【猎云网(微信:ilieyun)上海】11月14日报道
11月13日,GeekPwn2018国际安全极客大赛启动仪式在美国硅谷举办。来自国内外的顶尖黑客和专家学者在本次启动仪式上展示了众多首发性、独创性的尖端技术:Google验证码应用——reCAPTCHA,被精心设计的AI算法轻松破解;远程TCP劫持技术让网银密码“不翼而飞”;AI安全领域最炙手可热的研究成果首次发布……
同时,还有来自Google、微软、苹果、英伟达、广达、京东、特斯拉、蔚来、三星、Trustlook、惠普等国际顶尖科技企业代表亮相,与全球顶尖黑客共同探讨未来信息安全的发展之路。
用未来视角看安全 黑客叫板人工智能
2017年,GeekPwn将人工智能作为全年的重点项目,AI安全成为本届GeekPwn的核心亮点之一。在本次启动仪式上,两位资深安全研究者李伟和沈里就带来精彩的人工智能挑战项目:利用一套精心设计的AI算法成功破解了Google黑科技——reCAPTCHA人机鉴别验证码系统。
reCAPTCHA是目前世界上使用最广泛的用于区分人类与电脑的全自动图灵测试系统,用以保护网站免受垃圾邮件和恶意攻击。活动现场,两位选手通过利用“神经网络”打造的一个能够自动预测并识别验证码图像的“机器人”,仅用20s的时间,就成功骗过了这项谷歌的黑科技算法,使其无法正确区分机器和人类的差别。
此前,在今年GeekPwn上海站上也有关于人工智能的破解演示。在“AI仿声验声攻防赛”环节中,有选手从目标人物的声音中学习声纹特征并合成语音音频,突破或实现欺骗目标系统本身的用户身份鉴别功能。还有通过深度学习DeepWriting,使得3D打印机可以伪造真人笔迹的破解演示。
作为全球最大关注智能生活的安全极客大赛,智能生活的安全威胁也在GeekPwn的舞台上“无所遁形”。来自加州大学河滨分校的钱志云教授和他的学生陈伟腾在GeekPwn2017硅谷站的现场揭开了TCP劫持的秘密。据选手介绍,他们是利用WiFi特性导致的侧信道来实现TCP旁路注入,由此可以在某银行网站非HTTPS加密的子页面中插入一个假的登录框,获取用户的账号密码。钱志云教授在现场表示,这种攻击能够实现对所有非HTTPS加密网站进行劫持攻击,使大量网站用户受到攻击。值得注意的是,相较于国外网站越来越多地实现全站HTTPS加密,该项技术在国内网站的普及程度还相对较低,这种攻击方式将会为国内的网站带来巨大影响。
深度学习安全性的新思考 机器视觉上演戏剧性错误
GeekPwn自2014年创办至今,始终受到业界的高度关注,今年更是邀请到加州大学伯克利分校教授Dawn Song、谷歌大脑谷研发工程师、计算机视觉与图像处理博士Alex Kurakin、加州大学伯克利分校博士后研究员Bo Li 、谷歌机器学习研究员Ian Fischer等顶尖专家学者加盟。
人工智能会成为威胁网络安全的“核武器”么? 在GeekPwn2018启动仪式的现场,加州大学伯克利分校博士后研究员Bo Li,分享了关于“对抗性样本“在物理世界中的影响。通过利用”对抗性样本“对交通标志牌进行细微改动,就能诱导机器视觉做出错误的判断。未来,该项研究也将被应用在自动驾驶汽车的实际检测中。
除了Bo Li外,来自谷歌大脑谷研发工程师、计算机视觉与图像处理博士Alex Kurakin和谷歌的机器学习研究员Ian Fischer也带来了一场对于机器学习系统安全性的新思考,展示了对抗性机器学习领域的最新研究成果。他们的分享或许能为如何利用对抗性样本指导人工智能完成复杂任务提供一个全新的思路。
技术大咖解读安全隐患 GeekPwn护航智能生活
如果说TCP是互联网的基石,那么Trustzone就是手机最后的一道屏障。2016年Nick Stephen就在GeekPwn2016上海站的舞台上一举攻破了手机最安全地区Trustzone。今年,Nick再次来到GeekPwn的舞台,分享了关于如何利用八个漏洞打穿手机最安全地区Trustzone的技术细节,揭开全球首次攻破手机指纹解锁背后的秘密。
同时,来自腾讯玄武实验室的安全研究员刘惠明则带来一个令人震惊的移动无线攻击样本——Wombie Attack。这项研究成果最早出现在今年5月的GeekPwn2017年中赛上,这也是该研究首次公开其技术原理。刘惠明在现场表示,Wombie Attack并不依赖网络进行传播,因此,在互联网上无法检测到它,除此之外,它也可以充当很多其他攻击手段的攻击放大器,一旦被利用,可能会引发智能手机病毒的“生化危机”,重现WannaCry。
除了移动智能设备,语音、书写、脸部、眼睛和指纹等生物识别的应用范围也越来越广泛。生物认证方法已被广泛应用于控制金融交易和安防领域。GeekPwn实验室总监王海兵通过结合GeekPwn2017上海站选手攻破生物认证的技术案例,重点强调了生物识别技术安全的重要性。
KEEN公司CEO、GeekPwn大赛发起和创办人王琦表示:“GeekPwn将继续引领创新,引导有才华横溢的极客发现一些更未来的问题,做一些更前沿的探索。”未来,GeekPwn希望集结全球安全领域的视野,从不同角度、不同思维模式去探求安全的更多可能,为全球安全研究员提供一个国际化的分享、交流平台,帮助网络安全以及人工智能健康发展。
够胆你就来 GeekPwn2018选手招募开启
除了脑洞大开的破解演示和精彩的主题演讲外,GeekPwn组委会也在现场宣布启动GeekPwn2018年中赛的选手招募,面向全球顶尖黑客发出“英雄帖”。据悉,GeekPwn2018年中赛将于 5 月 12 日在硅谷举办,“PWN AI”、“AI PWN”、“无所不PWN”将构成GeekPwn2018年中赛三大比赛内容。
为继续探索人工智能的安全问题,GeekPwn2018分别设置“PWN AI”及“AI PWN”两大AI挑战项目。“PWN AI”是指参赛选手需要利用可能存在的漏洞向AI发起攻击,使AI系统或组件停止工作,或引导AI系统做出错误的决策。而“AI PWN”则是要求参赛选手将人工智能(计算机视觉、语音识别、自然语言处理、自动驾驶等多种算法)作为攻击手段,去突破目标系统的限制,导致目标系统的原始功能停止工作,或泄露信息。GeekPwn希望通过这样的比赛形式,以黑客的思维预演人工智能领域所有可能存在的风险,保护人工智能健康成长。
同时,GeekPwn秉持关注智能生活的传统,将“无所不PWN”的比赛形式带到硅谷,鼓励黑客挑战智能生活所有可能存在的漏洞。值得一提的是,曾在GeekPwn2016嘉年华上演的“机器特工挑战赛”也将在GeekPwn2018年中赛上惊喜回归。参赛选手需要设计并制作一个拥有机械手臂、可以自主移动的机器人,并帮助机器人潜入模拟办公室环境,在规定时间内通过与电脑物理接触的方式,入侵电脑窃取数据。谁能成功完成从物理世界到数字世界的突破?机器版的“碟中谍”大战即将上演。GeekPwn与硅谷的第三次碰撞,也将继续带来精彩绝伦的顶级科技盛宴。