GeekPwn 2019關(guān)注商業(yè)竊密場景，將反竊密進(jìn)行到底

隨著GeekPwn 2019賽事的開展，或許企業(yè)需要重新評估自己信息安全保障的能力了。

今年GeekPwn 2019比賽上，主持人黃健翔頗感意外，一臺剛剛進(jìn)行了投屏操作的電腦，竟然在“無人”的情況下，拍下了他的照片。原來，這臺電腦已經(jīng)被現(xiàn)場參賽選手遠(yuǎn)程控制了。與此同時，現(xiàn)場的投屏電視展現(xiàn)的畫面，也被截屏竊取了。他究竟是怎么辦到的?

近年來，國際商業(yè)環(huán)境的商業(yè)信息竊密事件層出不窮，因竊密技術(shù)手段的不斷升級也讓對這一問題的討論持續(xù)升溫，更是讓GeekPwn 2019賽事上那些發(fā)現(xiàn)企業(yè)安全漏洞的事情變得更加值得關(guān)注。那本屆比賽上，他們?yōu)槲覀兘颐亓四男┥虡I(yè)竊密手段呢?

GeekPwn 2019投屏設(shè)備攻擊項目選手

前面提到的案例，參賽選手通過未知安全漏洞，植入了惡意攻擊程序，感染了其它連接投屏設(shè)備的電腦，然后遠(yuǎn)程控制被感染的電腦拍攝了黃健翔的照片。選手還演示了利用平板電視的漏洞，獲得了平板電視的root shell，截屏并獲取了圖片。通過對投屏設(shè)備的后門漏洞的攻擊，還可以直接對會議內(nèi)容進(jìn)行攝錄。自帶無線投屏功能的無線傳屏器，用來實現(xiàn)電腦端內(nèi)容在會議平板大屏上顯示，省卻了平常開會對書寫板挪來挪去、擦來擦去的繁瑣，但無線環(huán)境卻給了不懷好意者可乘之機(jī)。這也就意味著，一旦攻擊成功，公司的每一次會議都將被外界“直播”了。

GeekPwn 2019上企業(yè)級網(wǎng)關(guān)權(quán)限攻擊挑戰(zhàn)成功

GeekPwn 2019還上演了一場利用多個安全漏洞，獲取某知名品牌全版本企業(yè)級網(wǎng)關(guān)權(quán)限的攻擊挑戰(zhàn)。眾所周知，企業(yè)網(wǎng)關(guān)通常以路由模式部署于經(jīng)營環(huán)境中，是企業(yè)各個部門行為終端信息數(shù)據(jù)的轉(zhuǎn)發(fā)、安全防護(hù)屏障。雖說知名品牌一直在病毒特征容量、AV模塊等各個環(huán)節(jié)有針對性的及時升級，但對于文檔溢出漏洞攻擊、未知惡意代碼攻擊、0day漏洞等攻擊，依舊有措手不及的時候。GeekPwn選手正是利用這些漏洞，攻擊并獲取企業(yè)級路由器最高權(quán)限，實現(xiàn)了監(jiān)控用戶的網(wǎng)絡(luò)行為。這就不難理解了，你在辦公室里瀏覽的股票信息、發(fā)給客戶的商業(yè)報價，是如何被別人知道了。

在那些最為廣大人熟知的商業(yè)竊密糾紛案件中，采用針孔攝像頭的偷拍無疑占據(jù)了絕對的罪惡手段比重。得益于針孔攝像頭可輕易被偽裝成話筒、錄音筆、簽字筆等辦公設(shè)備樣式，可以布置到最為隱秘的環(huán)境，從而讓竊取他人機(jī)密變得簡單可行。另外，偷拍的內(nèi)容可用多種方式傳輸?shù)酵饩W(wǎng)，這對現(xiàn)有企業(yè)信息安全防控體系是個巨大考驗。為此，本屆GeekPwn組委會特意布置了這樣的環(huán)境，通過考驗參賽選手的技術(shù)手段，不靠肉眼，利用自制設(shè)備來探尋迅速找到隱藏攝像頭的方法。

來自騰訊安全玄武實驗室的選手在GeekPwn 2019上演“克隆指紋”

另外，GeekPwn 2019賽場上，來自騰訊安全玄武實驗室的陳昱成功上演了“克隆指紋”，通過屏幕圖像采集技術(shù)以及指紋雕刻技術(shù)，復(fù)制并制作受害者的假指紋，現(xiàn)場了解鎖采用超聲波、電容、光學(xué)等不同指紋驗證技術(shù)的兩臺考勤機(jī)和三部手機(jī)。由于當(dāng)下智能手機(jī)近乎記錄了人們工作的全部軌跡，這一問題的嚴(yán)重性在賽場外正在開始受到重視。諸如，某國有銀行在近期停用了某品牌手機(jī)用指紋解鎖開啟網(wǎng)絡(luò)銀行的功能。

顯然，我們正在遭遇更多竊密方式的攻擊，原有的安全隱患也在發(fā)生新的變化。GeekPwn 2019之后，因竊密風(fēng)險而導(dǎo)致的對企業(yè)信息安全能力的思考還將繼續(xù)。GeekPwn一直在為推動安全生態(tài)健康發(fā)展創(chuàng)造更新的競賽形式，打造更為豐富的對抗場景，為全球白帽黑客技術(shù)交流提供更大的舞臺，吸引更多的人關(guān)注企業(yè)數(shù)字化轉(zhuǎn)型時期的安全能力，助力業(yè)界將更多的竊密行為扼殺在萌芽階段，為全球安全產(chǎn)業(yè)生態(tài)持續(xù)保駕護(hù)航!

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。