这世上充满着等待被解决的迷人问题,也有那么一群执着地发现问题并解决的人,譬如黑客。在刚刚结束的黑客大赛GeekPwn 2015嘉年华上,近40款主流智能软硬件产品成为黑客攻破的对象,20多个黑客个人或团队成为GeekPwn2015的获胜选手,摘得了属于他们的荣誉。
追求极致 用技术捍卫黑客精神
获得46万元大奖的HTTPS系列项目被评为世界级的研究,选手们在舞台上演示了利用SSL互联网底层协议的未知漏洞在用户不知不觉中查询余额和消费记录等严重危害。作为这个项目的选手之一,清华大学网络与信息安全实验室的郑晓峰说,他平时的主要研究方向之一就是HTTPS相关安全,十分高兴今年GeekPwn专门为TLS/SSL设立了专场,这次黑客大赛取得的成果很多来自之前长期的研究积累。而在去年GeekPwn嘉年华的舞台上,郑晓峰就和导师段海新一起展示过HTTPS支付问题。
(左一为郑晓峰(走马))
郑晓峰认为,SSL/TLS是当前互联网使用最广泛的加密协议,可以说是互联网安全的基石。而选择了这个研究的方向,就要秉持追求极致的黑客精神,以及用技术捍卫信息安全的信念。
现在国内有很多人对SSL存在这么一个认识误区:SSL很安全,受到SSL防护网页服务器的资料就一定是万无一失的。事实上无论是协议本身、加密组件实现、以及应用配置部署,都可能存在隐患和漏洞,近年的相关安全事件也证明了的确如此。首先需要增强SSL安全防护的就是金融领域,郑晓峰打了个比喻:如果门是一扇朽烂的木门,哪怕配上世界上最坚固、安全的锁,也是没有意义,是自欺欺人的。
兴趣驱动,坚持源于对黑客技术本身的执着
本次活动一次性攻破7款主智能摄像头、智能路由器、POS机项目的长亭科技也备受关注。在得知今年的GeekPwn嘉年华报名开始的消息后,长亭科技首席安全研究员杨坤便带领团队开始准备,花了两个月的时间发现了包括联想newifi、达派POS机、多款智能摄像头的漏洞。
长亭科技杨坤
攻破最新Broadlink智能插座与智能音响的谢君是阿里安全研究实验室的资深安全专家,他和小伙伴们每天的例行公事是对智能设备进行监测,并作出威胁预警与威胁呈报。在参加GeekPwn 2015嘉年华之前,他们曾监测到5000—6000个智能设备的漏洞,而其参赛项目的漏洞只是其中一部分。
虽然每天的工作内容差不多,但是谢君与小伙伴们自得其乐,他认为,做信息安全不像别的行业,兴趣驱动很重要,而坚持下去将技术打磨的精细更必要,而这一切都源于自己对技术非同一般的偏执追求。
在北美工作期间,谢君曾纯粹出于兴趣研究了惠普与富士施乐打印机的漏洞,发现通过这个漏洞可以致使打印机工作瘫痪。他还研究过车联网的漏洞,发现通过模拟手机请求,可远程控制50多辆不同型号的奔驰车开关门与音响等设备,甚至通过这个漏洞还可以看到车主的家庭住址、信用卡等信息。
兴趣先行,执着坚持。去年GeekPwn嘉年华唯一白帽黑客女选手李萌萌,成功攻破某知名品牌电视盒子,她也是在大学时放弃医学专业转而学习计算机,而毕业之后,原本班上女生占三分之一,现在还在信息安全行业深耕的只有3人,包括她自己,之所以还能坚持下去正是源于她对技术的钟情。
自由、节制 分享并赢得尊重
GeekPwn去年比赛选手:美国中佛罗里达大学安全攻防实验室教授金意儿认为,所谓黑客,并不仅仅是“Hacker”,而是一群有理想有担当的技术人员,他们往往固执于他们的兴趣,希望用技术来保护我们的安全和隐私。而今年凭借智能路由大擂台项目获得40万奖金的安全研究员赵泽光同样认为,黑客精神归纳为三个词应该是:研究、创新、不做恶。此外,自由、分享亦是黑客精神的体现。
赵泽光告诉记者,在GeekPwn嘉年华舞台上的每一位选手都是了不起的,因为他们在各自的领域都取得了成绩,安全领域其实很需要百花齐放、齐头并进,每一位安全研究员都不应只盯在某个或某些领域,要在自己擅长的、有优势的领域发展,并且乐于与国内外信息安全人才进行交流,以期共同进步。像GeekPwn安全峰会这样高规格的攻防主题峰会就是很好的平台。
同时表示,现在信息安全圈比前几年热闹多了,影响力或者说受到的关注也逐渐增强,同时踏实做技术的人也多了起来,是个好趋势。但同时应警惕不受其他的诱惑,误入歧途,保持自由开放的研究态度。
技术不分国界,在分析国内外信息安全发展现状时,金意儿认为,国内的安全行业缺乏前瞻性研究,容易导致对整个行业的发展方向把握不足,在国际竞争中陷入被动。而赵泽光同样表示,国外信息安全起步肯定比国内早,但是近几年发现在国内安全领域的人才也越来越多,也取得了很多值得骄傲的成绩。但是就整个信息安全产业的成熟度方面,可能还是有一定差距的。如何取长补短,取得长足的进步十分重要,在这个时候,分享共融就显得尤为重要。
值得一提的是,GeekPwn舞台上的选手大多是80、90后,不乏在校生。作为发现人才的平台,GeekPwn越来越受到年轻安全人才的追捧。而所有选手几乎都认为,国内信息安全行业正向着好的方向发展,信息安全人才、厂商与大众之间的安全链条正在被打通,整个社会对信息安全的认知达到前所未有的高度。秉持以技术捍卫信念的黑客精神,在黑客大赛GeekPwn及整个安全社区的努力下,一个健康良性循环的安全生态圈正在逐步构建。