今天,又是1024程序员节,又是一年一度GeekPwn 国际安全极客大赛举办的大日子。
今年,腾讯安全携手GeekPwn,联合安信天下、任子行、深信服、拓尔思、卫士通、知道创宇等,共同发起首届新基建安全大赛,从极客视角把脉新基建安全建设,通过攻防预演,揭示5G、AI、云计算等新基建的重点行业中可能遇到的安全威胁,定位并解决安全问题,以提升相关厂商和行业的安全性,为新基建的安全发展保驾护航。
(看到图是不是后悔没到现场的GeekPwn2020)
来自全球的顶级安全极客,不仅带来了他们的新基建场景下前沿安全风险研究成果,并在现场上演了一场攻防大秀。
而云计算作为新基建重要的一环,其安全性不容小觑,腾讯安全再度联合GeekPwn,继2019年发起首届云安全挑战赛之后,推出了第二届云安全挑战赛。
在新基建安全大赛的赛场上,战况那叫一个精彩激烈。
01
5G、车联网、自动驾驶、物联网……
十一大挑战项目引爆现场
在GeekPwn 2020的舞台上,新基建安全大赛总共制定了11个前沿的新基建应用相关比赛,供到场极客们现场展示研究成果,并就结果进行相互PK:
- 多个品牌LTE基站(4G/5G)设备及渗透
- 攻破(绕过)箱包安检仪(X光机)
- 干扰自动驾驶汽车雷达枪
- 远程侵入操控植保无人机
- 5G网络协议攻破
- 车联网汽车近场(蓝牙)漏洞利用
- 汽车后装数字钥匙破解
- 破解汽车充电桩实现免费充电
- 智能电表攻破(远程拉闸)
- 基于侧信道的DNS缓存污染攻击
- 篡改停车场收费系统
先说5G,腾讯安全玄武实验室此前研究出了一种攻击路径,通过利用未知漏洞,可以劫持5G网络下TCP传输的远程攻击。黑产团伙可以利用这个漏洞实施多种形式的攻击,例如伪造银行向受害者发送短信告知异常交易,引导受害者去点击一个链接,实际上这个链接被植入木马,可以窃取受害者银行卡信息;也有可能伪造受害者的手机号向其家人发短信,提出转账或者其他要求;甚至劫持任意HTTP访问,造成用户账号密码等敏感信息泄露。
(新基建安全大赛 - 5G网络协议攻破挑战)
在公共设施服务方向中,腾讯安全平台部也在本次大赛上演了一场关于汽车充电桩的破解挑战。攻击方通过未知漏洞直接破解充电桩的充电协议,完成“盗刷”操作,直接帮助攻击者实现“免费”充电。
汽车车辆本身也是本次会议上的一个新基建应用重点方向,从一种通过近场车联网,也就是蓝牙的位置漏洞,来直接破解汽车的车锁系统;另外一个是低成本、小型化地实现对自动驾驶汽车的雷达干扰;最后是停车,直接利用相关的位置漏洞,远程攻破停车场的收费系统。
其他方向的研究成果和案例还有很多:利用位置漏洞远程控制植保无人机,通过修改无人机的飞行路径,影响植保效果;利用汽车后装钥匙漏洞,直接实现对于汽车系统远程攻击;利用自制的静默装置,干扰附近监听录音设备,确保信息沟通的保密性等等。
总的来说,虽然只是第一次举办,已经有非常多的极客参与到“新基建”安全大赛中来,与安全企业一起为新基建的建设“把脉”,助力夯实新基建的安全底座。
02
云上真实靶场大练兵
七大战队云上火拼
延续去年的,基于真实云环境的云安全挑战赛落地,今年的赛事再次升级,赛制覆盖云计算“全栈”环境。选手们在更多元、复杂的云计算环境中,进行实战对抗。
(第二届云安全挑战赛获奖战队)
在线上热身赛中突围的七支战队在云端展开长达8小时的终极对决后,Emoji战队以10209.7的总积分,获得GeekPwn第二届云安全挑战赛的冠军。
在比赛现场,腾讯云安全副总经理李滨就腾讯云安全建设的实践和云鼎实验室的前沿研究,正式发布云安全安全发展趋势:云原生安全兴起、零信任发展元年、以数据为中心的安全体系、新身份认证技术、持续性准实时安全对抗、软硬件供应链安全、DevSecOps方兴未艾、数据安全“新”合规、多云协同的云安全治理模式。
(腾讯安全发布云安全九大趋势)
此前,腾讯安全面向行业发布了首个云原生安全体系图谱,在今年的腾讯全球数字生态大会·CSS互联网安全领袖峰会-产业专场上,腾讯安全还联合信通院、天融信、绿盟科技、深信服等联合发布了国内首个《“云”原生安全白皮书》,结合国内产业数字化转型特点,对云原生安全做出了定义。
而就在三天前,腾讯云正式成为首批通过信通院大规模容器集群性能测试评估的云服务商,获得最高级别“卓越级”认证。腾讯云容器服务凭借优秀的整体防护能力同时收获“容器平台安全能力”的最高级别——先进级认证。基于腾讯云在容器性能和安全能力建设方面的丰富实践经验,腾讯云受邀成为信通院最新成立的云原生安全工作组的核心成员。
探索了在新基建快速发展之下,技术快速迭代、法律法规相继出台,云安全建设面临的全新挑战,为企业云上安全建设和云安全技术发展方向提供新指南。
03
开放“腾讯级”安全能力
助力产业安全普惠
安全企业必须要有自己的担当。
(第二届云安全挑战赛比赛现场)
腾讯安全通过不断同全球顶尖赛事平台合作,一方面锻炼自身的安全能力,丰富在前沿安全领域研究与探索,另一方面,也在不断地为护航产业安全进一步积累技术经验和优秀人才,搭建更加完善的产业安全生态。
今年的DEF CON CTF,腾讯A*0*E联合战队以970分的成绩从16支战队中脱颖而出,斩获总冠军,刷新了中国战队在DEF CON CTF的最好纪录。DEF CON CTF是网络安全领域公认最知名、最具影响力的网络安全技术竞赛。因比赛强调团队配合且具有极强的对抗性,也被誉为网络安全领域的“世界杯”。这次夺冠,也代表中国CTF战队水平再次往前迈了一大步。
以云安全为例,目前腾讯安全已基于对腾讯云平台自身的安全建设与前沿研究,搭建出了一套覆盖云原生安全治理、数据安全、应用安全、计算安全和网络安全五大方面的云原生安全防护体系。
借助这一体系,腾讯安全不仅能够为腾讯云平台提供安全保障;还能为云上租户提供“开箱即用”的原生安全防护产品,帮助企业降本增效,提升整体的安全水位。
但我们也深知,安全的前路没有终点,只有远方。
未来,我们将持续保持与GeekPwn国际安全极客大赛的战略合作关系,致力于挖掘安全技术人才,积累前沿安全技术,探索产业智能与消费智能潜在的安全问题。携手生态伙伴将大赛上预演的攻防成果加速落地,为产业互联网发展提供更加完善的安全防护体系,助力产业健康成长。