GeekPwn 2019投屏設備攻擊項目選手
前面提到的案例���,參賽選手通過未知安全漏洞�,植入了惡意攻擊程序�����,感染了其它連接投屏設備的電腦���,然后遠程控制被感染的電腦拍攝了黃健翔的照片���。選手還演示了利用平板電視的漏洞,獲得了平板電視的root
shell����,截屏并獲取了圖片。通過對投屏設備的后門漏洞的攻擊���,還可以直接對會議內(nèi)容進行攝錄����。自帶無線投屏功能的無線傳屏器����,用來實現(xiàn)電腦端內(nèi)容在會議平板大屏上顯示,省卻了平常開會對書寫板挪來挪去���、擦來擦去的繁瑣��,但無線環(huán)境卻給了不懷好意者可乘之機�。這也就意味著�����,一旦攻擊成功��,公司的每一次會議都將被外界“直播”了����。
GeekPwn 2019上企業(yè)級網(wǎng)關(guān)權(quán)限攻擊挑戰(zhàn)成功
GeekPwn
2019還上演了一場利用多個安全漏洞,獲取某知名品牌全版本企業(yè)級網(wǎng)關(guān)權(quán)限的攻擊挑戰(zhàn)��。眾所周知�����,企業(yè)網(wǎng)關(guān)通常以路由模式部署于經(jīng)營環(huán)境中�����,是企業(yè)各個部門行為終端信息數(shù)據(jù)的轉(zhuǎn)發(fā)����、安全防護屏障�。雖說知名品牌一直在病毒特征容量����、AV模塊等各個環(huán)節(jié)有針對性的及時升級,但對于文檔溢出漏洞攻擊�����、未知惡意代碼攻擊���、0day漏洞等攻擊�����,依舊有措手不及的時候���。GeekPwn選手正是利用這些漏洞,攻擊并獲取企業(yè)級路由器最高權(quán)限�����,實現(xiàn)了監(jiān)控用戶的網(wǎng)絡行為。這就不難理解了���,你在辦公室里瀏覽的股票信息�、發(fā)給客戶的商業(yè)報價����,是如何被別人知道了。
在那些最為廣大人熟知的商業(yè)竊密糾紛案件中����,采用針孔攝像頭的偷拍無疑占據(jù)了絕對的罪惡手段比重���。得益于針孔攝像頭可輕易被偽裝成話筒�、錄音筆�����、簽字筆等辦公設備樣式�����,可以布置到最為隱秘的環(huán)境�����,從而讓竊取他人機密變得簡單可行。另外����,偷拍的內(nèi)容可用多種方式傳輸?shù)酵饩W(wǎng),這對現(xiàn)有企業(yè)信息安全防控體系是個巨大考驗����。為此,本屆GeekPwn組委會特意布置了這樣的環(huán)境�,通過考驗參賽選手的技術(shù)手段,不靠肉眼����,利用自制設備來探尋迅速找到隱藏攝像頭的方法。
來自騰訊安全玄武實驗室的選手在GeekPwn 2019上演“克隆指紋”
另外���,GeekPwn
2019賽場上�,來自騰訊安全玄武實驗室的陳昱成功上演了“克隆指紋”��,通過屏幕圖像采集技術(shù)以及指紋雕刻技術(shù)���,復制并制作受害者的假指紋���,現(xiàn)場了解鎖采用超聲波��、電容�、光學等不同指紋驗證技術(shù)的兩臺考勤機和三部手機�。由于當下智能手機近乎記錄了人們工作的全部軌跡,這一問題的嚴重性在賽場外正在開始受到重視�。諸如,某國有銀行在近期停用了某品牌手機用指紋解鎖開啟網(wǎng)絡銀行的功能��。
顯然��,我們正在遭遇更多竊密方式的攻擊���,原有的安全隱患也在發(fā)生新的變化。GeekPwn
2019之后���,因竊密風險而導致的對企業(yè)信息安全能力的思考還將繼續(xù)�。GeekPwn一直在為推動安全生態(tài)健康發(fā)展創(chuàng)造更新的競賽形式���,打造更為豐富的對抗場景��,為全球白帽黑客技術(shù)交流提供更大的舞臺�����,吸引更多的人關(guān)注企業(yè)數(shù)字化轉(zhuǎn)型時期的安全能力��,助力業(yè)界將更多的竊密行為扼殺在萌芽階段���,為全球安全產(chǎn)業(yè)生態(tài)持續(xù)保駕護航��!
