如何評價2016 GeekPwn澳門站黑客大賽？

01-16

沒看直播，聽說TCP Hijack很酷，以後會放視頻出來嘛？

謝廠長sama邀請 @熊秋悅 ~

5月12日GeekPwn (at) 澳門站中賽的直播視頻目前還沒有（不確定後續會不會流出），沒有趕上視頻直播的知友可以通過FreeBuf獨家文字版直播來了解大會內容：【已結束】GeekPwn澳門站，這一次黑闊們會施展哪些絕技？

開篇前先扯一點閑話。早年看《Matrix》系列的時候最吸引我的就是屏幕上飛速滾動的綠色代碼，so cool~，覺得黑客似乎無所不破，躲在縱橫連垣的網線背後操控著網路世界，每一個人的隱私都無所遁形。後來上大學讀了計算機專業，自己也會在各種窗口中敲著酷炫的code被人「稱酷」了，反而對黑客更加敬畏，從某種同行角度來看，黑客代表了一種精神，是遊走在利益邊緣的行業「清道夫」。

記得剛參加工作時和別人三居合租，同屋的室友一個喜歡早上6點半~7點半做飯，一個喜歡晚上12點~1點洗碗刷鍋做清潔，比太陽公公和月亮婆婆都準時，總之我每天在家的有限時間裡廚房和客廳簡直不得安寧，加上我睡眠質量又差，整個人簡直快瘋掉了，忍無可忍訴苦無果之後，我找房東要來路由器賬號密碼，悄悄對其他IP進行隨機限速，然後又寫了一個定時腳本（多半是被吵到的時候啟動），每隔10s發一條垃圾簡訊，每隔1min撥打一個騷擾電話，讓他們也嘗嘗被人打擾的滋味。大家臉皮都薄，所以沒過多久有一個室友就提前毀約搬走了，另一個也收斂了許多，每天憋得我心裡那個笑啊。那時候我就特別渴望自己能繞過許可權黑進路由器劫持對方信息干點小壞事，甚至想黑進智能電錶定時拉閘，滿眼都是對黑客技術的崇拜。

人在持續暴躁的情況下特別容易走極端，知友們千萬不要學......我當時也是被逼無奈只好以惡制惡。

在我有限的認知里，黑客在網路世界裡幾乎無所不能，尤其擅長操作系統和計算機網路技術，可以未經任何許可便登入對方系統拿到管理許可權。按照GeekPwn的活動發起和創辦人，碁震KEEN創始人兼CEO王琦（大牛蛙）的說法：「世界上不存在完全沒有安全漏洞的智能產品，但是安全漏洞被發現和消滅的越早，智能產品越安全，用戶越安全」。這次5.12 GeekPwn澳門站中賽，來自世界各地的一流Geek們依次呈現了破解智能保險箱、主流路由器、微軟Surface Pro、TCP Hijack、無人機、智能攝像頭、智能遙控器等的過程，炫技的同時也提升了網路環境的安全可靠性，提前遏制這些漏洞被不懷好意的黑帽子惡意利用。

- GeekPwn科普

GeekPwn——GeekPwn(極棒)2016澳門站,全球招募奇思妙想的安全極客，中文名叫極棒，是由Keen主辦的全球首個關注智能生活的安全極客（黑客）賽事平台，同時也是最前沿的國際化智能安全社區。Geek是「極客」的意思，Pwn是「攻破設備或者系統」的英文縮寫，所以GeekPwn的中文字面意思就是極客攻破新設備和系統。前兩年都是一年一屆，今年改為了一年兩屆，10月在上海還會有一場黑客嘉年華正賽。

早在3.15國際消費者權益日，央視就曾針對網路安全做過一次深度專題報道，聯合GeekPwn製作了一支黑客攻破並操控POS機、無人機、智能攝像頭、智能烤箱、智能汽車等的公益宣傳短片，對提升GeekPwn的知名度和普及網路安全都具有重大作用。

官方報道：GeekPwn終於可以說「感謝CCTV」了，宣傳短片直達：http://wscdn.miaopai.com/splayer2.1.5.swf?scid=zUE8M42Kft4KA4S4vcvoxQ。

- 5.12 GeekPwn澳門站中賽回顧

比賽項目仍然延續極棒關注智能生活的傳統，分為六大領域：智能手機、智能交通、智能穿戴、智能家居、智能娛樂以及「互聯網+」AP，按演示時間介紹：

破解智能保險箱：@黑客叔叔p0tt1的微博接入WiFi，等待用戶開啟一次保險箱，然後繞過加密演算法、各種綁定和驗證防護機制，成功打開了號稱3C認證的雲驗證的智能保險箱。隨後又通過直接獲取保險箱密碼明文的方式破解了號稱「防黑客防破解」的SAFEOK保險箱。
破解TP-Link路由器：來自山石網科的 @NEURON信息安全團隊的微博通過TP-Link路由器中一個未公開的漏洞獲取到最高許可權，成功篡改了路由器的DNS解析方式，將支付類的網站重定向到釣魚網站，轉移受害者的資金。
破解微軟Surface Pro：騰訊電腦管家網路攻防小組通過網路發送一個惡意的pdf文件，當受害者打開這個pdf文件，其電腦便被黑客控制。這個攻擊利用了兩個0day漏洞，是Pwn2Own級別的挑戰，獲取系統Kernel許可權的。
破解多款主流路由器：@長亭科技的微博連續破解了思科、華為榮耀、小米三款知名路由器。將用戶從正規APP市場下載的程序替換成了帶木馬的惡意程序，從而遠程完全控制了手機。
TCP Hijack：來自美國加州大學的選手 @曹躍（Homepage: 曹躍）在不共享鏈路（非中間人攻擊）的情況下截取電腦與伺服器的TCP鏈接，成功彈出一個釣魚頁面，盜走用戶密碼。
破解無人機：評委 @黑客老鷹的微博和兩名高一的參賽選手（GeekPwn史上最年輕選手）分別演示了劫持無人機的過程。
破解智能攝像頭和其他主流路由器：同樣來自 @長亭科技的微博的選手遠程向小蟻攝像頭髮起攻擊，利用漏洞獲得ROOT許可權，不僅竊取了歷史視頻，還讓攝像頭播放起了音樂《七子之歌》。與此同時另外一位參賽選手發現的華碩路由器漏洞，可以導致對公網上46000台路由器進行攻擊。此外，長亭還對其他9款主流路由器進行漏洞獲取最高許可權。
破解智能家用遙控器：這是一位非信息安全從業人員的演示，在比賽現場一口氣破譯了兩款不同的智能遙控器，演示了如何未經主人許可偽裝成主人對家裡的可遙控家電進行遙控。

其中，對大家生活影響最大的兩個項目當屬TCP Hijack和多款主流路由器破解。基於最普遍的討論，首先大家上網都離不開TCP / IP網路協議，它是今天互聯網高速發展的基石；其次大家上網都要通過路由器進行網路管理，這幾乎是家家戶戶都會用到的網路通訊設備。

這兩個項目分獲大賽一、三等獎，技術含量顯而易見。

- TCP Hijack

TCP是Transmission Control Protocol的縮寫，中文名叫傳輸控制協議，通常和IP（Internet Protocol，網際協議）一起組成TCP / IP協議族被研究。TCP / IP網路模型從上到下依次為應用層、傳輸層、網路互連層和網路介面層，雖然TCP/IP和OSI理想模型組不能精確地匹配，但業內普遍將兩者做了如下映射。

兩個終端之間發生數據傳輸採用基於TCP / IP的三次握手協議，具體過程為：

1）客戶端通過向伺服器端發送一個SYN來創建一個主動打開，作為三路握手的一部分。客戶端把這段連接的序號設定為隨機數A。
2）伺服器端應當為一個合法的SYN回送一個SYN/ACK。ACK的確認碼應為A+1，SYN/ACK包本身又有一個隨機序號B。
3）最後，客戶端再發送一個ACK。當服務端受到這個ACK的時候，就完成了三路握手，並進入了連接創建狀態。此時包序號被設定為收到的確認號A+1，而響應則為B+1。

以上分析介紹從機理上直接反映了TCP / IP是一個廣泛使用的安全網路傳輸協議。另外，在TCP的數據傳送狀態，還有一些重要的機制保證了TCP的可靠性和強壯性。它們包括：使用序號，對收到的TCP報文段進行排序以及檢測重複的數據；使用校驗和來檢測報文段的錯誤；使用確認和計時器來檢測和糾正丟包或延時。

通常在每個TCP報文段中都有一對序號和確認號。序號為32位定長，一共有 $2^{32}$ 種情況；確認號為16位定長，一共有 $2^{16}$ 種情況；將兩者進行交叉會產生 $2^{32} imes 2^{16}=2^{48}$ 種情況，這個數字大約是280萬億。從計算的角度出發，要想在TCP建立一次三次握手協議的有效期內破解具有280萬億解空間大小的報文頗為困難。

然而總會有人顛覆不可能。20年前是世界頭號黑客的凱文·米特尼克，利用當時還不完善的TCP協議實施了「任意互聯網會話劫持技術」並一舉成名；20年後是來自美國加州大學的選手曹躍，在不共享鏈路（非中間人攻擊）的情況下截取電腦與伺服器的TCP鏈接，重現當年經典。這個TCP協議棧的漏洞，會影響幾乎全部的安卓和Linux系統。

試想，全世界有好幾億安卓用戶（安卓智能手機市場佔用率是80+%），利用這個漏洞入侵者可以悄無聲息地在受害用戶手機中植入釣魚木馬，盜走電子賬戶上所有的錢；拷貝相冊中的照片；偽造受害用戶身份進行欺詐等。另外，安卓系統是基於Linux開發的，一脈相承，Linux作為一種廣泛採用做伺服器託管的開源操作系統，承載了世界上絕大部分政企機構的核心業務，如銀行的網銀系統、政府類繳稅系統等直接關係國計民生的系統。

商界著名的爆料網站 Business Insider就曾以美國視角寫過一篇文章描述了Linux對這個世界都的重要性：如果沒有 Linux ……，所以如果有一天Linux的安全性受到重大威脅，造成的損失不可估量。

需要特別說明的是，雖然這個漏洞影響巨大，但復現它的條件約束比較特殊、難度同樣巨大，所有成果還停留在學術研究的階段。@tombkeeper大大和當事人 @曹躍在geekpwn 大賽上的任意 tcp 遠程劫持是真的嗎？會在多大程度影響普通人的生活？ - 網路安全問題下關於這一點做出了比較正面、官方的回答，尤其是tk大大的比喻非常形象。所以短時間內對於一般人不會造成什麼影響，只要官方修復響應足夠迅速。

最新的消息是，他們的研究paper已經被四大頂級安全會議之一的 USENIX Security Accept了。

- 多款主流路由器破解

TCP / IP協議約定了網路傳輸的模型，路由器則提供了傳輸的設備。@長亭科技的微博在這次的GeekPwn大會上一共破解了包括思科、華為榮耀、小米、華碩等13款主流的路由器。簡單舉例，如果華碩的路由器被破解，就會給46000台公網伺服器帶來威脅（全球有這個漏洞的華碩路由分布圖）。一旦路由器被劫持，用戶在網上的行為將近乎裸奔，造成的後果可以參考 @Evi1m0大神在知乎的答案：無線路由器被蹭網後，有被黑的風險嗎？ - Evi1m0 的回答。

寫到這裡必須誇一下小米科技，他們是自家路由器被破解後第一個站出來積極響應的，不僅對白帽子們和GeekPwn表達了謝意，也及時修復了自家產品存在的安全問題。

【致謝信】感謝長亭科技和Geekpwn對小米安全的關注

黑客大賽存在的最大意義就是能讓世界各地的頂級極客團聚一堂，彼此交流學習，幫助各大廠商找出他們產品中的安全漏洞，然後私下告知對方提前修復，預防被其他不壞好意的黑帽子有機可乘，並在這個過程中得到了炫技的滿足感。烏雲平台（WooYun.org | 自由平等開放的漏洞報告平台）上每天都有上百個漏洞被提交，這就是極客們對網路環境安全的正向促進，他們每每深夜tracking，無數次面臨巨大利益誘惑，黑白帽子一念之間。

- 其他值得關注的黑客大會

除此之外，國內的Kcon（KCon 黑客大會 - 彙集黑客的智慧）、Xcon（XCon2015 安全焦點信息安全技術峰會）、烏雲白帽子大會（烏雲白帽大會 · WHF 2016 ，不插電等你來）、阿里安全峰會等，國外的Black Hat（Black Hat | Home）、Pwn2Own、DefCon（DEF CON? Hacking Conference）等都是值得關注的黑客大會。近期國內外黑客大會動態可以通過網站Help Net Security查詢，或Twitter訂閱 @securitycfp。

謝謝元元邀請。從澳門回來後一直在忙，拖到了今天才來回答。

（據說沒有圖。。。我用手機app回答的，不知道為什麼傳的圖都不見了，等我有時間重新傳好了。。。。）

因為楊博士帶領的研究組報名參賽了（隊伍名長亭科技），我也有幸目睹了這次GeekPwn大賽。

5.11日到了澳門之後先感慨了金沙城中心的豪華就去喜來登五樓的比賽場地提前檢查設備了。到準備室的時候發現到的最多的是主辦方和媒體。圖中是法國一台的記者們。

因為報的項目太多了（十款路由器一款攝像頭），其他隊都檢查完之後我們還沒進行到一半，等檢查完後已經深夜了（晚餐也心酸地吃外賣）

（選手服真是大，好在我機智地打了個結）

現在進入正題啦，5.12的精彩大賽

借別人的籌碼拍的

（評委們）

長亭科技頭牌研究員楊博士和長亭科技實習生

一下台就有媒體圍上來，可能是楊博士太可愛了

其實也照了很多其他選手的照片，在相機里沒整理，等整理了再來傳圖。

我們報的是十款路由器和一款攝像頭，在破解過程中不斷聽到「完了，我用的就是這款」「我用的也沒逃過啊」這樣的驚呼。最快的一個破解演示只用了幾十秒。但是，台上十分鐘台下十年功，台下十年功，楊博士他們用了兩個月來做準備才有了那天的演示成功。其他選手也是一樣，你看騰訊電腦管家團隊的surface破解演示時間也是以秒計，但是研究過程也是異常艱辛、漫長的。

說幾件有趣的事

遇到了16歲的兩個參賽者，據說從小學六年級就開始研究安全了，由於未成年人保護法就不傳他們照片了；

有一個做食品安全工作的女參賽者，之前完全沒有安全基礎甚至計算機學科基礎，因為自己買了個智能遙控器就按照網上教程學習，然後成功了。你們看，學習是從動手做開始，所以別一天到晚都在問「我感興趣，我該怎麼學啊」「我想學網路安全，我該學點啥呀」，講真，真要想學，你自己會知道怎麼學的；

關於 tcp 協議那個漏洞，是真的，只是會有限制條件，所以也不必太恐慌。已經被很多人問過是否真實的問題；

其他的暫時記不起了，記起了再補充。

主辦方、評委，選手們出遊（後面那張是在澳門威尼斯人酒店三樓的大運河廣場）

因為不是第一次參加geekpwn了，也明顯感覺到geekpwn越辦越好。要知道大部分的會議啊比賽啊都是越辦越差了的，希望geekpwn能堅持越來越好。

這樣的比賽，很多人說是在作秀。說實話啊，geekpwn 把黑客比賽帶到了大眾面前，讓大家意識到網路安全的重要性，這件事的意義並不小，對網路安全帶來的正面推進作用也是持續的。

就我一個人覺得渣渣嗎

作秀的成分遠大於技術本身

視頻肯定會有的，文字直播已經有了。

當然，細節部分，還是等視頻吧。

生活中的小事兒，才是平常人最關心的。

我分分鐘秒破你的保險箱，害不害怕？

知道你ip就能虐暴你，害不害怕？

航拍到一半，小飛機都給你拐跑了，害不害怕？

wifi隨便連你家的，害不害怕？

win系列倆0day通殺秒，害不害怕？

攝像頭變家裡「第三隻眼」，害不害怕？

不說了，我電視遙控器被劫持，惡意換台了……我去處理一下。

GeekPwn的微博

之前一直關注Geekpwn，一直關注Keen Team，這回在澳門也辦了一場，太屌了~

沒有去現場，看到了直播，雖然直播有點晃動，但是Geekpwn的微博，還有很多安全圈的微信群都一直在直播，他們真的很強~很震撼

還有，就是那個獎勵的地雷~13斤，哈哈~ 這個也太貴重了，託運的話也很貴吧~ 不過還是很羨慕獲獎的人~

期待上海的Geekpwn，到時一定要去現場看看~

簡單來說，我個人來看，是一次發燒友大聚會，選手之間發燒的東西都一樣，所以可以聊的東西非常多。很多人說是黑客奧運會，我覺得，競賽是次要的，選手之間玩的很happy啊，你會看到你不懂的，我也能看到我不懂的，只要你夠謙卑，就能學到很多東西。看到很多新的方向。對選手對觀眾，更多的我們不是參與和觀看比賽，而是去獵奇。黑客？首先要有一顆獵奇的心，玩些不一樣的東西。

再來，扯扯技術方面的東西，會看到有的人發現了新的問題，有的人能夠腦洞去組合利用，有的人能彎道超車。這才是技術的多樣性，和做題目，拼同一領域的比賽有很大差異，這才是重點和觀賞性。

最後扯扯人吧，看到了老朋友，看到了新朋友，有老大哥，有兄弟，有老炮，有小鮮肉。就這些，選手之間私下的交流能玩一年。

結語：

沒指望去用一天比賽學到多少技術，但是你能去獵奇，沒指望你能看到多少大神與大牛，但你能看到相似的執著與堅定，也許更沒指望看到多少新的東西，但你能發現很多新的方向。還有，萬一，你沒指望的，都出現了呢？

感謝下觀眾，感謝現場忙忙碌碌台前幕後的工作人員，我們暢快的玩了一天！

期待有更多類似這樣PWNPWN SHOW SHOW的比賽和人出現.

白帽子黑客圈（安全圈）內交流大會，安全圈與智能設備廠商間交流大會。後者是重點。無論漏洞本身，還是主辦方的傳播主旨，都在向設備側傳遞壓力、意識和策略，終極目標是提升和鞏固智能生活安全信心。無安全，不智能。

GeekPwn 聚集了一大群愛好安全的極客們，不僅給了他們展示才華的舞台，更和極客和廠商們一起，不斷推動產品更加安全，進而保護了廣大用戶的安全和隱私，喚起了社會對安全的認知，形成了一個安全的生態閉環。

要一直這麼牛逼！！

場外觀看圖文直播，真的又一次大開眼界了。

看呆了，炫酷

GeekPwn關注互聯網安全維護廣大網民的安全

第一次和大牛蛙聊，他在談到籌辦GeekPwn時說，希望通過這個渠道發掘更多的極客人才，免得他們被埋沒。此後便看到第一屆、參加了第二屆、因為老媽生病沒去參加第三屆。一屆比一屆好看，酷斃了。

希望這個GeekPwn越辦越好！

一個非常棒的關注極客文化，智能安全的黑客比賽。