2016年8月31日,以“未来安全 探索盛会”为主题的XPwn 2016大会盛大开幕,国内顶尖安全厂商、安全专家及白帽高手齐聚一堂。作为安全行业领导厂商,百度安全工程师在高手云集的现场,上演精彩网络安全攻防破解,并最终获得本次破解大赛10万奖金的最高奖。在展现出强大网络防御技术实力的同时,百度安全也已各种实战化的网络攻防破解演示、讲解,展现当前网络安全攻击、威胁的无处不在,以及作为安全厂商防御能力的不断提升。
图:百度安全工程师“小灰灰”以高超的攻防技术获得此次XPwn破解大赛最高奖
XPwn是国内最知名、最权威、举办规模最大的信息安全会议之一,本届大会更吸引了国内外一流的极客、黑客共同参与,并邀请到国内50位顶尖级安全专家与学者出席并担任顾问评委团。XPwn大会的宗旨是为了发现并解决智能设备上存在的安全问题,推动厂商及时修正问题,更加重视安全问题,探索更好的安全解决办法,从而提高产品安全防御能力。
自动贩卖机漏洞让购物不花钱 波及80%市场机型
此次百度安全团队工程师带来的自动贩卖机的破解攻防演示,也是现场最引人关注的项目。作为当前日常生活中较为常见的智能设备,百度安全团队从自动贩卖机的硬件端、设备APP端、服务端等多个维度入手,针对多个生产商、运营商的自动贩卖机产品,寻找到十余处漏洞和攻击方式。
百度安全现场演示中,对自动贩卖机进行破解的过程可谓迅速,短时间内即可让一台正常工作的自动贩卖机不花一分钱“吐”出各种商品,甚至可以实现退款等不可思议的操作。因此,即使在人员密集的场所,黑客等不法分子也可以神不知鬼不觉的对自动贩卖机进行破解。
根据百度安全的介绍,目前发现的漏洞已经覆盖当前市场80%的自动贩卖机机型,也就是当前广泛存在地铁、商场之中的自动贩卖机都存在极大的安全隐患。
据悉,百度安全团队针对此次破解项目进行了多达半个月的测试和实验,并且克服各种困难对各家的自动贩卖机进行不间断的重复测试、寻找问题,甚至对获取到的强混淆代码、协议、流量进行逆向分析、劫持。甚至为了任意网络信号的流量劫持,还对各运营商的3G、4G信号进行了测试。也因此,此次破解针对各种可能的存在问题点进行了切入,软件、物理、服务端无不涉及,并最终让发现的每一个问题漏洞都有了针对性的安全解决方案。
最终,由于此次攻防演示的安全隐患涉及范围广、危害大、破解多样,且具有极强的可操作,对厂商、消费者都有可能造成不小的经济影响,且针对多层次、方面的漏洞百度安全给出了全面而可操作的应对解决解决方案,评委们也将这一破解项目评为现场最高分,百度安全工程师“小灰灰”,也拿到了XPwn破解大赛最高奖,获得了10万元最高金额的最高奖励。
智能+时代 矛尖方可盾利
智能+时代,智能设备不断普及,万物互联,由设备漏洞引发的安全隐患也将因智能设备基数呈几何数字激增而被无限放大。任何厂商的任何产品都有可能在不自知的情况下被黑客攻击,信息安全防护变得越来越重要。这对于充当信息安全“守门员”角色的安全厂商提出了更高要求。安全厂商必须先于通过技术性犯罪分子,掌握攻击破解方式,这样才能进行行之有效的防御策略,为个人用户及企业提供安全保障。
也因此,百度安全这样的安全厂商也积极摸索、挖掘当前各种设备、应用存在的漏洞、隐患。而在XPwn现场,除了自动贩卖机的破解,还有利用思科防火墙身份认证模块的漏洞进行恶意代码写入,从而获得网络管理权限、内网监听等破解攻击的演示;以及西门子PLC控制器之间的恶意代码传播;锤子手机的破解;最新版本的iOS 10 beta8的越狱,甚至是网银的破解演示。可谓精彩不断的同时,更是让人唏嘘不已。
与会专家表示,当前中国网络安全技术的防御能力,必须依托于对网络攻击的了解,而攻防实力的全面,矛尖盾利的的安全厂商,才是能否迎接未来网络安全挑战的核心竞争力。针对当前网络安全环境,无论是行业还是企业,都还需要更为开放、信任的态度去面向安全厂商,共同提高我国网络安全的防御能力。
随着互联网的快速发展,用户生活越越来越互联网化。近期由于用户信息泄露造成的网络安全事件频发,影响到用户个人隐私泄露,造成用户财产甚至生命安全。互联网安全能力与互联网发展不匹配的问题越来越明显,互联网安全面临升级。传统针对于用户端杀毒、清理,针对于企业静态防火墙防御的方式已经不适应与新的互联网安全要求,更多转变为基于攻防能力、动态防护的综合安全。
