咨詢專線(xiàn):4008-322-006

為(wèi)什麽黑客界極棒大賽這麽牛?

時間:2016-05-23 10:16:27 小(xiǎo)編:雲端高科(kē) 來源:雲端高科(kē)網絡

5月12日,澳門,知名(míng)安(ān)全團隊KEEN主辦(bàn)的黑客大賽GeekPwn(極棒大賽)正在進行,這是黑客界的“星光大道”。穿梭往來的遊客們一定不會想到,身邊匆匆走過的T恤牛仔褲男子,完全有(yǒu)能(néng)力通過技(jì )術手段完成電(diàn)影中(zhōng)入侵系統的橋段,迅速破解系統密碼,甚至劫持幾台機器,隻要這些機器都接入在互聯網環境下。

可(kě)惜,賭場對于他(tā)們中(zhōng)的絕大多(duō)數人都毫無吸引力,他(tā)們尋求的刺激,并不是運氣帶來的财富,而是依靠嚴密的邏輯和計算能(néng)力,用(yòng)一行行枯燥至極的代碼,換取而來的攻防刺激,直至屏幕上出現“Pwned”。Pwned這個單詞翻譯成中(zhōng)文(wén),一般指“攻破設備或系統”。每當它出現在屏幕上,一般都預示着豐厚的獎金和技(jì )術上的成就。

1、大牛蛙抛出的問題

“你們是誰,你們黑什麽,你們為(wèi)什麽要黑?”

可(kě)大牛蛙卻對這些刺激感到了厭倦,“我就是稍微有(yǒu)點厭倦了,所以我現在做公(gōng)司了。”

大牛蛙本名(míng)王琦,4年前,他(tā)從微軟出走創立KEEN團隊,這個團隊曾在全世界最著名(míng)、獎金最豐厚的黑客大賽Pwn2Own上連續三年獲得五個冠軍。

不過,在極棒大賽的第三個年頭,他(tā)少了點興奮,整個人也變得更加“深沉了”。

“能(néng)黑的都黑完了,還有(yǒu)什麽看頭呢(ne)?”王琦說。在前兩屆比賽中(zhōng),湧現出了100多(duō)個選手,這些黑客們已經把能(néng)玩的都玩了。他(tā)們破解過特斯拉,“劫持”過無人機,甚至為(wèi)了讓比賽更酷一點,他(tā)們還想出過選手上廁所需要破解密碼的招數。不少選手通過參賽,赢得了豐厚的獎金,也在行業中(zhōng)嶄露頭角。

這一次,他(tā)準備把黑客的終極哲學(xué)問題抛給參賽選手們。“你們是誰,你們黑什麽,你們為(wèi)什麽要黑?”他(tā)當然清楚地知道自己設置比賽的初衷,每每問起他(tā),回答(dá)都是一緻的“給他(tā)們增加點收入”。

黑客缺錢嗎?恐怕要看黑客選擇了哪條道路。騰訊安(ān)全平台部總經理(lǐ)楊勇表示:“當你進入這個行業,第一就是誘惑很(hěn)多(duō),很(hěn)容易走偏門,因為(wèi)掙錢也快;當你炫技(jì )時很(hěn)容易得到别人的矚目,有(yǒu)些時候你就沉迷在裏面了。”可(kě)更多(duō)的人選擇“不作(zuò)惡”,所以比賽是增加收入的不錯選擇。例如今年的比賽,總獎金100萬,最大的赢家團隊就拿(ná)走了42萬元總獎金,還有(yǒu)數個10萬以上的單項獎金。與在一些安(ān)全平台上提交一個漏洞獲得的獎金不過幾十幾百元來比,這筆(bǐ)獎金絕對算得上是巨額收入了。

2、“白帽”與“黑帽”的分(fēn)界嶺

比天才更可(kě)貴的,是做一個 “好人”

“并不是說白帽黑客就有(yǒu)多(duō)高尚,隻是我們不願意幹壞事。” 王琦承認,心裏“白帽”與“黑帽”的分(fēn)界嶺,并非隻是正義感和道德(dé)感。“他(tā)隻要用(yòng)他(tā)發現的安(ān)全成果去幫助廠商(shāng),幫助我們消滅問題、解決問題,我們都稱之為(wèi)‘白帽’。如果說他(tā)拿(ná)的東西我們都不知道,可(kě)能(néng)這會兒他(tā)正在做壞事,那就是‘黑帽’。”

王琦一直在尋找天才,他(tā)希望能(néng)讓那些現在還默默無聞的選手通過比賽展現出才華,他(tā)希望能(néng)通過比賽激發出選手的創新(xīn)思維,給廠商(shāng)帶來安(ān)全提示。但比天才更可(kě)貴的,是一個 “好人”。對黑客而言,那就是用(yòng)一頂白帽以示區(qū)分(fēn),能(néng)在光明和黑暗中(zhōng),小(xiǎo)心地堅守着底線(xiàn)。

既然這樣,為(wèi)什麽要黑?隻有(yǒu)兩個字,就是“熱愛”。所以,他(tā)們搭台,請選手來唱戲。即使興奮感少了一些,王琦和他(tā)的團隊依舊在鼓勵選手們打開腦洞,突破創新(xīn)的限制。也正因為(wèi)此,在今年的極棒比賽上,我們看到了一秒(miǎo)破解微軟Surface Pro4,将智能(néng)保險箱徹底玩壞變成鬧鍾,一口氣攻破十大知名(míng)品牌路由器這些全新(xīn)的“刺激”。在這些漂亮的炫技(jì )背後,我們也終于近距離接觸了這群掌握着黑客的力量,卻不願利用(yòng)技(jì )術“去砸别人家玻璃”的人。

3、腦洞大開的TCP項目

古董級别的互聯網基礎協議,被挖掘出如此重量級的漏洞

“今年的TCP項目我覺得是腦洞比較大開的,因為(wèi)大家都認為(wèi)已經過去這麽多(duō)年了,應該不會存在問題,也沒有(yǒu)人證明過它有(yǒu)問題,質(zhì)疑過它。但他(tā)們居然去質(zhì)疑它,并且在他(tā)們的實驗環境下,甚至在今天早上他(tā)們還成功。”王琦口中(zhōng)的TCP項目指的是“遠(yuǎn)程任意TCP劫持連接技(jì )術。”

外行看熱鬧,内行看門道。早在1990年代互聯網發展早期,被稱為(wèi)世界頭号黑客的凱文(wén)·米特尼克利用(yòng)當時還不完善的TCP協議實施了“任意互聯網會話劫持技(jì )術”并一舉成名(míng)。而如今,TCP作(zuò)為(wèi)已經不斷完善的古董級别的互聯網基礎協議,從中(zhōng)挖掘出如此重量級的漏洞,無疑對世界的信息安(ān)全研究都有(yǒu)着重大的參考意義。而這項技(jì )術的展示者,是來自美國(guó)加州大學(xué)的博士生曹躍。

曹躍在現場演示的“魔術”無疑是殺傷力極大的——攻擊者在獲知世界任意一地方受害者的IP地址後,即可(kě)能(néng)遠(yuǎn)程劫持其通訊。雖然由于現場所處網絡環境的限制問題演示過程一波三折,但最終受害者的電(diàn)腦顯示屏上浏覽的新(xīn)聞網頁(yè)在受到劫持後彈出了一個虛假的登錄頁(yè)面。按提示輸入賬号及密碼之後,相同的内容便出現在了攻擊者曹躍的電(diàn)腦上。該技(jì )術意味着互聯網上幾乎所有(yǒu)的安(ān)卓和Linux系統,都可(kě)以在任意時間、任意位置被攻擊,被劫持通訊。與木(mù)馬、釣魚、欺詐不同的是,受害者沒有(yǒu)犯任何錯誤——就無辜地淪為(wèi)了攻擊者的羔羊。

這樣的演示讓業内人士興奮不已。TCP協議被稱之為(wèi)當今互聯網的基石,而TCP連接的不可(kě)預測性更可(kě)稱之為(wèi)互聯網的安(ān)全基石之一。曹躍團隊展示的“魔術”正是打破了TCP連接的不可(kě)預測性神話。

“GeekPwn(極棒)是非常年輕有(yǒu)朝氣的平台,在華人圈裏名(míng)望很(hěn)高,并且和我們的極客價值觀非常吻合。”據曹躍介紹,這項研究成果來自加州大學(xué)Riverside分(fēn)校的信息安(ān)全研究團隊,指導老師錢志(zhì)雲是現代TCP安(ān)全方面的專家,而這個漏洞,是他(tā)在飛機上審閱Linux内核代碼時挖到的。

4、唯一的女選手

非科(kē)班出身的她,攻擊手段完全是自學(xué)的

跟曹躍一樣單槍匹馬來挑戰的,還有(yǒu)本次比賽唯一的女性選手賈雲。

“他(tā)們都是黑客團夥兒,隻有(yǒu)我和TCP的選手曹躍是一個人參加比賽的。我跟他(tā)們比起來,就是個菜鳥。”1989年出生的賈雲畢業于中(zhōng)國(guó)化工(gōng)大學(xué),所學(xué)專業為(wèi)高分(fēn)子材料。作(zuò)為(wèi)黑客比賽中(zhōng)少有(yǒu)的女性選手,外表清秀的她總讓人忍不住多(duō)看幾眼。她将攻擊目标鎖定為(wèi)智能(néng)家居,攻破了巢控智能(néng)遙控器,凡是可(kě)以通過紅外遙控器控制的家電(diàn)都可(kě)以被劫持。令人意想不到的是,非科(kē)班出身的她,此次演示的攻擊手段,完全是通過視頻自學(xué)的。

賈雲對北京晨報記者表示,她購(gòu)買的智能(néng)遙控器在使用(yòng)的過程中(zhōng)存在閃退等問題。于是她便上網尋找解決辦(bàn)法,在這個過程中(zhōng)發現了智能(néng)遙控器存在的漏洞。“基本的思路是通過相關的視頻找到的,但我在編程方面的基本功比較弱,為(wèi)此還看了好幾節公(gōng)開課惡補。”對賈雲來說,參加比賽所帶來的成就感遠(yuǎn)高于所獲得的獎金。“我發現我對這方面挺感興趣。半路出家,是不是也不晚?”

5、16歲的“小(xiǎo)鮮肉”

牙套男孩劫持無人機控制權

來自鄭州的王丙坤和劉傑炜今年都是16歲,他(tā)們戴着牙套,由父母陪着來參加比賽,接受采訪時最常說的話是:“剛才那位哥(gē)哥(gē)很(hěn)厲害。”可(kě)到了台上,他(tā)們又(yòu)變得像個大人,現場演示如何劫持無人機控制權。這也是極棒大賽舉辦(bàn)以來年紀最小(xiǎo)的參賽選手了。

王丙坤來自鄭州七中(zhōng),愛好電(diàn)腦、航模、無人機,拿(ná)過航模比賽全國(guó)第二名(míng),還是國(guó)家二級運動員。他(tā)每天保持着嚴格的作(zuò)息規律,6點起床,23點睡覺,不熬夜,事情多(duō)時就學(xué)會擠時間。“學(xué)校電(diàn)視台、社團、錄音棚都有(yǒu)我的身影,但我的成績卻不降反升”。他(tā)跟劉傑炜小(xiǎo)學(xué)、初中(zhōng)都同班,到高中(zhōng)分(fēn)開了,卻依然愛往一起湊。劉傑炜通過烏雲平台知道了此次比賽的消息,兩位“小(xiǎo)鮮肉”合計了一下,決定參賽。

父母都支持他(tā)們的決定,本着帶孩子見見世面的原則,操辦(bàn)好了一切。倆孩子也沒什麽心理(lǐ)壓力:“要是成功了簡曆中(zhōng)還多(duō)了一筆(bǐ)經曆,對我申請學(xué)校有(yǒu)好處。”王丙坤對北京晨報記者表示,他(tā)正準備申請美國(guó)的大學(xué),系統地學(xué)習無人機專業。

“我們本想來參加比賽試試水,來了才知道水深得看不見。可(kě)是看到這麽多(duō)大神,還是很(hěn)興奮。”劉傑炜在采訪中(zhōng)話不多(duō),因為(wèi)他(tā)一直在糾結要怎麽修改他(tā)的項目說明書,可(kě)談起比賽現場的黑客們,他(tā)的眼睛一下子亮了。“我一直以為(wèi)黑客們都是戴個眼鏡抱個電(diàn)腦,打幾行字電(diàn)腦就都黑屏了。今天發現他(tā)們都挺帥的,我以後也得注意點形象,把自己收拾幹淨點。”

更令他(tā)們觸動的是精(jīng)神層面。“昨天有(yǒu)幾個哥(gē)哥(gē)為(wèi)了測試程序從下午5點一直忙到11點,他(tā)們的思路令人耳目一新(xīn),基本功也都特别紮實。”劉傑炜表示,自己平時有(yǒu)些偏科(kē),這次來除了學(xué)習到思路和技(jì )巧外,也明白了堅持的重要性。

事實上,“小(xiǎo)鮮肉”們演示的“劫持”無人機項目雖然炫目,但技(jì )術難度并不高。但即便如此,他(tā)們還是令現場的“老江湖(hú)”都興奮不已。評委“老鷹”為(wèi)他(tā)們捧上了“極客精(jīng)神獎”獎杯時表示:“很(hěn)高興看到這麽年輕的小(xiǎo)鮮肉。在無人機演示時,我們看到了他(tā)們的創意和嘗鮮的勇氣,這是值得所有(yǒu)選手期待的,希望未來能(néng)尋找到更多(duō)的小(xiǎo)鮮肉。”

6、黑客的轉身

現在成了各大公(gōng)司的安(ān)全掌門人

這兩位“小(xiǎo)鮮肉”并不知道,為(wèi)他(tā)們頒獎的“老鷹”就是被媒體(tǐ)稱為(wèi)“黑客教父”的萬濤。

1990年代,在北方交通大學(xué)的機房裏,萬濤在拷盤時遭遇計算機病毒,從此對病毒産(chǎn)生了興趣。他(tā)是中(zhōng)國(guó)第一批“觸網者”,1998年加入中(zhōng)國(guó)第一個黑客組織“綠色兵團”。他(tā)喜歡強悍、自由,為(wèi)自己取名(míng)為(wèi)“老鷹”。2001年,他(tā)成立中(zhōng)國(guó)鷹派聯盟。經曆驕傲的黑客時代,而後他(tā)迷茫,隐退,進入跨國(guó)公(gōng)司。如今的萬濤,多(duō)“出沒”于公(gōng)益圈,将鷹盟轉型為(wèi)鷹眼安(ān)全文(wén)化網,通過互聯網信息技(jì )術推動公(gōng)益發展與社會創新(xīn)。

萬濤的轉身,在黑客中(zhōng)頗有(yǒu)代表性。他(tā)們中(zhōng)的絕大多(duō)數,現在成了各大公(gōng)司的安(ān)全掌門人。“大牛蛙”王琦在創辦(bàn)Keen之前,也是微軟公(gōng)司的著名(míng)安(ān)全員,如今他(tā)擁有(yǒu)自己的安(ān)全團隊,并與同行們追逐在世界各地的安(ān)全行業技(jì )術賽場上。在這裏,他(tā)們還能(néng)找到當年的榮光。可(kě)他(tā)面對團隊成員的新(xīn)選擇,也隻能(néng)表示“這個沒辦(bàn)法。”

陳良是Keen團隊三奪Pwn2Own冠軍的主攻手。除了技(jì )術,1986年出生的陳良最感興趣的是金融。他(tā)看了一個月書,考了美國(guó)注冊管理(lǐ)會計師(CMA),這是很(hěn)多(duō)人讀幾年書都通不過的考試。如今的陳良成為(wèi)了騰訊科(kē)恩實驗室的一名(míng)高級研究員,這個實驗室是騰訊新(xīn)成立的一支專注于雲計算與移動終端安(ān)全研究的白帽黑客隊伍,核心成員多(duō)來自原Keen 團隊。

今年3月,陳良和同事鄧欣組建的騰訊安(ān)全聯隊團隊出征Pwn2Own,3秒(miǎo)攻破蘋果Safari浏覽器。而在今年的極棒大賽上,由鄧欣帶隊的騰訊電(diàn)腦管家團隊演示了攻擊微軟Surface Pro項目,憑借高難度的技(jì )術含量獲得15萬單項獎金以及5萬“最霸技(jì )術獎”獎金。

雖然老闆換了,但陳良的工(gōng)作(zuò)狀态并沒什麽改變。他(tā)一般早上來公(gōng)司比較晚,在路上時就會往一些研究技(jì )術的微信群裏發送一些國(guó)外的技(jì )術論文(wén)或是某個專家的最新(xīn)技(jì )術文(wén)章。到了公(gōng)司,同事們立刻針對文(wén)章開始讨論,這樣的攻擊思路有(yǒu)沒有(yǒu)可(kě)行性,能(néng)不能(néng)變通一下應用(yòng)到IOS或是安(ān)卓系統中(zhōng)。下午就是挖掘漏洞,找到漏洞就彙報給廠商(shāng)。除了找漏洞,就是準備比賽,比賽的周期很(hěn)長(cháng),從考慮報名(míng)什麽參加什麽項目到具(jù)體(tǐ)的攻防方案,還得多(duō)做幾手準備以防主辦(bàn)方在比賽前推出的“大補丸”。因為(wèi)是攻防類比賽,選手的價值正在于在廠商(shāng)發現漏洞之前挖掘到有(yǒu)價值的漏洞,以此赢取主辦(bàn)方的巨額獎金。而“大補丸”就是廠商(shāng)給出的官方系統補丁。“ 補丁是在美國(guó)時間出的,在中(zhōng)國(guó)出的時間是半夜兩三點,這件事情如果到第二天做的話,是沒有(yǒu)心情睡覺的。所以必須要在第一時間知道,漏洞有(yǒu)沒有(yǒu)被修補,如果被修補了,馬上就要有(yǒu)一個應對策略。”

比賽之後,往往就是休假,拿(ná)着獎金帶領團隊休假。陳良和鄧欣的團隊在今年的Pwn2Own獲得了20萬美元獎金。

7、黑客是有(yǒu)趣的職業?

事實上完全不是這樣,你必須十分(fēn)耐得住寂寞

“平時大家都覺得黑客或者研究人員很(hěn)神秘、很(hěn)酷,覺得這是一個非常有(yǒu)趣的職業。事實上完全不是這樣,你必須十分(fēn)耐得住寂寞。”如今的陳良和鄧欣也要負責尋找合适的人才擴充隊伍,比起技(jì )術,他(tā)們都更看重人品。

“你知道我們為(wèi)什麽叫科(kē)恩嗎?”陳良告訴北京晨報記者,在日本動漫《名(míng)偵探柯南》裏,他(tā)是一個狙擊手。專業的狙擊手需要耐得住寂寞,同時也需要一個人幫他(tā)看。我們做漏洞攻防的研究,不可(kě)能(néng)是一個人完成,需要團隊協作(zuò),去找到軟件弱點,精(jīng)準突破挑戰。”

“在我畢業的那段時間,很(hěn)多(duō)人已經絕望,都把關注投向病毒的研究。你會經常聽到一個初中(zhōng)生,就是‘熊貓燒香’的作(zuò)者,他(tā)是對技(jì )術的愛好,絕不是深入的研究。”陳良對外界将“熊貓燒香”這種小(xiǎo)黑客寫出的病毒捧成神話十分(fēn)不解。“他(tā)生怕人不知道,他(tā)急着告訴你,我叫熊貓燒香,叫李俊,畢業于武漢……這和‘白帽’的初衷背道而馳,就是為(wèi)了出名(míng)。”鄧欣表示:“精(jīng)妙的病毒,不會造成任何用(yòng)戶上的感覺,造成用(yòng)戶越用(yòng)越慢,或者死機越高,這種病毒都是比較失敗的病毒。”

“人品好比技(jì )術好重要太多(duō)。我面試時有(yǒu)特别牛的,一開口就是,我曾經黑過×××,對于這樣的,我從不考慮。”1989年出生的潮男姚威對此頗有(yǒu)同感,因為(wèi)公(gōng)司大多(duō)都是90後,所以他(tā)給自己起了“黑客叔叔”的網名(míng)。姚威也是今年極棒大賽攻破智能(néng)保險箱的項目演示者,他(tā)同樣經曆了身份的轉換。他(tā)曾經是極棒大賽的一名(míng)觀衆,如今不僅是選手,也是廣州一家安(ān)全公(gōng)司的CEO,目前團隊有(yǒu)15人。

來參加比賽也不是沒有(yǒu)私心。“以前是單槍匹馬一個人,現在要養活團隊,得賺錢。這次比賽也是個提升品牌形象的好機會。” 姚威告訴北京晨報記者,成立不到一年的時間,已經接到了三四個收購(gòu)意向。“可(kě)我是有(yǒu)底線(xiàn)的,第一必須團隊成員都在一起,第二是我們得保持獨立性,最好是成為(wèi)實驗室。”

姚威說,做公(gōng)司以來,遇到過不少曾經從事黑産(chǎn),現在想來公(gōng)司漂白的。但他(tā)沒給過機會,即便有(yǒu)可(kě)能(néng)錯失一個天才。“有(yǒu)個小(xiǎo)夥子技(jì )術巨牛,攻克了一個大漏洞之後問了一句,我這個漏洞值多(duō)少錢?”姚威二話沒說,讓小(xiǎo)夥子走了。面對記者的不理(lǐ)解,姚威說,其實這并沒有(yǒu)标準答(dá)案,“但一般同道之人會在破解後會說‘這個漏洞真稀有(yǒu)’。”

來自黑客的安(ān)全提示

盡量不要用(yòng)WiFi,最好用(yòng)3G或4G

關于黑客,有(yǒu)個段子一直被人津津樂道。在前幾年的一次Pwn2Own比賽中(zhōng),一群選手在加拿(ná)大比賽時玩心四起,技(jì )癢難耐,就瞄準了酒店(diàn)的WiFi。從那以後,這些人便上了加拿(ná)大酒店(diàn)的黑名(míng)單,直到今天,不少酒店(diàn)都不願意接待他(tā)們。

在移動互聯網時代,WiFi的确是容易被攻擊的一處地方。陳良告訴北京晨報記者,在參加國(guó)外安(ān)全會議時,他(tā)會不斷提醒成員絕對不要使用(yòng)酒店(diàn)WiFi。“我們一般都是租移動WiFi,在比賽期間也盡量做到不要上網,因為(wèi)别人有(yǒu)可(kě)能(néng)竊取賬戶。從理(lǐ)論上來說,如果有(yǒu)機會連到同一個網絡,我是有(yǒu)機會竊取你的手機信息的。”

在極棒大賽上一口氣攻破十幾台路由器的長(cháng)亭科(kē)技(jì )成員楊坤也對北京晨報記者表示:“ 電(diàn)影電(diàn)視會有(yǒu)些誇張,但也差不多(duō)。比如攻破了你家的路由器之後,基本上所有(yǒu)連上路由器的智能(néng)設備都能(néng)被控制。”根據現場演示,安(ān)卓手機在連接了有(yǒu)漏洞的路由器後,在使用(yòng)正規軟件市場下載應用(yòng)時,正規軟件便會被替換為(wèi)植入了木(mù)馬的惡意程序,使得攻擊者可(kě)以收發查看受害者短信、控制手機的電(diàn)話功能(néng)、調用(yòng)手機攝像頭等。除此之外,長(cháng)亭科(kē)技(jì )還發現了存在漏洞的華碩路由器服務(wù)被暴露在互聯網上,攻擊者可(kě)以在全世界任意位置對其發起遠(yuǎn)程攻擊,受影響的路由器達數萬台。

楊坤表示,假如路由器被黑客攻破,路由器作(zuò)為(wèi)所有(yǒu)設備上網的入口,所有(yǒu)的信息都會有(yǒu)數據流,這些數據流裏面可(kě)能(néng)有(yǒu)個人比較敏感的信息,所以危害比較大。他(tā)建議,路由器應當設置強密碼,可(kě)以包含數字、大小(xiǎo)寫,盡量多(duō)一些變化,應該經常更改密碼。此外盡量使用(yòng)WP2加密的WiFi,另外也不要用(yòng)萬能(néng)鑰匙這樣的軟件。

其實,在今年的“3·15晚會”中(zhōng),不僅有(yǒu)利用(yòng)路由器漏洞獲取觀衆隐私信息的情景互動,更有(yǒu)智能(néng)生活安(ān)全“黑客大片”上演。王琦認為(wèi),站在用(yòng)戶的角度,如果是用(yòng)免費WiFi,如果有(yǒu)人要攻擊你,那可(kě)能(néng)防不勝防。“盡量連一些我們熟知的WiFi,如果要做重要的工(gōng)作(zuò),盡量不要用(yòng)WiFi,采用(yòng)3G、4G。”王琦給出了安(ān)全建議。

此外要注重對于個人隐私的保護,“在不同的地方用(yòng)不同的密碼,一旦出現問題可(kě)以隻是在小(xiǎo)範圍之内。”王琦說。

花(huā)邊

“白帽子”的平均收入才6402元?

百萬獎金?千萬收入? 黑客的收入到底有(yǒu)多(duō)高?這個問題如果去問黑帽黑客,便是亢奮,但對白帽黑客來說,他(tā)們都很(hěn)意外,“比賽之前根本沒看獎金、獎項。好像從沒考慮過這個問題。”

騰訊電(diàn)腦管家網絡攻防小(xiǎo)組在大會上一秒(miǎo)破解微軟Surface Pro 4并控制攝像頭,項目中(zhōng)用(yòng)到的内核漏洞通殺所有(yǒu)Windows操作(zuò)系統,這個研究成果曾被國(guó)外網絡軍火商(shāng)開價8萬美元公(gōng)開收購(gòu)。小(xiǎo)組成員鄧欣說,白帽子現在收入水平有(yǒu)所提高,到企業做安(ān)全研究能(néng)拿(ná)二三十萬年薪,但是覺得“還可(kě)以再提高一點”,“不能(néng)總是在出問題的時候才重視安(ān)全。”

“一般幫助廠商(shāng)挖出一個安(ān)全漏洞能(néng)得到幾十元左右的獎勵,如果是大漏洞會多(duō)些。最開始的時候,我們還送過充電(diàn)寶或者玩偶,也非常受歡迎。” 小(xiǎo)米科(kē)技(jì )首席安(ān)全官陳洋表示。

一個漏洞的價值難道就是一個充電(diàn)寶?賬顯然不能(néng)這麽算。據媒體(tǐ)報道,現今國(guó)内頂級安(ān)全人才的年收入可(kě)以達到百萬水平,加入互聯網公(gōng)司的高技(jì )術水平白帽子年入十幾萬到二十萬不等,即便是散兵遊勇的白帽子,通過在平台上提交漏洞,也可(kě)以月入數萬元。

“多(duō)數漏洞挖掘者是出于愛好,也是産(chǎn)品的發燒友。找出漏洞,又(yòu)被廠商(shāng)認可(kě),這個過程帶來了愉悅和成就感。所以比起金錢,那代表着一種榮譽。”陳洋表示。

另一個客觀現實是,随着智能(néng)産(chǎn)品的增加,避免不了大大小(xiǎo)小(xiǎo)的漏洞。如果對單個漏洞的“懸賞”價格過高,也容易養成一批職業挖掘者,以此謀利,這顯然有(yǒu)悖初衷。

根據補天平台統計,中(zhōng)國(guó)的白帽子黑客收入差距十分(fēn)懸殊。補天平台上白帽子的平均收入為(wèi)6402元,最賺錢的白帽子“合肥濱湖(hú)虎子”收入則是428850元,比排名(míng)第二的“sectops”收入161300元高出近30萬元。

不可(kě)否認的事實是,比起黑産(chǎn)的巨大财富誘惑,白帽子的收入絕對不會使他(tā)們“暴富”。大牛蛙曾經在接受媒體(tǐ)采訪時表示:“我也可(kě)以偷一票好萊塢明星的照片,然後去夏威夷度假,遠(yuǎn)走高飛。不是不願意幹壞事,平心而論是膽小(xiǎo),萬一被抓了怎麽辦(bàn)?我說的是人的本性。此外我們對暴富的訴求沒那麽強烈。”

試試長(cháng)按二維碼加關注

Copyright © 2016-2018 yingxiaozhan.cn 雲端高科(kē) 版權所有(yǒu)

京ICP備12005242号-1

咨詢專線(xiàn):4008-322-006
返回
三再面臨集體(tǐ)-北京網站建設
05月刊 浏覽量:0 來源:雲端高科(kē)
為(wèi)什麽黑客界極棒大賽這麽牛?
5月12日,澳門,知名(míng)安(ān)全團隊KEEN主辦(bàn)的黑客大賽GeekPwn(極棒大賽)正在進行,這是黑客界的“星光大道”。穿梭往來的遊客們一定不會想到,身邊匆匆走過的T恤牛仔褲男子,完全有(yǒu)能(néng)力通過技(jì )術手段完成電(diàn)影中(zhōng)入侵系統的橋段,迅速破解系統密碼,甚至劫持幾台機器,隻要這些機器都接入在互聯網環境下。

可(kě)惜,賭場對于他(tā)們中(zhōng)的絕大多(duō)數人都毫無吸引力,他(tā)們尋求的刺激,并不是運氣帶來的财富,而是依靠嚴密的邏輯和計算能(néng)力,用(yòng)一行行枯燥至極的代碼,換取而來的攻防刺激,直至屏幕上出現“Pwned”。Pwned這個單詞翻譯成中(zhōng)文(wén),一般指“攻破設備或系統”。每當它出現在屏幕上,一般都預示着豐厚的獎金和技(jì )術上的成就。

1、大牛蛙抛出的問題

“你們是誰,你們黑什麽,你們為(wèi)什麽要黑?”

可(kě)大牛蛙卻對這些刺激感到了厭倦,“我就是稍微有(yǒu)點厭倦了,所以我現在做公(gōng)司了。”

大牛蛙本名(míng)王琦,4年前,他(tā)從微軟出走創立KEEN團隊,這個團隊曾在全世界最著名(míng)、獎金最豐厚的黑客大賽Pwn2Own上連續三年獲得五個冠軍。

不過,在極棒大賽的第三個年頭,他(tā)少了點興奮,整個人也變得更加“深沉了”。

“能(néng)黑的都黑完了,還有(yǒu)什麽看頭呢(ne)?”王琦說。在前兩屆比賽中(zhōng),湧現出了100多(duō)個選手,這些黑客們已經把能(néng)玩的都玩了。他(tā)們破解過特斯拉,“劫持”過無人機,甚至為(wèi)了讓比賽更酷一點,他(tā)們還想出過選手上廁所需要破解密碼的招數。不少選手通過參賽,赢得了豐厚的獎金,也在行業中(zhōng)嶄露頭角。

這一次,他(tā)準備把黑客的終極哲學(xué)問題抛給參賽選手們。“你們是誰,你們黑什麽,你們為(wèi)什麽要黑?”他(tā)當然清楚地知道自己設置比賽的初衷,每每問起他(tā),回答(dá)都是一緻的“給他(tā)們增加點收入”。

黑客缺錢嗎?恐怕要看黑客選擇了哪條道路。騰訊安(ān)全平台部總經理(lǐ)楊勇表示:“當你進入這個行業,第一就是誘惑很(hěn)多(duō),很(hěn)容易走偏門,因為(wèi)掙錢也快;當你炫技(jì )時很(hěn)容易得到别人的矚目,有(yǒu)些時候你就沉迷在裏面了。”可(kě)更多(duō)的人選擇“不作(zuò)惡”,所以比賽是增加收入的不錯選擇。例如今年的比賽,總獎金100萬,最大的赢家團隊就拿(ná)走了42萬元總獎金,還有(yǒu)數個10萬以上的單項獎金。與在一些安(ān)全平台上提交一個漏洞獲得的獎金不過幾十幾百元來比,這筆(bǐ)獎金絕對算得上是巨額收入了。

2、“白帽”與“黑帽”的分(fēn)界嶺

比天才更可(kě)貴的,是做一個 “好人”

“并不是說白帽黑客就有(yǒu)多(duō)高尚,隻是我們不願意幹壞事。” 王琦承認,心裏“白帽”與“黑帽”的分(fēn)界嶺,并非隻是正義感和道德(dé)感。“他(tā)隻要用(yòng)他(tā)發現的安(ān)全成果去幫助廠商(shāng),幫助我們消滅問題、解決問題,我們都稱之為(wèi)‘白帽’。如果說他(tā)拿(ná)的東西我們都不知道,可(kě)能(néng)這會兒他(tā)正在做壞事,那就是‘黑帽’。”

王琦一直在尋找天才,他(tā)希望能(néng)讓那些現在還默默無聞的選手通過比賽展現出才華,他(tā)希望能(néng)通過比賽激發出選手的創新(xīn)思維,給廠商(shāng)帶來安(ān)全提示。但比天才更可(kě)貴的,是一個 “好人”。對黑客而言,那就是用(yòng)一頂白帽以示區(qū)分(fēn),能(néng)在光明和黑暗中(zhōng),小(xiǎo)心地堅守着底線(xiàn)。

既然這樣,為(wèi)什麽要黑?隻有(yǒu)兩個字,就是“熱愛”。所以,他(tā)們搭台,請選手來唱戲。即使興奮感少了一些,王琦和他(tā)的團隊依舊在鼓勵選手們打開腦洞,突破創新(xīn)的限制。也正因為(wèi)此,在今年的極棒比賽上,我們看到了一秒(miǎo)破解微軟Surface Pro4,将智能(néng)保險箱徹底玩壞變成鬧鍾,一口氣攻破十大知名(míng)品牌路由器這些全新(xīn)的“刺激”。在這些漂亮的炫技(jì )背後,我們也終于近距離接觸了這群掌握着黑客的力量,卻不願利用(yòng)技(jì )術“去砸别人家玻璃”的人。

3、腦洞大開的TCP項目

古董級别的互聯網基礎協議,被挖掘出如此重量級的漏洞

“今年的TCP項目我覺得是腦洞比較大開的,因為(wèi)大家都認為(wèi)已經過去這麽多(duō)年了,應該不會存在問題,也沒有(yǒu)人證明過它有(yǒu)問題,質(zhì)疑過它。但他(tā)們居然去質(zhì)疑它,并且在他(tā)們的實驗環境下,甚至在今天早上他(tā)們還成功。”王琦口中(zhōng)的TCP項目指的是“遠(yuǎn)程任意TCP劫持連接技(jì )術。”

外行看熱鬧,内行看門道。早在1990年代互聯網發展早期,被稱為(wèi)世界頭号黑客的凱文(wén)·米特尼克利用(yòng)當時還不完善的TCP協議實施了“任意互聯網會話劫持技(jì )術”并一舉成名(míng)。而如今,TCP作(zuò)為(wèi)已經不斷完善的古董級别的互聯網基礎協議,從中(zhōng)挖掘出如此重量級的漏洞,無疑對世界的信息安(ān)全研究都有(yǒu)着重大的參考意義。而這項技(jì )術的展示者,是來自美國(guó)加州大學(xué)的博士生曹躍。

曹躍在現場演示的“魔術”無疑是殺傷力極大的——攻擊者在獲知世界任意一地方受害者的IP地址後,即可(kě)能(néng)遠(yuǎn)程劫持其通訊。雖然由于現場所處網絡環境的限制問題演示過程一波三折,但最終受害者的電(diàn)腦顯示屏上浏覽的新(xīn)聞網頁(yè)在受到劫持後彈出了一個虛假的登錄頁(yè)面。按提示輸入賬号及密碼之後,相同的内容便出現在了攻擊者曹躍的電(diàn)腦上。該技(jì )術意味着互聯網上幾乎所有(yǒu)的安(ān)卓和Linux系統,都可(kě)以在任意時間、任意位置被攻擊,被劫持通訊。與木(mù)馬、釣魚、欺詐不同的是,受害者沒有(yǒu)犯任何錯誤——就無辜地淪為(wèi)了攻擊者的羔羊。

這樣的演示讓業内人士興奮不已。TCP協議被稱之為(wèi)當今互聯網的基石,而TCP連接的不可(kě)預測性更可(kě)稱之為(wèi)互聯網的安(ān)全基石之一。曹躍團隊展示的“魔術”正是打破了TCP連接的不可(kě)預測性神話。

“GeekPwn(極棒)是非常年輕有(yǒu)朝氣的平台,在華人圈裏名(míng)望很(hěn)高,并且和我們的極客價值觀非常吻合。”據曹躍介紹,這項研究成果來自加州大學(xué)Riverside分(fēn)校的信息安(ān)全研究團隊,指導老師錢志(zhì)雲是現代TCP安(ān)全方面的專家,而這個漏洞,是他(tā)在飛機上審閱Linux内核代碼時挖到的。

4、唯一的女選手

非科(kē)班出身的她,攻擊手段完全是自學(xué)的

跟曹躍一樣單槍匹馬來挑戰的,還有(yǒu)本次比賽唯一的女性選手賈雲。

“他(tā)們都是黑客團夥兒,隻有(yǒu)我和TCP的選手曹躍是一個人參加比賽的。我跟他(tā)們比起來,就是個菜鳥。”1989年出生的賈雲畢業于中(zhōng)國(guó)化工(gōng)大學(xué),所學(xué)專業為(wèi)高分(fēn)子材料。作(zuò)為(wèi)黑客比賽中(zhōng)少有(yǒu)的女性選手,外表清秀的她總讓人忍不住多(duō)看幾眼。她将攻擊目标鎖定為(wèi)智能(néng)家居,攻破了巢控智能(néng)遙控器,凡是可(kě)以通過紅外遙控器控制的家電(diàn)都可(kě)以被劫持。令人意想不到的是,非科(kē)班出身的她,此次演示的攻擊手段,完全是通過視頻自學(xué)的。

賈雲對北京晨報記者表示,她購(gòu)買的智能(néng)遙控器在使用(yòng)的過程中(zhōng)存在閃退等問題。于是她便上網尋找解決辦(bàn)法,在這個過程中(zhōng)發現了智能(néng)遙控器存在的漏洞。“基本的思路是通過相關的視頻找到的,但我在編程方面的基本功比較弱,為(wèi)此還看了好幾節公(gōng)開課惡補。”對賈雲來說,參加比賽所帶來的成就感遠(yuǎn)高于所獲得的獎金。“我發現我對這方面挺感興趣。半路出家,是不是也不晚?”

5、16歲的“小(xiǎo)鮮肉”

牙套男孩劫持無人機控制權

來自鄭州的王丙坤和劉傑炜今年都是16歲,他(tā)們戴着牙套,由父母陪着來參加比賽,接受采訪時最常說的話是:“剛才那位哥(gē)哥(gē)很(hěn)厲害。”可(kě)到了台上,他(tā)們又(yòu)變得像個大人,現場演示如何劫持無人機控制權。這也是極棒大賽舉辦(bàn)以來年紀最小(xiǎo)的參賽選手了。

王丙坤來自鄭州七中(zhōng),愛好電(diàn)腦、航模、無人機,拿(ná)過航模比賽全國(guó)第二名(míng),還是國(guó)家二級運動員。他(tā)每天保持着嚴格的作(zuò)息規律,6點起床,23點睡覺,不熬夜,事情多(duō)時就學(xué)會擠時間。“學(xué)校電(diàn)視台、社團、錄音棚都有(yǒu)我的身影,但我的成績卻不降反升”。他(tā)跟劉傑炜小(xiǎo)學(xué)、初中(zhōng)都同班,到高中(zhōng)分(fēn)開了,卻依然愛往一起湊。劉傑炜通過烏雲平台知道了此次比賽的消息,兩位“小(xiǎo)鮮肉”合計了一下,決定參賽。

父母都支持他(tā)們的決定,本着帶孩子見見世面的原則,操辦(bàn)好了一切。倆孩子也沒什麽心理(lǐ)壓力:“要是成功了簡曆中(zhōng)還多(duō)了一筆(bǐ)經曆,對我申請學(xué)校有(yǒu)好處。”王丙坤對北京晨報記者表示,他(tā)正準備申請美國(guó)的大學(xué),系統地學(xué)習無人機專業。

“我們本想來參加比賽試試水,來了才知道水深得看不見。可(kě)是看到這麽多(duō)大神,還是很(hěn)興奮。”劉傑炜在采訪中(zhōng)話不多(duō),因為(wèi)他(tā)一直在糾結要怎麽修改他(tā)的項目說明書,可(kě)談起比賽現場的黑客們,他(tā)的眼睛一下子亮了。“我一直以為(wèi)黑客們都是戴個眼鏡抱個電(diàn)腦,打幾行字電(diàn)腦就都黑屏了。今天發現他(tā)們都挺帥的,我以後也得注意點形象,把自己收拾幹淨點。”

更令他(tā)們觸動的是精(jīng)神層面。“昨天有(yǒu)幾個哥(gē)哥(gē)為(wèi)了測試程序從下午5點一直忙到11點,他(tā)們的思路令人耳目一新(xīn),基本功也都特别紮實。”劉傑炜表示,自己平時有(yǒu)些偏科(kē),這次來除了學(xué)習到思路和技(jì )巧外,也明白了堅持的重要性。

事實上,“小(xiǎo)鮮肉”們演示的“劫持”無人機項目雖然炫目,但技(jì )術難度并不高。但即便如此,他(tā)們還是令現場的“老江湖(hú)”都興奮不已。評委“老鷹”為(wèi)他(tā)們捧上了“極客精(jīng)神獎”獎杯時表示:“很(hěn)高興看到這麽年輕的小(xiǎo)鮮肉。在無人機演示時,我們看到了他(tā)們的創意和嘗鮮的勇氣,這是值得所有(yǒu)選手期待的,希望未來能(néng)尋找到更多(duō)的小(xiǎo)鮮肉。”

6、黑客的轉身

現在成了各大公(gōng)司的安(ān)全掌門人

這兩位“小(xiǎo)鮮肉”并不知道,為(wèi)他(tā)們頒獎的“老鷹”就是被媒體(tǐ)稱為(wèi)“黑客教父”的萬濤。

1990年代,在北方交通大學(xué)的機房裏,萬濤在拷盤時遭遇計算機病毒,從此對病毒産(chǎn)生了興趣。他(tā)是中(zhōng)國(guó)第一批“觸網者”,1998年加入中(zhōng)國(guó)第一個黑客組織“綠色兵團”。他(tā)喜歡強悍、自由,為(wèi)自己取名(míng)為(wèi)“老鷹”。2001年,他(tā)成立中(zhōng)國(guó)鷹派聯盟。經曆驕傲的黑客時代,而後他(tā)迷茫,隐退,進入跨國(guó)公(gōng)司。如今的萬濤,多(duō)“出沒”于公(gōng)益圈,将鷹盟轉型為(wèi)鷹眼安(ān)全文(wén)化網,通過互聯網信息技(jì )術推動公(gōng)益發展與社會創新(xīn)。

萬濤的轉身,在黑客中(zhōng)頗有(yǒu)代表性。他(tā)們中(zhōng)的絕大多(duō)數,現在成了各大公(gōng)司的安(ān)全掌門人。“大牛蛙”王琦在創辦(bàn)Keen之前,也是微軟公(gōng)司的著名(míng)安(ān)全員,如今他(tā)擁有(yǒu)自己的安(ān)全團隊,并與同行們追逐在世界各地的安(ān)全行業技(jì )術賽場上。在這裏,他(tā)們還能(néng)找到當年的榮光。可(kě)他(tā)面對團隊成員的新(xīn)選擇,也隻能(néng)表示“這個沒辦(bàn)法。”

陳良是Keen團隊三奪Pwn2Own冠軍的主攻手。除了技(jì )術,1986年出生的陳良最感興趣的是金融。他(tā)看了一個月書,考了美國(guó)注冊管理(lǐ)會計師(CMA),這是很(hěn)多(duō)人讀幾年書都通不過的考試。如今的陳良成為(wèi)了騰訊科(kē)恩實驗室的一名(míng)高級研究員,這個實驗室是騰訊新(xīn)成立的一支專注于雲計算與移動終端安(ān)全研究的白帽黑客隊伍,核心成員多(duō)來自原Keen 團隊。

今年3月,陳良和同事鄧欣組建的騰訊安(ān)全聯隊團隊出征Pwn2Own,3秒(miǎo)攻破蘋果Safari浏覽器。而在今年的極棒大賽上,由鄧欣帶隊的騰訊電(diàn)腦管家團隊演示了攻擊微軟Surface Pro項目,憑借高難度的技(jì )術含量獲得15萬單項獎金以及5萬“最霸技(jì )術獎”獎金。

雖然老闆換了,但陳良的工(gōng)作(zuò)狀态并沒什麽改變。他(tā)一般早上來公(gōng)司比較晚,在路上時就會往一些研究技(jì )術的微信群裏發送一些國(guó)外的技(jì )術論文(wén)或是某個專家的最新(xīn)技(jì )術文(wén)章。到了公(gōng)司,同事們立刻針對文(wén)章開始讨論,這樣的攻擊思路有(yǒu)沒有(yǒu)可(kě)行性,能(néng)不能(néng)變通一下應用(yòng)到IOS或是安(ān)卓系統中(zhōng)。下午就是挖掘漏洞,找到漏洞就彙報給廠商(shāng)。除了找漏洞,就是準備比賽,比賽的周期很(hěn)長(cháng),從考慮報名(míng)什麽參加什麽項目到具(jù)體(tǐ)的攻防方案,還得多(duō)做幾手準備以防主辦(bàn)方在比賽前推出的“大補丸”。因為(wèi)是攻防類比賽,選手的價值正在于在廠商(shāng)發現漏洞之前挖掘到有(yǒu)價值的漏洞,以此赢取主辦(bàn)方的巨額獎金。而“大補丸”就是廠商(shāng)給出的官方系統補丁。“ 補丁是在美國(guó)時間出的,在中(zhōng)國(guó)出的時間是半夜兩三點,這件事情如果到第二天做的話,是沒有(yǒu)心情睡覺的。所以必須要在第一時間知道,漏洞有(yǒu)沒有(yǒu)被修補,如果被修補了,馬上就要有(yǒu)一個應對策略。”

比賽之後,往往就是休假,拿(ná)着獎金帶領團隊休假。陳良和鄧欣的團隊在今年的Pwn2Own獲得了20萬美元獎金。

7、黑客是有(yǒu)趣的職業?

事實上完全不是這樣,你必須十分(fēn)耐得住寂寞

“平時大家都覺得黑客或者研究人員很(hěn)神秘、很(hěn)酷,覺得這是一個非常有(yǒu)趣的職業。事實上完全不是這樣,你必須十分(fēn)耐得住寂寞。”如今的陳良和鄧欣也要負責尋找合适的人才擴充隊伍,比起技(jì )術,他(tā)們都更看重人品。

“你知道我們為(wèi)什麽叫科(kē)恩嗎?”陳良告訴北京晨報記者,在日本動漫《名(míng)偵探柯南》裏,他(tā)是一個狙擊手。專業的狙擊手需要耐得住寂寞,同時也需要一個人幫他(tā)看。我們做漏洞攻防的研究,不可(kě)能(néng)是一個人完成,需要團隊協作(zuò),去找到軟件弱點,精(jīng)準突破挑戰。”

“在我畢業的那段時間,很(hěn)多(duō)人已經絕望,都把關注投向病毒的研究。你會經常聽到一個初中(zhōng)生,就是‘熊貓燒香’的作(zuò)者,他(tā)是對技(jì )術的愛好,絕不是深入的研究。”陳良對外界将“熊貓燒香”這種小(xiǎo)黑客寫出的病毒捧成神話十分(fēn)不解。“他(tā)生怕人不知道,他(tā)急着告訴你,我叫熊貓燒香,叫李俊,畢業于武漢……這和‘白帽’的初衷背道而馳,就是為(wèi)了出名(míng)。”鄧欣表示:“精(jīng)妙的病毒,不會造成任何用(yòng)戶上的感覺,造成用(yòng)戶越用(yòng)越慢,或者死機越高,這種病毒都是比較失敗的病毒。”

“人品好比技(jì )術好重要太多(duō)。我面試時有(yǒu)特别牛的,一開口就是,我曾經黑過×××,對于這樣的,我從不考慮。”1989年出生的潮男姚威對此頗有(yǒu)同感,因為(wèi)公(gōng)司大多(duō)都是90後,所以他(tā)給自己起了“黑客叔叔”的網名(míng)。姚威也是今年極棒大賽攻破智能(néng)保險箱的項目演示者,他(tā)同樣經曆了身份的轉換。他(tā)曾經是極棒大賽的一名(míng)觀衆,如今不僅是選手,也是廣州一家安(ān)全公(gōng)司的CEO,目前團隊有(yǒu)15人。

來參加比賽也不是沒有(yǒu)私心。“以前是單槍匹馬一個人,現在要養活團隊,得賺錢。這次比賽也是個提升品牌形象的好機會。” 姚威告訴北京晨報記者,成立不到一年的時間,已經接到了三四個收購(gòu)意向。“可(kě)我是有(yǒu)底線(xiàn)的,第一必須團隊成員都在一起,第二是我們得保持獨立性,最好是成為(wèi)實驗室。”

姚威說,做公(gōng)司以來,遇到過不少曾經從事黑産(chǎn),現在想來公(gōng)司漂白的。但他(tā)沒給過機會,即便有(yǒu)可(kě)能(néng)錯失一個天才。“有(yǒu)個小(xiǎo)夥子技(jì )術巨牛,攻克了一個大漏洞之後問了一句,我這個漏洞值多(duō)少錢?”姚威二話沒說,讓小(xiǎo)夥子走了。面對記者的不理(lǐ)解,姚威說,其實這并沒有(yǒu)标準答(dá)案,“但一般同道之人會在破解後會說‘這個漏洞真稀有(yǒu)’。”

來自黑客的安(ān)全提示

盡量不要用(yòng)WiFi,最好用(yòng)3G或4G

關于黑客,有(yǒu)個段子一直被人津津樂道。在前幾年的一次Pwn2Own比賽中(zhōng),一群選手在加拿(ná)大比賽時玩心四起,技(jì )癢難耐,就瞄準了酒店(diàn)的WiFi。從那以後,這些人便上了加拿(ná)大酒店(diàn)的黑名(míng)單,直到今天,不少酒店(diàn)都不願意接待他(tā)們。

在移動互聯網時代,WiFi的确是容易被攻擊的一處地方。陳良告訴北京晨報記者,在參加國(guó)外安(ān)全會議時,他(tā)會不斷提醒成員絕對不要使用(yòng)酒店(diàn)WiFi。“我們一般都是租移動WiFi,在比賽期間也盡量做到不要上網,因為(wèi)别人有(yǒu)可(kě)能(néng)竊取賬戶。從理(lǐ)論上來說,如果有(yǒu)機會連到同一個網絡,我是有(yǒu)機會竊取你的手機信息的。”

在極棒大賽上一口氣攻破十幾台路由器的長(cháng)亭科(kē)技(jì )成員楊坤也對北京晨報記者表示:“ 電(diàn)影電(diàn)視會有(yǒu)些誇張,但也差不多(duō)。比如攻破了你家的路由器之後,基本上所有(yǒu)連上路由器的智能(néng)設備都能(néng)被控制。”根據現場演示,安(ān)卓手機在連接了有(yǒu)漏洞的路由器後,在使用(yòng)正規軟件市場下載應用(yòng)時,正規軟件便會被替換為(wèi)植入了木(mù)馬的惡意程序,使得攻擊者可(kě)以收發查看受害者短信、控制手機的電(diàn)話功能(néng)、調用(yòng)手機攝像頭等。除此之外,長(cháng)亭科(kē)技(jì )還發現了存在漏洞的華碩路由器服務(wù)被暴露在互聯網上,攻擊者可(kě)以在全世界任意位置對其發起遠(yuǎn)程攻擊,受影響的路由器達數萬台。

楊坤表示,假如路由器被黑客攻破,路由器作(zuò)為(wèi)所有(yǒu)設備上網的入口,所有(yǒu)的信息都會有(yǒu)數據流,這些數據流裏面可(kě)能(néng)有(yǒu)個人比較敏感的信息,所以危害比較大。他(tā)建議,路由器應當設置強密碼,可(kě)以包含數字、大小(xiǎo)寫,盡量多(duō)一些變化,應該經常更改密碼。此外盡量使用(yòng)WP2加密的WiFi,另外也不要用(yòng)萬能(néng)鑰匙這樣的軟件。

其實,在今年的“3·15晚會”中(zhōng),不僅有(yǒu)利用(yòng)路由器漏洞獲取觀衆隐私信息的情景互動,更有(yǒu)智能(néng)生活安(ān)全“黑客大片”上演。王琦認為(wèi),站在用(yòng)戶的角度,如果是用(yòng)免費WiFi,如果有(yǒu)人要攻擊你,那可(kě)能(néng)防不勝防。“盡量連一些我們熟知的WiFi,如果要做重要的工(gōng)作(zuò),盡量不要用(yòng)WiFi,采用(yòng)3G、4G。”王琦給出了安(ān)全建議。

此外要注重對于個人隐私的保護,“在不同的地方用(yòng)不同的密碼,一旦出現問題可(kě)以隻是在小(xiǎo)範圍之内。”王琦說。

花(huā)邊

“白帽子”的平均收入才6402元?

百萬獎金?千萬收入? 黑客的收入到底有(yǒu)多(duō)高?這個問題如果去問黑帽黑客,便是亢奮,但對白帽黑客來說,他(tā)們都很(hěn)意外,“比賽之前根本沒看獎金、獎項。好像從沒考慮過這個問題。”

騰訊電(diàn)腦管家網絡攻防小(xiǎo)組在大會上一秒(miǎo)破解微軟Surface Pro 4并控制攝像頭,項目中(zhōng)用(yòng)到的内核漏洞通殺所有(yǒu)Windows操作(zuò)系統,這個研究成果曾被國(guó)外網絡軍火商(shāng)開價8萬美元公(gōng)開收購(gòu)。小(xiǎo)組成員鄧欣說,白帽子現在收入水平有(yǒu)所提高,到企業做安(ān)全研究能(néng)拿(ná)二三十萬年薪,但是覺得“還可(kě)以再提高一點”,“不能(néng)總是在出問題的時候才重視安(ān)全。”

“一般幫助廠商(shāng)挖出一個安(ān)全漏洞能(néng)得到幾十元左右的獎勵,如果是大漏洞會多(duō)些。最開始的時候,我們還送過充電(diàn)寶或者玩偶,也非常受歡迎。” 小(xiǎo)米科(kē)技(jì )首席安(ān)全官陳洋表示。

一個漏洞的價值難道就是一個充電(diàn)寶?賬顯然不能(néng)這麽算。據媒體(tǐ)報道,現今國(guó)内頂級安(ān)全人才的年收入可(kě)以達到百萬水平,加入互聯網公(gōng)司的高技(jì )術水平白帽子年入十幾萬到二十萬不等,即便是散兵遊勇的白帽子,通過在平台上提交漏洞,也可(kě)以月入數萬元。

“多(duō)數漏洞挖掘者是出于愛好,也是産(chǎn)品的發燒友。找出漏洞,又(yòu)被廠商(shāng)認可(kě),這個過程帶來了愉悅和成就感。所以比起金錢,那代表着一種榮譽。”陳洋表示。

另一個客觀現實是,随着智能(néng)産(chǎn)品的增加,避免不了大大小(xiǎo)小(xiǎo)的漏洞。如果對單個漏洞的“懸賞”價格過高,也容易養成一批職業挖掘者,以此謀利,這顯然有(yǒu)悖初衷。

根據補天平台統計,中(zhōng)國(guó)的白帽子黑客收入差距十分(fēn)懸殊。補天平台上白帽子的平均收入為(wèi)6402元,最賺錢的白帽子“合肥濱湖(hú)虎子”收入則是428850元,比排名(míng)第二的“sectops”收入161300元高出近30萬元。

不可(kě)否認的事實是,比起黑産(chǎn)的巨大财富誘惑,白帽子的收入絕對不會使他(tā)們“暴富”。大牛蛙曾經在接受媒體(tǐ)采訪時表示:“我也可(kě)以偷一票好萊塢明星的照片,然後去夏威夷度假,遠(yuǎn)走高飛。不是不願意幹壞事,平心而論是膽小(xiǎo),萬一被抓了怎麽辦(bàn)?我說的是人的本性。此外我們對暴富的訴求沒那麽強烈。”

本站關鍵詞:北京APP開發,北京APP制作(zuò),APP開發公(gōng)司,APP制作(zuò)公(gōng)司,北京高端網站建設 高端網站建設公(gōng)司 北京網站建設公(gōng)司 高端建站公(gōng)司