专栏首页腾讯安全腾讯安全 X GeekPwn,一场产业安全攻防大秀 | 1024

腾讯安全 X GeekPwn,一场产业安全攻防大秀 | 1024

今天,国际安全极客大赛GeekPwn2019在上海正式拉开帷幕。作为GeekPwn的“老朋友”,腾讯安全连续六年来到现场,与GeekPwn一起见证极客的奇思妙想。

今年的GeekPwn稍显不一样,在产业互联网的浪潮下,极客们的挑战开始了新的征程。正如腾讯副总裁丁珂在GeekPwn现场开幕致辞中表示,伴随着产业互联网的到来,极客们开始进入了攻防“下一战”,也将他们肩负的安全使命推向了更加重要的地位。

安全的本质,是人和人的对抗,其实就是攻防。以GeekPwn为代表的安全大赛,就是最好的攻防技术操练场。在这里展示的攻防技术、积累下来的攻防经验、挖掘到的攻防人才,今后都将输出给产业互联网,共同推动产业互联网的安全建设。

那么在今年的GeekPwn现场,腾讯安全带来了哪些产业安全的前沿对决?

首创云上攻防赛事

➤云鼎实验室携手GeekPwn发起首个基于真实通用云环境的云安全挑战赛

作为本届GeekPwn的特色赛事之一,腾讯安全云鼎实验室携手GeekPwn发起的云安全挑战赛,也是目前全世界首个基于真实通用云环境的云安全攻防竞赛。腾讯安全云鼎实验室通过采用最主流的云平台开源组件,结合实验室云攻防靶场黑科技,构建了一个真实的、可以完整工作的全栈云环境,完全复现主流云平台的架构、技术和系统软硬件环境,预演云上攻防。

云安全挑战赛的试题设置了4个难度级别、16道赛题,供参赛选手自由选择。

最终,来自上海交通大学的0ops战队率先突破9道赛题,累计得到2210分,获得本届云安全挑战赛一等奖,复旦白泽战队与r3kapig战队分获二、三等奖。所有参赛选手展示出来的攻防能力和思路都将反哺现实世界的一线云上攻防,更好地守护用户的云端安全。

指纹识别研究新突破

➤玄武实验室公布自动化破解指纹识别设备技术

在发起安全赛事的同时,腾讯安全在本届GeekPwn上还带来了多项前沿领域攻防技术的研究成果。继去年披露“残迹重用漏洞”后,腾讯安全玄武实验室今年再次在GeekPwn的舞台上,带来了指纹识别领域的最新研究——自动化破解多种类型指纹识别,通过提取用户在日常生活中留存的指纹,自动化进行克隆复原,进而可以破解各种智能手机、保险箱、考勤机等使用了电容、光学和超声波三种类型的指纹验证设备。

这次自动化破解各类指纹设备看上去是指纹的“复制”与“粘贴”,但创下了许多记录:

  • 应用了玄武实验室独家自研的指纹破解APP及指纹采集框;
  • 能够实现在极小面积指纹残影情况下提取复刻有效指纹;
  • 首次将雕刻技术应用在系统破解领域;
  • 国际上第一次成功攻破超声波屏下指纹识别技术。

目前,腾讯安全玄武实验室同华为、小米等国内主流手机厂商达成合作,携手构筑移动互联网安全生态,守护用户的信息安全。

 破解智能手机新姿势

➤移动安全实验室多漏洞组合攻破主流智能手机

智能手机的安全威胁屡见不鲜,但大部分都是单个漏洞引发的安全威胁。但如果那些单个没有严重威胁的漏洞组合在一起会怎样?

今天下午,腾讯安全移动安全实验室登台挑战三个品牌手机的破解项目——利用最新系统手机中的漏洞进行攻击,实现在手机中自动安装、运行APP,获取手机的GPS位置信息等操作。

通过在被攻击的手机访问一个网站,该网址里的内容是利用手机漏洞构造好的一些链接,一旦被攻击的手机访问这些链接,就会触发相关的漏洞,当漏洞一个一个被触发并组合串联起来,最终会安装指定的应用程序,并将其调起。在现场验证中,腾讯安全移动安全实验室最多用了7个漏洞、最少用了4个漏洞,便攻破了3款当下主流的安卓手机。

随着物联网的发展和智能家居设备为广大的用户接受,各类设备、流量、账号系统、甚至移动端app,安全边界越来越模糊,生态体系包括第三方授权和集成的纬度也越来越多,导致在各个层面安全问题频繁出现。移动安全实验室和众多的设备厂商联合,在智能设备准入,身份认证,账号体系,以及行业解决方案上深度合作,给个人用户和企业用户提供领先的安全保障能力。

安全攻防体验

➤腾讯安全展台搭建“黑入办公区”互动

为了进一步向在场观众传递安全攻防技术的魅力和成果,腾讯安全在GeekPwn设置了主题为“黑入办公区”的三个互动体验游戏,直指当下备受关注的身份验证安全问题,寓教于乐,呼吁用户提升安全意识。

不断重视并打磨安全攻防能力的过程中,腾讯安全已取得了显著的成果,不仅在Pwn2Own、DEF CON等世界顶级黑客大会上斩获多项冠军荣誉,让世界看到中国极客的力量;还曾发现特斯拉漏洞、应用克隆、残迹重用等重磅漏洞,协同相关厂商,助力构建安全生态。并以此为基础,面向政府、金融、泛互联网、大交通等产业互联网转型的重点行业领域,形成了完善的行业安全解决方案,助力政府机构及企业应对新时期的安全威胁与挑战。

产业互联网时代,安全的重要性已经被提到前所未有的高度,安全需求也将迎来爆发式增长。伴随着GeekPwn平台凝聚越来越多的极客力量,在产业层面对前沿攻防的研究、对安全威胁的预演,对安全技术的探索,都将在产业互联网时代厚积薄发,发挥更大的“护航”作用。

- END -

腾讯安全正在护航产业安全

- 政府机构&综合性国企 -

国家工商总局 | 深圳宝安区政府 | 公安部交科所 | 深圳金融办 | 信通院 | 深圳公安局 | 招商局集团 ……

- 金融行业 - 

中国银行 | 招商银行 | 华夏银行 | 中国建设银行 | 江苏银行 | 光明银行 | 微众银行 | 交通银行 | 富途 ……

- 交通行业 - 

如祺出行 | 祥鹏航空 | 电科航电 | 蔚来 | 深圳地铁 | 国铁吉讯 | 广汽集团 | 上汽集团 | 滴滴出行 ……

- 零售行业 -

贵州茅台 | 蒙牛乳业 | 东鹏饮料 | 家乐福 | 洋河酒厂 | 永辉超市 | 宝洁 ……

- 互联网 -

同程艺龙 | 虎牙直播 | 唯品会 | 哔哩哔哩 | YY直播 | 快手 | 知乎 | 熊猫直播 | 京东 | 顺丰 | 蘑菇街 ……

腾讯安全的一手资讯,你也「在看」吗?

↓↓↓

本文分享自微信公众号 - 腾讯安全(TXAQ2019),作者:腾讯安全

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-10-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 腾讯安全与青藤云安全合作升级,助力客户完成年度大型攻防实战

    继联合发布主机安全产品之后,腾讯安全和青藤云安全近期合作再次升级。此次合作,将以腾讯安全提供的年度大型攻防实战方案为基础,以青藤全方位客户服务为支撑,助力行业客...

    腾讯安全
  • 网络安全独家课程,【产业安全公开课】限时报名通知!

    产业安全的重要性得到前所未有的重视,企业内鬼、不法黑客、黑产大军、史诗级漏洞、APT攻击、数据盗窃等四面八方的安全威胁,都是企业转型升级过程中不得不面对的挑战。...

    腾讯安全
  • GeekPwn 2020云靶场挑战赛报名倒计时1天!欢迎顶尖“云上CTFer”踢馆

    7月11-12日,第二届GeekPwn云靶场挑战赛线上热身赛战火将重燃“云上”,再过1天就将失去了报名机会!你还不赶紧行动报名?

    腾讯安全
  • 软件安全性测试(连载26)

    科学是一种强有力的工具。怎样用它,究竟是给人带来幸福还是带来灾难,全取决于人自己,而不取决于工具。刀子在人类生活上是有用的,但它也能用来杀人。

    小老鼠
  • npm

    Dean0731
  • Oracle诊断案例-SGA与Swap之一

    案例描述: 用户报告,服务器启动一段时间以后,无法建立数据库连接 重新启动几分钟以后,再次无法连接 系统无法正常使用.

    数据和云01
  • [nodejs]修改全局包位置,修复npm安装全局模块命令失效。好记性不如烂笔头

    Node.js通过npm的-g命令可以将包保存在全局,让所有项目共享,但默认情况下,会保存在/usr/lib/node_modules目录下,造成根目录空间不足...

    landv
  • NoSQL初探之人人都爱Redis:(2)Redis API与常用数据类型简介

      首先,不得不说Redis官方提供了众多的API开发包,但是目前Redis官方版本不支持.Net直接进行连接,需要使用一些第三方的开源类库。目前最流行的就是S...

    Edison Zhou
  • 如何获取Jetson TX2这块板的唯一id?

    The "cpuid.h" header is architecture specific to x86. The Intel libraries are de...

    GPUS Lady
  • 小知识:MySQL修改lower_case_table_names参数

    环境:MySQL 5.7.25 起初创建环境时没有要求表名称不区分大小写,后续应用使用提出要设置lower_case_table_names=1的需求,期望表...

    Alfred Zhao

扫码关注云+社区

领取腾讯云代金券