XPwn未来安全探索盛会

xPwn是由XCon组委会主办,北京华永兴安科学技术有限公司承办的智能生活产品安全问题研究探索大会。今年将与XCon安全焦点安全技术峰会以及其他的一些安全活动联合举办。 通过xPwn吸引国内外一流的极客、黑客发现并解决智能设备上存在的安全问题,推动厂商及时修正问题,更加重视安全问题,探索更好的安全解决办法,从而提高产品安全质量。

xPwn将负责任的披露安全问题,严格做到当问题漏洞没有被修复前,不披露个中细节,同时鼓励选手带着解决方案来xPwn披露漏洞,演示从发现到解决的一系列过程。希望选手通过对安全问题和漏洞的深入挖掘以及修补处理,进而研究出更好的安全机制和措施,提高安全性能和保障。我们还希望选手大开脑洞通过精湛的技术进行更多的创新,提高用户安全体验,增加更多功能和价值。我们希望每项对于软硬件系统的突破都能带来更多的创新,让更多的人了解什么是真正的极客精神和黑客精神,让我们的网络生活更先进更安全。

最新动态

  • XPwn发布会

    2016年4月12日 北京东方君悦大酒店
    携百位专家和媒体参加《xPwn 2016未来 安全探索盛会》新闻发布会。

  • XPwn全面启动

    XPwn官网同期上线
    2016年4月13日-8月1日“xPwn 2016”正式接受选手报名,登陆官网点击《报名参与》。

  • XPwn2016项目征集截止日

    2016年8月1正式截止收录参选项目

  • XPwn2016未来安全探索盛会-XPwn安全极客秀

    2016年8月31日XPwn项目比赛演示破解过程,讲解修补改进解决方案,评委点评打分,颁奖给获奖选手。以及其他精彩活动。

宗旨与规则

XPwn旨在通过对现有的信息产品技术进行破解和突破从而达到推动安全技术的前进,促使民众和厂商更加注重安全,提高安全产品和技术的安全质量。XPwn在关注现今生活比较流行的信息领域的安全问题,更加关注未来信息技术领域的安全问题。XPwn关注的不仅仅是发现问题,更加注重的是解决问题,通过发现一个问题,举一反三能否找到同类问题的解决办法。在发现问题、解决问题之后,我们还希望选手能够在破解突破的同时探索更深层次的技术发展,在突破中进行创新,将技术研究研究发展到极致,创造更大更多的新价值。

XPwn2016总的奖金池500万人民币,每类项目奖金额不设封顶。

    对于项目的评审标准,我们分为5个层级:

  • 突破层:发现问题,分析问题

    能够发现漏洞,并且能够正确的分析出漏洞缺陷的成因逻辑等

  • 演示层:设计利用场景,演示问题

    根据漏洞以及目标的应用特点,设计出漏洞缺陷可能被利用的场景环境,并成功利用漏洞实现攻击,清楚的演示出问题所在以及能造成的危害,鼓励选手发挥奇思妙想展现技术能力,对于创新的表现形式会给与更高的奖励

  • 修复层:解决问题,提出修补方案

    针对发现的漏洞缺陷,提出详细的解决办法。

  • 通用层:提出同类问题通用性解决方案

    通过对漏洞缺陷的分析处理以及修复,能够总结出防范解决同类型的问题的解决办法和具体方案

  • 创新层:突破为了创造,提出创新性改进

    如:Motorola C118 嗅探短信、Magic Lantern、PS2 GPU穷举密码

部分获奖优秀选手,除了能获得奖金和荣誉外,组委会另设立一项独家奖励机制:导师+天使基金为破解技术提供孵化能力,让技术产品化、商业化,让好的技术和人才能够创造更大的价值获得更多的回报。

竞争条件

  • XPwn所有项目仅限于设备厂商原生系统及应用。设备软硬件均为项目报名截止时间(2016年8月1日 00:00)之前最新版本,设备配置为缺省配置。
  • 参赛选手在成功Pwn掉目标后必须向XPwn评委会提交详细的技术细节,所有技术手段都必须为自主研发完成,必须是未知的未公开问题手段,否则不能作为成功PWN获得奖励。
  • 选手比赛顺序为抽签决定,并采用分级评审的原则。同级相同问题和相同的方法以报名时间先后为获胜条件,优胜者获得全部奖励,其他选手不获奖;不同方法以方法效果和难度等综合评定因素决定优胜顺序,第一名获得此级别奖金的一半,其余选手平分奖金。上一级是否获奖不影响下一级的获奖资格与奖励额度。如出现争议,将由评委委员会做出最终裁决。
  • 对于通用标准无法进行评判的项目,XPwn评委会可以根据综合因素包括但不限于技术难度、影响范围、创新程度和解决问题的彻底性等进行评定,评审考量会告知选手,选手也有一次申辩讨论的机会,可与XPwn评委会解释描述此项目的特点内容等。
  • 本次活动评判标准和规则的最终解释权归XPwn评委会所有。

约束与承诺

  • XPwn组委认为会存在安全漏洞和没有安全漏洞被披露并不能说明相关产品的安全性水平。
  • XPwn组委会严格保证对厂商负责任的信息披露,保证在厂商未修补相关缺陷之前不向第三方披露技术细节。
  • 我们承诺非中国籍XPwn评委不参与中国产智能项目的评定工作。
  • XPwn组委认可获胜选手个人的安全技术能力,但不认为活动结果和获胜选手所属机构的安全技术能力存在对应关系。
  • XPwn组委会尊重选手个人意愿,并保证对选手个人隐私的保护,选手可以选择是否公开参与比赛或者可要求封闭评审。在未经选手同意的情况下,我们不会将选手个人信息透露给第三方,也不会利用选手个人信息及隐私从事任何商业活动。

披露流程

我们邀请业内知名的安全技术专家,对于选手发现的安全问题进行客观公正的评价确认。我们认为发现和修复安全漏洞并藉此提高安全机制是提高软硬件系统质量和进化的一个重要部分,我们希望通过发现并改进安全问题,从而推动网络生活更好的向前发展。负责任的公开安全问题,能够有效的促进厂商改进安全措施,提高安全意识,更好的为客户服务,降低安全风险和由于安全问题可能产生的安全损失。

  • 邀请厂商SRC建立绿色通道

    活动召开之前我们会努力的与尽可能多的厂商的安全响应部门进行沟通,建立绿色通道,在选手提交报名项目后,跟选手进行详细沟通后,协助选手与厂商应急响应部门进行沟通,确认安全问题,帮助厂商修复安全问题,为选手争取厂商奖励,并在XPwn活动时向选手发奖。

  • 8月22日前通知相关厂商,邀请厂商到场参加

    活动召开前一周,XPwn组委会将通过向厂商公开的电子邮件联络地址发送电子邮件方式告知厂商并邀请厂商到场验证问题,邮件中不会提及任何与安全问题相关内容。若三天内未收到回复,将再次发送。XPwn组委会在活动的当天确认安全问题细节完毕之后,将技术细节连同选手提供的改进解决方案一同提交给来现场的相关厂商的代表人,厂商需在接收到安全问题报告后3个工作日内,给予安全问题是否客观存在的官方反馈。

  • 若厂商不能到场参加

    活动开始后,确认安全问题后,会在3个工作日内向厂商提交安全问题报告和改进解决方案。厂商需在接收到安全问题报告后3个工作日内,给予安全问题是否客观存在的官方反馈。

  • 再次联系厂商

    每次尝试联系厂商,没有得到回复,将再次尝试用更多的方式反复联系厂商,3次之后,可能会采取进一步对相关安全问题的处理,例如选择第三方漏洞报告平台对相关问题进行有限性公示(不公开相关安全问题的技术细节),以敦促相应厂商尽快重视和修复产品安全问题。

  • 无法达成共识

    若在与厂商取得联系并提交安全问题后一周内,并无法与厂商就安全问题是否客观存在达成共识,则可能选择向第三方漏洞报告平台对相关问题进行有限性公示(不公开相关安全问题的技术细节),以敦促相应厂商尽快重视和修复产品安全问题。

规则

我们只定方向,不定规则

我们认为任何规则都是对创新的束缚,所以我们并不设置具体的比赛规则。我们希望参赛选手开阔思路,希望选手给我们带来更多的奇特的创意,你们来告诉我们,未来你们要怎么玩,只要你们能向评委团展示让他们了解你的项目有多好,多有创新,多有技术特点等等,我们就会颁奖给你,以鼓励你的技术研究和创新。什么都可以只要你敢想,只要你有能力,只要你有创意,只要你敢提交,我们就敢收,就敢给你荣誉和奖励。

关注方向

智能终端

针对主流手机以及一些比较流行的智能终端设备的未知漏洞进行利用和攻击,最终实现对设备的完全控制

智能穿戴

针对主流的智能手表、智能手环、智能眼镜、智能服装等智能可穿戴类设备和系统

智能家居

针对主流的智能家居产品,包括但不限于智能安防类产品,智能家电产品、智能检测类产品等

智能交通

针对智能汽车、非智能汽车、车联网、无人机、无人车等智能设备和系统

生活o2o

针对现今比较流行的生活o2o服务系统,例如送餐应用、支付应用、叫车应用等

未来安全

针对未来发展中可能会遇到的安全问题,例如人工智能的安全问题、VR的安全问题、机器人控制的安全问题、大数据的安全问题等等

下载选手报名表,将报名表发送至xpwn@huayongxingan.com。

2016年4月13日正式接受选手报名。报名选手没有任何限制(有犯罪前科或不符合主办方道德及价值取向的除外);报名截至到2016年8月1日零时止,收录项目共计20个,因需要一定的审核验证时间,收录项目已先到先得机制入选。

下载选手报名表(DOC) 下载选手报名表(PDF)

合作伙伴

(排名以拼音为序,排名不分先后)

支持单位

支持应急响应中心

支持媒体

版权所有 © 2016.XCon组委会&北京华永兴安科学技术有限公司.

本活动所有最终解释权归XCon组委会所有! ,,,,