極客高手雲集破解熱門智慧産品引發廠商“跳罵”
Pwn,這個詞最早出現是在1989年的網際網路,是一個駭客俚語。在極客圈中,這是個極酷的詞。所謂“Pwn”,就意味著一個軟體或是硬體被攻破,是一個有安全缺陷的産品,使用風險無處不在。
近日,一場由國內頂尖安全團隊組織的“GeekPwn”大會大張旗鼓地召集了一批平時隱藏在人群當中的極客高手,對時下最熱門的智慧硬體産品進行破解。然而令人想不到的是,一場在網路安全圈極為正常的破解大賽卻因為涉及知名智慧設備而引發了一場口水大戰,甚至導致人們質疑極客們破解行為的正義性和動機,在網路安全界素來名譽良好的“白帽”們(業內對網路安全工程師的俗稱)也被質疑者戴上了“駭客打手”的帽子。
10月25日,上午10時,北京。
在一家五星級酒店的二樓會議廳內,一場名為“GeekPwn”的智慧生活設備破解大會正在進行當中,在會場中心的比賽臺上,三名穿著黃色比賽服的選手正在快速地敲擊筆記型電腦的按鍵,旁邊3名身穿黑色服裝的評委正在詳細傾聽選手解説思路。他們正在對時下最熱門的一種用於定位兒童位置的安全手環進行破解。
這是一場極客挑戰智慧産品的公開賽。
比賽引起口水大戰
這場智慧設備破解挑戰賽應該是全球首次集中針對智慧設備進行破解,破解對象都是時下最熱門的智慧産品,包括 “特斯拉”、 “小米盒子”、“360兒童衛士”甚至包括銀行支付系統,這些産品背後都是IT行業巨擘。所以,這次大賽不但讓不少智慧産品廠商感到壓力,連主辦方都感到壓力巨大。畢竟當一個極客團隊宣佈可以遠端控制特斯拉實現無人駕駛或是破解兒童手環切斷家長通過智慧産品對孩子的監控,可能引起的恐慌可想而知。
主辦方選擇一種高調的方式把極客圈內高手過招的過程展示給大眾觀摩實屬罕見,“我們希望招募更多的極客人才,中國在這方面的資源太稀缺。” 為避免熱門産品被破解引起公眾恐慌,王琦在會場內外反覆解釋:“破解的目的是為了更安全。”並強調,所有被發現的漏洞和破解方法都會提交給廠商用於修復産品漏洞。
然而,比賽結果引起了一場口水大戰。畢竟,公開的極客破解比賽就是把隱藏在網路安全界內的潛規則給展示出來。
幾分鐘破解核心技術?
10月24日下午,一名選手正在臺上破解一款智慧路由器。這款智慧路由器在今年5月推出時宣稱通過這款安全路由器強大的安全防禦系統,讓家庭網路告別駭客入侵。
然而,這款安全路由器被一名選手費時一分鐘就攻破了,通過破解,極客可以輕易地進入連接在這臺路由器上的任何一台電腦,獲得電腦裏的資訊和你在使用這臺電腦進行操作時輸入的任何資訊。隨後多款時下最熱門的路由器也紛紛被選手們拿下。
10月25日上午,三名極客選手登臺破解一款時下最熱的兒童衛士手環,這款手環號稱兒童的“防丟神器”,一個月之內銷量突破20萬支,如果這個手環被駭客攻破,後果可想而知。選手現場模擬駭客攻擊場景,首先是遠端獲取手環上的地址資訊,駭客通過技術手段可以獲得孩子的行動軌跡以及實時位置資訊,不到3分鐘,這項破解就宣佈成功。
廠商否認技術被破解
令人想不到的是,在主辦方宣佈兒童衛士破解成功後,一條由360兒童衛士官方發佈的資訊立刻在圈子裏炸開了鍋:360斷然否認極客對手環的破解,並提出要對報道兒童衛士被破解成功這一消息的媒體保留追究法律責任的權力。
由於涉及兒童産品,有網友對於極客的破解行為不理解,甚至和廠商一起責備極客對兒童用品下手是沒有社會責任感。清華大學電腦教授段海信則認為,真正的極客都是追求技術極致的人,他們的樂趣在於在破解過程中體會智力的對抗和博弈,“白帽”們反而能更加自覺地提高技術標準,發現漏洞報告給廠商減少損失。
與此同時,“駭客打手”這樣的字眼也極大地刺激了不少極客的自尊心,儘管360後面宣稱,將贈送兒童手錶供極客研究,並懸賞10萬獎勵,“但是,我並不認為錢能彌補今天你們對技術(安全)人員的侮辱。” 一名90後極客告訴記者,類似兒童手環這種産品,在極客高手眼裏簡直是不堪一擊。
極客技術:
電子銀行成駭客提款機?
10月24日主辦方Keen團隊率先用一款軟體同時破解了時下最主流的70款安卓智慧手機,立刻鎮住全場,實現這一操作僅是利用Keen研究最新移動系統安全漏洞中的幾個晶片級高危漏洞,如果你是這種智慧手機使用者,利用這些後門和漏洞獲取你手機中的資訊易如反掌。而Keen團隊的一個20齣頭的年輕極客僅用幾天時間就實現將手機變成“竊聽器”。
接下來的展示更令人震驚,一名觀眾的手機上出現了一張特斯拉的圖片,觸摸螢幕,點擊手機中特斯拉汽車圖片的車輪部分,按下“是”的選項,現場大螢幕上顯示,正在室外停放的一輛特斯拉的後輪開始急速旋轉起來。負責展示的王琦宣佈:“遠端控制特斯拉,讓汽車行駛、急停甚至突然倒車都可以,甚至能進入完全失控的狀態。”
隨後來自清華大學的藍蓮花團隊展示一個世界級的漏洞。清華大學段海新教授現場展示:“利用漏洞,電子銀行將化身駭客的提款機。”這是一項影響巨大的網路基礎協議設計中存在的漏洞,無需木馬、無需釣魚,就可以讓你打給別人賬戶的錢悄無聲息地轉到我的賬戶裏。這一漏洞後已通報了相關銀行,進行修補。文、圖/記者胡亞平
[責任編輯: 林天泉]