别了,温哥华
这两天,枫叶国的天气实在不算很好,下雨还小冷,特别是对于一个需要倒15个钟头时差的人而言——
但是,胖君每天还是跟打了鸡血似的,因为要在 Cansecwest上和好室友一起代表极棒实验室(GeekPwn Lab)分享四、五十分钟的干(DUAN)货(ZI)。
Cansewest 是北美地区最具影响力的安全会议之一,每年三月份在加拿大温哥华举行,同期举行的还是 PWN2OWN 破解大赛,相信这个大家也比较熟悉了。中国队向来战无不胜攻无不克,今年自然也没有例外。
额,楼好像歪了。
这是 Cansecwest 的胸卡,签到的时候就发了。
演讲时主持人是个不会说中文的日本人,因此还花了一段时间学习我们名字的正确发音。
“跟我念,宋......宇......昊,刘......惠......明。”
现在直入我们演讲的主题《网络大杀器——漏洞百出的IoT》。
现场准备 PPT 时照片
这次我们分享的 “IoT 漏洞”这一问题造成了去年与加拿大一墙之隔的美国半壁网络瘫痪事故,Mirai 病毒为首的疯狂侵染存在漏洞的路由器及网络摄像头。虽然,物联网智能硬件进入我们的日常生活时间还不算太久,但是因其引发的大规模网络安全事件层出不穷,指数级增长的 DDoS 流量、智能电视变身窃听设备、 320万台家用路由器漏洞被黑客利用植入后门......
过去几年,GeekPwn 选手累计提交漏洞上百个,其中 63% 属于单个漏洞完成的设备权限控制,而且所有漏洞中仅 29% 是内存破坏漏洞。GeekPwn 选手提交的所有漏洞均属于高危漏洞,可以这么说,在 IoT 领域的漏洞等级不高,但是危害极大。
继而,我们分析了极棒过去案例、探讨当下 IoT 设备的安全问题,一般情况中通过逆向、debug以及测试之后便能从硬件中发现一些漏洞,过程通常也不是很复杂。现场,我们列举了几个利用十分巧妙的智能硬件设备漏洞,解剖了它们所患的“顽疾”。
然后我们聊一些“轻松的话题”,比如说 IoT 漏洞的危害?
路由器漏洞导致黑客劫持流量、POS 机出卖了个人信息和现金、智能插座化身僵尸网络发送微博......监视时刻存在,如果身为安全专家的你我再不行动起来,比 Mirai 还要恐怖十倍的混乱在不远处等着我们。
没错,我们就是这样有凭有据地吓唬大家的。
最后分享一个小花絮吧。入住酒店时因为我们是两个汉子,结果被前台大妹纸认真地反复问:“你们二位住在一起么?”
——当然是的——
然后我们就听到了对方银铃般的笑声......看到这里,你们大概能领会我想在题目中表达的情绪了。
Cansecwest 虽然结束了,但是议题中汇聚了极棒三年走过那些“坑”。世上绝没有“秒破”的攻击,罗马也非一日建成的。唯有坚持一步步走下去,才会在停留时等来下一道彩虹。
胖君悄悄话
总有人在后台给胖君留言:“胖君,你到底有多胖啊???”
胖君在此解释一下,此“胖”非彼“胖”,是 PWN 的“胖”。
作为一个立志将生命的“PWN 基因”表达到极致的人,“胖君”为极棒青年/少女们代言,任何人都可能是“胖君”,只要你 PWN 得有个性!
请输入标题 abcdefg
极棒年中赛// 选手报名// 购票开放