5月12日,澳门,知名安全团队KEEN主办的黑客大赛GeekPwn(极棒大赛)正在进行,这是黑客界的“星光大道”。穿梭往来的游客们一定不会想到,身边匆匆走过的T恤牛仔裤男子,完全有能力通过技术手段完成电影中入侵系统的桥段,迅速破解系统密码,甚至劫持几台机器,只要这些机器都接入在互联网环境下。
可惜,赌场对于他们中的绝大多数人都毫无吸引力,他们寻求的刺激,并不是运气带来的财富,而是依靠严密的逻辑和计算能力,用一行行枯燥至极的代码,换取而来的攻防刺激,直至屏幕上出现“Pwned”。Pwned这个单词翻译成中文,一般指“攻破设备或系统”。每当它出现在屏幕上,一般都预示着丰厚的奖金和技术上的成就。
1 大牛蛙抛出的问题
“你们是谁,你们黑什么,你们为什么要黑?”
可大牛蛙却对这些刺激感到了厌倦,“我就是稍微有点厌倦了,所以我现在做公司了。”
大牛蛙本名王琦,4年前,他从微软出走创立KEEN团队,这个团队曾在全世界最着名、奖金最丰厚的黑客大赛Pwn2Own上连续三年获得五个冠军。
不过,在极棒大赛的第三个年头,他少了点兴奋,整个人也变得更加“深沉了”。
“能黑的都黑完了,还有什么看头呢?”王琦说。在前两届比赛中,涌现出了100多个选手,这些黑客们已经把能玩的都玩了。他们破解过特斯拉,“劫持”过无人机,甚至为了让比赛更酷一点,他们还想出过选手上厕所需要破解密码的招数。不少选手通过参赛,赢得了丰厚的奖金,也在行业中崭露头角。
这一次,他准备把黑客的终极哲学问题抛给参赛选手们。“你们是谁,你们黑什么,你们为什么要黑?”他当然清楚地知道自己设置比赛的初衷,每每问起他,回答都是一致的“给他们增加点收入”。
黑客缺钱吗?恐怕要看黑客选择了哪条道路。腾讯安全平台部总经理杨勇表示:“当你进入这个行业,第一就是诱惑很多,很容易走偏门,因为挣钱也快;当你炫技时很容易得到别人的瞩目,有些时候你就沉迷在里面了。”可更多的人选择“不作恶”,所以比赛是增加收入的不错选择。例如今年的比赛,总奖金100万,最大的赢家团队就拿走了42万元总奖金,还有数个10万以上的单项奖金。与在一些安全平台上提交一个漏洞获得的奖金不过几十几百元来比,这笔奖金绝对算得上是巨额收入了。
2 “白帽”与“黑帽”的分界岭
比天才更可贵的,是做一个 “好人”
“并不是说白帽黑客就有多高尚,只是我们不愿意干坏事。” 王琦承认,心里“白帽”与“黑帽”的分界岭,并非只是正义感和道德感。“他只要用他发现的安全成果去帮助厂商,帮助我们消灭问题、解决问题,我们都称之为‘白帽’。如果说他拿的东西我们都不知道,可能这会儿他正在做坏事,那就是‘黑帽’。”
王琦一直在寻找天才,他希望能让那些现在还默默无闻的选手通过比赛展现出才华,他希望能通过比赛激发出选手的创新思维,给厂商带来安全提示。但比天才更可贵的,是一个 “好人”。对黑客而言,那就是用一顶白帽以示区分,能在光明和黑暗中,小心地坚守着底线。
既然这样,为什么要黑?只有两个字,就是“热爱”。所以,他们搭台,请选手来唱戏。即使兴奋感少了一些,王琦和他的团队依旧在鼓励选手们打开脑洞,突破创新的限制。也正因为此,在今年的极棒比赛上,我们看到了一秒破解微软Surface Pro4,将智能保险箱彻底玩坏变成闹钟,一口气攻破十大知名品牌路由器这些全新的“刺激”。在这些漂亮的炫技背后,我们也终于近距离接触了这群掌握着黑客的力量,却不愿利用技术“去砸别人家玻璃”的人。
3 脑洞大开的TCP项目
古董级别的互联网基础协议,被挖掘出如此重量级的漏洞
“今年的TCP项目我觉得是脑洞比较大开的,因为大家都认为已经过去这么多年了,应该不会存在问题,也没有人证明过它有问题,质疑过它。但他们居然去质疑它,并且在他们的实验环境下,甚至在今天早上他们还成功。”王琦口中的TCP项目指的是“远程任意TCP劫持连接技术。”
外行看热闹,内行看门道。早在1990年代互联网发展早期,被称为世界头号黑客的凯文·米特尼克利用当时还不完善的TCP协议实施了“任意互联网会话劫持技术”并一举成名。而如今,TCP作为已经不断完善的古董级别的互联网基础协议,从中挖掘出如此重量级的漏洞,无疑对世界的信息安全研究都有着重大的参考意义。而这项技术的展示者,是来自美国加州大学的博士生曹跃。
曹跃在现场演示的“魔术”无疑是杀伤力极大的——攻击者在获知世界任意一地方受害者的IP地址后,即可能远程劫持其通讯。虽然由于现场所处网络环境的限制问题演示过程一波三折,但最终受害者的电脑显示屏上浏览的新闻网页在受到劫持后弹出了一个虚假的登录页面。按提示输入账号及密码之后,相同的内容便出现在了攻击者曹跃的电脑上。该技术意味着互联网上几乎所有的安卓和Linux系统,都可以在任意时间、任意位置被攻击,被劫持通讯。与木马、钓鱼、欺诈不同的是,受害者没有犯任何错误——就无辜地沦为了攻击者的羔羊。
这样的演示让业内人士兴奋不已。TCP协议被称之为当今互联网的基石,而TCP连接的不可预测性更可称之为互联网的安全基石之一。曹跃团队展示的“魔术”正是打破了TCP连接的不可预测性神话。
“GeekPwn(极棒)是非常年轻有朝气的平台,在华人圈里名望很高,并且和我们的极客价值观非常吻合。”据曹跃介绍,这项研究成果来自加州大学Riverside分校的信息安全研究团队,指导老师钱志云是现代TCP安全方面的专家,而这个漏洞,是他在飞机上审阅Linux内核代码时挖到的。
4 唯一的女选手
非科班出身的她,攻击手段完全是自学的
跟曹跃一样单枪匹马来挑战的,还有本次比赛唯一的女性选手贾云。
“他们都是黑客团伙儿,只有我和TCP的选手曹跃是一个人参加比赛的。我跟他们比起来,就是个菜鸟。”1989年出生的贾云毕业于中国化工大学,所学专业为高分子材料。作为黑客比赛中少有的女性选手,外表清秀的她总让人忍不住多看几眼。她将攻击目标锁定为智能家居,攻破了巢控智能遥控器,凡是可以通过红外遥控器控制的家电都可以被劫持。令人意想不到的是,非科班出身的她,此次演示的攻击手段,完全是通过视频自学的。
贾云对北京晨报记者表示,她购买的智能遥控器在使用的过程中存在闪退等问题。于是她便上网寻找解决办法,在这个过程中发现了智能遥控器存在的漏洞。“基本的思路是通过相关的视频找到的,但我在编程方面的基本功比较弱,为此还看了好几节公开课恶补。”对贾云来说,参加比赛所带来的成就感远高于所获得的奖金。“我发现我对这方面挺感兴趣。半路出家,是不是也不晚?”
5 16岁的“小鲜肉”
牙套男孩劫持无人机控制权
来自郑州的王丙坤和刘杰炜今年都是16岁,他们戴着牙套,由父母陪着来参加比赛,接受采访时最常说的话是:“刚才那位哥哥很厉害。”可到了台上,他们又变得像个大人,现场演示如何劫持无人机控制权。这也是极棒大赛举办以来年纪最小的参赛选手了。
王丙坤来自郑州七中,爱好电脑、航模、无人机,拿过航模比赛全国第二名,还是国家二级运动员。他每天保持着严格的作息规律,6点起床,23点睡觉,不熬夜,事情多时就学会挤时间。“学校电视台、社团、录音棚都有我的身影,但我的成绩却不降反升”。他跟刘杰炜小学、初中都同班,到高中分开了,却依然爱往一起凑。刘杰炜通过乌云平台知道了此次比赛的消息,两位“小鲜肉”合计了一下,决定参赛。
父母都支持他们的决定,本着带孩子见见世面的原则,操办好了一切。俩孩子也没什么心理压力:“要是成功了简历中还多了一笔经历,对我申请学校有好处。”王丙坤对北京晨报记者表示,他正准备申请美国的大学,系统地学习无人机专业。
“我们本想来参加比赛试试水,来了才知道水深得看不见。可是看到这么多大神,还是很兴奋。”刘杰炜在采访中话不多,因为他一直在纠结要怎么修改他的项目说明书,可谈起比赛现场的黑客们,他的眼睛一下子亮了。“我一直以为黑客们都是戴个眼镜抱个电脑,打几行字电脑就都黑屏了。今天发现他们都挺帅的,我以后也得注意点形象,把自己收拾干净点。”
更令他们触动的是精神层面。“昨天有几个哥哥为了测试程序从下午5点一直忙到11点,他们的思路令人耳目一新,基本功也都特别扎实。”刘杰炜表示,自己平时有些偏科,这次来除了学习到思路和技巧外,也明白了坚持的重要性。
事实上,“小鲜肉”们演示的“劫持”无人机项目虽然炫目,但技术难度并不高。但即便如此,他们还是令现场的“老江湖”都兴奋不已。评委“老鹰”为他们捧上了“极客精神奖”奖杯时表示:“很高兴看到这么年轻的小鲜肉。在无人机演示时,我们看到了他们的创意和尝鲜的勇气,这是值得所有选手期待的,希望未来能寻找到更多的小鲜肉。”
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。