大赛介绍

没有网络安全就没有国家安全,为全面落实网络强国和制造强国战略,网络安全与信息化要全面覆盖、深度融合。“补天杯”破解大赛旨在号召全国范围内的企业、高校、民间的极客、白帽黑客、专家对智能交通、智能制造、智能终端、智能家居等领域的IoT智能设备存在的漏洞及网络风险进行破解挑战,以比赛竞技的方式发现IoT智能设备存在的安全问题,引起政府、企业厂商对物联网安全的重视,并提升其安全能力,培养选拔网络安全人才,提升全民网络安全意识,推动智能制造产业发展,促进网络强国建设。

赛程设置
  • 10月08日 - 11月14日
    报名阶段,提交漏洞
  • ······
  • 11月1日 - 11月14日
    专家审核
  • ······
  • 11月15日
    公布参赛选手名单
  • ······
  • 11月27日
    现场决赛

注意事项:

 

报名阶段:

本次报名活动在补天漏洞响应平台进行,请根据以下步骤获取参赛资格:

(1)本次比赛是以团队的形式参赛,请在补天注册为白帽子,一个团队只需注册一个账号。

(2)在平台提交IoT类别漏洞,提交漏洞后耐心等待审核。

(3)有效漏洞有机会获得现场决赛资格,额外补天会发放单个漏洞奖励

(4)便于工作人员与您的联系,账号注册成功后,请在账号设置>基本资料中补全联系方式(邮箱、手机、QQ)

提交漏洞说明:

漏洞范围:详见补天漏洞响应平台IoT分类奖励计划

漏洞标题格式要求:【补天杯】xxx系统存在一个xxx类型的漏洞

 

专家审核:

1、安全专家会对选手提交的漏洞进行审核,审核通过即为有效,即可获得报名漏洞奖金

2、组委会会联系评审通过的队伍完善漏洞信息,未审核通过的参赛队伍会以邮件的形式通知。每个参赛队伍人数不超过4人

 

公布参赛选手名单:

大赛组委会评定是否获得选手资格,并公布参赛选手名单。

 

现场决赛:

在参赛名单内的选手均获得现场决赛机会。

赛题方向
  • 智能交通

    包括智能汽车、车联网、自行车、轨交等智能交通类设备和系统
    猎豹(长丰汽车)、奔驰、宝马、奥迪、沃尔沃、比亚迪等
  • 智能终端

    包括手环、智能穿戴、智能手机等
    小米手环、Apple Watch、华为手环等智能穿戴设备,苹果、华为、小米、OPPO、vivo等智能手机
  • 智能家居

    智能安全、智能健康、智能卫浴、智能空气监测、智能路由器、智能电视、智能音箱、扫地机器人、智能门锁、智能插座、智能家居套件等智能家居类设备和系统
    智能电视、智能路由器、智能音箱、扫地机器人、智能门锁、D-Link智能插座、联想智能家居套件(路由+开关)、 TP-Link路由、 NETGEAR Nighthawk智能WiFi路由器等
  • 智能制造

    包括PLC、SCADA系统、DCS等
    三一重工、ABB、GE、西门子、罗克韦尔、霍尼韦尔、三菱、浙大中控、和利时、研华科技等
评判标准
赛题方向 评判标准 参考场景
智能交通

绕过系统内置的用户验证机制。对车辆进行一定的改造或者添加某些部件改变车辆的功能。

非物理接触改变设备原有功能控制车载系统(车机)。

非物理接触改变设备原有功能的情况下通对车辆实施控制操作,如闪灯,鸣笛等。

远程控制特斯拉的制动系统修改Connect Drive GPS对车辆的定位信息

智能终端

绕过系统内置的用户验证机制。实现Android系统的Root和ioS系统的越狱。

物理接触改变设备原有功能,或者增加设备原有设计中没有的功能

非物理接触的情况下远程控制设备的最高权限root

实现智能手机在用户认为进行关机操作以后进行麦克风或者摄像头开启通过伪造指纹虹膜人脸等绕过生物验证识别机制绕过iCloud或应用市场的证书验证机制

智能家居

突破系统内置的用户验证机制物理接触改变设备原有功能,或者增加设备原有设计中没有的功能。

非物理接触的情况下改变设备原有的功能,或增加设备原有设计中没有的功能

非物理接触的情况下远程控制智能设备的最高权限root

定位路由器WAN或LAN接口

温度传感器显示当前温度为99°远程任意控制智能开关、远程开启智能电视摄像头

智能制造

突破系统内置的用户验证机制

非物理接触的情况下对设备实施操作,如加速、锁定、关闭报警器、设备失去响应(攻击停止后依然不能恢复)等

远程改变PLC操作逻辑通过伪造生产环境数据等绕过验证

机制远程恶意篡改SCADA数据

远程任意控制PLC

破解规则

智能交通、智能终端、智能家居、智能制造类涉及破解的目标设备,原则上仅限于设备厂商原生系统及应用。设备软硬件均为正式活动前30天最新版本,设备配置为缺省配置。

参加活动所使用的技术手段须为自主实现,公开或者已知的Pwn技术手段不能作为本次活动的优胜标准,参赛选手在参赛前须向大赛组委会提交相关技术手段的详细说明。

当多组选手攻击同一个目标设备时,通过抽签随机决定选手的参赛顺序。如果演示成功,评委会审核该项目中使用的漏洞是否已经在当天的比赛中被用过,仅使用该漏洞的首位选手可以获得此漏洞对应的奖金。

评委会根据选手项目的思路新颖程度、技术难度(例如:通过各类信道劫持,无需用户主动交互的技术手段)和实现结果的影响等因素提供的奖励。

赛事奖金

单个团队最多可拿24万元奖金!

初赛奖金

根据漏洞质量发放奖金

决赛奖金

基础漏洞奖金: 10,000元(单个漏洞奖金)
最佳优胜奖: 50,000元(单项奖金)
最具价值奖池: 180,000
大赛评委会
  • 白健
    白健
    补天漏洞响应平台总经理
  • 段海新
    段海新
    清华大学教授 清华大学-奇安信
    集团联合研究中心主任
  • 剑思庭
    剑思庭
    工控安全高级研究员
  • 柳本金
    柳本金
    代码卫士核心研究员
  • Patrick Paumen
    Patrick Paumen
    全球顶级生物黑客
    ACKspace创始人
  • 王铁磊
    王铁磊
    盘古团队-首席科学家
  • 徐昊
    徐昊
    盘古团队联合创始人
  • 诸葛建伟
    诸葛建伟
    清华大学网研院网络与信息安全实验室(NISL)副研究员、博士;赛宁网安联合创始人
  • 左英男
    左英男
    奇安信集团副总裁
赛事组织
主办单位:
湖南省委网信办
湖南省工业和信息化厅
湖南省科学技术协会
长沙市人民政府
中国电子信息产业集团有限公司
承办单位:
长沙市委网信办
长沙市工业和信息化局
湖南湘江新区管委会经济发展局
奇安信集团
独家技术支持单位:
补天漏洞响应平台
支持团队:
盘古团队
我要提供IoT设备
大赛以比赛竞技和现场表演秀的方式发现IoT智能设备存在的安全问题,提升企业安全能力,推动智能制造产业发展。企业可报名申请在大赛中对本企业设备进行测试,大赛不收取企业任何费用,申请测试审核通过后现场需提供指定设备。
 
企业报名须知:

组委会将在您提交报名之后的5个工作日之内,通过您提交的联系方式与您取得联系,并可能会就技术细节作进一步沟通。

您提交的信息可能会经历初审、入选两个评审阶段,未入选的企业会以邮件的形式通知。

组委会将严格保证对厂商负责任的信息披露。组委会和获胜选手承诺在厂商修补相关问题之前不对任何第三方泄露相关信息。

现场组委会配合获胜选手共同在活动现场将详细的技术信息提供给厂商代表,如未有厂商代表在场,组委会将在活动结束后以邮件形式将详细的技术信息提供给厂商。企业也可选择在补天漏洞响应平台上直接认领漏洞。

报名申请即代表您承诺同意并遵守“补天杯”破解大赛的相关规则。

大赛旨在推动智能制造产业发展,不收取企业任何费用。

申请截至日期:2019年11月10日。

*企业名称:
*测试设备类别:
*测试产品名称:
*联系人:
*手机号码:
*邮箱:
 
 
约束与责任

“补天杯”破解大赛组委(以下称我们)认可参赛选手个人的安全技术能力,但不认为活动结果和参赛选手所属机构的安全技术能力存在对应关系。

我们不认为活动结果能直接反映相关智能设备的安全性水平。

我们严格保证对厂商负责任的信息披露。我们会配合参赛选手在比赛前将详细的技术信息通报给厂商代表;如未有厂商代表在场,我们将在活动结束后以邮件形式将详细的技术信息提供给厂商。我们和参赛选手承诺在厂商修补相关问题之前不对任何第三方泄露相关信息。

我们保证对选手个人隐私的保护。在未经选手同意的情况下,我们不会将选手个人信息透露给第三方,也不会利用选手个人信息及隐私从事任何商业活动。