攻破特斯拉,攻破大疆無人機,任何帶著智能稱號的產(chǎn)品在這些白帽子黑客的手下都不堪一擊。
外界通常用黑客來稱呼,但KEEN創(chuàng)始人王琦更希望用“安全極客”來稱呼自己。
GeekPwn起始于2014年,王琦和他的KEEN團隊一直希望將這項賽事打造成國內(nèi)頂尖的安全賽事,甚至不惜用近百萬的獎金獎勵優(yōu)秀團隊。
過去兩屆,通過攻破特斯拉、大疆等明星產(chǎn)品讓賽事名聲大振的話。那么,在最新的GeekPwn大會上,路由器、windows PDF軟件劫持等更加貼近用戶的軟硬件產(chǎn)品被攻破,讓安全問題更貼近用戶的生活工作場景。
智能成為被“黑”的對象
不久之前,美國FBI因為破解蘋果手機讓雙方鬧得不可開交,在GeekPwn上,白帽子黑客對于智能設(shè)備的挑戰(zhàn)應(yīng)該引起我們注意。
代號“黑客叔叔 p0tt1”的姚威作為第一個登場的團隊,選擇了保險箱作為破解的對象,在現(xiàn)場僅僅耗時1分多鐘讓一個保險箱門戶大開。
“別的產(chǎn)品不是安全產(chǎn)品,只是一個產(chǎn)品,所以并沒有考慮到安全措施。而保險箱是典型的安全產(chǎn)品,它的安全系數(shù)可能會高點,所以就想挑戰(zhàn)一下,”姚威說到。
打著“智能保險”的名義,但是卻在黑客面前不堪一擊,似乎你該對安全重新審視了。
而另一個在互聯(lián)網(wǎng)公司負(fù)責(zé)安全的團隊,作為曾在另一項互聯(lián)網(wǎng)黑客大賽中屢獲獎團隊,選擇了Surface Pro 4電腦中的 PDF 文檔作為突破口,通過PGF文檔在局域網(wǎng)環(huán)境內(nèi)破解了 Surface Pro 4,通過監(jiān)控電腦實時竊取 Surface Pro 4 的攝像頭畫面,而被攻擊者對此毫不知情。
團隊負(fù)責(zé)人鄧欣對于此次挑戰(zhàn)有自己的看法,他解釋到,安全課題關(guān)鍵都是在IE、safair、chrome等用戶常用的產(chǎn)品上。
隨著智能手機的普及,智能這個詞語已經(jīng)不僅局限在某款產(chǎn)品,小到智能手環(huán)大到汽車、飛機等等都帶著“智能聯(lián)網(wǎng)”的模塊。
路由器、智能攝像頭等等這些被冠以智能的傳統(tǒng)設(shè)備,越來越多被用戶使用,智能產(chǎn)品貼近用戶的生活,安全問題就越容易被暴露出來。
近幾屆舉辦的GeekPwn上大量的智能硬件成為安全極客們選擇攻破的對象,今年也不例外,大會舉辦的同時,更有大量智能硬件企業(yè)加入了KEEN建立的聯(lián)盟,一個智能硬件廠商的代表稱,“雖然眼睜睜自家的產(chǎn)品成為極客們挑戰(zhàn)的對象,但是從長遠來看,只有被找到漏洞才能更好的做好安全的保障。”
王琦也坦言,除了這些大牌廠商愿意接受挑戰(zhàn)之外,還有更多廠商的產(chǎn)品正成為“危險”代名詞。
互聯(lián)網(wǎng)安全的防護者
每次大賽挑戰(zhàn)的這批黑客們,通常有一個代名詞叫“白帽子”,
與白帽子黑客相對應(yīng)的就是黑客,在美劇《神盾局特工》中,女主角sky就是這么一個黑客,經(jīng)常通過技術(shù)手段“黑”進各種系統(tǒng),創(chuàng)造便利。
而通過“黑”給他們帶來的“黑產(chǎn)”(黑客獲得收入),卻以用千萬人民幣來計算。
“黑產(chǎn)”讓黑客產(chǎn)業(yè)成為科技領(lǐng)域一個隱形地帶,而王琦們所在的白帽子黑客卻站在了對立面,此次大會的參與者中有新人也有老玩家,堅持不變的就是對于“底線”的堅守。
在王琦看來,這些白帽子黑客們,都有一個共性就是“不作惡”,這既是最高標(biāo)準(zhǔn)也是底線,對于任何來說,往往最難的也是最容易被突破。
一家名叫長亭科技的比賽團隊就數(shù)年如一日的堅持選擇市面上推陳出新的智能硬件作為自己的挑戰(zhàn)對象。
今年他們就成功通過被植入惡意木馬的 APK 遠程控制一臺無辜的 Android 手機,售價近 300 元的思科 CVR100W 路由器就是為“劫持”牽線搭橋的罪魁禍?zhǔn)?。而長亭科技攻破的目標(biāo)絕不僅僅只是這一家,更有思科、小米、華為榮耀、TP-Link等數(shù)十家大名鼎鼎的廠商。
在王琦看來,長亭科技每年就像釘子戶一樣出現(xiàn)在大賽的名單中。
另一邊“新兵蛋子”則是兩個還在上學(xué)的中學(xué)生,通過課余時間學(xué)習(xí)代碼,在現(xiàn)場演示了劫持大疆無人機。
隨著網(wǎng)絡(luò)信息安全成為國家的戰(zhàn)略,越來越多的科技企業(yè)將安全作為重要的部門,參賽的不少團隊都獲得了投資,讓這些極客們不用為吃喝發(fā)愁,當(dāng)記者提問,對于黑客的“黑產(chǎn)”收入和白帽子黑客收入如此不平等,王琦和所有參與者的回應(yīng)很明確就是“安全是責(zé)任,不羨慕”。
如何面對互聯(lián)網(wǎng)安全?
這么多安全產(chǎn)品,安全技術(shù),安全軟件成為白帽子們攻擊的對象,“短時間、迅速”被攻破,安全成為了偽命題。
當(dāng)我們在追求智能生活的時候,如何來避免安全風(fēng)險呢?
作為大賽的主辦者王琦深知安全意識的普及比辦大賽重要多了,他也常常為此苦惱。
甚至他身邊的親人都明白安全到底是什么,“我們從工作的第一天開始就意識到安全工作需要普及,普及到最后,結(jié)果是連自己都救不了。我工作十年回到家跟我媽、跟我親戚說我做安全,他們說那就是防病毒,我做了那么多年我的家人也不知道我做什么,普及工作真的很難做。”
不過,既然有一大批堅持不作惡的白帽子存在,對于網(wǎng)絡(luò)空間的,智能空間的安全總有所保障,雖然可能微乎及微,但依然需要關(guān)注。
讓大家大呼過癮的并不是挑戰(zhàn)本身,而是過去通俗意義上掌握黑客技術(shù)很多必須擁有相關(guān)計算機專業(yè)的背景,但是網(wǎng)絡(luò)的普及讓掌握技術(shù)的門檻降低,中學(xué)生可以通過網(wǎng)絡(luò)獲得知識挑戰(zhàn)成功,而普通老百姓可以通過網(wǎng)絡(luò)了解信息,同時,越來越多的上網(wǎng),對于安全知識的淡薄,或許就埋下了隱患。