GeekPwn 2019投屏設(shè)備攻擊項(xiàng)目選手
前面提到的案例����,參賽選手通過(guò)未知安全漏洞,植入了惡意攻擊程序�����,感染了其它連接投屏設(shè)備的電腦���,然后遠(yuǎn)程控制被感染的電腦拍攝了黃健翔的照片���。選手還演示了利用平板電視的漏洞,獲得了平板電視的root
shell���,截屏并獲取了圖片。通過(guò)對(duì)投屏設(shè)備的后門(mén)漏洞的攻擊��,還可以直接對(duì)會(huì)議內(nèi)容進(jìn)行攝錄���。自帶無(wú)線(xiàn)投屏功能的無(wú)線(xiàn)傳屏器�����,用來(lái)實(shí)現(xiàn)電腦端內(nèi)容在會(huì)議平板大屏上顯示���,省卻了平常開(kāi)會(huì)對(duì)書(shū)寫(xiě)板挪來(lái)挪去��、擦來(lái)擦去的繁瑣����,但無(wú)線(xiàn)環(huán)境卻給了不懷好意者可乘之機(jī)�����。這也就意味著�,一旦攻擊成功,公司的每一次會(huì)議都將被外界“直播”了�����。
GeekPwn 2019上企業(yè)級(jí)網(wǎng)關(guān)權(quán)限攻擊挑戰(zhàn)成功
GeekPwn
2019還上演了一場(chǎng)利用多個(gè)安全漏洞�,獲取某知名品牌全版本企業(yè)級(jí)網(wǎng)關(guān)權(quán)限的攻擊挑戰(zhàn)。眾所周知���,企業(yè)網(wǎng)關(guān)通常以路由模式部署于經(jīng)營(yíng)環(huán)境中�����,是企業(yè)各個(gè)部門(mén)行為終端信息數(shù)據(jù)的轉(zhuǎn)發(fā)�、安全防護(hù)屏障。雖說(shuō)知名品牌一直在病毒特征容量���、AV模塊等各個(gè)環(huán)節(jié)有針對(duì)性的及時(shí)升級(jí)����,但對(duì)于文檔溢出漏洞攻擊����、未知惡意代碼攻擊、0day漏洞等攻擊����,依舊有措手不及的時(shí)候。GeekPwn選手正是利用這些漏洞����,攻擊并獲取企業(yè)級(jí)路由器最高權(quán)限��,實(shí)現(xiàn)了監(jiān)控用戶(hù)的網(wǎng)絡(luò)行為�。這就不難理解了��,你在辦公室里瀏覽的股票信息���、發(fā)給客戶(hù)的商業(yè)報(bào)價(jià),是如何被別人知道了���。
在那些最為廣大人熟知的商業(yè)竊密糾紛案件中�,采用針孔攝像頭的偷拍無(wú)疑占據(jù)了絕對(duì)的罪惡手段比重�����。得益于針孔攝像頭可輕易被偽裝成話(huà)筒��、錄音筆��、簽字筆等辦公設(shè)備樣式�����,可以布置到最為隱秘的環(huán)境��,從而讓竊取他人機(jī)密變得簡(jiǎn)單可行����。另外��,偷拍的內(nèi)容可用多種方式傳輸?shù)酵饩W(wǎng)���,這對(duì)現(xiàn)有企業(yè)信息安全防控體系是個(gè)巨大考驗(yàn)。為此�,本屆GeekPwn組委會(huì)特意布置了這樣的環(huán)境,通過(guò)考驗(yàn)參賽選手的技術(shù)手段�,不靠肉眼,利用自制設(shè)備來(lái)探尋迅速找到隱藏?cái)z像頭的方法���。
來(lái)自騰訊安全玄武實(shí)驗(yàn)室的選手在GeekPwn 2019上演“克隆指紋”
另外�����,GeekPwn
2019賽場(chǎng)上�,來(lái)自騰訊安全玄武實(shí)驗(yàn)室的陳昱成功上演了“克隆指紋”���,通過(guò)屏幕圖像采集技術(shù)以及指紋雕刻技術(shù)��,復(fù)制并制作受害者的假指紋�,現(xiàn)場(chǎng)了解鎖采用超聲波��、電容、光學(xué)等不同指紋驗(yàn)證技術(shù)的兩臺(tái)考勤機(jī)和三部手機(jī)����。由于當(dāng)下智能手機(jī)近乎記錄了人們工作的全部軌跡����,這一問(wèn)題的嚴(yán)重性在賽場(chǎng)外正在開(kāi)始受到重視。諸如����,某國(guó)有銀行在近期停用了某品牌手機(jī)用指紋解鎖開(kāi)啟網(wǎng)絡(luò)銀行的功能。
顯然����,我們正在遭遇更多竊密方式的攻擊,原有的安全隱患也在發(fā)生新的變化���。GeekPwn
2019之后���,因竊密風(fēng)險(xiǎn)而導(dǎo)致的對(duì)企業(yè)信息安全能力的思考還將繼續(xù)。GeekPwn一直在為推動(dòng)安全生態(tài)健康發(fā)展創(chuàng)造更新的競(jìng)賽形式����,打造更為豐富的對(duì)抗場(chǎng)景,為全球白帽黑客技術(shù)交流提供更大的舞臺(tái),吸引更多的人關(guān)注企業(yè)數(shù)字化轉(zhuǎn)型時(shí)期的安全能力�����,助力業(yè)界將更多的竊密行為扼殺在萌芽階段�����,為全球安全產(chǎn)業(yè)生態(tài)持續(xù)保駕護(hù)航����!
