GeekPwn 2019投屏設備攻擊項目選手
前面提到的案例��,參賽選手通過未知安全漏洞����,植入了惡意攻擊程序�����,感染了其它連接投屏設備的電腦����,然后遠程控制被感染的電腦拍攝了黃健翔的照片����。選手還演示了利用平板電視的漏洞,獲得了平板電視的root
shell�����,截屏并獲取了圖片�。通過對投屏設備的后門漏洞的攻擊,還可以直接對會議內容進行攝錄����。自帶無線投屏功能的無線傳屏器��,用來實現電腦端內容在會議平板大屏上顯示�����,省卻了平常開會對書寫板挪來挪去���、擦來擦去的繁瑣,但無線環(huán)境卻給了不懷好意者可乘之機����。這也就意味著�,一旦攻擊成功,公司的每一次會議都將被外界“直播”了����。
GeekPwn 2019上企業(yè)級網關權限攻擊挑戰(zhàn)成功
GeekPwn
2019還上演了一場利用多個安全漏洞,獲取某知名品牌全版本企業(yè)級網關權限的攻擊挑戰(zhàn)��。眾所周知��,企業(yè)網關通常以路由模式部署于經營環(huán)境中���,是企業(yè)各個部門行為終端信息數據的轉發(fā)����、安全防護屏障。雖說知名品牌一直在病毒特征容量�、AV模塊等各個環(huán)節(jié)有針對性的及時升級,但對于文檔溢出漏洞攻擊�、未知惡意代碼攻擊、0day漏洞等攻擊�,依舊有措手不及的時候。GeekPwn選手正是利用這些漏洞�,攻擊并獲取企業(yè)級路由器最高權限,實現了監(jiān)控用戶的網絡行為�����。這就不難理解了��,你在辦公室里瀏覽的股票信息�����、發(fā)給客戶的商業(yè)報價�,是如何被別人知道了。
在那些最為廣大人熟知的商業(yè)竊密糾紛案件中�����,采用針孔攝像頭的偷拍無疑占據了絕對的罪惡手段比重。得益于針孔攝像頭可輕易被偽裝成話筒���、錄音筆����、簽字筆等辦公設備樣式����,可以布置到最為隱秘的環(huán)境,從而讓竊取他人機密變得簡單可行��。另外��,偷拍的內容可用多種方式傳輸到外網�,這對現有企業(yè)信息安全防控體系是個巨大考驗����。為此,本屆GeekPwn組委會特意布置了這樣的環(huán)境�,通過考驗參賽選手的技術手段,不靠肉眼�����,利用自制設備來探尋迅速找到隱藏攝像頭的方法。
來自騰訊安全玄武實驗室的選手在GeekPwn 2019上演“克隆指紋”
另外��,GeekPwn
2019賽場上��,來自騰訊安全玄武實驗室的陳昱成功上演了“克隆指紋”���,通過屏幕圖像采集技術以及指紋雕刻技術��,復制并制作受害者的假指紋���,現場了解鎖采用超聲波、電容��、光學等不同指紋驗證技術的兩臺考勤機和三部手機�����。由于當下智能手機近乎記錄了人們工作的全部軌跡�,這一問題的嚴重性在賽場外正在開始受到重視。諸如����,某國有銀行在近期停用了某品牌手機用指紋解鎖開啟網絡銀行的功能。
顯然,我們正在遭遇更多竊密方式的攻擊����,原有的安全隱患也在發(fā)生新的變化。GeekPwn
2019之后�,因竊密風險而導致的對企業(yè)信息安全能力的思考還將繼續(xù)。GeekPwn一直在為推動安全生態(tài)健康發(fā)展創(chuàng)造更新的競賽形式�����,打造更為豐富的對抗場景�����,為全球白帽黑客技術交流提供更大的舞臺�����,吸引更多的人關注企業(yè)數字化轉型時期的安全能力����,助力業(yè)界將更多的竊密行為扼殺在萌芽階段��,為全球安全產業(yè)生態(tài)持續(xù)保駕護航�!
