大赛介绍

没有网络安全就没有国家安全,为全面落实网络强国和制造强国战略,网络安全与信息化要全面覆盖、深度融合。“补天杯”破解大赛旨在号召全国范围内的企业、高校、民间的极客、白帽黑客、专家对新基建、智能交通、智能终端、智能家居等领域的智能设备、软件存在的漏洞及网络风险进行破解挑战,以比赛竞技的方式发现智能设备、软件存在的安全问题,引起政府、企业厂商对物联网安全的重视,并提升其安全能力,培养选拔网络安全人才,提升全民网络安全意识,推动智能制造产业发展,促进网络强国建设。

赛程设置
  • 09月30日-11月06日
    报名阶段
  • ······
  • 10月12日-11月06日
    专家审核
  • ······
  • 11月06日
    公布参赛选手名单
  • ······
  • 11月12日
    现场决赛

注意事项:

 

报名阶段:

本次报名活动在补天漏洞响应平台进行,请根据以下步骤获取参赛资格:

(1)本次比赛是以团队的形式参赛,请在补天注册为白帽子,一个团队只需注册一个账号。

(2)在平台提交IoT、工控、系统类别漏洞,提交漏洞后耐心等待审核。

(3)报名阶段提交一个有效漏洞后进入初赛评选阶段,有机会获得现场决赛资格。

(4)获得决赛资格后工作人员会联系您提交决赛现场比赛项目详情;未能评选进入决赛的白帽子工作人员也会联系通知您,并发放漏洞奖金。

(5)便于工作人员与您的联系,账号注册成功后,请在账号设置>基本资料中补全联系方式(邮箱、手机、QQ)

提交漏洞说明:

漏洞范围:详见补天漏洞响应平台IoT、工控分类奖励计划

漏洞标题格式要求:【补天杯】xxx系统存在一个xxx类型的漏洞

 

专家审核:

1、安全专家会对选手提交的漏洞进行审核,审核通过即为有效,即可获得报名漏洞奖金

2、组委会会联系评审通过的队伍完善漏洞信息,未审核通过的参赛队伍会以邮件的形式通知。每个参赛队伍人数不超过4人

 

公布参赛选手名单:

大赛组委会评定是否获得选手资格,并公布参赛选手名单。

 

现场决赛:

在参赛名单内的选手均获得现场决赛机会。

赛题方向
  • 新基建

    包括5G、物联网、工业互联网等为代表通信网络基础设施,如智慧能源基础设施等;能源、化工、制造等工业领域、民生领域;5G通信、云计算、大数据中心等领域;金融科技、支付、数字货币等领域;医疗、公共卫生、食品安全等领域、种植业、畜牧业等生产和经营
  • 智能交通

    包括智能汽车、车联网、自行车、轨交等智能交通类设备和系统
  • 智能终端

    包括手环、智能穿戴、智能手机等
  • 智能家居

    智能安防、智能卫浴、智能空气监测、智能路由器、智能电视、智能音箱、扫地机器人、智能门锁、智能插座、智能家居套件等智能家居类设备和系统
评判标准
赛题方向 评判标准 参考场景
新基建

突破系统内置的用户验证机制

非物理接触的情况下对设备实施操作,如打开、关闭、加速、锁定、关闭报警器、设备失去响应(攻击停止后依然不能恢复),伪造数据等

远程改变PLC操作逻辑通过伪造生产环境数据等绕过验证机制远程恶意篡改SCADA数据

远程或近场控制城市停车收费系统,导致其不能正常运转

远程改变无线传感器导致工艺变量(温度、液位、压力、流量、速度等)异常,

控制安防监控、门禁系统,导致不能正常运转或篡改信息、任意操作

控制城市智能喷洒系统/照明系统,导致其不能正常运转或任意操作

智能交通

绕过系统内置的用户验证机制。对车辆进行一定的改造或者添加某些部件改变车辆的功能(包括但不限于家用汽车、电动车、公交车、卡车、特种车辆等)。

非物理接触改变设备原有功能控制车载系统(车机)。如推送文字、图片,服务崩溃等。

非物理接触改变设备原有功能的情况下通对车辆实施控制操作,如开门、启动闪灯,鸣笛等。

通过某协议近场控制任意一台车的开锁、车门、玻璃;

远程控制特斯拉的启动系统、开车门等;

获得交通信号灯的控制权限,导致不能正常运转或任意修改信号

远程修改特斯拉的中控大屏信息

智能终端

绕过系统内置的用户验证机制。实现Android系统的Root和ioS系统的越狱。物理接触改变设备原有功能,或者增加设备原有设计中没有的功能

非物理接触的情况下远程控制设备的最高权限root

实现智能手机在用户认为进行关机操作以后进行麦克风或者摄像头开启通过伪造指纹虹膜人脸等绕过生物验证识别机制绕过iCloud或应用市场的证书验证机制

智能家居

突破系统内置的用户验证机制物理接触改变设备原有功能,或者增加设备原有设计中没有的功能。

非物理接触的情况下改变设备原有的功能,或增加设备原有设计中没有的功能

非物理接触的情况下远程控制智能设备的最高权限root

定位路由器WAN或LAN接口

无需钥匙,远程开启某品牌的任意一把智能门锁;

远程控制智能摄像头,实现摄像头转动,监控信息篡改

远程控制智能电视,实现对电视画面的恶意更改

温度传感器显示当前温度为99°远程任意控制智能开关、远程开启智能电视摄像头。

破解规则

新基建、智能交通、智能终端、智能家居类涉及破解的目标设备,原则上仅限于设备厂商原生系统及应用。设备软硬件均为正式活动前30天最新版本,设备配置为缺省配置。

参加活动所使用的技术手段须为自主实现,公开或者已知的Pwn技术手段不能作为本次活动的优胜标准,参赛选手在参赛前须向大赛组委会提交相关技术手段的详细说明。

当多组选手攻击同一个目标设备时,通过抽签随机决定选手的参赛顺序。如果演示成功,评委会审核该项目中使用的漏洞是否已经在当天的比赛中被用过,仅使用该漏洞的首位选手可以获得此漏洞对应的奖金。

评委会根据选手项目的思路新颖程度、技术难度(例如:通过各类信道劫持,无需用户主动交互的技术手段)和实现结果的影响等因素提供的奖励。

赛事奖金

单个团队最多可拿24万元奖金!

初赛奖金

根据漏洞质量发放奖金

决赛奖金

基础漏洞奖金: 10,000元(单个漏洞奖金)
最佳优胜奖: 50,000元(单项奖金)
最具价值奖池: 180,000
大赛评委会
  • 段海新
    段海新
    清华大学教授 清华大学-奇安信
    集团联合研究中心主任
  • 黄琳
    黄琳
    蚂蚁集团IoX部门负责人
  • 剑思庭
    剑思庭
    工控安全团队负责人
  • 林伟
    林伟
    字节跳动安全中心负责人
  • 柳本金
    柳本金
    代码安全实验室负责人
  • 刘跃
    刘跃
    奇安信集团
    技术研究院研究员
  • 刘志
    刘志
    字节跳动安全评估&攻防实验室负责人
  • 闵海钊
    闵海钊
    奇物安全实验室负责人
  • 任奎
    任奎
    浙江大学网络空间安全学院
    院长
  • 王铁磊
    王铁磊
    盘古团队-首席科学家
  • 韦韬
    韦韬
    蚂蚁集团副总裁
  • 徐昊
    徐昊
    盘古团队联合创始人
  • 徐文渊
    徐文渊
    浙江大学教授
    国家“杰出青年”入选者
  • 奕刀
    奕刀
    蚂蚁集团对抗智能负责人
  • 诸葛建伟
    诸葛建伟
    清华大学网研院网络与信息安全实验室副研究员、博士;蓝莲花战队联合创始人
  • 郑晓峰
    郑晓峰
    奇安信技术研究院主任
  • 张钊
    张钊
    奇安信巽丰工控安全实验室
    负责人
  • 张卓
    张卓
    补天漏洞响应平台总经理
赛事组织
主办单位:
中国电子信息行业联合会
浙江省经济和信息化厅
杭州市人民政府
中国电子信息产业集团
承办单位:
杭州市经济和信息化局
杭州高新区(滨江)管委会
奇安信集团
补天漏洞响应平台
蚂蚁集团
技术支持单位:
盘古团队
奇安信技术研究院
奇安信代码卫士
奇安信巽丰工控安全实验室
奇安信奇物安全实验室
我要提供IoT设备
大赛以比赛竞技和现场表演秀的方式发现IoT智能设备存在的安全问题,提升企业安全能力,推动智能制造产业发展。企业可报名申请在大赛中对本企业设备进行测试,大赛不收取企业任何费用,申请测试审核通过后现场需提供指定设备。
 
企业报名须知:

组委会将在您提交报名之后的5个工作日之内,通过您提交的联系方式与您取得联系,并可能会就技术细节作进一步沟通。

您提交的信息可能会经历初审、入选两个评审阶段,未入选的企业会以邮件的形式通知。

组委会将严格保证对厂商负责任的信息披露。组委会和获胜选手承诺在厂商修补相关问题之前不对任何第三方泄露相关信息。

现场组委会配合获胜选手共同在活动现场将详细的技术信息提供给厂商代表,如未有厂商代表在场,组委会将在活动结束后以邮件形式将详细的技术信息提供给厂商。企业也可选择在补天漏洞响应平台上直接认领漏洞。

报名申请即代表您承诺同意并遵守补天杯IoT破解大赛的相关规则。

大赛旨在推动智能制造产业发展,不收取企业任何费用。

申请截至日期:2020年10月19日

*企业名称:
*测试设备类别:
*测试产品名称:
*联系人:
*手机号码:
*邮箱:
 
 
约束与责任

“补天杯”破解大赛组委(以下称我们)认可参赛选手个人的安全技术能力,但不认为活动结果和参赛选手所属机构的安全技术能力存在对应关系。

我们不认为活动结果能直接反映相关智能设备的安全性水平。

我们严格保证对厂商负责任的信息披露。我们会配合参赛选手在比赛前将详细的技术信息通报给厂商代表;如未有厂商代表在场,我们将在活动结束后以邮件形式将详细的技术信息提供给厂商。我们和参赛选手承诺在厂商修补相关问题之前不对任何第三方泄露相关信息。

我们保证对选手个人隐私的保护。在未经选手同意的情况下,我们不会将选手个人信息透露给第三方,也不会利用选手个人信息及隐私从事任何商业活动。