天下网吧 >> 网吧系统 >> 系统动态 >> 正文

渴望影响这个时代的天才黑客都在这里了

2016-6-6不详佚名

本文作者:康民

每一个登上极棒舞台的黑客都是明星

5月12日,GeekPwn黑客大赛2016年的首站澳门,来自中国最权威的安全专家评委们把该赛事的首个“最大脑洞奖”颁给了来自美国加州大学的在读博士生曹跃。他所在的团队重现了“世界头号黑客”凯文·米特尼克的“任意互联网会话劫持技术”:这意味着互联网上几乎所有的安卓和Linux系统,都可能在任意时间、任意位置被攻击,被劫持通讯。

“今年的‘TCP任意远程劫持’项目我觉得是脑洞比较大开的,因为大家都认为TCP协议已经过去这么多年了,应该不会存在问题,也没有人证明过它有问题,质疑过它。但曹跃所在团队居然去质疑它,并且在他们的实验环境下取得成功。这需要大胆和丰富的想象力。”GeekPwn发起和创办人王琦给予很高的评价。而该项目也因此获得了总计15万元的奖金。

渴望影响这个时代的天才黑客都在这里了

三年前,总部位于上海的科技公司KEEN(碁震)创办了世界级安全赛事GeekPwn(中译为“极棒”)。Geek意为“极客”,Pwn是“攻破设备或者系统”。GeekPwn的字面意思是“极客攻破新设备和系统”。

无论是选手实力,还是比赛过程,这届极棒澳门站都有更多的亮点:

破解大疆无人机的两名黑客王丙坤和刘杰炜年仅16岁,是极棒史上年龄最小的参赛选手,他们通过手机程序劫持无人机并让其降落。虽然最终评委判定不属于安全漏洞范畴,但两位小鲜肉还是得到了大赛的肯定,获得“极客精神鼓励奖”。

腾讯电脑管家网络攻防小组破解微软Surface Pro 4,控制surface摄像头,实现了远程监控,这个世界级技术难度的项目获得“最霸技术奖”。

非安全行业从业人员的女极客贾云,在比赛现场破解了两款不同的智能遥控器,演示了如何伪装成主人对家电进行遥控。

专注研究智能保险箱的安全技术人士“黑客叔叔p0tt1”(本名姚威),在不到一分钟的时间内就破解掉一台通过Wi-Fi与手机相连的SAFEOK防黑客智能保险箱,并将其改造成“不起床就可能钱财不保”的闹钟。获得了“最酷展示奖”。

三年来,极棒大赛创办人、KEEN公司CEO王琦像一位虔诚的布道师一样,在一切可能的公开场合传播着他和团队举办极棒的初衷:激发可能改变我们世界的新思维,让我们现在和未来的智能生活更安全。

在极棒的舞台上,每一个人都是明星,那些看起来安全可靠的智能设备在手握强大技术实力的极客面前不堪一击。虽然很多极客都不是有名望和富有的人,但这些技术精湛的天才们为世人呈现了一幅全新的科技景象。

有人说,所有程序员的梦想都是当黑客,而黑客的梦想就是找到世界上最大的安全问题,影响最广泛的安全问题。

场景化地重现黑客攻击的真实危害,是极棒首创的竞赛形式。在极棒的舞台上,曾经有包括特斯拉、无人机、POS机、O2O支付、智能家居、保险箱等在内的近百个项目被白帽黑客攻破。极棒向人们展示了主流智能软硬件使用背后关于隐私安全、信息安全、财产安全,甚至人身安全的严重问题。

尽管这个年轻的赛事活动在过往两届都有不俗表现,并且吸引了安全行业人士和主流媒体的关注,但经过前两届的比赛,王琦仍然认为,参赛选手的创造力和想象力还没有被完全激发。

在他看来,中国有很多聪明的年轻人,历史上很多安全技术不是中国人发明的,但中国极客会把这些技术用得淋漓尽致。在找漏洞过程当中,中国极客非常善于发现规律性的东西,然后在此基础上进行升华,往往比国外同行发现更多漏洞。

“这也可能跟中国的教育有关,中国式教育的特点是善于总结规律但不善于打破规律,突破性思维不多,而黑客做的事情就是超出设计者的预期,完成一件原本不可能完成的事情。”王琦说。

2016年极棒澳门站比赛前夕,总裁判于旸在官网上写下一段话:“有人用电脑攻击无人机,你能不能用无人机攻击电脑?有人用电磁波攻击,你能不能用声波攻击?有人说中国人勤奋但缺乏创造力,我觉得只是想象力没有放开。”

你能让智能马桶变成音乐喷泉吗?你可以把一台带噪音监测的智能空气净化器变成一个窃听器吗?你可以同时叫来1000辆出租车吗?在第一届极棒举办时,大赛组委会曾抛出这样的提示。

极棒活动的报名者有在校学生、老师、普通IT工程师,还有很多非IT行业的人。过去没有一个平台给他们这样的展示机会,而极棒的规则就是没有规则。“只要你敢想、能发现任何智能产品的安全问题,我们都欢迎你。极棒鼓励这个世界上最不被规则束缚、最天马行空、最具创造力的安全极客新思维。你的奇思妙想一定会得到尊重,你的研究成果一定会得到物质和精神的认可。”王琦说,极棒希望给更多优秀的年轻人展现其突破性思维的机会,引领黑客探寻未知的精神。

极棒崎岖路:厂商从抵制、理解到战略合作

第一届极棒在寻找智能产品厂商的合作时,得不到任何国内厂商的支持,甚至遭遇了部分厂商的抵触。在他们看来,组织黑客们来寻找商家产品漏洞,看起来像是“找茬收保护费”。在一番周折后,王琦只获得了微软、谷歌、腾讯等几家大厂商的支持。“国外商家早就有了承认、接受甚至花钱购买安全漏洞分析的姿态。”王琦说,但国内企业的安全观并未国际接轨,国内的氛围是“发现漏洞就是不安全”。

黑客分黑帽和白帽,白帽从事信息安全研究,帮助企业修复漏洞,而黑帽则专注于安全攻击并借此获利。在王琦看来,任何系统都会存在漏洞,白帽所做的工作是找出漏洞,并研究这些漏洞是否会被利用并形成攻击。白帽攻击漏洞是为了给厂商纠错,而不是非法牟利。“我们不做坏事,而是要把问题报给厂商,让厂商把它消灭,让整个互联网变得更安全。”

转变从第二届极棒开始。这一年,厂商对安全的重视程度越来越高,心态更加开放。智能厂商开始逐步接受“问题被发现和消灭的越多,产品越安全”的极棒安全观。极棒开始激发传统安全公司和厂商做出改变,被成功攻破的厂商产品(包括小米、拉卡拉、盒子支付等)大多从保护用户安全的角度,真诚地向极棒致谢,并愿意尽快修复产品安全问题。参赛项目厂商华为、小米等公司的代表还受邀出现在挑战赛现场。安全行业由“技术驱动”向“合作驱动”的转型,标志着国内智能软硬件厂商的安全意识和观念逐渐与国际接轨。

极棒遵守国际通用的白帽子黑客约束与承诺规则,坚持“科学中立不妥协”原则,活动过后,组委会将智能软硬件的漏洞报告提交给厂商,协助修复安全问题。在厂商修复漏洞之前,所有细节均不对外公开,避免被人利用。

“举办这个活动最怕别人误解我们,它可能是一个双节棍,别人以为你要打人,实际上我们的结果是让人强身健体,或者说防身。”王琦说。

举办极棒的目的不是为了炫技,而是通过顶级安全极客攻破最热门智能设备的活动,发现安全极客人才,推动厂商去修补漏洞,提高产品安全系数。“打破常规、追求极致”是极棒倡导的黑客精神,发现并培养人才是极棒的初心。

极客们与厂商平等沟通,不仅可以展现自己的才华,而且各方可以联合起来共同发现并解决问题。这背后的逻辑是,面对日益严峻的网络安全形势,厂商们的独立技术研发和对抗已不能满足形式多变的现代网络攻防对抗战,合纵连横已成为中国网络安全面向未来的大势。

在2016年极棒澳门站,腾讯安全、京东智能、小米、华为等厂商作为极棒的战略合作伙伴,都派出嘉宾到现场助阵。小米首席安全官陈洋表示:“非常欢迎白帽黑客来帮助我们寻找产品的瑕疵,我们共同把产品做得更安全。”华为安全专家周斌说:“来自外部安全社区的力量不可忽视......这些想法能够发现一些新思路,这对改善程序安全都是很必要的。”

在今年的央视315晚会上,KEEN团队现场展示了因为没有使用HTTPS加密,一些明文通信可能被攻击者获取的场景,这一现场互动就是利用极棒大赛上路由器的漏洞完成的。315之后,在极棒的推动下,国内互联网大司纷纷加入到这场加密保卫战中,为用户提供切实的安全保障。今年4月阿里云开始对外推出HTTP

本文来源:不详 作者:佚名

相关文章
没有相关文章
声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下