騰訊安全 X GeekPwn，一場產業安全攻防大秀 | 1024

• 2019 年 10 月 25 日
• 筆記

今天，國際安全極客大賽GeekPwn2019在上海正式拉開帷幕。作為GeekPwn的「老朋友」，騰訊安全連續六年來到現場，與GeekPwn一起見證極客的奇思妙想。

今年的GeekPwn稍顯不一樣，在產業互聯網的浪潮下，極客們的挑戰開始了新的征程。正如騰訊副總裁丁珂在GeekPwn現場開幕致辭中表示，伴隨着產業互聯網的到來，極客們開始進入了攻防「下一戰」，也將他們肩負的安全使命推向了更加重要的地位。

安全的本質，是人和人的對抗，其實就是攻防。以GeekPwn為代表的安全大賽，就是最好的攻防技術操練場。在這裡展示的攻防技術、積累下來的攻防經驗、挖掘到的攻防人才，今後都將輸出給產業互聯網，共同推動產業互聯網的安全建設。

那麼在今年的GeekPwn現場，騰訊安全帶來了哪些產業安全的前沿對決？

首創雲上攻防賽事

➤雲鼎實驗室攜手GeekPwn發起首個基於真實通用雲環境的雲安全挑戰賽

作為本屆GeekPwn的特色賽事之一，騰訊安全雲鼎實驗室攜手GeekPwn發起的雲安全挑戰賽，也是目前全世界首個基於真實通用雲環境的雲安全攻防競賽。騰訊安全雲鼎實驗室通過採用最主流的雲平台開源組件，結合實驗室雲攻防靶場黑科技，構建了一個真實的、可以完整工作的全棧雲環境，完全復現主流雲平台的架構、技術和系統軟硬件環境，預演雲上攻防。

雲安全挑戰賽的試題設置了4個難度級別、16道賽題，供參賽選手自由選擇。

最終，來自上海交通大學的0ops戰隊率先突破9道賽題，累計得到2210分，獲得本屆雲安全挑戰賽一等獎，復旦白澤戰隊與r3kapig戰隊分獲二、三等獎。所有參賽選手展示出來的攻防能力和思路都將反哺現實世界的一線雲上攻防，更好地守護用戶的雲端安全。

指紋識別研究新突破

➤玄武實驗室公布自動化破解指紋識別設備技術

在發起安全賽事的同時，騰訊安全在本屆GeekPwn上還帶來了多項前沿領域攻防技術的研究成果。繼去年披露「殘跡重用漏洞」後，騰訊安全玄武實驗室今年再次在GeekPwn的舞台上，帶來了指紋識別領域的最新研究——自動化破解多種類型指紋識別，通過提取用戶在日常生活中留存的指紋，自動化進行克隆復原，進而可以破解各種智能手機、保險箱、考勤機等使用了電容、光學和超聲波三種類型的指紋驗證設備。

這次自動化破解各類指紋設備看上去是指紋的「複製」與「粘貼」，但創下了許多記錄：

• 應用了玄武實驗室獨家自研的指紋破解APP及指紋採集框；
• 能夠實現在極小面積指紋殘影情況下提取復刻有效指紋；
• 首次將雕刻技術應用在系統破解領域；
• 國際上第一次成功攻破超聲波屏下指紋識別技術。

目前，騰訊安全玄武實驗室同華為、小米等國內主流手機廠商達成合作，攜手構築移動互聯網安全生態，守護用戶的信息安全。

 破解智能手機新姿勢

➤移動安全實驗室多漏洞組合攻破主流智能手機

智能手機的安全威脅屢見不鮮，但大部分都是單個漏洞引發的安全威脅。但如果那些單個沒有嚴重威脅的漏洞組合在一起會怎樣？

今天下午，騰訊安全移動安全實驗室登台挑戰三個品牌手機的破解項目——利用最新系統手機中的漏洞進行攻擊，實現在手機中自動安裝、運行APP，獲取手機的GPS位置信息等操作。

通過在被攻擊的手機訪問一個網站，該網址里的內容是利用手機漏洞構造好的一些鏈接，一旦被攻擊的手機訪問這些鏈接，就會觸發相關的漏洞，當漏洞一個一個被觸發並組合串聯起來，最終會安裝指定的應用程序，並將其調起。在現場驗證中，騰訊安全移動安全實驗室最多用了7個漏洞、最少用了4個漏洞，便攻破了3款當下主流的安卓手機。

隨着物聯網的發展和智能家居設備為廣大的用戶接受，各類設備、流量、賬號系統、甚至移動端app，安全邊界越來越模糊，生態體系包括第三方授權和集成的緯度也越來越多，導致在各個層面安全問題頻繁出現。移動安全實驗室和眾多的設備廠商聯合，在智能設備准入，身份認證，賬號體系，以及行業解決方案上深度合作，給個人用戶和企業用戶提供領先的安全保障能力。

 完成防禦DDoS新挑戰

➤騰訊安全大禹成功緩解全新思路DDoS攻擊

GeekPwn現場還上演了一場無需控制殭屍網絡，僅通過較低配置的個人電腦、低帶寬網絡，就可以對世界上最流行的網站發起DDoS的演示。

參賽團隊使用了一種全新的利用CDN互聯網通用協議未知缺陷，來實現對目標站點的DDoS攻擊。騰訊安全大禹分佈式防禦系統為整個項目提供了護航支持，一方面監控攻擊流量，驗證挑戰攻擊是否真實有效；另一方面在攻擊完成之後，大禹系統快速精準清洗攻擊流量，確保目標站點正常運轉。

騰訊雲大禹BGP高達300G的防護服務和多達35線的BGP線路，讓您的業務不再畏懼DDoS攻擊的挑戰，同時擁有極速的訪問體驗。

安全攻防體驗

➤騰訊安全展台搭建「黑入辦公區」互動

為了進一步向在場觀眾傳遞安全攻防技術的魅力和成果，騰訊安全在GeekPwn設置了主題為「黑入辦公區」的三個互動體驗遊戲，直指當下備受關注的身份驗證安全問題，寓教於樂，呼籲用戶提升安全意識。

不斷重視並打磨安全攻防能力的過程中，騰訊安全已取得了顯著的成果，不僅在Pwn2Own、DEF CON等世界頂級黑客大會上斬獲多項冠軍榮譽，讓世界看到中國極客的力量；還曾發現特斯拉漏洞、應用克隆、殘跡重用等重磅漏洞，協同相關廠商，助力構建安全生態。並以此為基礎，面向政府、金融、泛互聯網、大交通等產業互聯網轉型的重點行業領域，形成了完善的行業安全解決方案，助力政府機構及企業應對新時期的安全威脅與挑戰。

產業互聯網時代，安全的重要性已經被提到前所未有的高度，安全需求也將迎來爆髮式增長。伴隨着GeekPwn平台凝聚越來越多的極客力量，在產業層面對前沿攻防的研究、對安全威脅的預演，對安全技術的探索，都將在產業互聯網時代厚積薄發，發揮更大的「護航」作用。

– END –

騰訊安全正在護航產業安全

– 政府機構&綜合性國企 –

國家工商總局 | 深圳寶安區政府 | 公安部交科所 | 深圳金融辦 | 信通院 | 深圳公安局 | 招商局集團 ……

– 金融行業 – 

中國銀行 | 招商銀行 | 華夏銀行 | 中國建設銀行 | 江蘇銀行 | 光明銀行 | 微眾銀行 | 交通銀行 | 富途 ……

– 交通行業 – 

如祺出行 | 祥鵬航空 | 電科航電 | 蔚來 | 深圳地鐵 | 國鐵吉訊 | 廣汽集團 | 上汽集團 | 滴滴出行 ……

– 零售行業 –

貴州茅台 | 蒙牛乳業 | 東鵬飲料 | 家樂福 | 洋河酒廠 | 永輝超市 | 寶潔 ……

– 互聯網 –

同程藝龍 | 虎牙直播 | 唯品會 | 嗶哩嗶哩 | YY直播 | 快手 | 知乎 | 熊貓直播 | 京東 | 順豐 | 蘑菇街 ……

騰訊安全的一手資訊，你也「在看」嗎？

↓↓↓