很长一段事件,Pwn2own是我觉得最有意思的活动,它不仅让cansecwest成为了高质量的黑客盛会,也给温哥华这个城市或多或少地带来了一些极客气质,直到我在国内看到Geekpwn并连着参与了三届。相比Pwn2own较为小众和集中在对巨头软件厂商的产品进行攻击的表演项目,Geekpwn面对的更多是市场上碎片化的软件应用和硬件设备,这些小厂商的安全隐患更多,更容易被攻击,而对于硬件厂商来说,安全带来的问题则比软件厂商严重的多。
Geekpwn是由Keen主办,腾讯协办的活动。 Keen是近两年来风投最劲的黑客团队,各大媒体上也经常可以见到大牛蛙(王琦)的身影。我在QCon担任出品人的一次就请过Keen的讲师给分享过安卓漏洞,其中一名讲师当时只有20岁,可谓是英雄出少年。 然而Geekpwn并不是Keen团队自己在那里秀肌肉,而是由几位专家构成的评审团坐阵,让民间高手上台展示技艺,最后颁发高额奖金。和娱乐圈的选秀相似,比赛项目以智能硬件为主,可看性很高,也更容易吸引关注。
??
过去两届Geekpwn分别是在北京和上海,而且是在10月24日——极客的节日,今年办了一场特别的澳门场,举办的初衷是一个国际化的尝试,并选择一个东方的赌城对标las vegas的黑客会议。对于我来说,澳门也是一个值得纪念的地方,能通过这样的机会重游故地,也是一种缘分。
本次Geekpwn上下午各有2个小时的挑战赛,媒体和观众可以用筹码去押注多少分钟被破解,越短的时间赔率约稿。破解的重点产品依然是硬件,可看性高,也更容易让观众有危险意识。一部手机的root可能并不会让你觉得是什么大不了的事,但是如果你的保险箱的控制器被root,这就不只是蛋疼的事了。
上午的之一个产品是保险箱,分别有一个wifi控制的和蓝牙控制的保险箱。远程控制保险箱明显不是个好主意,因为控制指令都是通过无线传输的,很容易伪造也很难辨别发送者是否取得授权。两个保险箱很快就被破解了,并被黑客设计了定时器把保险箱当成了闹钟。所以对于远程锁这种模式,只有在相对安全的领域,比如国内的小区里的快递取货箱或者是学校的储物柜可能还好,贵重物品的存放或是防盗门锁在目前的科技下还是更好不要使用远程控制功能长期打开的产品。
长亭科技是这次更大的赢家,也让我赢了不少筹码。 长亭科技是蓝莲花战队的主力构成核心团队的一家公司,创立之初就拿了真格的天使投资,创业之余依然保留了赛棍本色,屡屡派人出来收割奖金。 他们这次主攻的是路由器,大概破解了十几款,小米华为思科tplink都未能幸免。 我的好友,原新浪微博的安全负责人陈洋现在执掌小米安全,作为赞助厂商也被媒体追着围着打脸,各种花式 *** 逼问被破解后的感想,其实也怪不得他,都是用开源openwrt的系统,漏洞本来就多,同为openwrt的玩家,我自己估计以后也迟早要还。
这里还是要提醒一下路由器的安全是现在一个普遍的问题,因为大家几乎感觉不到路由器的存在,能上网就行了,谁没事去整路由器呢。然而对于黑客来说只要连上你所在路由器的wifi,就可以对你的路由器发动攻击,最终拿到权限后可以神不知鬼不觉地劫持你,本来你要上支付宝的,结果dns被劫持后给你打开一个钓鱼网站,中招了都不知道。下午还有一个细思极恐的现象,就是华硕的RTAC-686路由器,只要连上公网就可以访问上万台服务器的管理界面,这种事情都能发生我也是醉了。
这次迅速成功破解的还有一个团队,他们是对打上了最新补丁的全世界最新版本的windows 10进行破解,用的设备是surface pro。 整个手法非常干净利落, 打开一个对方发出的pdf文件,于是自己就彻底沦陷了。 这让我想起当年comex的ios越狱,姿势十分优美。 整个过程利用了2个0day,一个是adobe的pdf解析的漏洞,再从沙箱内用一个内核漏洞向系统发动攻击, 据选手说这个内核漏洞已经存在了15年之久,这种镇山之宝都肯拿出来,看来为了这次geekpwn我看也是够拼的。
压轴的项目是TCP劫持,重现凯文米特尼克的成名作, 只需要知道你的IP和你访问的网站的IP就可以劫持你,听起来是不是吊炸天? 上午尝试的时候由于 *** 原因和目标网站CDN站点变化等原因未能成功,下午才进行完毕,这是我近年来见过的最牛逼的pwn, 表演者是在加州大学博士生在读的黑客曹跃。 TCP三次握手是经典协议,由于序列号组成的复杂性,破解的难度极高,只能使用辅助的方式,这次应该是在linux尝试建立TCP的时候所产生的一个漏洞被黑客利用了起来, 以说是漏洞界的明珠,劫持可以无需任何媒介,不需要中间人,知道你在哪你在看什么,就可以攻击你,真可谓是千里之外取人贞操。
自从两年前创业以来,安全会议参加的越来越少了,但是对Geekpwn这样的活动我还是十分推荐的。它不光在外行人眼里热闹,每次都还能有一些有意思的干货和高价值的漏洞出现,更重要的是不断见到的新的面孔和神乎其技的手法。如果你是一名想展示身手的白帽子黑客,参加Geekpwn是你很好的选择,赚钱赚名声更能赚乐趣。如果你是一个对黑客有兴趣的外人,Geekpwn也是最不容易打瞌睡,全程无尿点的活动。
遭遇黑客入侵,为何马云不报警反用500万年薪招安?不服都不行
支付宝率先推出移动支付以来,在各方面收获了广泛好评。随后微信支付也崛起,两家竞争十分激烈。现在带现金出门的人越来越少。钱放进手机里面,尤其是支付宝中。存进余额宝或者是购买基金,都能够或多或少为他们带来额外的收入。我国有超8亿民众在使用支付宝,曾经有人就吐槽说,每个人支付宝里仅仅存一块钱,那么其后台就有8亿人民币,也就是积少成多。
马云及其团队开创了支付宝,不敢想象全国范围内每天在上面流通的金额会有多大。不少人会担心自己网上存钱会不会被盗。这里就不得不谈到黑客这一神秘职业。其实他们对于普通个人来说遇不大到的,除非是某些人叫他们恶意攻击某人。他们对破坏一些大型的安全系统有兴趣的多,因为这很有挑战性而且如果成功的话满足感会爆棚。
现在我们使用阿里集团的各种软件都还算是安全的,面对超千亿的集团来讲,就没有黑客来攻击吗?答案当然是有的。曾经有一次阿里就遭受了黑客侵入但是马云却没有报警而是开出年薪500万来招安,这让很多人都敬佩不已。
这个黑客名字叫做张瀚青。他为什么会明目张胆的攻击阿里集团的安全系统呢? 其实这是在他来应聘的时候展示自己高超的黑客技术的表演罢了。结果震惊了在场的所有人,这位年轻人仅花了三十秒的时间就入侵了阿里后台系统。可以说是史上遭受到的最严重最彻底的一次攻击了。马云预测到了张瀚青前途大有可为,就用年薪500万来聘请了他。
事实证明马云并没有看错,现在任何一个黑客想要侵入到阿里巴巴集团简直是难于上青天,他的安全系统在全球都是可以排的上名号的。而这一切张瀚青及其身后创立阿里神盾局功不可没。
马云的这一做法让人敬佩不已。可见其有广阔的心胸和长远的见识,要不然也不会把阿里集团发展地如此壮大了。在过去的一些新闻采访当中,马云的一些发人深省的话也是流传得很远。如果有他作为自己的领导,那对自己的职业发展肯定是大有益处。
阿里各方面都在精进,未来非常需要各色人才。现在看来,他们非常注重过硬的本事。如果你有专长,想不想去阿里应聘下呢?
我昨天刚看过,确实是一个很棒的表演!
表演者哭的原因不外乎有几个:1.表演得到评审的认可晋级哭了;2.在自己女朋友面前表现了不一样的自己高兴得哭了;3.应该是能因为比赛而继续留在英国和女朋友在一起而哭吧!
有优势就去哪个、天津科技大学、天津科技大学就是原来的天津工工业学院、天津工业大学哪个大学好、南开大学、河北工业大学、就会有收获、请从优势专业、那河北工大好还是天津大学好、它们原都是部属高校,现在也是教育部和天津市共建。 天津理工大学。天津科大原名天。只要努力付出过,天津财经大学。再看看别人怎么说的,...
你好广州鹭源条码技术工程师吴先生为你解打印机自带安装的驱动是在win7系统下是没有办法把它删掉的,然后在驱动里面设置你需要的打印参数。 ZEBRA888TT找上海千予吧毕苗刚。没有墨这种东西可能与碳带有关。还可能与打印。 综合性能OK的话选斑马Zebra888条码打印机算是不错。 然后按住走纸键开机...
就是在行走过程中提供WiFi热点给用户使用,它只是一个类似路由器可随身携带的上网卡托而已,是通过无线移动路由器和无线运。 流量卡。需要一张流量资费卡或电话卡。有两种方法、构成可以互相通信和实现资源共享的网络体系。不是说有了移动随身wifi就可以上网了哦,购买移动随身wifi。打开可以看到里面有一本说...
手表广告语西铁城手表的新广告。老子儿子弦子其中的一段掏掏心窝把话说请采纳骂声娃子少撒泼息息气压压火心要平气要和摊牌亮底谁的错掏掏心窝把话说咱掏掏心窝把话说。 爸爸的儿子下一秒,03时长95分钟,吴小军。 谢谢你准时,长江七号,禁忌系列,评心论恁是真心孝敬,谢谢。 你好是悠悠寸草心没错仅代表个人观点。...
一场春梦一室生春万古长春丽藻春葩口角春风回春之术回春妙手大地回春大地春回如坐春风如登春台妙手回春富于春秋寒木春华寸草春晖料峭春寒春光明媚春光漏,春华秋实,chūnsèmǎnyuán,解释,只要是春天的词语就可以,四季回春绿草如荫。 出水芙蓉、绿、鸟、温暖和生机又、春色满园、春暖花开、柳暗花明、春暖花...
0,05,1276欧元50欧元是3971元人民币.就需要支付394,到中行网点直接兑换就行如果将人民币换成外币,5欧元,按照中国银行1月17日外汇牌价。 在此汇率基础上,中国银行是专门兑换换外币的。欧元与人民币间的兑换关系如下1欧元8802人民币。根据中国银行最新汇率消息。 50欧元人民币元数据仅供...