GeekPwn 2018 国际安全极客大赛

拉斯维加斯     2018.8.10            上海     2018.10.24

名人堂
常见答疑
选手报名

常见答疑

Q:  谁可以报名 GeekPwn ?如何报名?

A:  GeekPwn 面向全球招募,任何人都可以报名,只要报名的项目符合道德与法律的底线、预备展示的技术得到 GeekPwn 组委的初审即可完成报名,在线报名,待评委初审、复审之后,最终确定是否可以入选。

Q:  什么样的项目能被 GeekPwn 接受?

A:  从物联网智能设备到 AI 服务,突破安全限制的尝试都有机会被 GeekPwn 接收。我们并不提供破解设备列表,但你可以通过历届极棒名人堂了解到过去的参赛选手及项目。

Q:  比赛时目标设备由谁提供?

A:  目标设备(或 AI 产品)由主办方提供,主办方会在赛前根据选手指定的型号进行采购。比赛前一天,选手会在评委组的监督下对设备进行升级,以确保软件版本符合比赛要求。攻击设备由选手自己携带,包括电脑、软件工具、硬件工具等等。

Q:  比赛目标设备的软件版本要求是什么?

A:  依据比赛规则,设备需要安装官方提供的补丁更新,且版本等于或高于比赛前 30 天的最新版本。

Q:  比赛会场是否提供网络接入?

A:  主办方向选手提供专用的比赛网络,接入方式为1根网线,以及 Wi-Fi。该专用网络只用于特定比赛项目,不与其他项目和观众共享。该网络可以根据选手需求决定是否访问互联网。选手也可携带自己的网络设备作为备用,在评委的许可下使用。

Q:  对于提交报名项目的数量会有限制吗?一位选手可以提交两个不同的 EXP 或者参与不同项目?

A:  我们欢迎选手参与不同的项目,同时会对同款项目的数量加以限制,最大程度上的满足研究者们多元化的需求。欢迎大家积极参加。

Q:  我的项目并没有出现在 GeekPwn 的范围中,怎么办?

A:  我们欢迎任何新形式的 PWN。如果评委组认为你的项目足够新颖、技术难度高、可观赏性强,都有机会入围极棒。

Q:  我自己可能没办法参加,但我认识(或者听过)一个人(或者技术)很牛。

A:  那就推荐给我们吧,在线推荐,如果被推荐的项目最终获奖,作为推荐人的你将获得选手奖金的额外 10% 作为推荐奖励。

Q:  观众如何到比赛现场观看?

A:  观众注册通道尚未开启,可以通过微信、微博等社交媒体,搜索并关注 GeekPwn,一有消息我们会第一时间公布的。

Q:  GeekPwn 2018年中赛有哪些看点?

A:  你会看到网络安全与人工智能领域的最新研究成果,超乎想象的极客演示和精妙绝伦的挑战项目。

2018GeekPwn大赛规则全新升级

初始奖金池:500万 元人民币

作为国际化的智能生活安全社区,GeekPwn 是安全极客们施展才华和分享研究成果的舞台。

2018 年,GeekPwn将举行两场大赛:8 月 10 日拉斯维加斯站和 10 月 24 日上海站。今年大赛设立了 500 万人民币初始奖金池,力邀才华横溢的极客选手报名,突破安全的边界。

同时,一直在引领与创新的GeekPwn全面升级比赛项目与规则,分为设置不同挑战场景的  命题专项赛  和不设限制的  非命题开放赛

命题专项赛

GeekPwn 推出了 CAAD 对抗样本攻防赛(拉斯维加斯站)、机器特工挑战赛(两站均设)、黑客屋挑战赛(上海站)、数据追踪挑战赛(上海站)四大命题项目,覆盖机器学习、机械、安全等多个领域。欢迎广大极客选手发挥各自的专业背景与实战能力,完成看似“不可能”的挑战任务。

CAAD对抗样本攻防赛(拉斯维加斯)

参赛者通过提交对抗样本生成器或分类器,进行攻防对垒>>>

数据追踪挑战赛(上海)

选手设计 AI 算法,通过主办方提供数据集对算法进行训练,完成指定任务。>>>

/  奖金  /

总奖金为 65 万人民币

/  比赛说明  /

CAAD 对抗样本攻防赛(Competition on Adversarial Attacks and Defenses)是由GeekPwn 联合谷歌大脑的 Alexey Kurakin、Ian Goodfellow 以及美国加州大学伯克利分校计算机系教授宋晓冬共同发起,今年 5 月正式开赛。大赛聚焦让机器学习分类器频频犯错的对抗样本,通过机器学习图像识别领域的安全攻防对抗研究,预演 AI 领域可能存在的风险并不断完善,从而推动人工智能安全健康成长。

“对抗样本攻防赛”针对图像识别领域的对抗攻击与防御研究分别设置了三个项目。参赛者可以分别参加、提交独立报名。三个项目如下:

定向对抗攻击
非定向对抗攻击
对抗防御

/  参赛流程  /

报名起止时间:2018年 5 月 10 日-8 月 31 日

GeekPwn 拉斯维加斯站将举行 CAAD CTF 邀请赛,比赛规则请查看:CAAD CTF 比赛规则,version 1.1 如果有兴趣参加,请立即发邮件至caad@geekpwn.org并介绍自己在对抗样本领域做过的研究。截止时间6月30日。

*比赛详细说明请查看 CAAD 官网(caad.geekpwn.org)

/  比赛说明  /

AI和数据化时代,能够多维度将不同来源的数据关联并得出准确结果是一种先进的技术。例如,通过爆破地点的数据、匿名举报电话以及社交媒体等信息结合追踪炸弹制造者;对历史记录、海量数据充分分析之后发现金融骗局;通过分析大量代码,找到编程者等等。

数据追踪挑战赛的形式为在线提交与线下测试结合,成果展示及颁奖将在 GeekPwn 上海站现场举行。挑战要求选手设计AI算法,通过主办方提供数据集对算法进行训练,完成指定任务。

*更多比赛详细说明,敬请期待

黑客屋挑战赛(上海)

主办方规划一个智能产品组合的环境,选手通过线下挖掘漏洞、线上攻击主办方设置的目标完成任务>>>

机器特工挑战赛(拉斯维加斯/上海)

选手通过自制机器人,挑战复杂现场环境并完成终极任务>>>

/  奖金  /

获胜队伍最高奖金为 80 万元人民币

/  比赛说明  /

这是一个全新的挑战项目,要求参赛者利用组合零日漏洞远程入侵设定场景。主办方搭建了一个智能产品场景,参赛者可以根据已提供的目标设备清单(目标设备清单(版本1.0))自由设计入侵方案。在线上比赛环境中,获得参赛资格的选手将按照预设公式自动决定的排序在规定时间内完成连续攻击任务。选手可以选择下列三种攻击条件:

1、外网条件:选手仅有目标网络WAN口的网络访问权限,即模拟攻击者从互联网直接攻入家庭网络内网的攻击条件;
2、内网手机:选手能够在目标网络内部的手机上安装一个自己提供的APP;
3、内网电脑:选手拥有在目标网络内部的电脑的完全控制权限。

/  场景及攻击链举例  /

通过浏览器漏洞入侵笔记本电脑,继而控制连在笔记本上手机,实现控制室内的彩色智能灯泡;
通过入侵摄像头,查看客厅内茶几上信用卡的信息,实现信用卡盗刷;
通过入侵路由,进一步控制(扫地)机器人,偷拍主人睡觉的照片;
控制室内蓝牙音箱,播放恐怖音效;
控制室内蓝牙音箱,向智能音箱发送声音指令;
攻击进入内网之后,通过DLNA向正在播放节目的电视上投射恐怖节目;
控制智能门锁网关,远程开启智能门锁;
控制咖啡机发出高温的热水;
攻破打印机,获取shell,作为下次攻击的据点,植入木马,修改打印的内容;
控制扫地机器人推倒场景内的物品,造成物理损失;
攻破电视,控制电视上的摄像头,拍摄照片或视频。

/  优胜评定原则  /

1、极棒评审委员会将根据选手提供的报名信息筛选出队伍进入线上攻击阶段,从品牌影响、漏洞危害、技术难度、展示效果、攻击链长度等多个角度进行打分筛选。
2、撞洞判定:评委组根据选手提交的漏洞细节判断是否撞洞。如发生撞洞,在线上攻击环节最先成功利用该漏洞的选手获得评分和奖金。
3、为实现完整的攻击链,选手可以使用非0day漏洞,但该漏洞不计入奖励。
4、选手不能以相同的漏洞组合重复报名多个项目,或委托他人代理重复报名,主办方会监控此类重复报名的情况,一经发现取消比赛资格。
5、若线上攻击阶段选手未能完成攻击,选手无需向主办方提交漏洞描述,主办方会清除选手在线上环境中留下的任何记录,主办方不会留存或向任何第三方提供该项目中漏洞和攻击的任何信息。
6、在发现特定漏洞的情况下,可以通过以下方式提升项目评分与奖金:
    a.降低攻击条件。
    b.组合出更长的攻击链条。攻击链条包括技术和场景两方面,如:
        ⅰ.技术上串联:攻击路由器,进入局域网 --> 攻击局域网内的摄像头,看到密码;
        ⅱ.场景上串联:攻击智能门锁,将人锁在室内 --> 攻击智能灯,闪灯 --> 给人造成心理恐慌
    c.设计出更有现实危害的攻击场景。
    d.设计更好的呈现效果。

/  参赛流程  /

报名截止时间:2018 年 9 月 10 日

选手报名:在线提交 报名表

线下研究阶段:
    主办方公布目标设备清单及攻击场景举例;
    选手自行采购设备进行研究、挖掘目标设备的0day漏洞
    报名开放,选手进行线上报名;
    主办方进行初审筛选,并向选手反馈入围结果

线上攻击阶段:
    报名截止;
    主办方开放线上环境;
    主办方计算选手比赛顺序;
    主办方部署选手选定的目标设备;
    选手登入主办方提供的堡垒机,进入线上环境,堡垒机系统为Kali 2018.2,选手有系统root权限;
    选手无法物理接触或接近线上环境中的任何设备;
    选手攻击线上环境中的目标设备,在有限时间内完成选手预设的攻击目标。规定时间为 30 分钟,选手每攻破一个节点会得到 5 分钟加时。

漏洞提交阶段:
    若线上攻击成功,选手向主办方提交漏洞细节;
    主办方在环境中,利用选手提交的代码复现攻击;
    主办方检查是否撞洞或有违规行为(漏洞描述与攻击代码是否相符);
    评委组进行评审,确定奖金金额。

**报名参赛过程中有任何疑问,请发送邮件至:cfp@geekpwn.org

/  奖金  /

第一名 10-20  万元人民币,第二名 5-10  万元人民币,第三名 2-5  万元人民币。

/  比赛说明  /

哲史是一名顶级密码学家,同时也是一名虚拟货币玩家。他每天都花大量时间在实验室,不仅设计了戒备森严的防盗系统,为了防止盗窃,他还将比特币钱包地址、数字密钥分别藏在实验室的不同位置。深夜,哲史回家休息。但是,有“人”偷偷来到了实验室门口……

机器特工挑战赛要求每个团队赛前自行制作能够入侵模拟实验室的机器人,比赛时通过人工遥控机器人或机器人自主方式, 在规定时间内以合理方法完成预设任务,获得与任务难度相对应的分数,最后以总得分进行排名。

/  比赛规则  /

机器特工挑战赛要求每个团队赛前制作的机器人能够完成潜入模拟实验室窃取机密信息任务。 比赛时,可以通过人工遥控机器人或者机器人自主的方式,在比赛规定内以合理的方式完成不同挑战任务。通过让机器人从门、窗或者通风管进入实验室,巧妙关闭或者躲避激光网也是重要关卡。完成难度不同的任务是决定挑战能否成功的关键,如在实验室中放置窃听器、翻开书本得到卡片机密信息、打开密码保险箱获取机密、遮挡干扰摄像头、插入 USB 攻击设备以及放置键盘记录器等。 除了完成上述真的机器特工所具备的技能之外,能够以合理方式成功离开实验室的机器人将获得加分奖励。

详细规则请下载文档查看:机器特工挑战赛规则(版本2.2,6月14日发布)

/  参赛流程  /

报名截止时间:7 月 15 日(拉斯维加斯站);9 月 30 日(上海站)

选手报名:在线提交 报名表

*关于比赛场地及各道具详细尺寸,以及评分细则,请发送邮件至:cfp@geekpwn.org索取

非命题开放赛

GeekPwn 继续开放“无所不 PWN”,设立研究目标不受限制的非命题开放赛:基于漏洞攻破挑战赛和非基于漏洞攻破挑战赛。鼓励选手脑洞大开,尝试利用新的手段实现突破安全限制,发现并积极提交安全漏洞或者安全缺陷。

基于漏洞攻破挑战赛(上海)

参赛者可以选择任意目标、挖掘并利用零日漏洞获得目标最高权限>>>

非基于漏洞攻破挑战赛(拉斯维加斯/上海)

选手通过创新的手段、技术实现突破目标安全限制>>>

/  奖金  /

单项最高奖金为 80 万人民币

/  比赛说明  /

攻击目标可以是市场在售的或者常用的所有智能设备、物联网(IoT)产品、人工智能相关产品,框架和库等。利用攻击目标的安全漏洞,在合理的攻击条件下,实现越权控制、越权访问数据、突破原有安全机制或者引导目标作出错误决策等。

/  参考实例  /

一个漏洞绕过人脸识别门禁:选手利用漏洞获得系统控制权限,修改人脸信息,轻松骗过系统,解锁门禁。(GeekPwn2017 上海站项目)

家用路由器的漏洞利用:选手利用路由器漏洞远程获得最高权限。(GeekPwn2014-2017项目)

九个漏洞利用PWN 到 Trustzone:选手诱使用户安装恶意程序,利用 Trustzone 中存在的输入校验安全漏洞导致 TrustZone 中用户数据被任意读写,任何人可以指纹解锁手机。 (GeekPwn2016 上海站项目)

*更多基于漏洞PWN,如摄像头、POS 机、机器人、智能手表、智能锁、共享单车等,请参考 名人堂 往届项目

/  优胜评定原则  /

1. 报名选手的目标,限于设备厂商原生系统、应用或者原生的安全模块。目标设备或者目标安全模块的固件版本等于或高于比赛前 30 天的最新版本,并且为缺省配置。

2. 参加活动所使用的技术手段须为自主实现,公开或者已知的 Pwn 技术手段不能作为本次活动的优胜标准,获胜选手在领取项目专项奖励前须向 GeekPwn 评委会提交相关技术手段的详细说明。

3. GeekPwn 评委会根据选手项目的思路新颖程度、技术难度(例如:通过各类信道劫持,无需用户主动交互的技术手段)和实现结果的影响等因素提供的奖励。

/  参赛流程  /

选手报名:在线提交 报名表

评委初审:极棒组委会根据报名信息在五个工作日内完成对选手的评审。

复审确定:一旦选手资格确定,比赛时将由主办方准备目标设备或 AI 产品以及展示环境。

报名截止时间:2018 年 9 月 30 日

*报名参赛过程中有任何疑问,请发送邮件至:cfp@geekpwn.org

/  奖金  /

单项最高奖金为 80 万人民币

/  比赛说明  /

攻击目标可以是市场在售的或者常用的所有智能设备、物联网(IoT)产品、人工智能相关产品、框架和库等,或者造成的安全威胁并不针对某一明确目标。攻击时并不要求利用攻击目标的未知漏洞(0day),而是采用新颖的攻击手段和方法达到突破安全限制。

/  参考实例  /

一种新型移动安全威胁模型:选手通过对手机设备固件代码进行改造,使入侵后的手机变成新的入侵者。(GeekPwn2017 香港站项目)

一种利用深度神经网络破解谷歌图像验证码的新方法:选手利用自动识别图像验证码的程序通过谷歌 reCAPTCHA 验证码系统。(GeekPwn2017 硅谷站项目)

利用算法进行语音合成欺骗语音身份验证系统:五组入围选手用人工智能的方法进行语音合成,生成目标模拟对象的语音并以高的概率通过语音身份验证系统。(GeekPwn2017 上海站项目)

*更多非基于漏洞PWN的例子,请参考名人堂往届项目

/  优胜评定原则  /

1. 报名选手的目标,限于设备厂商原生系统、应用或者原生的安全模块。目标设备或者目标安全模块的固件版本等于或高于比赛前 30 天的最新版本,并且为缺省配置。

2. 参加活动所使用的技术手段须为自主实现,公开或者已知的 Pwn 技术手段不能作为本次活动的优胜标准,获胜选手在领取项目专项奖励前须向 GeekPwn 评委会提交相关技术手段的详细说明。

3. GeekPwn 评委会根据选手项目的思路新颖程度、技术难度和实现结果的影响等因素提供的奖励。

/  参赛流程  /

选手报名:在线提交 报名表

评委初审:极棒组委会根据报名信息在五个工作日内完成对选手的评审。

复审确定:一旦选手资格确定,比赛时将由主办方准备目标设备或 AI 产品以及展示环境。

报名截止时间:2018 年 7 月 15 日(拉斯维加斯),2018 年 9 月 30 日(上海)

*报名参赛过程中有任何疑问,请发送邮件至:cfp@geekpwn.org

四月




10



基于漏洞攻破挑战赛(上海)报名开启
非基于漏洞攻破挑战赛(拉斯维加斯/上海)报名开启
机器特工挑战赛(拉斯维加斯/上海)报名开启

五月




10



CAAD对抗样本攻防赛(拉斯维加斯)报名开启
黑客屋挑战赛(上海) 报名开启

六月





七月




10



CAAD 对抗样本攻防赛(拉斯维加斯)报名结束

七月




15



非基于漏洞攻破挑战赛(拉斯维加斯)报名结束
机器特工挑战赛(拉斯维加斯)报名结束

八月




10



GeekPwn安全极客大赛拉斯维加斯站举行
CAAD对抗样本攻防赛颁奖仪式

九月




10



黑客屋挑战赛(上海)报名结束

九月




30



基于漏洞攻破挑战赛(上海)报名结束
非基于漏洞攻破挑战赛(上海)报名结束
机器特工挑战赛(上海)报名结束

十月




24



GeekPwn安全极客大赛上海站举行

十一月





 

十二月





 

... 2019 年

约束与承诺

1、GeekPwn组委(以下称我们)认可获胜选手个人的安全技术能力,但不认为活动结果和获胜选手所属机构的安全技术能力存在对应关系。
2、我们不认为活动结果能直接反映相关智能产品的安全性水平。
3、我们严格保证对厂商负责任的信息披露。我们会配合获胜选手共同在活动现场将详细的技术信息提供给厂商代表;如未有厂商代表在场,我们将在活动结束后以邮件形式将详细的技术信息提供给厂商。我们和获胜选手承诺在厂商修补相关问题之前不对任何第三方泄露相关信息。
4、我们承诺非中国籍GeekPwn评委不参与中国产智能项目的评定工作。
5、我们保证对选手个人隐私的保护。在未经选手同意的情况下,我们不会将选手个人信息透露给第三方,也不会利用选手个人信息及隐私从事任何商业活动。

*本次活动评判标准和规则的最终解释权归极棒组委会所有

主办方碁震(KEEN)是一支由在信息安全理论和技术研究方面全球领先的中国“白帽”安全专家组成的信息安全研究队伍,是世界范围内由厂商官方确认发现计算机漏洞数量最多、最了解突破现代安全保护技术的专业安全团队之一。如今,碁震的数百项安全研究成果已经应用于世界上每一台 Windows 和 Mac OS 设备,每一台 Android 和 iOS 智能终端。

作为国际化的智能生活安全社区,GeekPwn 是安全极客们施展才华和分享研究成果的舞台。 自 2014 年创办以来,GeekPwn 已经成功在中国北京、上海、澳门、香港和美国硅谷等多地举办,负责任地披露了上百个高危漏洞。在历届比赛中,从攻破智能手机、无人机、机器人、智能家居等智能产品,到SSL/TLS 协议挑战专场、人工智能安全挑战专项,GeekPwn一直在创新和引领,在这个舞台上,从来不缺少安全极客带来的惊喜和震撼。

报名咨询: cfp@geekpwn.org 商务合作: business@geekpwn.org
购票咨询: ticket@geekpwn.org 媒体合作: marketing@geekpwn.org

© 2018 GeekPwn 组委

KEEN 碁震(上海)云计算版权所有

沪ICP备12003057号-3