GeekPwn 2019關注商業(yè)竊密場景，將反竊密進行到底

隨著GeekPwn 2019賽事的開展，或許企業(yè)需要重新評估自己信息安全保障的能力了。

今年GeekPwn 2019比賽上，主持人黃健翔頗感意外，一臺剛剛進行了投屏操作的電腦，竟然在“無人”的情況下，拍下了他的照片。原來，這臺電腦已經被現(xiàn)場參賽選手遠程控制了。與此同時，現(xiàn)場的投屏電視展現(xiàn)的畫面，也被截屏竊取了。他究竟是怎么辦到的?

近年來，國際商業(yè)環(huán)境的商業(yè)信息竊密事件層出不窮，因竊密技術手段的不斷升級也讓對這一問題的討論持續(xù)升溫，更是讓GeekPwn 2019賽事上那些發(fā)現(xiàn)企業(yè)安全漏洞的事情變得更加值得關注。那本屆比賽上，他們?yōu)槲覀兘颐亓四男┥虡I(yè)竊密手段呢?

GeekPwn 2019投屏設備攻擊項目選手

前面提到的案例，參賽選手通過未知安全漏洞，植入了惡意攻擊程序，感染了其它連接投屏設備的電腦，然后遠程控制被感染的電腦拍攝了黃健翔的照片。選手還演示了利用平板電視的漏洞，獲得了平板電視的root shell，截屏并獲取了圖片。通過對投屏設備的后門漏洞的攻擊，還可以直接對會議內容進行攝錄。自帶無線投屏功能的無線傳屏器，用來實現(xiàn)電腦端內容在會議平板大屏上顯示，省卻了平常開會對書寫板挪來挪去、擦來擦去的繁瑣，但無線環(huán)境卻給了不懷好意者可乘之機。這也就意味著，一旦攻擊成功，公司的每一次會議都將被外界“直播”了。

GeekPwn 2019上企業(yè)級網(wǎng)關權限攻擊挑戰(zhàn)成功

GeekPwn 2019還上演了一場利用多個安全漏洞，獲取某知名品牌全版本企業(yè)級網(wǎng)關權限的攻擊挑戰(zhàn)。眾所周知，企業(yè)網(wǎng)關通常以路由模式部署于經營環(huán)境中，是企業(yè)各個部門行為終端信息數(shù)據(jù)的轉發(fā)、安全防護屏障。雖說知名品牌一直在病毒特征容量、AV模塊等各個環(huán)節(jié)有針對性的及時升級，但對于文檔溢出漏洞攻擊、未知惡意代碼攻擊、0day漏洞等攻擊，依舊有措手不及的時候。GeekPwn選手正是利用這些漏洞，攻擊并獲取企業(yè)級路由器最高權限，實現(xiàn)了監(jiān)控用戶的網(wǎng)絡行為。這就不難理解了，你在辦公室里瀏覽的股票信息、發(fā)給客戶的商業(yè)報價，是如何被別人知道了。

在那些最為廣大人熟知的商業(yè)竊密糾紛案件中，采用針孔攝像頭的偷拍無疑占據(jù)了絕對的罪惡手段比重。得益于針孔攝像頭可輕易被偽裝成話筒、錄音筆、簽字筆等辦公設備樣式，可以布置到最為隱秘的環(huán)境，從而讓竊取他人機密變得簡單可行。另外，偷拍的內容可用多種方式傳輸?shù)酵饩W(wǎng)，這對現(xiàn)有企業(yè)信息安全防控體系是個巨大考驗。為此，本屆GeekPwn組委會特意布置了這樣的環(huán)境，通過考驗參賽選手的技術手段，不靠肉眼，利用自制設備來探尋迅速找到隱藏攝像頭的方法。

來自騰訊安全玄武實驗室的選手在GeekPwn 2019上演“克隆指紋”

另外，GeekPwn 2019賽場上，來自騰訊安全玄武實驗室的陳昱成功上演了“克隆指紋”，通過屏幕圖像采集技術以及指紋雕刻技術，復制并制作受害者的假指紋，現(xiàn)場了解鎖采用超聲波、電容、光學等不同指紋驗證技術的兩臺考勤機和三部手機。由于當下智能手機近乎記錄了人們工作的全部軌跡，這一問題的嚴重性在賽場外正在開始受到重視。諸如，某國有銀行在近期停用了某品牌手機用指紋解鎖開啟網(wǎng)絡銀行的功能。

顯然，我們正在遭遇更多竊密方式的攻擊，原有的安全隱患也在發(fā)生新的變化。GeekPwn 2019之后，因竊密風險而導致的對企業(yè)信息安全能力的思考還將繼續(xù)。GeekPwn一直在為推動安全生態(tài)健康發(fā)展創(chuàng)造更新的競賽形式，打造更為豐富的對抗場景，為全球白帽黑客技術交流提供更大的舞臺，吸引更多的人關注企業(yè)數(shù)字化轉型時期的安全能力，助力業(yè)界將更多的竊密行為扼殺在萌芽階段，為全球安全產業(yè)生態(tài)持續(xù)保駕護航!

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。