攻破特斯拉,攻破大疆無人機,任何帶著智能稱號的產品在這些白帽子黑客的手下都不堪一擊。
外界通常用黑客來稱呼,但KEEN創始人王琦更希望用“安全極客”來稱呼自己。
GeekPwn起始于2014年,王琦和他的KEEN團隊一直希望將這項賽事打造成國內頂尖的安全賽事,甚至不惜用近百萬的獎金獎勵優秀團隊。
過去兩屆,通過攻破特斯拉、大疆等明星產品讓賽事名聲大振的話。那么,在最新的GeekPwn大會上,路由器、windows PDF軟件劫持等更加貼近用戶的軟硬件產品被攻破,讓安全問題更貼近用戶的生活工作場景。
智能成為被“黑”的對象
不久之前,美國FBI因為破解蘋果手機讓雙方鬧得不可開交,在GeekPwn上,白帽子黑客對于智能設備的挑戰應該引起我們注意。
代號“黑客叔叔 p0tt1”的姚威作為第一個登場的團隊,選擇了保險箱作為破解的對象,在現場僅僅耗時1分多鐘讓一個保險箱門戶大開。
“別的產品不是安全產品,只是一個產品,所以并沒有考慮到安全措施。而保險箱是典型的安全產品,它的安全系數可能會高點,所以就想挑戰一下,”姚威說到。
打著“智能保險”的名義,但是卻在黑客面前不堪一擊,似乎你該對安全重新審視了。
而另一個在互聯網公司負責安全的團隊,作為曾在另一項互聯網黑客大賽中屢獲獎團隊,選擇了Surface Pro 4電腦中的 PDF 文檔作為突破口,通過PGF文檔在局域網環境內破解了 Surface Pro 4,通過監控電腦實時竊取 Surface Pro 4 的攝像頭畫面,而被攻擊者對此毫不知情。
團隊負責人鄧欣對于此次挑戰有自己的看法,他解釋到,安全課題關鍵都是在IE、safair、chrome等用戶常用的產品上。
隨著智能手機的普及,智能這個詞語已經不僅局限在某款產品,小到智能手環大到汽車、飛機等等都帶著“智能聯網”的模塊。
路由器、智能攝像頭等等這些被冠以智能的傳統設備,越來越多被用戶使用,智能產品貼近用戶的生活,安全問題就越容易被暴露出來。
近幾屆舉辦的GeekPwn上大量的智能硬件成為安全極客們選擇攻破的對象,今年也不例外,大會舉辦的同時,更有大量智能硬件企業加入了KEEN建立的聯盟,一個智能硬件廠商的代表稱,“雖然眼睜睜自家的產品成為極客們挑戰的對象,但是從長遠來看,只有被找到漏洞才能更好的做好安全的保障。”
王琦也坦言,除了這些大牌廠商愿意接受挑戰之外,還有更多廠商的產品正成為“危險”代名詞。
互聯網安全的防護者
每次大賽挑戰的這批黑客們,通常有一個代名詞叫“白帽子”,
與白帽子黑客相對應的就是黑客,在美劇《神盾局特工》中,女主角sky就是這么一個黑客,經常通過技術手段“黑”進各種系統,創造便利。
而通過“黑”給他們帶來的“黑產”(黑客獲得收入),卻以用千萬人民幣來計算。
“黑產”讓黑客產業成為科技領域一個隱形地帶,而王琦們所在的白帽子黑客卻站在了對立面,此次大會的參與者中有新人也有老玩家,堅持不變的就是對于“底線”的堅守。
在王琦看來,這些白帽子黑客們,都有一個共性就是“不作惡”,這既是最高標準也是底線,對于任何來說,往往最難的也是最容易被突破。
一家名叫長亭科技的比賽團隊就數年如一日的堅持選擇市面上推陳出新的智能硬件作為自己的挑戰對象。
今年他們就成功通過被植入惡意木馬的 APK 遠程控制一臺無辜的 Android 手機,售價近 300 元的思科 CVR100W 路由器就是為“劫持”牽線搭橋的罪魁禍首。而長亭科技攻破的目標絕不僅僅只是這一家,更有思科、小米、華為榮耀、TP-Link等數十家大名鼎鼎的廠商。
在王琦看來,長亭科技每年就像釘子戶一樣出現在大賽的名單中。
另一邊“新兵蛋子”則是兩個還在上學的中學生,通過課余時間學習代碼,在現場演示了劫持大疆無人機。
隨著網絡信息安全成為國家的戰略,越來越多的科技企業將安全作為重要的部門,參賽的不少團隊都獲得了投資,讓這些極客們不用為吃喝發愁,當記者提問,對于黑客的“黑產”收入和白帽子黑客收入如此不平等,王琦和所有參與者的回應很明確就是“安全是責任,不羨慕”。
如何面對互聯網安全?
這么多安全產品,安全技術,安全軟件成為白帽子們攻擊的對象,“短時間、迅速”被攻破,安全成為了偽命題。
當我們在追求智能生活的時候,如何來避免安全風險呢?
作為大賽的主辦者王琦深知安全意識的普及比辦大賽重要多了,他也常常為此苦惱。
甚至他身邊的親人都明白安全到底是什么,“我們從工作的第一天開始就意識到安全工作需要普及,普及到最后,結果是連自己都救不了。我工作十年回到家跟我媽、跟我親戚說我做安全,他們說那就是防病毒,我做了那么多年我的家人也不知道我做什么,普及工作真的很難做。”
不過,既然有一大批堅持不作惡的白帽子存在,對于網絡空間的,智能空間的安全總有所保障,雖然可能微乎及微,但依然需要關注。
讓大家大呼過癮的并不是挑戰本身,而是過去通俗意義上掌握黑客技術很多必須擁有相關計算機專業的背景,但是網絡的普及讓掌握技術的門檻降低,中學生可以通過網絡獲得知識挑戰成功,而普通老百姓可以通過網絡了解信息,同時,越來越多的上網,對于安全知識的淡薄,或許就埋下了隱患。
京公網安備 11010502049343號