大家展示了攻破某手机浏览器和OS X系统。蚂蚁金服光年安全实验室的安全研究员仅仅让用户点击了一个网页链接,便监控了浏览器此后的所有上网行为。比如,获取用户的浏览网站内容、盗取登录凭证、盗取用户名和密码。也就是说,各类账号均在黑客的掌握之下。

此外,Mac电脑也不是绝对安全的。蚂蚁金服光年安全实验室的另一组安全研究员展示了如何攻破OS X系统,攻击者最终可获得内核权限,完全接管受害者运行macOS电脑,实现多种恶意行为。

 

智能家居领域存在的安全隐患和解决之道

胖猴实验室团队

网络安全问题已是当下关系到每一个人的问题,不管你用不用手机、上不上网。我们就生活在这个信息化、智能化的时代,安全漏洞带来的隐患不止存在于虚拟网络世界中,同样存在于智能家居等很多其他领域当中。

一个门锁的安全就是保卫我们的安全,分享着说、但是这个小安全我们瞬间就能打开,在物联网的浪潮之下我们不知道还会出现怎样的安全隐患。他们的演示让我们了解了在智能家居领域,同样存在的安全隐患,这样可以更好地保护我们的家庭财产和家人生命安全!也可以让相关企业更好地完善他们的产品,为百姓生活提供更安全的服务。

 

抓娃娃的秘密–这就是你要的极客精神

在今天上午,我们与大家一同了解到有关智能终端、智能家居领域中涉及的一些安全问题,相信大家一定会和小安一样都觉得十分精彩。在下午的环节中,我们会延续上午的精彩。首先,要上场与大家分享话题的可是两位网络红人。他们是 抓娃娃达人–堂主 和 抓娃娃玩偶比赛最佳王者–解先生,这可能也是第一次两位,面对面的与这么多人分享。

堂主说要想成为一个会抓娃娃的人,一个抓娃娃的大神,首先第一步需要做的是要熟悉各类的机型,当你熟悉了所有的娃娃机的玩儿法之后,接下来要做的是什么?一定要眼观六路、耳听八方,就是去捡漏的。最开始要有一个技术的入门,首先得学会甩爪。把甩爪的原理搞清楚之后就可以疯狂的肆虐了,就可以去清机了。如果想晋级到大神抓娃娃,也需要多加的练习。各位能成为黑客大神,也不是某一天被劈成黑客大神的,肯定是心怀着一个热情,在这个伟大的时代里,在人生中更疯狂一些,根据你的好奇心积极进去,不要放弃你的梦想,这些疯狂是我们这个时代所需要的。

王总接下来也上台发表了对两位演示者的看法,他说他之所以想把这个东西拿到这个舞台上,我想传递给大家的是,我认为这是一种极客精神和一个黑客的精神,是对于一些很多问题不断的探索去追究、去挖掘的精神。抓娃娃从一开始和我们黑客、研究安全都是一样的,都是在对某一件事情,在某一个点上产生了浓厚的兴趣,在当初最简单的出发点,对他的兴趣、挑战,也是为了一个小姐姐,或者是一个兴趣,或者是为了任何一个东西,发现他的特点然后找到他的机制,对他进行总结分类。其实很多人都抓过娃娃,但是真的有谁研究过娃娃机有多少种,我认为他们讲的甩爪等等,在我们安全中来讲都有它相应的称呼,我们发现的bug,在座的很多评委都是专业的研究人员,大家都是用不同的思维做不同的事情,他们在不断的推行一种主义、一种精神,像黑客是追求一种精神,我认为一个极客精神的非常非常大的表现,我希望能够通过这个东西,跟大家传递一些非常有意思的精神,以及对我们所做事情的技术方面的精神的一个解读。我也非常高兴看到这样一些事情,希望用这种简单的方式让更多人看到更多的东西,用最简单的秀的模式、展示的模式,让大家更加注重技术、安全的提高,这是我们最重要的精神,支撑我们做任何的事情都是我们的好奇心,是我们的坚持、毅力、钻研。

相信上午大家对手机浏览器破解秀还记忆犹新,接下来来自蚂蚁金服光年安全实验室的小伙伴为大家展示了最新OS X系统攻破秀。他今天来演示的这个项目是最新的MACX。

以系统速度快、稳定性强和安全性高著称的OS-X系统也被攻破了,这为每个使用OS-X系统的用户和企业敲响了警钟,一方面我们作为用户要多学习这方面的知识,另一方面企业也要投入更多精力放在如何提高系统安全性的问题上,这样才能让每个用户更安全、放心的使用产品!

加上之前的没有演示的沙箱逃逸,多一个代码器的漏洞,把这些串联组合起来就会有一个非常可怕的效果,你会发现你电脑所有的东西都在黑客的掌握之中

利用漏洞链攻破Netgear路由漫游系统

在这个网络的时代,相信在座的每一位对路由器大家都不会感到陌生。接下来来自中科院信息工程研究所–轩辕SRG团队,他们分享的话题是:利用漏洞链攻破Netgear路由漫游系统。

防范漏洞问题带来的安全隐患不仅是每个人、也是每个企业一定要提高的安全意识、学习安全知识,也是所有相关企业和研究团队要持续钻研的课题,责任重大、任重道远!诚然,我们已经进入到一个信息化、智能化、大数据化的网络时代,网络、人工智能、大数据技术将被更广泛地应用在人们日常生活和社会经济活动的方方面面,网络安全问题必将成为一个更广泛和普遍的问题。在座的每一个企业、每一位专家、从业者,都肩负着发现网络安全漏洞问题、警示安全隐患、提高安全能力的重担,也承载着未来网络自由与安全的重要使命!

2018XPwn未来安全探索盛会的所有演讲和分享环节到此就结束了!接下来要进行的是一个激动人心的环节–颁奖典礼!

今天所有项目团队代表,上台领奖。今年的奖杯,比起往届更佳注重奖杯的实用性,奖杯是由一块真正的硬盘定制而成。颁奖嘉宾王英键王总上台颁奖!并和获奖选手一起合影留念。

2018 XPwn未来安全 探索盛会到此就要结束了。感谢所有赞助商、合作伙伴和媒体朋友们的鼎力支持,感谢每一位陪伴我们至此的嘉宾和朋友!

 

XPwn一直坚信通过发现并改进安全问题,能够推动网络生活更好地向前发展;负责任地公开安全问题,能够有效的促进厂商改进安全措施,提高安全意识,更好的为客户服务,降低安全风险和由于安全问题可能产生的安全损失。我们希望借Xpwn大会的力量,能够加强安全研究团队和厂商之间的互动合作,让更多的人关注漏洞隐患,了解安全问题。也让更多的人听到XPwn的声音,愿意和我们一起携手努力,打造一个更加安全、智慧的未来世界!让全人类在安全的网络环境下,共享网络世界的自由与美好!

Image

 

会议内容

XPwn2018将持续探索、共同关注六大安全领域:

1、智能终端

针对主流手机及流行智能终端设备的未知漏洞进行利用和攻击,最终实现对设备的完全控制。

2、智能穿戴

针对主流的智能手表、智能手环、智能眼镜等智能可穿戴类设备和系统。

3、智能家居

针对主流的智能家居产品,包括但不限于智能安防类产品,智能家电产品、智能检测类产品等。

4、智能交通

针对智能汽车、车联网、无人机、无人车、共享单车等智能设备和系统。

5、未来安全

针对未来发展中可能会遇到的安全问题,包括但不限于人工智能、机器人控制等安全问题。

6、公众安全

大数据、社会公益、反欺诈等危害公众的安全问题。

商务合作,文章发布请联系 anquanke@360.cn
分享到:微信
+11赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66