GeekPwn 2019 Contest Rules, Upgraded
GEEKPWN 2019 震撼登场
现在报名,
大胆走出那个框定的世界
>
初始奖金池 500万 人民币

作为国际化的智能生活安全社区,GeekPwn 是安全极客们施展才华和分享研究成果的舞台。GeekPwn 大赛将在 2019 年 10 月 24 日中国上海举行,力邀才华横溢的极客选手报名,突破安全的边界。

GeekPwn 比赛项目与规则全面升级,分为不同挑战场景的命题专项赛和不设限制的非命题开放赛,设立了 500 万人民币初始奖金池。与以往不同的是,今年新增 CAAD 语音识别挑战赛、首个覆盖真实云计算架构的安全挑战赛“云安全挑战赛”、升级版的“机器特工挑战赛(青少组)”、关注个人隐私安全的“反偷窥挑战赛”......更多创新的命题专项赛,后续持续更新

GeekPwn 2019 Competition
GEEKPWN 2019 比赛项目
世界上的规则,
都无法束缚他们。
能用一句话让 AI 犯错吗?
> 比赛说明 >
CAAD 语音对抗样本攻防赛
CAAD 对抗样本攻防赛(Competition on Adversarial Attacks and Defenses)是由GeekPwn 联合谷歌大脑的 Alexey Kurakin、苹果公司的 Ian Goodfellow 以及美国加州大学伯克利分校计算机系教授宋晓冬于 2018 年共同发起。大赛聚焦让机器学习分类器频频犯错的对抗样本,通过机器学习领域的安全攻防对抗研究,预演 AI 领域可能存在的风险并不断完善,从而推动人工智能安全健康成长。 2019 年,CAAD 针对语音识别领域的对抗攻击与防御研究设立了语音对抗样本挑战。
> 奖金 >
总奖金池  20  万
极棒组委将根据攻破的质量,给予 2~10 万元人民币奖励
> 比赛规则
挑战目标是各种语音转文字服务或产品,可以是在线云服务,使用云服务的产品,或者独立的语音转文字服务。要求选手能够对比赛提供的正常声音文件(可能是人说话,鸟叫,火车汽笛等各种声音)做很小的修改之后,导致服务/产品识别成组委指定的文字内容,或者进行其他合理的对服务/产品的误导。
> 优胜评定原则
组委会将根据对抗样本修改的幅度大小,误导识别的难度高低,方法的学术价值高低,及误导的服务/产品种类多少等进行评价。
> 参赛流程 >
报名截止时间:2019 年 9 月 30 日
选手报名:在线提交  报名表 
组委会将会邀请若干优秀队伍在 2019 年 10 月 24 日 GeekPwn2019 比赛现场展示攻破。
*报名参赛过程中有任何疑问,请发送邮件至:cfp@geekpwn.org
用新算法再次欺骗
图像识别  AI
> 比赛说明 >
CAAD CTF 图像对抗样本攻防赛
CAAD 对抗样本攻防赛(Competition on Adversarial Attacks and Defenses)是由GeekPwn 联合谷歌大脑的 Alexey Kurakin、苹果公司的 Ian Goodfellow 以及美国加州大学伯克利分校计算机系教授宋晓冬于 2018 年共同发起。大赛聚焦让机器学习分类器频频犯错的对抗样本,通过机器学习领域的安全攻防对抗研究,预演 AI 领域可能存在的风险并不断完善,从而推动人工智能安全健康成长。 2019 年,CAAD 针对图像识别领域的对抗攻击与防御研究设立了 CAAD CTF。
> 奖金 >
总奖金  14  万
第一名 6 万元,第二名 3 万元,第三名 2 万元,第四名至第六名各 1 万元
> 比赛规则
预赛第一轮:7 月 22 日极棒官网将公布  1000 张图片  和定向攻击的目标类,大小为 299*299。报名选手需对图片进行处理,生成定向攻击对抗样本,像素值差距需在 16 以内。(R,G,B 值与原图差 ≤ 16)。 在 7 月 29 日零时(GMT 时间,即北京时间 7 月 29 日 8 点整)以前通过官网提供的方法上传对抗样本图片。若上传多次,则以最后一次为准。
预赛第二轮:8 月 5 日极棒官网将再公布 1000 张图片和定向攻击的目标类,规格与第一轮一致。 在 8 月 12 日零时(GMT 时间,即北京时间 8 月 12 日 8 点整)以前通过官网提供的上传方法上传对抗样本图片,超过时间视为弃权。若上传多次,以最后一次为准。
预赛第三轮:8 月 19 日极棒官网将再公布 1000 张图片和定向攻击的目标类,规格与第一轮一致。 在 8 月 26 日零时(GMT 时间,即北京时间 8 月 26 日 8 点整)以前通过官网提供的上传方法上传对抗样本图片,超过时间视为弃权。若上传多次,以最后一次为准。
决赛准备: 决赛队伍确定之后得到详细的决赛规则,依此进行准备。
> 优胜评定原则
预赛第一轮: 组委在收到对抗样本后,以多种保密的基线分类器为判断标准对提交的对抗样本打分,若定向攻击成功(不要求对所有分类器攻击成功)一次得 1 分,若定向攻击未成功但分类器判断错误,得 0.5 分,若分类器判断正确,得 0 分。若得分出现相同的情况,则按文件提交顺序排名。组委将在一周内分别通知选手所得分数和名次。从7月23日至7月29日,每天上午,组委对前一天北京时间8:00AM开始到当天北京时间8:00AM之间上传的对抗样本进行评估,只评估这个时间段里各个队伍最后上传的一个文件。每天以历史最高成绩排名。
预赛第一轮已经结束,  成绩排名 
预赛第二轮: 打分与排名方式与第一轮一致。
预赛第二轮已经结束,  成绩排名 
预赛第三轮: 打分与排名方式与第一轮一致。预赛成绩以第三轮为准,第一,二轮可以不参加。预赛成绩公布。预计 9 月 9 日前公布预赛结果,前 4 名将有资格参与决赛。若有特殊原因则后续队伍依次替补。 决赛另行通知。 组委将邀请至多2支队伍直接进入决赛,邀请根据将是发表的学术论文,学术会议演讲等成果。
预赛第三轮已经结束,  成绩排名 

最终进入决赛名单(拼音排序):
   BioSec
   创造101
   Double*
   GAgain
   GWZ928
   TSAIL

> 参赛流程 >
报名已结束,预赛已开始。
请发邮件至 caad@geekpwn.org 报名。每支队伍最多 5 人,其中最多 2 人可到现场比赛。报名邮件请列出队名,队伍介绍,成员姓名,成员情况简介。
*报名参赛过程中有任何疑问,请发送邮件至:cfp@geekpwn.org
` 人人都该掌握的
“防偷窥技能”
> 比赛说明 >
隐私安全之反偷拍挑战赛
GeekPwn联合RC2反窃密实验室推出的隐私安全之反偷拍挑战赛通过模拟自动化检测起居室、宾馆、会议室等场所中可能存在的针孔摄像头,旨在提升公众对个人隐私安全、特别是对非法偷拍设备的重视。比赛要求参赛选手根据常见针孔摄像头的技术特点自行制作检测工具。比赛中通过技术手段尽可能多地检测出比赛场地中存在的针孔摄像头,根据检测准确度、难度和技术水平获得相对应的分数。最后以总得分进行排名。
> 奖金 >
最高奖金  10  万
一等奖 5 万- 10 万元
二等奖 3 万- 5 万元
三等奖 1 万- 3 万元
> 比赛规则
参赛选手应使用自制的检测设备或自行开发的软件完成自动检测针孔摄像头的比赛目标,并提交详细的设计文档说明。禁止完全依赖现成商业设备参赛。若比赛专家评委经过评估认为选手使用的检测设备或软件并非自行制作,缺少软硬件二次开发或优化过程,专家评委有权取消选手的比赛资格或比赛成绩。

比赛形式

参赛选手(限1人)按抽签次序轮流进入房间开始比赛,每场比赛时间最多为 10 分钟,若比赛用时超过10分钟,则比赛终止。 非比赛选手与比赛选手隔离,不能观察到当前比赛状况。 为尽可能提高检测过程的自动化程度,减少人为因素干扰,比赛过程中参赛选手不能触碰检测设备和覆盖物品的布帘。比赛开始后由助理裁判将检测设备带入房间内。比赛选手可以进入房间观察检测设备输出,可以申请助理裁判协助执行简单操作。

助理裁判可以执行的简单操作仅限以下两种:

● 移动检测设备到指定位置。

● 通过使用简单点按、拨动等方式对检测设备开关机和切换工作模式。

提交比赛记录和检测结果只允许采用以下方式:

● 检测设备自动将检测到的列表如 MAC 地址,及其他信息保存到文本文件。比赛结束后由助理裁判导出该文件并提交到专家评委。

● 比赛过程中选手根据检测设备的输出信息判断可能隐藏针孔摄像头的对应帘布位置编号,告知并由助理裁判记录。

比赛选手在其比赛结束后应立即提交检测结果。所有选手提交结果完毕后,由专家评委统一进行评判,并宣布比赛结果。

场地设置

比赛场地为面积 25 平方米左右密闭房间(以下简称“房间”),模拟起居室、宾馆、会议室等环境, 布置各种常见物品,如桌、椅、插座、遥控器、书本,以及常见智能家居设备如路由器、智能插座、手机等。

房间内物品中隐藏摆放多个针孔摄像头作为检测目标。为避免人为因素干扰,所有物品(包括针孔摄像头)统一由布帘覆盖。物品对应布帘的位置有相应编号。

针孔摄像头包括常见的工作模式,包括全程开机、定时开机、支持WIFI(包括AP模式和客户端模式)、有线、不支持WIFI但支持SD存储卡模式等。

房间内除了移动信号、针孔摄像头自带信号、工作用无线 WIFI 网络信号、工作用摄像机相关信号外,不排除其他可能的信号来源。

> 优胜评定原则

根据选手提交的检测结果文本文件,由专家评委统计检测到的针孔摄像头数量并计算原始分。每个判断正确的针孔摄像头数量计原始分1分,每个判断错误扣除原始分0.5分,按照原始分与实际总分(实际针孔摄像头总数)比例折算成标准分:

数量统计原始分占总分比例 标准分
0 0
0-25%(含) 10
25%-50%(含) 20
50%-75%(含) 30
75% - 100% 40
100% 50

根据选手提交的布帘位置编号结合文本文件信息,由专家评委统计检测到的针孔摄像头位置并计算原始分。每个判断正确的针孔摄像头位置计原始分1分,每个判断错误扣除原始分0.5分,按照原始分与实际总分(实际针孔摄像头总数)比例折算成标准分:

位置统计原始分占总分比例 标准分
0 0
0-25%(含) 10
25%-50%(含) 20
50%-75%(含) 30
75% - 100% 40
100% 50

上述两项原始分和标准分分别合计后作为选手的最终原始分与标准分,参加奖项评定。


评分样例:假设赛场中布置了总共9个针孔摄像头;

1. 某选手A,提交了11个数量检测结果,其中8个判断正确,3个判断错误,原始分为6.5分(8*1 – 3*0.5),标准分为30分(6.5/9 = 72%);同时提交了10个位置检测结果,其中7个位置判断正确,3个判断错误,原始分为5.5分(7*1 – 3*0.5),标准分为30分(5.5/9 =61%);合计原始分12分,标准分60分。

2. 某选手B,提交了13个数量检测结果,其中9个判断正确,4个判断错误,原始分为7分(9*1 – 4*0.5),标准分为40分(7/9 = 78%);同时提交了9个位置检测结果,其中5个位置判断正确,4个判断错误,原始分为3分(5*1 – 4*0.5),标准分为20分(3/9 =33%);合计原始分10分,标准分60分。

评判结果:AB两位选手的标准分都是60分,A的原始分高于B,因此A的排名领先B。


奖项评定:

一等奖:标准分80分及以上,且原始分总排名第1

二等奖:标准分60分及以上,且原始分总排名前2

三等奖:标准分40分及以上,且原始分总排名前4

(以上奖项每个选手获奖次数仅限一次)

选手名次按照原始分高低进行排名。如果选手排名相同,将按照以下原则排名:1. 比赛用时少的排名靠前; 2. 助理裁判对检测设备进行点按、拨动等操作数量少的排名靠前

> 参赛流程 >
报名截止时间:2019 年 9 月 30 日
选手报名:在线提交  报名表  。 可下载  完整比赛规则(1.2 版本) ,或直接发送邮件至:cfp@geekpwn.org,咨询报名事宜。
少年极客的第一战场
> 比赛说明 >
青少年机器特工挑战赛
零零后极客来袭!2019年,GeekPwn首次推出面向青少年的赛项。首届青少年机器特工挑战赛由GeekPwn安全极客大赛与Robo Genius全球青少年机器人挑战赛发起,KEEN公司与优必选公司联合主办。比赛面向12-18周岁的中学生,要求选手制作一个模拟的特工机器人,从敌占区完成任务并安全突围。赛前每个参赛团队自行制作机器人,比赛时通过人工遥控机器人及机器人自主行动方式,突破敌占区的障碍封锁,完成预设任务,获得与任务相对应的分数。最后以总得分进行排名。
> 奖金 >
最高3万元
奖项 奖金
一等奖 3万元人民币
二等奖 2万元人民币
三等奖 1万元人民币
优胜奖 5千元人民币
> 比赛规则
///  比赛形式  ///

●  本次机器特工比赛面向青少年在校初中和高中学生。每个团队参赛队员1~2人,年龄限制在12-18周岁,每人限参加1个团队;指导教师1人(可空缺)。

●  参赛团队按抽签次序轮流上场比赛,每场比赛时间最多为10分钟,若比赛用时超过10分钟,则比赛结束。

●  若比赛过程因机器人故障终止,每队可申请1次重新开始比赛的机会,总得分将按第2次比赛结果计算。

●  参赛队员应服从现场专家评委的要求。专家评委拥有对选手比赛资格和比赛结果的最终评判权。

///  技术规范  ///

●   本次比赛参赛机器人使用的主控、传感器、电池、电机、舵机及其他有电子信号收发的零部件应使用深圳市优必选科技股份有限公司生产的Jimu系列产品。深圳市优必选科技股份有限公司提供相关赛事包可供选手选购(选手可在  GeekPwn报名页面  了解购买方式)。 点击下载  赛事包材料清单 

●  其他无电子信号收发的结构件和连接件,选手可以自行定制或使用第三方提供的零部件。

●   赛前检录要求进入比赛场地的机器人最大尺寸不能超过40cm×40cmx40cm,最大重量不能超过5kg。比赛进行中机器人可以展开但不能解体,展开后的尺寸不作限制。

●  机器人编程软件需使用移动App “Jimu”。

●  严禁采用破坏性手段进行比赛,若由于选手比赛方式导致场地设施损坏,将取消该队比赛资格。

●  比赛结束后,获奖团队应向比赛主办方提交机器人设计思路说明文档。

///  比赛场地  ///

●   比赛场地约长5m宽3m,边缘及中间有高约50cm的护栏。地面为浅色EVA泡沫材质。

●   比赛任务区域分为A区(越障夺旗),B区(深入虎穴),C区(搜索返程)。其中A区与B区之间的隔离门初始为打开状态,B区与C区之间的闸门初始为关闭状态。区域划分请参考下图(场地布局仅为示例,实际比赛场地以现场为准)。

●   比赛开始时机器人从起点线后面进入场地。比赛期间选手应停留在选手控制区(下图桔红色区域)。机器人应该从终点线上退出场地,终点线地面上有黑色引导区域标记(下图黑色区域)。

●   比赛期间当机器人完全位于安全区(下图蓝色区域)范围内时,选手可以将机器人移出到选手控制区进行维护。维护期间选手可以检查机器人状况、减少部件或改变形态,但不允许为机器人增加部件。维护期间比赛照常计时。机器人放回到安全区后才可以继续后面的比赛任务。

●   机器人在各个区域之间应按照预设通道通行,不可以从空中越过挡板。

//  A区:越障夺旗  //

●  任务说明:选手遥控机器人从起点线出发到达得分点,放倒旗帜,然后移动到安全区。得分点位于凸起地形顶部,高度不超过40cm。凸起地形长度约2m,宽度约1m。(以上场地示意图仅为示例,实际比赛场地以现场为准)

●  得分判定:机器人到达得分点获得5分,放倒旗帜获得5分。每个得分点和旗帜只能获得一次分数。总分10分。

●  不得分判定:机器人未放倒旗帜且未到达安全区,将不得分。

//  B区:深入虎穴   //

●   选手遥控机器人从安全区出发,在B区内选择完成单个或多个不同任务,次序不限。

/  任务1:隔绝通道   /

●  任务说明:机器人按动关门按钮,A区和B区之间的隔离门将自动落下。关门按钮位于墙壁,高度20cm。隔离门高度40cm,可沿轨道自由向下滑落。

●  得分判定:机器人成功按动关门按钮将隔离门关闭,获得10分。

●  不得分判定:机器人未能将隔离门关闭,将不得分。

/  任务2:放置炸弹   /

●  任务说明:机器人在开始比赛时可自行携带1枚炸弹。炸弹模型由选手自备,尺寸在0.5cmx5cmx5cm和0.5cmx10cmx10cm之间。机器人可以将炸弹放置在以下指定位置并获得不同分数:
地面朝上指定位置;
墙壁竖直指定位置,高度20cm;
台面朝下指定位置,高度20cm;

●  得分判定:机器人将炸弹放置在地面朝上指定位置,获得5 分;将炸弹固定在墙壁竖直指定位置,获得10分;将炸弹固定在台面朝下指定位置,获得15分。

●  不得分判定:机器人没有将炸弹放置在指定位置内,或比赛结束前炸弹从墙壁或台面掉落,将不得分。

/  任务3:中断信号线   /

●  任务说明:找到信号线并中断其中的红色连接线。信号线在墙壁竖向并列,底部高度20cm。信号线材质为公头杜邦线(长约20cm),插在位于墙壁的面包板中(长度约15cm)。信号线之间宽度约为5cm。

●  得分判定:机器人成功中断红色连接线,获得15分

●  不得分判定:机器人未中断红色连接线,或在中断红色信号线的同时中断了其他颜色信号线,将不得分。

/  任务4:穿越逃脱   /

●  任务说明:从B区穿越到C区。B区与C区之间有闸门隔离,初始为关闭状态。闸门底部与地面有10cm距离空当,可以向上抬起。如果没有支撑,闸门将自由下落复位。闸门主体材料为EVA材质(总重量小于1kg)。

●  得分判定:机器人成功从B区穿越到C区,获得20分。

●  不得分判定:机器人未能从B区穿越到C区,将不得分。

//  C区:搜索返程   //

●  任务说明:C区为信号隔离区,机器人在C区时,选手不能遥控机器人,不能接触遥控装置。机器人应通过预设程序,自动收集指定颜色的矿石(颜色由赛前抽签确定)。机器人越过终点线或比赛超时即比赛结束。矿石样本分为红 、黄、蓝三种颜色(颜色参考如下),每种颜色各10个,其中7cmx7cmx7cm的大矿石5个,5cmx5cmx5cm的小矿石5个。矿石材质为正方形EVA泡沫。终点线附近有150cmx30cm的黑色区域作为出口标记。

●  矿石颜色参考:红 , 黄 , 蓝

●  得分判定:机器人将矿石放置到自己身上脱离地面视为收集成功;机器人与地面接触部分完全越过终点线视为比赛结束。在比赛结束时,每收集到一个大矿石,增加15分;每收集到一个小矿石,增加10分;成功越过终点线,获得10分。

●  不得分判定:比赛结束时机器人没有收集到矿石且未越过终点线,将不得分。

> 优胜评定原则

●   入围标准:每队至少获得40分即可参与比赛评奖。

●   评奖排名:按完成任务的总得分进行排名;若得分相同,则由专家评委根据以下条件判定团队排名:

1. C区得分高的团队排名靠前;
2. 完成任务数量多的团队排名靠前;
3. 比赛犯规次数少的团队排名靠前;
4. 若根据以上条件仍然不能区分排名,则由抽签决定排名。

奖项 评奖条件 奖金
一等奖 总得分排名前2且80分及以上 3万元人民币
二等奖 总得分排名前4且60分及以上 2万元人民币
三等奖 总得分排名前6且40分及以上 1万元人民币
优胜奖 总得分在40分及以上 5千元人民币

●   以上奖项每个团队只能获得一次。

> 参赛流程 >
报名截止时间:2019 年 9 月 20 日

选手报名:选手通过GeekPwn  官方报名通道  报名,并将参赛机器人视频发送至cfp@geekpwn.org,主办方将挑选符合赛事基本要求的选手进行线上初审。

报名时间:即日起 - 9月20日。

●   初审:初审由专业评审得分和大众评审得分构成,其中专业评审由极棒主办方专业评委进行打分,打分维度包括机器人灵敏度、速度、任务完成度、外观造型。大众评审由大众投票记分。大众评审得分占30%,专业评审得分占70%。最终评审出16组选手,获得入围决赛资格。

初审时间:2019年9月20日 - 9月30日。

●   决赛:2019年10月24日在上海大观舞台举行。
完整比赛规则文档,也可下载  青少年机器特工挑战赛规则(1.2版本) 

●   如对比赛有任何疑问,请发送邮件至:cfp@geekpwn.org 咨询

突破云的安全边际
> 比赛说明 >
云安全挑战赛

GeekPwn云安全挑战赛线上热身赛已于5月20日圆满结束,正式进入开放赛阶段。开放赛阶段以开放研究目标、开放报名、开放环境、不限制攻击路径等为基本原则,最大限度发挥安全研究者能力。

开放赛将采用“寻找字串”与“无所不pwn”相结合的比赛形式,即决赛环境包含预设赛题和pwn目标部分,供选手突破。

主办方仅设定基础云计算环境(如下图),凡可在其上部署的应用系统均可作为研究目标,如数据库、webservice服务等,选手可自由选择目标研究,挖掘未公开漏洞,填写报名资料。

比赛现场,主办方将在基础云计算环境中预设赛题目标,同时参考选手报名设置赛题目标。选手可自行选择攻击路径,突破限制,获得目标分值。

> 场景及攻击路径举例

● 攻击者远程利用应用服务漏洞,控制服务器。

● 攻击者获得普通用户权限后,利用提权漏洞获得root权限。

● 攻击者获得A网站后台权限后,通过攻击A和B网站公用的数据库,横向攻击B网站,并获得B网站后台权限。

● 攻击者对KVM虚拟化层进行漏洞攻击,导致从guest层穿透到host层。

● 攻击者对容器(例如docker)进行攻击,成功实现逃逸。

● 攻击者对云上公共服务,镜像服务,API网关等进行攻击,控制节点后实现不同租户直接的横向移动。

> 比赛奖金和排名 >
总奖金池  150  万

云安全挑战赛总奖金池150万(含排名奖金和0day漏洞奖金)

● 开放赛决赛积分奖:
 积分第1名    奖金8万元人民币
 积分第2名    奖金5万元人民币
 积分第3名    奖金2万元人民币
 积分优胜奖    奖金1万元人民币

● 开放赛决赛中提交的0day漏洞,评委将根据技术难度、后果影响等因素单独评定漏洞奖金。

● 评委将综合以上两项因素,评选开放赛的选手排名。

> 开放赛安排

1、报名时间:

 ● 即日起接受开放赛选手报名,报名截止时间为2019/9/30 。

2、比赛时间:

 ● 开放赛决赛时间为2019年10月24日,地点为GeekPwn现场

> 选手研究和报名

1、主办方公布云计算开放环境  配置信息(技术说明1.0)  ,选手自由选定目标(能够在该基础环境中部署的应用系统均可作为目标)进行研究,挖掘未公开安全漏洞。

2、主办方搭建开放基础云计算环境供选手登录查看环境  配置信息(技术说明1.0) 。选手可自行搭建研究环境,也可以向主办方申请开放环境账号,通过  申请通道  填写相关信息,经主办方审核通过后发放账号信息。

3、选手将研究项目信息通过  通道  提交至主办方,截止提交时间2019/9/30。

4、主办方评委将根据选手提交的安全研究资料信息,综合考虑漏洞危害、研究背景资料、线上热身赛成绩等,评选出5-8支团队进入1024现场决赛。

> 开放赛决赛

1、每支进入决赛的参赛队最多有3人可以到现场参赛。

2、主办方以  配置信息(技术说明1.0)  为基础,在GeekPwn现场定制搭建决赛环境,包括预设赛题目标和“Pwn目标”,并依目标难度设定相应的分值。另设置“高防环境”作为可选环境目标。

3、参赛队伍可以根据自身的技术特点选择答题路径:可以按照模块突破的方式实施攻击,也可以申请快捷通道权限直达攻击目标模块实施攻击;可以完成预设赛题部分,也可以直接使用0day完成pwn项目。

4、选手获取对应模块的目标字串表明攻击成功,获得相应的分值。决赛将按照各队获取的目标分值、提交时间计算积分,评定积分奖金。

5、使用0day完成pwn的参赛队依照GeekPwn的披露流程进行漏洞披露及奖金评定。

6、评委将综合参考比赛积分和Pwn技术难度、后果等因素,评选开放赛的最终排名情况。

> 参赛流程 >
开放赛报名截止时间:2019 年 9 月 30 日
线上热身赛: 已于5月20日圆满结束,详情  查看 
开放赛报名: 即日起至 2019 年 9 月 30 日,选手可以在 GeekPwn官网的  报名通道  填写报名信息。10月24日GeekPwn现场进行开放赛决赛。
*报名参赛过程中有任何疑问,请发送邮件至:cfp@geekpwn.org
提升安全,无捷径可言
> 比赛说明 >
极棒·华为智能设备安全挑战专场赛
2019 年,GeekPwn 联合“华为终端漏洞奖励计划”发起  “极棒·华为智能设备安全挑战专场赛”  ,设立百万总奖金池。鼓励广大白帽子为华为全线智能设备进行安全漏洞检测,共同为不断提升华为产品安全性以及保护广大用户贡献力量。比赛已于 7 月 24 日在上海举办。
> 比赛规则

比赛形式

华为指定一系列终端 IoT 产品和生态合作智能产品作为目标,选手需利用攻击目标的安全漏洞,在合理的攻击条件下,实现越权控制、越权访问数据、突破原有安全机制或者引导目标作出错误决策等。

届时线下比赛将于由极棒评委组进行评审,并直接将漏洞提交给华为。

设备清单

本挑战包括华为终端 IoT 产品,集成华为 HiLink SDK 的第三方智能设备,以及华为智能家居HiLink 平台相关应用,手机产品,  点击链接  获得详细范围。

*清单会定期刷新,请及时关注。务必确保参赛使用的产品通过智能家居 APP 或者产品 FOTA 升级到最新的版本。

> 优胜评定原则

1. 报名选手的目标,限于设备厂商原生系统、应用或者原生的安全模块。目标设备或者目标安全模块的固件版本等于或高于比赛前 30 天的最新版本,并且为缺省配置。

2. 参加活动所使用的技术手段须为自主实现,公开或者已知的 PWN 技术手段不能作为本次活动的优胜标准,获胜选手在领取项目专项奖励前须向 GeekPwn 评委会提交相关技术手段的详细说明。

3. 当多组选手攻击同一个目标设备时,通过抽签随机决定选手的参赛顺序。如果演示成功,评委会审核该项目中使用的漏洞是否已经在当天的比赛中被用过,仅使用该漏洞的首位选手可以获得此漏洞对应的奖金。

4. GeekPwn 评委会根据选手项目的思路新颖程度、技术难度(例如:通过各类信道劫持,无需用户主动交互的技术手段)和实现结果的影响等因素提供的奖励。

> 设备申请

研究者可以向赛事组委会申请部分比赛设备,通过组委会评审和实名认证后,可以免费租借目标设备作为研究使用。若成功攻破(PWN)、成功展示,可直接获得该设备,不必返还。可租用设备数量有限,如果无法获得免费租用设备,选手可自行购买设备研究,若成功攻破、成功展示,将以包含在奖金中的形式对设备费用报销。

设备申请已经于 2019 年 5 月 31 日结束。

> 参考实例

一个漏洞绕过人脸识别门禁: 选手利用漏洞获得系统控制权限,修改人脸信息,轻松骗过系统,解锁门禁。(GeekPwn2017 上海站项目)

家用路由器的漏洞利用: 选手利用路由器漏洞远程获得最高权限。(GeekPwn2014-2017项目)

九个漏洞利用PWN 到 TrustZone: 选手诱使用户安装恶意程序,利用 TrustZone 中存在的输入校验安全漏洞导致 TrustZone 中用户数据被任意读写,任何人可以指纹解锁手机。 (GeekPwn2016 上海站项目)

更多挑战项目,如摄像头、路由器、智能锁、AI音箱等,请参考  名人堂  往届项目

> 参赛流程 >
报名截止时间:2019 年 7 月 14日
设备申请截止时间:2019 年 5 月 31 日

报名参赛

报名截止时间:2019 年 7 月 14 日

选手报名:已结束

评委初审: 极棒组委会根据报名信息在五个工作日内完成对选手的评审。

复审确定: 一旦选手资格确定,比赛时将由主办方准备目标设备以及展示环境。

设备申请

设备申请已经于 2019 年 5 月 31 日结束。

*报名参赛过程中有任何疑问,请发送邮件至:cfp@geekpwn.org
没有规则束缚,
漏洞突破界限。
> 比赛说明 >
基于漏洞攻破挑战赛
攻击目标可以是市场在售的或者常用的所有智能设备、物联网(IoT)产品、人工智能相关产品,框架和库等。利用攻击目标的安全漏洞,在合理的攻击条件下,实现越权控制、越权访问数据、突破原有安全机制或者引导目标作出错误决策等。
> 奖金 >
单项最高奖金为 80 万元
单项最高奖金为 80 万元
> 比赛规则

1. 报名选手的目标,限于设备厂商原生系统、应用或者原生的安全模块。目标设备或者目标安全模块的固件版本等于或高于比赛前 30 天的最新版本,并且为缺省配置。

2. 参加活动所使用的技术手段须为自主实现,公开或者已知的 Pwn 技术手段不能作为本次活动的优胜标准,获胜选手在领取项目专项奖励前须向 GeekPwn 评委会提交相关技术手段的详细说明。

3. GeekPwn 评委会根据选手项目的思路新颖程度、技术难度(例如:通过各类信道劫持,无需用户主动交互的技术手段)和实现结果的影响等因素提供的奖励。

> 参考实例

一个漏洞绕过人脸识别门禁: 选手利用漏洞获得系统控制权限,修改人脸信息,轻松骗过系统,解锁门禁。(GeekPwn2017 上海站项目)

家用路由器的漏洞利用: 选手利用路由器漏洞远程获得最高权限。(GeekPwn2014-2017项目)

九个漏洞利用PWN 到 Trustzone:选手诱使用户安装恶意程序,利用 Trustzone 中存在的输入校验安全漏洞导致 TrustZone 中用户数据被任意读写,任何人可以指纹解锁手机。 (GeekPwn2016 上海站项目)

*更多基于漏洞 PWN,如摄像头、POS 机、机器人、智能手表、智能锁、共享单车等,请参考  名人堂  往届项目

> 参赛流程 >
报名截止时间:2019 年 9 月 30 日
选手报名: 在线提交  报名表 
评委初审: 极棒组委会根据报名信息在五个工作日内完成对选手的评审。
复审确定: 一旦选手资格确定,比赛时将由主办方准备目标设备或 AI 产品以及展示环境。
*报名参赛过程中有任何疑问,请发送邮件至:cfp@geekpwn.org
不看 0-day,看脑洞
> 比赛说明 >
非基于漏洞攻破挑战赛
攻击目标可以是市场在售的或者常用的所有智能设备、物联网(IoT)产品、人工智能相关产品、框架和库等,或者造成的安全威胁并不针对某一明确目标。攻击时并不要求利用攻击目标的未知漏洞(0day),而是采用新颖的攻击手段和方法达到突破安全限制。
> 奖金 >
单项最高奖金为 80 万元
单项最高奖金为 80 万元
> 比赛规则

1. 报名选手的目标,限于设备厂商原生系统、应用或者原生的安全模块。目标设备或者目标安全模块的固件版本等于或高于比赛前 30 天的最新版本,并且为缺省配置。

2. 参加活动所使用的技术手段须为自主实现,公开或者已知的 Pwn 技术手段不能作为本次活动的优胜标准,获胜选手在领取项目专项奖励前须向 GeekPwn 评委会提交相关技术手段的详细说明。

3.GeekPwn 评委会根据选手项目的思路新颖程度、技术难度和实现结果的影响等因素提供的奖励。

> 参考实例

一种新型移动安全威胁模型: 选手通过对手机设备固件代码进行改造,使入侵后的手机变成新的入侵者。(GeekPwn2017 香港站项目)

一种利用深度神经网络破解谷歌图像验证码的新方法: 选手利用自动识别图像验证码的程序通过谷歌 reCAPTCHA 验证码系统。(GeekPwn2017 硅谷站项目)

利用算法进行语音合成欺骗语音身份验证系统:五组入围选手用人工智能的方法进行语音合成,生成目标模拟对象的语音并以高的概率通过语音身份验证系统。(GeekPwn2017 上海站项目)

*更多基于漏洞 PWN,如摄像头、POS 机、机器人、智能手表、智能锁、共享单车等,请参考  名人堂  往届项目

> 参赛流程 >
报名截止时间:2019 年 9 月 30 日
选手报名: 在线提交  报名表 
评委初审: 极棒组委会根据报名信息在五个工作日内完成对选手的评审。
复审确定: 一旦选手资格确定,比赛时将由主办方准备目标设备或 AI 产品以及展示环境。
*报名参赛过程中有任何疑问,请发送邮件至:cfp@geekpwn.org
Restrictions & Notifications
约束与承诺
所谓专业,
就是极致

1、GeekPwn 组委(以下称我们)认可获胜选手个人的安全技术能力,但不认为活动结果和获胜选手所属机构的安全技术能力存在对应关系。

2、我们不认为活动结果能直接反映相关智能产品的安全性水平。

3、我们严格保证对厂商负责任的信息披露。我们会配合获胜选手共同在活动现场将详细的技术信息提供给厂商代表;如未有厂商代表在场,我们将在活动结束后以邮件形式将详细的技术信息提供给厂商。我们和获胜选手承诺在厂商修补相关问题之前不对任何第三方泄露相关信息。

4、我们承诺非中国籍 GeekPwn 评委不参与中国产智能项目的评定工作。

5、我们保证对选手个人隐私的保护。在未经选手同意的情况下,我们不会将选手个人信息透露给第三方,也不会利用选手个人信息及隐私从事任何商业活动。

GeekPwn Calendar
GeekPwn 日历
唤起沉睡极客,
让世界更完美。
GeekPwn Committee
GeekPwn 组委会
不是第一,
就是唯一。
Thanks To Security Community
感谢来自安全社区的力量
通过极客的力量,
捍卫世界的正义。
报名咨询: cfp@geekpwn.org 商务合作: business@geekpwn.org
购票咨询: ticket@geekpwn.org 媒体合作: marketing@geekpwn.org

© 2019 GeekPwn 组委

KEEN 碁震(上海)云计算版权所有

沪ICP备12003057号-3

<

主办方碁震(KEEN)是一支由在信息安全理论和技术研究方面全球领先的中国“白帽”安全专家组成的信息安全研究队伍,是世界范围内由厂商官方确认发现计算机漏洞数量最多、最了解突破现代安全保护技术的专业安全团队之一。如今,碁震的数百项安全研究成果已经应用于世界上每一台 Windows 和 Mac OS 设备,每一台 Android 和 iOS 智能终端。

自 2014 年创办以来,GeekPwn 已经成功在中国北京、上海、澳门、香港和美国硅谷、拉斯维加斯等多地举办,负责任地披露了上百个高危漏洞。在历届比赛中,从攻破智能手机、无人机、机器人、智能家居等智能产品,到 SSL/TLS 协议挑战专场、人工智能安全挑战专项,GeekPwn 一直在创新并引领安全技术研究。在这个舞台上,从来不缺少安全极客带来的惊喜和震撼。极棒曾获得“2018 年度中国网络安全十大影响力品牌”评选出的“安全竞赛最具影响力奖”。

>