浙大学生在顶级黑客大赛夺冠 十秒钟攻破谷歌智能手机(图)_新浪浙江_新浪网
腾讯科恩实验室队员在比赛现场。
　　日前，世界顶级黑客大赛Mobile Pwn2Own 2016在日本东京落幕。腾讯科恩实验室以45个积分和215000美元奖金摘得桂冠，获得了“The Master of Pwn”（破解大师）的称号。
　　这支冠军队伍的主力队员中，有两位来自浙江大学计算机学院——何淇丹是浙大毕业生，目前供职于腾讯科恩实验室；刘耕铭是一名大四学生，主攻信息安全方向。
　　夺冠消息公布后，浙大cc98论坛出现了一个长达10页的帖子，学弟学妹们对这两个“黑客”大牛膜拜不已。
　　Pwn2Own是世界著名的黑客大赛，由Trend Micro旗下的著名安全项目Zero Day Initiative举办。此次在东京举办的Mobile Pwn2Own重点关注移动操作系统、手机浏览器和手机应用APP的安全性问题。
　　比赛的目的，是希望参赛者通过某些此前未知的漏洞来侵入各种移动设备，然后将之汇报给相应的设备制造商，以便它们对这些漏洞进行修补和修复。这些做好事的“黑客”也被称为“白帽黑客”。
中国黑客在顶级黑客大赛上夺冠 10秒攻破谷歌手机
　　由于比赛关注点是移动端，所以参赛者瞄准的目标是智能手机。他们将以iPhone6S、Google Nexus 6P和Galaxy S7为硬件目标，完成获取手机内部敏感信息、给手机安装恶意应用程序、固件及破解三个攻击项目。
　　腾讯科恩实验室第一个拿下的是Google Nexus 6P。他们成功在Nexus 6P安装了恶意应用软件，这为他们赢得102500美元奖金和29个积分。
　　随后，团队又在iPhone 6S安装了恶意应用软件。但它没能扛得住大家修手机最常用的一招——重启。所以，这只算半个成功，有60000美元奖金，但没有积分。
　　最后一项，他们再次攻击iPhone 6S，导致手机照片泄露。这样，腾讯科恩实验室最终以45个积分和215000美元奖金的成绩，成为本次比赛的“The Master of Pwn”。
　　比赛中，有一个数据被外人津津乐道。团队在远程攻破Nexus 6P时，仅仅花了十秒钟的时间。这听起来简直是不可完成的任务。
　　但其实，攻击代码是赛前早已经准备好的，上场就是操作一下。有人把它比喻成，你先在家写好PPT，然后到现场演讲。胜负取决于你PPT的质量，而不是花多少秒去演讲PPT。
　　腾讯科恩实验室成立于2016年1月，其成员主要来自于大名鼎鼎的安全研究团队Keen Team。
　　实验室官网上的一组数据能说明他们有多牛。
　　据不完全统计，自成立到2016年5月，科恩一共发现主流操作系统、浏览器、应用软件高危漏洞152枚。成员连续4年参加Pwn2Own并获得8个单项冠军。
　　正在浙大读大四的刘耕铭，当年以丽水市庆元县第一名考入杭州外国语学校，随后进入浙大。在浙大，他加入了一个重要的神秘组织——浙大AAA战队。
　　AAA是Azure Assassin Alliance的缩写，中文意思是蓝色刺客联盟。何淇丹毕业前，也是AAA战队的成员。
　　别看着名字挺中二，这个联盟可是聚集了整个浙大最厉害的“黑客”们。团员共有十几人，不全是计算机学院的学生，有些来自数学、生物、电子等专业，全是信息安全的爱好者。
　　为了保证团员的质量，AAA战队专门设置了一定的准入门槛。他们在网站上放了题目，只有做对一道题，才能获取战队的联系方式，加入组织。
　　昨天记者联系刘耕铭同学，他的手机依然未通，老师说他还在东京未回杭。
　　浙大计算机学院白洪欢老师平时和刘耕铭交往密切，他说，刘耕铭可以算得上是AAA战队的灵魂人物。
　　AAA战队经常南征北战，参加各种信息安全类的比赛。很多比赛要求选手在规定的几十个小时内完成指定任务，由于刘耕铭能力突出，承担了重要的任务，所以常常要熬夜打比赛。
　　在白洪欢看来，刘耕铭的性格特别适合当一个黑客。他有个性，有耐心，对热爱的事情非常执着。所以还没毕业，他就已经被腾讯科恩实验室挑中，成为其中一员。
　　师兄何淇丹的经历就更丰富了，除了跟随科恩团队参加国际顶尖赛事，他还于8月份受邀在顶级安全会议BlackHat USA和DEFCON上发表演讲。他把那次拉斯维加斯之行记录在《白帽赌城演讲记》一文里，称两场演讲“解锁了两项人生成就”。
11-02 11:46|分享
11-01 06:55|分享
10-31 19:23|分享
10-28 17:51|分享
10-26 11:49|分享
10-26 11:41|分享
10-26 10:45|分享
10-26 10:35|分享
10-26 07:51|分享
10-26 07:48|分享
新浪地方站帐号:密码:下次自动登录{url:/nForum/slist.json?uid=guest&root=list-section}{url:/nForum/nlist.json?uid=guest&root=list-section}
贴数:1&分页:中国四大bitch:马蓉 翟欣欣 莫焕晶 刘鑫发信人: marong (马蓉蓉-----王宝强-----宋喆), 信区: ZJU
标&&题: 2分半钟破解人脸识别漏洞！这位90后浙大女黑客做到了！
发信站: 水木社区 (Fri Oct 27 19:37:41 2017), 站内 && 2分半钟破解人脸识别漏洞！这位90后浙大女黑客做到了！ &&
杭州浙江大学校友会 &&
人脸识别技术安全吗？ && 共享单车的电子锁坚不可破吗？ && 这位来自浙大的90后女黑客 && 在国际顶级黑客赛事GeekPwn上 && 破解了人工智能时代的漏洞！ &&&& GeekPwn：一场全球顶级安全极客比赛 &&&&&& GeekPwn由国内顶尖信息安全团队碁震（KEEN）于2014年发起并主办，至今已成功举办三年，是全球首个关注智能生活的安全极客（黑客）赛事平台，全球首个探索人工智能与专业安全的前沿平台，致力于为富有脑洞大开的创新思维、热爱技术的极客提供一个展示及交流的舞台，与Pwn2Own、Defcon并称为世界三大黑客赛事。 && ? &&&&&&&&&&&&GeekPwn，其中Geek意为“极客“，Pwn为“攻破设备或者系统”；GeekPwn字面意义为极客攻破新设备和系统。GeekPwn作为最前沿的国际化智能安全社区，始终站在时代前沿，在聚焦于智能设备领域同时，还关注并大规模探讨人工智能的安全问题，始终引领最新的科技技术潮流。 &&&&&&&&&&&&参加这类赛事的极客，都是出于帮助公司发现安全漏洞的目的，这群做好事的黑客被称为“白帽黑客”。 &&&& 来自浙大：两分半钟破解“刷脸”技术 &&&& 刚从浙大计算机系毕业两年的90后女生“tyy”就是一位白帽黑客，她在2017国际安全极客大赛中上快速破解了曾被认为“将改变世界”的人脸识别技术。 &&&&&& 戳视频看“tyy”快速破解人脸识别技术 &&&& 在比赛现场，她通过利用设备本身存在的漏洞，仅用时两分半钟，就成功实现了用任意人脸通过门禁系统——这让嘉宾黄健翔连连感慨，要赶紧把家里的人脸识别门锁换成大铁锁！ &&&& ? &&&& 对此，“tyy”在现场介绍到，人脸识别系统并不是万无一失。利用设备漏洞，攻击者就可以直接修改设备中的人脸信息，实现用任意人脸来“蒙骗”人脸识别系统，打开门禁。 && ? && 你以为很安全？殊不知黑客能在你的信息中动手脚 && 如今，“刷脸”已经成了人们生活中必不可少的一件日常事务，从移动支付、解锁手机，到公司、学校、小区门禁，甚至火车站乘车、公园领取厕纸都运用到了人脸识别技术。但是如此看来，技术发展带来便利的同时也可能带来安全风险。当门禁用上了高科技，人们也并不能够“高枕无忧”啊！ &&&& 二度参赛的天才极客 &&&& 其实，这是“tyy”第二次来到GeekPwn的舞台，在今年5月GeekPwn年中赛上，她就展示了四款共享单车品牌的高危漏洞。 &&&& “tyy”在不到一分钟的时间内，查看到评委手机上小鸣单车、永安行、享骑和百拜四款共享单车的账户信息，包括骑行记录、行驶路径、账户余额等。随后，她现场连线了远在上海的朋友，远程用现场评委的共享单车账号开锁、骑行消费。 &&&& ? &&&& 谈及二度参加比赛的初衷，“tyy”表示：“好奇心让我决定开始研究新的领域，理智告诉我一定要带着漏洞GeekPwn。” &&&&&& 其实，“tyy”并不是第一个在国际极客比赛中展示风采的浙大学子。 &&&& 去年10月的Mobile Pwn2Own 2016世界顶级黑客大赛中，我浙的刘耕铭和何淇丹两名学子所在的腾讯科恩实验室成功夺冠，获得了“Master of Pwn”（破解大师）的荣誉。 &&&& ? &&&& 他们所在的团队不仅成为首个成功破解Nexus6P，实现了远程app install，也是全球第一个破解Nexus6P 和 android7.0的团队。更为外人津津乐道的是，团队在远程攻破Nexus 6P时，仅仅花了十秒钟的时间，这听起来简直是不可完成的任务！ &&&&&&&&&&&&连人民日报也忍不住为他们点赞！ &&&& ? &&&& 我浙学子所在的科恩实验室有多牛？ &&&& 刘耕铭和何淇丹所在的腾讯科恩实验室不仅是国内顶尖的黑客团队，在全球范围内也是牛气轰轰！ &&&& 去年，你可能听说过中国黑客通过安全漏洞成功远程入侵特斯拉，实现了对特斯拉驻车状态和行驶状态下的远程控制，这还是全球首次！ &&&& 事后，这群黑客还将研究过程中发现的所有漏洞细节报告给特斯拉美国产品安全团队并得到了他们对漏洞技术细节和攻击效果的确认。 &&&& 没错！这就是科恩实验室这群黑客攒在一起干的事儿。实际上，这家实验室的前身是国内顶尖安全研究团队Keen Team。Keen Team专注于移动安全领域，在2013年至2016年期间，连续四年参加国际顶级黑客大赛Pwn2Own并获得八个单项冠军，也是个冠军专业户呢！ &&&& 10秒破解？！厉害了我的哥！ &&&&&& 既然Mobile Pwn2Own是黑客世界杯级的赛事，难度自然就无需多言了，赛制也是相当严苛的。 &&&& ? && 参赛团队将以iPhone6S、Nexus 6p、Galaxy S7为硬件目标，分别对其进行获取手机内部敏感信息、给手机安装恶意应用程序、固件及破解三个攻击项目。值得注意的是，两大移动平台厂商Apple和Goolgle于近期相继发布了最新版操作系统iOS 10以及Android 7.0。其中，iOS 10采用了更严格的沙盒策略，Safari浏览器新加了Executable-Only JIT策略，使得任意代码执行变得更难。而谷歌旗下推出的智能机Nexus 6P更是搭载了最新的Android Nougat，安全上更是精益求精，大规模的系统重构消灭和隔离了多个薄弱组件、重新设计了权限分割系统。 && ? &&&& 并且，每一支参赛团队只有3次尝试机会，15分钟之内就必须完成挑战，每次尝试时间限定在5分钟之内。 &&&& 在这样的情况下，我浙学子刘耕铭和何淇丹依旧表现得非常彪悍！ 他们和队员一起，仅仅在10秒之内就完成对搭载最新Google Android 7系统的Nexus 6P远程攻破，勇夺得29分和$102,500奖金。 &&&& 在这次大赛里，团队也夺得了“破解大师”（Master of Pwn）的头衔，并获得21.5万美元奖金。 && 但尽管有“白帽黑客”在为大家的信息安全不懈努力，但大家也千万不要因此掉以轻心，在这里小编提醒： &&&& 1.不要连接来路不明的WiFi，天下没有免费的午餐，贪图WiFi快捷的背后，很有可能隐藏着巨大的危险； &&&& 2.不同应用程序上设置的密码最好各不相同，有条件的话甚至可以不定期更换密码，防止一个程序被侵入后损失扩大； &&&& 3.一定要通过正规途径下载APP，认准各大标准软件商店，警惕各种钓鱼链接； &&&& 4.一定要尽量关闭应用的敏感权限，开放访问通讯录、打开定位、读取通话记录等等权限一定要三思而后行。 &&&& 因为热爱，所以执着； && 因为执着，所以精彩。 && 我浙的学子，是不是值得一个大大的赞呢？ &&&& --来自微水木3.3.5
http://att.newsmth.net/att.php?s.247.81.jpg 日，王宝强
前经纪人宋喆因涉嫌"职务侵犯"被抓，目前关押于朝阳派出所，最高可判15年。
马蓉或因相同罪名成为共犯，马蓉因宋喆被抓向王宝强求情 移民计划被迫终止。
14日，有媒体报道，目前马蓉已经被限制出境，她本人及其母亲涉嫌私刻公章罪。
今年王宝强与马蓉的离婚案也已于8月底进行了二次庭审，双方虽未提交更多证据，
但马蓉一方却在审理过程中表示，不同意和王宝强离婚，称自己还和王宝强有感情。 &&&& ※ 修改:·marong 于 Oct 27 19:37:49 2017 修改本文·[FROM: 36.22.27.*]
※ 来源:·水木社区 ·[FROM: 36.22.27.*] && 文章数:1&分页:揭秘浙大“黑客战队”：世界顶级黑客大赛夺冠-中新网
揭秘浙大“黑客战队”：世界顶级黑客大赛夺冠
日 13:11　来源：钱江晚报 　
　　参加完上月底的毕业典礼，刘耕铭从浙大计算机科学与技术学院毕业了，正式入职目前国内最强安全团队腾讯科恩实验室，他浙大AAA战队二期队长的身份，将很快移交给下一任。
　　浙大AAA战队，AAA是Azure　Assassin　Alliance的缩写，中文名“蓝色刺客联盟”。这支在国际信息安全圈都颇有名气的战队，在浙大校园里反而声名不显。截至目前，这支人数从没有爬上3字头的队伍，却培养了不少信息安全领域的大牛，很多一流的互联网公司总是对AAA战队的成员敞开大门，甚至还没有毕业，他们手里早已接到了不止一家国际互联网公司的工作邀约。
　　这支队伍到底牛在哪？
　　一个人的战斗
　　“真不知道这四年怎么过的，因为翘课太多了吗？发现同学们都好优秀，如果还有机会真该多接触接触啊……”参加完毕业晚会那天凌晨，刘耕铭在朋友圈发出了这样的感慨。“翘课太多”当然是一种自我调侃的说法，但花费大量时间在提高技术、打比赛上却是事实。“有一次连续6周都在打比赛。”
　　刘耕铭属于家长眼中“别人家的孩子”，当年以丽水庆元县第一名的成绩考入杭州外国语学校，而后进入浙江大学计算机科学与技术学院就读。在那里他加入了AAA战队，开始南征北战，参加各种信息安全类的比赛，成为团队的灵魂人物。
　　有一度，整个AAA战队只有刘耕铭一个人。“那时候我大二，接触信息安全的时间也不长，也没打过几场比赛，但战队的元老们都毕业了，忙着工作、创业，不可能经常参加比赛，我只能一个人上。”回忆起那段时光，战队元老们对刘耕铭的评价都相当高。
　　一个人的战队，成绩大概只能用“惨烈”来形容。那段时间在国内的CTF比赛上，浙大AAA战队几乎再没有打进过前二十。刘耕铭的压力和沮丧可想而知。“放弃？没想过啊，一个人也要像一支队伍。”他回答得毫不犹豫。
　　草台班子搭起来
　　给过刘耕铭不少建议的学长何淇丹笑说，“有时候他做着比赛练习呢，突然就哭了，我们以为是比赛压力太大，后来才知道是失恋了。”
　　刘耕铭则说何淇丹是“天才”，别人上高中的年纪，他已经上了大学，全球顶尖安全技术会议Blackhat　USA目前为止最年轻的受邀演讲者之一，也是AAA战队的创始成员之一。打一个不算最恰当的比喻，苹果的开发者大会（WWDC）门票是全球开发者拿着钱都抢不到票，但你拿着WWDC的门票可能也换不到一张Blackhat　USA的门票。作为全球安全圈每一位研究者都梦想登上的舞台，Blackhat　USA的分量可想而知。
　　事实上，不只是何淇丹，浙大AAA战队的创始成员如今一个个都是圈内大拿：张凯、秦宇峰在安恒科技；张智宇在阿里云；陈宇森是长亭科技的CEO兼联合创始人；后来张酉夫也加入长亭。
　　“第一次见到秦宇峰的时候他还穿着白大褂在烧锅炉，他是学化工的。”何淇丹说，秦宇峰是队里的开心果，“刚开始他学python的时候，让陈宇森帮忙写了个脚本，脚本会输出到屏幕上，然后他用的时候就问，屏幕怎么闪起来了？”就是这样一个安全门外汉，后来也成了战队主力。
　　而这支战队，一开始也只是个“草台班子”，甚至连固定队名都没有。2012年杭州电子科技大学组织了一次校园CTF比赛，何淇丹通过初赛，结果复赛要求以战队形式参加，他就在浙大校园论坛上发文求组队。“我们几个人就这么认识了，建了个群互相交流。”他说，“后来认识了蓝莲花战队（国际知名战队，源自清华大学的网络安全技术竞赛和研究团队。记者注）的杨坤，建议我们可以一起去参加一些国际级比赛，必须得起个正式队名了，AAA是那时候定下来的。”
　　“我们这一批人聚得太晚了。”何淇丹觉得遗憾，当浙大AAA与清华蓝莲花组成刘耕铭口中的“陆上最强联队”征战DEFCON黑客大会并成为华人世界历史上首支成功闯入总决赛战队的时候，已经是2013年，团队中的一半人即将面临毕业。
　　招了一批新人
　　刘耕铭就是在那个时候被推选为队长。
　　新队长上任伊始就开始积极寻找新的战队成员。刘耕铭说，AAA战队后来能扩张到20多人得感谢白洪欢老师。
　　白洪欢，浙大计算机科学与技术学院讲师，主攻软件逆向工程、网络信息安全。上过他的课的学生多半都会被他问过一个问题：知道AAA战队吗？想不想加入？于是，学化学的来了，学生物的来了……
　　刘耕铭花费大量课余时间提高技术，新成员也开始陆续增加。2016年3月，XCTF国际联赛郑州站浙大AAA战队逆转夺冠。
　　刘耕铭忍不住在朋友圈大喊“AAA重出江湖”。
　　2016年11月初冬，AAA战队迎来了一个“春天”。世界顶级黑客大赛Mobile　Pwn2Own　2016在日本东京落幕，腾讯科恩实验室以45个积分和215000美元奖金摘得桂冠，获得了“The　Master　of　Pwn”（破解大师）的称号。这支冠军队伍的主力队员中，有两位出自AAA战队――何淇丹是战队元老，当时已供职于腾讯科恩实验室；刘耕铭时任战队队长，当时还是科恩实验室的实习生。
　　夺冠消息公布后，浙大cc98论坛出现了一个长达10页的帖子，学弟学妹们对这两个“黑客”大牛膜拜不已。
　　要开一门新课程
　　刘耕铭说朱梦凡是他的继任者，战队的新队长。“谁说的，还没定。”朱梦凡立马否认，他说自己想把战队历年来的比赛攻防实践整理出来，汇编成文，想开一门新课程。
　　朱梦凡的研究生导师陈焰很支持这个决定。“计算机安全是一门实践型学科，但目前国内信息安全实践课严重缺乏，基本停留在理论阶段。AAA战队历年来参加了那么多比赛，他们的实践经验非常丰富，但相对零散不系统化，如果能够整理出来，做一个课程或者是写本书，都是很有意义的。但是这个工作量很大，我估计到明年这门课才能开起来。”
　　陈焰是浙江大学特聘教授，负责浙江大学计算机学院的信息安全方向建设。他是一名学者，同时也是一名资深黑客。“在计算机的世界里，防比攻重要，但大多数人对安全的认知是不足的。这甚至影响到了我们培养的学生，因为信息安全实践，到了企业里可能根本不能用。”
　　若这门课程能如预期那样开设，那么浙大AAA战队影响的可能就不只是战队的几个成员，而是一大群人。一扇新世界的大门，将为他们打开。
【编辑:高辰】
>社会新闻精选：
　| 　|　　|　　|　　|　　|　　|　
本网站所刊载信息，不代表中新社和中新网观点。 刊用本网站稿件，务经书面授权。
未经授权禁止转载、摘编、复制及建立镜像，违者将依法追究法律责任。
[] [] [京公网安备:-1] [] 总机：86-10-
Copyright &1999-
chinanews.com. All Rights Reserved登录人民网通行证 &&&
大学生黑客亮相，他们是怎么发现网络漏洞的
日10:15&&来源：
　　前段时间，钱报报道了“浙大学生在顶级黑客大赛上夺冠，十秒钟攻破谷歌智能手机”的消息，让大家见识到了大学生黑客的厉害之处。
　　其实在杭州，大学生黑客团队还真不少，今天，我们就来认识一支黑客团队――杭州电子科技大学VIDAR战队(曾用名HDUISA)。这支队伍诞生于七八年前，是浙江高校最早建立的黑客团队。
　　炫酷、神秘、低调、技术宅、特立独行……这是很多人对黑客的大致印象。那这些黑客大学生的生活状态又是怎样的？他们如何练就了这一手绝活？
　　杭州电子科技大学的一间普通教室，20多平方米，摆满了各式各样的台式、笔记本电脑。电脑之间缠绕着乱七八糟的数据线，桌上还有成堆的书。这个教室，就是VIDAR战队的大本营，成员一半的大学时光，都在这里度过。
　　VIDAR战队目前共有20名左右的核心成员。要从技术爱好者转变为真正的学生黑客，要经历残酷的训练和淘汰。成员郭垠圻记得，和他一起加入协会的有200多人，但耐得住寂寞，坚持到最后的只有4个人。
　　加入协会，就意味着参加枯燥的基础编程培训。新生的第一学期，差不多每周都有培训。郭垠圻熬到了大二，才被核心团队接受。
(责编：刘颖、张磊)
本网特稿　　　惊呆！浙大90后女黑客150秒破解人脸识别！
刷脸安全吗？10月24日，在2017极棒嘉年华大赛上，90后女黑客“tyy”利用设备漏洞，两分半钟就成功实现了用任意人脸通过门禁系统。
网友是这么评论的...
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点