许多公司在网络和电脑终端安全层层设防,却忽视了非常重要的设备——打印机。为了拿下一个重要项目做好了各种设备和人员的保密工作,却在打印时被人窥探了“底牌”;重要的项目合同打印前认真校对多次,却还是在打印盖章后发现账户和金额内容不对……这些商战剧里的神秘情节看似离谱,却被奇安信天工实验室在GeekPwn2021安全极客大赛上完美展示,并获得第一名,在10月24日晚的极棒之夜披上了象征极客荣耀的“战袍”。作为世界三大极客赛事之一,今年已是GeekPwn比赛的第八个年头,但打印机项目却从未有人涉足。2021年,GeekPwn以“让智能更安全、让安全更智能”为主题,并以线上真人秀《我是极客》和线下盛典“极棒之夜”的方式呈现。
奇安信天工实验室战队凭借“卧底”打印机项目,成功以6.02的高分位居“G-TOP年度极客榜”榜首,直通10月24日的极棒之夜,并最终获得年度冠军。
在挑战中,战队成员在接入指定企业内网的条件下,控制该企业的打印机云平台,并植入代码。完成植入后,成员离开内网环境,利用该代码远程查看打印任务列表,并完成“获取并修改主办指定的目标打印文件”这一任务。
评委TK在见证了挑战过程后表示,在企业里,打印机是容易被忽视但非常重要的设备,虽然不会存储重要文件,单通过入侵打印机获得的数据量甚至相当于入侵多台电脑。GeekPwn发起创办人、评委大牛蛙也表示,这是GeekPwn举办8年以来的第一个打印机项目,也是大赛方一直希望在赛场上看到的。
天工实验室战队选手在介绍挑战选题思路时表示,公司的机密文件被窃取,可能会造成商业竞争失败;而打印机如果被长久控制,那一家公司将没有任何秘密可言;更可怕的是,一旦涉密文件资料被窃取,则有可能给国家安全利益造成重大损害。所有评委老师也在项目影响分部分打出了最高分。
奇安信技术研究院所属的天工实验室专注于漏洞攻防领域安全研究,面向物联网、车联网等新技术应用场景,从基础软件系统、网络通讯协议、智能终端设备等多个层面,研究漏洞挖掘、利用、检测、防御、响应等关键技术。团队成员多数来自清华大学、上海交大、东南大学等知名研究院所,在物联网漏洞挖掘与攻防领域有丰富的经验,研究成果发表于Usenix等网络安全顶级会议,且连续在GeekPwn、天府杯等漏洞破解赛事中斩获多个奖项。