“過去一年我找遍了做IOT(物聯網)、無人機、自動駕駛的國內外廠商,幾乎沒人和我討論安全問題。”國內知名白帽黑客團隊Keen創始人兼CEO王琦對《第一財經日報》記者感慨。他在白帽黑客江湖中的綽號叫“大牛蛙”,技術上的大牛,同時長著一雙大眼睛。
與全球那些靠黑客技術違法牟利的神秘勢力不同,白帽黑客是這個領域里的“清道夫”,憑借技術和直覺找到網絡生活中的后臺風險,攻破并協助軟硬件廠商及時堵住安全漏洞。但在現實中,白帽黑客在財大氣粗的廠商面前并沒有得到應有的重視,除非他們闖入了產品的安全后門,讓廠商感到緊張和不快。
24日上午,NickStephens在上海虹口區一個由當年的屠宰場改造的創意園中展示了如何通過代碼攻擊,破解一部新拆封的華為手機指紋密碼。他來自加利福尼亞大學圣塔芭芭拉分校,還是一名學生。現場觀眾在這部新手機上錄入了指紋,手機的TrustZone區域被攻破后,手機后臺可以讓任何指紋通過驗證,攻擊者甚至可以用鼻子代替手指,解鎖了手機。現場掌聲雷動。Nick在接受記者采訪時稱,目前還不能遠程用這種方法去攻破一部手機的指紋,只能在本地完成。
華為方面隨即表態稱,對主辦方提供的漏洞進行了慎重仔細的分析及修復工作,以保證華為手機系統的安全性進一步提升,“對于十分重視用戶安全的華為手機來說,安全極客的攻破演示無疑成為一次提高產品安全性的重要機會。”
華為提到的主辦方是在24日全天舉行GeekPwn2016嘉年華的白帽黑客團隊Keen。Pwn是個黑客俚語,形容成功實施了黑客攻擊的聲音。在去年一場以攻破金融支付領域漏洞為主題的視覺盛宴后,GeekPwn今年將主題設定在眼下火熱的人工智能與物聯網上,并同步在上海與硅谷兩地進行攻破演示競賽。它想提醒人們:別光顧著人工智能的酷炫,背后的安全隱患更值得重視。
“通常攻破一個漏洞后,漏洞在(白帽)黑客手中停留的時間是很短的,他們隨即會把漏洞交給相應的廠商,協助堵住它。”王琦說。事實上,在黑客眼中,任何智能手機都存在一定的未知安全漏洞,但能像華為這樣正視并積極堵住漏洞的廠商并不多,更多硬件廠商將白帽黑客定義為不受歡迎的找茬者。
“人家是做人工智能、無人駕駛的,高大上,瞧不上我們,認為黑客是小兒科,那我們就伸手去夠一夠,看看能做些什么事情。”在王琦看來,人工智能領域的安全問題被表面的繁榮掩蓋了,對于系統漏洞,廠商方面應該主動肩負起更大的責任。GeekPwn秉承著這樣的理念應運而生。
24日的GeekPwn2016現場,十幾場攻破秀看得人眼花繚亂,又心生忐忑。一個由東南大學與澳門大學師生組成的PhenixCode團隊將攻擊對象瞄準了生活中并不起眼的智能插座,攻破后,他們竟然讓這個智能插座發布了一條微博。這個意想不到的攻擊創意讓在場嘉賓感到震驚,一位白帽黑客稱,黑客技術上的突破是比拼的焦點,但有時能從生活中想到可以攻破的點,更加難得。
既然一個小小的智能插座能成為黑客遠程控制用戶社交媒體的載體,那黑客就可以通過這個硬件做更多破壞事情。這說明,當人們在朝著智能生活的方向邁進過程中,的確有太多安全漏洞赤裸地呈現在黑客眼前。在黑客的潛在攻擊下,物聯網、人工智能、智慧城市、智能硬件等這些只要能聯網的領域顯得黯然失色。拿人工智能舉例,不管是AlphaGo還是自動駕駛,都是通過長期對大量數據的機器學習去實現接近人腦的水平。但同步在硅谷演示的攻破秀上,已經有白帽黑客實現了欺騙機器的深度學習。特斯拉創始人馬斯克甚至認為,發展人工智能實則是在“召喚惡魔”。機器變得越聰明,安全風險也就越大。
面對智能生活領域潛在的安全風險,作為消費者層面看似只能提高自身的安全意識,比如設置復雜密碼并不定期更換,盡量不在公共WiFi環境下使用手機進行資金交易,不連接不熟悉的公共WiFi等,而更應當去自查改進的是軟硬件生產廠商。像微軟對后臺漏洞的長年修復,蘋果“懸賞”獎勵發現手機漏洞的研究人員等行為,至少表明了廠商對安全的態度。