王琦和他的团队
王琦对《第一财经日报》记者强调,不同于“骇客”,GeekPwn是关注未来智能安全的黑客赛事,初衷是披露漏洞,改善安全人才培养土壤。白帽黑客做的事不是“砸人家玻璃”。
王琦,行业别名“大牛蛙”,国内最顶尖的白帽黑客团队KEEN 的创始人兼CEO。他所创办的KEEN公司的研究团队曾在全世界著名、奖金最丰厚的黑客大赛Pwn2Own上连续三年获得五个冠军,也是有着“黑客奥运会”之称的GeekPwn国际性智能软硬件挑战赛的主办方。
Keen Team团队由信息安全理论和技术研究方面的“白帽”安全专家组成,也是目前世界范围内由厂商官方确认发现计算机漏洞数量最多、最了解突破现代安全保护技术的专业安全团队之一。Keen Team的数百项安全研究成果已经应用于世界上每一台Windows和Mac OS设备,每一台Android和iOS智能终端。Keen Team 是世界知名安全研究团队“Google Project Zero”的亚洲唯一合作伙伴。
2015年3月,在世界黑客大赛“Pwn2Own”上,Keen Team斩获两个项目的世界冠军。三届大赛以来,Keen Team五次在与全球顶级黑客的竞争中获得冠军,是Pwn2Own历史上获胜次数最多的亚洲团队。
GeekPwn一鸣惊人
在去年举办的GeekPwn上,包括特斯拉、智能手机、路由器等大量智能硬件被破解,被发现可以通过电脑远程操纵的特斯拉为了表示感谢,还向攻破特斯拉的选手赠送了勋章。
10月24日,在有“黑客奥运会”之称的GeekPwn2015国际性智能软硬件挑战赛上,大疆无人机、小米手机、华为手机、智能摄像头、拉卡拉收款宝POS机、多款O2O类APP的移动支付、奇酷手机的指纹支付……超过40款主流软硬件产品被选手一一攻破。
24日当天,支付宝于第一时间发布回应称,有极客演示的某美甲APP系统的漏洞与支付接口无关,原因是商户APP发送付款单据给支付应用时,在商户APP内部被中间人劫持并纂改所致,支付宝已第一时间联系该美甲APP,并愿意为其紧急修复提供帮助。
360也于25日发微博称,“感谢Keen Team对360奇酷手机安全作出的努力,360安全应急响应中心第一时间对收到的安全报告进行响应,目前已进入验证漏洞流程。”
这场黑客聚集盛会所引发的影响还在持续。而这场奥运会的主办方KEEN TEAM的创始人兼CEO王琦在专访中对《第一财经日报》记者表示,不同于“骇客”,GeekPwn是关注未来智能安全的黑客赛事。
“有漏洞不代表有问题,安全是个独立的东西,白帽黑客做的事不是’砸人家玻璃’,我们的初衷是披露漏洞,改善安全人才培养土壤。”王琦表示。
KEEN的由来
上海交大硕士毕业后,王琦先在一家公司做安全产品开发,2005年加入微软,负责网络安全方面的工作。虽然那时互联网已经兴起,但网络安全还处于较为新兴的领域。王琦和他的伙伴们认为,用他们的技术,可以做出更适应市场需求更有价值的产品,而当时国内也缺乏好的安全公司。所以,他和同事朋友一起组建了KEEN TEAM,正式踏上了组建安全团队的创业之路。
“未知攻,焉知防,厂商产品的安全性有说服力,很多时候反而体现在对抗过,经历过攻击而不倒。”王琦告诉《第一财经日报》记者,在物联网前的PC时代、移动互联网时代,像谷歌、微软、腾讯等,都曾经历过无数攻击,他们建立了一整套完善的安全体系。
“除了不断强化自身的安全能力,这些大企业通常都会以非常开放的心态,去支持甚至奖励全社会来挖掘自家产品的漏洞。”这也是王琦理想中这个行业应该有的样子。
而实际情况是,这个行业在国内普及度极低,企业也多对“白帽黑客”的存在并不理解。“过去企业会认为,你是在找我麻烦,我需要先把你搞掉——疯子的话没人信。”王琦说。
“勇于承认自身有问题的企业并不多。特别是在国内,很多企业并没有太多安全的意识,对于我们行为的目的性也表示怀疑。所以,即使高含金量的安全能力,最终还是会陷入低接受度的窘境。”王琦感慨。
王琦把为厂商提供高级安全检测比喻成“体检”,“我们先要告诉别人体检很重要,并向别人证明我们能检查出别人检查不出的问题。安全公司知道很多人是病人,可有些人不在乎。所以我们还不得不承担用户教育的责任:体检不是让你花现在的钱,而是为了让你身体好从而未来有更好的发展。”
对安全问题负责
“不认可我们不要紧,我们自己要知道坚持什么。等所有设备都用上我们的技术,成功还是问题吗?”王琦告诉《第一财经日报》记者。从而,KEEN决定通过国际大赛证明自己,获得越来越多合作伙伴的信任,将顶尖的安全能力用于为用户的智能生活提供便利。
Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛,由惠普旗下TippingPoint的项目组ZDI(Zero Day Initiative)主办,ZDI是全世界最大的跨厂商漏洞奖励计划。谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。
事实上,电子产品、信息产品、智能产品由于复杂性决定了其在设计、开发、测试中存在了不同程度的“缺陷”和“问题”,厂商也是在不断地迭代过程中寻求功能与体验的平衡。白帽黑客利用自己的专业知识和能力,通常会发现类似产品的缺陷和问题,但这也并不意味着这些产品质量有问题。
经过这支白帽黑客团队和行业从业者的不懈努力,“现在情况要好多了”,王琦说,社会大环境对网络安全越来越重视,安全行业正在迎来春天。
不过,“直到现在,回老家别人问我你是干嘛的,我说做安全的,人就说’哦,你是360的’。”王琦笑道。
“我们人力也有限,不可能做个执法部门。”王琦对《第一财经日报》记者表示,“希望能够真正能够培养好尊重知识、尊重人、尊重白帽黑客的环境,希望厂商对自己的安全问题抱有负责任的态度。”