XPwn

XPwn

xPwn是由XCon組委會主辦的智慧型生活產品安全問題研究探索大會。今年將與XCon安全焦點安全技術峰會以及其他的一些安全活動聯合舉辦。

自2016年成功舉辦之後,XPwn2017對安全的研究和探討有了更高的要求,在發現問題、解決問題之後,我們同樣能夠在破解突破的同時探索更深層次的技術發展,在突破中進行創新,將技術研究研究發展到極致,創造更大更多的新價值。我們鼓勵研究人員通過對安全問題和漏洞的深入研究和挖掘,進而研究出更好的安全機制和措施,提高安全性能和保障。

基本介紹

  • 中文名:未來安全探索盛會 
  • 活動發起者:XCon組委會 
介紹,宗旨與規則,XPwn2017,XPwn2016,評審標準,競爭條件,約束與承諾,披露流程,規則,顧問團隊,

介紹

xPwn是由XCon組委會主辦的智慧型生活產品安全問題研究探索大會。今年將與XCon安全焦點安全技術峰會以及其他的一些安全活動聯合舉辦。XPwn未來安全探索盛會是由XCon組委會和北京未來安全信息技術有限公司聯合主辦的針對智慧型生活產品安全問題研究成果匯報大會。
xPwn將負責任的披露安全問題,嚴格做到當問題漏洞沒有被修復前,不披露箇中細節,同時鼓勵選手帶著解決方案來xPwn披露漏洞,演示從發現到解決的一系列過程。希望選手通過對安全問題和漏洞的深入挖掘以及修補處理,進而研究出更好的安全機制和措施,提高安全性能和保障。我們還希望選手大開腦洞通過精湛的技術進行更多的創新,提高用戶安全體驗,增加更多功能和價值。我們希望每項對於軟硬體系統的突破都能帶來更多的創新,讓更多的人了解什麼是真正的極客精神和黑客精神,讓我們的網路生活更先進更安全。

宗旨與規則

XPwn旨在通過對現有的信息產品技術進行破解和突破從而達到推動安全技術的前進,促使民眾和廠商更加注重安全,提高安全產品和技術的安全質量。XPwn在關注現今生活比較流行的信息領域的安全問題,更加關注未來信息技術領域的安全問題。XPwn關注的不僅僅是發現問題,更加注重的是解決問題,通過發現一個問題,舉一反三能否找到同類問題的解決辦法。在發現問題、解決問題之後,我們還希望選手能夠在破解突破的同時探索更深層次的技術發展,在突破中進行創新,將技術研究研究發展到極致,創造更大更多的新價值。
XPwn2016總的獎金池500萬人民幣,每類項目獎金額不設封頂。

XPwn2017

9月6日,由XCon組委會、北京未來安全信息技術有限公司聯合主辦,螞蟻金服安全應急回響中心、百度安全共同支持的“XPwn2017 未來安全探索盛會”在北京召開。本屆盛會以“極智·未來”為主題廣邀國內外信息安全愛好者、信息安全工作者以及信息安全行業專家共赴安全“極智”盛宴。
關注領域
智慧型穿戴、智慧型終端、智慧型交通、未來安全、公眾安全、智慧型家居

XPwn2016

2016年4月12日 北京東方君悅大酒店攜百位專家和媒體參加《xPwn 2016未來 安全探索盛會》新聞發布會。
2016-04-1300:00
XPwn全面啟動
XPwn官網同期上線2016年4月13日-8月1日“xPwn 2016”正式接受選手報名,登入官網點擊《報名參與》。
2016-08-0124:00
XPwn2016項目徵集截止日
2016年8月1正式截止收錄參選項目
2016-08-3110:00
XPwn2016未來安全探索盛會-XPwn安全極客秀
2016年8月31日XPwn項目比賽演示破解過程,講解修補改進解決方案,評審點評打分,頒獎給獲獎選手。以及其他精彩活動。

評審標準

對於項目的評審標準,我們分為5個層級:
突破層:發現問題,分析問題
能夠發現漏洞,並且能夠正確的分析出漏洞缺陷的成因邏輯等
演示層:設計利用場景,演示問題
根據漏洞以及目標的套用特點,設計出漏洞缺陷可能被利用的場景環境,並成功利用漏洞實現攻擊,清楚的演示出問題所在以及能造成的危害,鼓勵選手發揮奇思妙想展現技術能力,對於創新的表現形式會給與更高的獎勵
修復層:解決問題,提出修補方案
針對發現的漏洞缺陷,提出詳細的解決辦法。
通用層:提出同類問題通用性解決方案
通過對漏洞缺陷的分析處理以及修復,能夠總結出防範解決同類型的問題的解決辦法和具體方案
創新層:突破為了創造,提出創新性改進
如:Motorola C118 嗅探簡訊、Magic Lantern、PS2 GPU窮舉密碼
部分獲獎優秀選手,除了能獲得獎金和榮譽外,組委會另設立一項獨家獎勵機制:導師+天使基金為破解技術提供孵化能力,讓技術產品化、商業化,讓好的技術和人才能夠創造更大的價值獲得更多的回報。

競爭條件

XPwn所有項目僅限於設備廠商原生系統及套用。設備軟硬體均為項目報名截止時間(2016年8月1日 00:00)之前最新版本,設備配置為預設配置。
參賽選手在成功Pwn掉目標後必須向XPwn評審會提交詳細的技術細節,所有技術手段都必須為自主研發完成,必須是未知的未公開問題手段,否則不能作為成功PWN獲得獎勵。
選手比賽順序為抽籤決定,並採用分級評審的原則。同級相同問題和相同的方法以報名時間先後為獲勝條件,優勝者獲得全部獎勵,其他選手不獲獎;不同方法以方法效果和難度等綜合評定因素決定優勝順序,第一名獲得此級別獎金的一半,其餘選手平分獎金。上一級是否獲獎不影響下一級的獲獎資格與獎勵額度。如出現爭議,將由評審委員會做出最終裁決。
對於通用標準無法進行評判的項目,XPwn評審會可以根據綜合因素包括但不限於技術難度、影響範圍、創新程度和解決問題的徹底性等進行評定,評審考量會告知選手,選手也有一次申辯討論的機會,可與XPwn評審會解釋描述此項目的特點內容等。
本次活動評判標準和規則的最終解釋權歸XPwn評審會所有。

約束與承諾

XPwn組委認為會存在安全漏洞和沒有安全漏洞被披露並不能說明相關產品的安全性水平。
XPwn組委會嚴格保證對廠商負責任的信息披露,保證在廠商未修補相關缺陷之前不向第三方披露技術細節。
我們承諾非中國籍XPwn評審不參與中國產智慧型項目的評定工作。
XPwn組委認可獲勝選手個人的安全技術能力,但不認為活動結果和獲勝選手所屬機構的安全技術能力存在對應關係。
XPwn組委會尊重選手個人意願,並保證對選手個人隱私的保護,選手可以選擇是否公開參與比賽或者可要求封閉評審。在未經選手同意的情況下,我們不會將選手個人信息透露給第三方,也不會利用選手個人信息及隱私從事任何商業活動。

披露流程

我們邀請業內知名的安全技術專家,對於選手發現的安全問題進行客觀公正的評價確認。我們認為發現和修復安全漏洞並藉此提高安全機制是提高軟硬體系統質量和進化的一個重要部分,我們希望通過發現並改進安全問題,從而推動網路生活更好的向前發展。負責任的公開安全問題,能夠有效的促進廠商改進安全措施,提高安全意識,更好的為客戶服務,降低安全風險和由於安全問題可能產生的安全損失。
邀請廠商SRC建立綠色通道
活動召開之前我們會努力的與儘可能多的廠商的安全回響部門進行溝通,建立綠色通道,在選手提交報名項目後,跟選手進行詳細溝通後,協助選手與廠商應急回響部門進行溝通,確認安全問題,幫助廠商修復安全問題,為選手爭取廠商獎勵,並在XPwn活動時向選手發獎。
8月22日前通知相關廠商,邀請廠商到場參加活動召開前一周,XPwn組委會將通過向廠商公開的電子郵件聯絡地址傳送電子郵件方式告知廠商並邀請廠商到場驗證問題,郵件中不會提及任何與安全問題相關內容。若三天內未收到回復,將再次傳送。XPwn組委會在活動的當天確認安全問題細節完畢之後,將技術細節連同選手提供的改進解決方案一同提交給來現場的相關廠商的代表人,廠商需在接收到安全問題報告後3個工作日內,給予安全問題是否客觀存在的官方反饋。
若廠商不能到場參加
活動開始後,確認安全問題後,會在3個工作日內向廠商提交安全問題報告和改進解決方案。廠商需在接收到安全問題報告後3個工作日內,給予安全問題是否客觀存在的官方反饋。
再次聯繫廠商
每次嘗試聯繫廠商,沒有得到回覆,將再次嘗試用更多的方式反覆聯繫廠商,3次之後,可能會採取進一步對相關安全問題的處理,例如選擇第三方漏洞報告平台對相關問題進行有限性公示(不公開相關安全問題的技術細節),以敦促相應廠商儘快重視和修復產品安全問題。
無法達成共識
若在與廠商取得聯繫並提交安全問題後一周內,並無法與廠商就安全問題是否客觀存在達成共識,則可能選擇向第三方漏洞報告平台對相關問題進行有限性公示(不公開相關安全問題的技術細節),以敦促相應廠商儘快重視和修復產品安全問題。

規則

我們只定方向,不定規則
我們認為任何規則都是對創新的束縛,所以我們並不設定具體的比賽規則。我們希望參賽選手開闊思路,希望選手給我們帶來更多的奇特的創意,你們來告訴我們,未來你們要怎么玩,只要你們能向評審團展示讓他們了解你的項目有多好,多有創新,多有技術特點等等,我們就會頒獎給你,以鼓勵你的技術研究和創新。什麼都可以只要你敢想,只要你有能力,只要你有創意,只要你敢提交,我們就敢收,就敢給你榮譽和獎勵。

顧問團隊

王英鍵——XCon&XPwn創始人(網名呆神)
馮春培——螞蟻金服安全產品技術部負責人
馬傑——百度安全事業部總經理
杜躍進——阿里巴巴集團安全部 技術副總裁
蔡晶晶——永信至誠董事長
陳小波——犇眾信息聯合創始人,盤古越獄團隊成員
崔孝晨——team509安全研究團隊創始人之一,上海公安學院教官
丁麗萍——中國科學院軟體研究所研究員,廣州中國科學院軟體套用技術研究所電子數據取證實驗室主任
董志強——騰訊雲鼎實驗室創始人
段海新——清華大學網路研究院,網路安全實驗室主任,教授,博士生導師
高志民——博士,中國金融認證中心信息安全實驗室主任
韓爭光——犇眾信息 CEO
侯浩俊——北京啟明星辰ADLab副總監[5]
黃承——唯品會CSO
黃鑫——大成天下CTO
季昕華——UCloud CEO
李柏松——安天實驗室第一副總工程師,現任安天安全研究與應急處理中心主任,是安天早期創業者之一
令狐永興——拓爾斯副總裁,天行網安 CEO
李鴻運——國家信息技術安全研究中心副總工
李小軍——犇眾信息 CSO
李志鵬——天行網安 CTO
潘柱廷——啟明星辰 CSO
屈波——Palo Alto Networks軟體架構師,MSRC 2016貢獻榜華人第一
桑勝田——安天微電子與嵌入式安全研發中心總經理
孫冰——英特爾安全事業部 資深安全研究員
王鐵磊——犇眾信息首席科學家
王偉——阿里安全威脅情報中心資深安全專家
王昱——唐朝實驗室資深安全研究員
萬濤——IDF實驗室、益雲(公益網際網路)社會創新中心聯合創始人
魏強——博士,解放軍信息工程學院教授,博士生導師
韋韜——百度首席安全科學家
魏興國——默安科技 CTO
薛峰——微步線上CEO
徐昊——犇眾信息 CTO
徐文淵——浙江大學電氣工程學院教授博導, 國家“青年千人計畫”入選者、美國南卡羅萊納大學終身教授
楊冀龍——知道創宇 CTO
楊勇——騰訊雲副總裁,騰訊安全平台部負責人
楊珉——國家973首席科學家,復旦大學教授、博導
嚴挺——眾享比特 CEO
閻文斌——娜迦 CTO
營智敏——資深安全研究員
餘弦——知道創宇技術 VP,404 實驗室負責人
張迅迪——XFOCUS創始人,阿里巴巴高級安全專家
趙糧——綠盟科技 CTO
趙世平——安天實驗室微電子與嵌入式研發中心高級工程師
趙偉——知道創宇 CEO
周景平——知道創宇 CSO
朱錢杭——啟明星辰助理總裁,adlab積極防禦實驗室技術負責人
朱易翔——移動網際網路系統與套用安全國家工程實驗室

相關詞條

熱門詞條

聯絡我們