2024年11月24日 星期天

科技 > IT业界 > 正文

字号:  

极客江湖的“黑与白”

  • 发布时间:2014-11-04 08:18:00  来源:广州日报  作者:佚名  责任编辑:王磊

  Pwn,这个词最早出现是在1989年的互联网,是一个黑客俚语。在极客圈中,这是个极酷的词。所谓“Pwn”,就意味着一个软件或是硬件被攻破,是一个有安全缺陷的产品,使用风险无处不在。

  近日,一场由国内顶尖安全团队组织的“GeekPwn”大会大张旗鼓地召集了一批平时隐藏在人群当中的极客高手,对时下最热门的智能硬件产品进行破解。然而令人想不到的是,一场在网络安全圈极为正常的破解大赛却因为涉及知名智能设备而引发了一场口水大战,甚至导致人们质疑极客们破解行为的正义性和动机,在网络安全界素来名誉良好的“白帽”们(业内对网络安全工程师的俗称)也被质疑者戴上了“黑客打手”的帽子。

  10月25日,上午10时,北京。

  在一家五星级酒店的二楼会议厅内,一场名为“GeekPwn”的智能生活设备破解大会正在进行当中,在会场中心的比赛台上,三名穿着黄色比赛服的选手正在快速地敲击笔记本电脑的按键,旁边3名身穿黑色服装的评委正在详细倾听选手解说思路。他们正在对时下最热门的一种用于定位儿童位置的安全手环进行破解。

  这是一场极客挑战智能产品的公开赛。

  比赛引起口水大战

  这场智能设备破解挑战赛应该是全球首次集中针对智能设备进行破解,破解对象都是时下最热门的智能产品,包括 “特斯拉”、 “小米盒子”、“360儿童卫士”甚至包括银行支付系统,这些产品背后都是IT行业巨擘。所以,这次大赛不但让不少智能产品厂商感到压力,连主办方都感到压力巨大。毕竟当一个极客团队宣布可以远程控制特斯拉实现无人驾驶或是破解儿童手环切断家长通过智能产品对孩子的监控,可能引起的恐慌可想而知。

  主办方选择一种高调的方式把极客圈内高手过招的过程展示给大众观摩实属罕见,“我们希望招募更多的极客人才,中国在这方面的资源太稀缺。” 为避免热门产品被破解引起公众恐慌,王琦在会场内外反复解释:“破解的目的是为了更安全。”并强调,所有被发现的漏洞和破解方法都会提交给厂商用于修复产品漏洞。

  然而,比赛结果引起了一场口水大战。毕竟,公开的极客破解比赛就是把隐藏在网络安全界内的潜规则给展示出来。

  几分钟破解核心技术?

  10月24日下午,一名选手正在台上破解一款智能路由器。这款智能路由器在今年5月推出时宣称通过这款安全路由器强大的安全防御系统,让家庭网络告别黑客入侵。

  然而,这款安全路由器被一名选手费时一分钟就攻破了,通过破解,极客可以轻易地进入连接在这台路由器上的任何一台电脑,获得电脑里的信息和你在使用这台电脑进行操作时输入的任何信息。随后多款时下最热门的路由器也纷纷被选手们拿下。

  10月25日上午,三名极客选手登台破解一款时下最热的儿童卫士手环,这款手环号称儿童的“防丢神器”,一个月之内销量突破20万支,如果这个手环被黑客攻破,后果可想而知。选手现场模拟黑客攻击场景,首先是远程获取手环上的地址信息,黑客通过技术手段可以获得孩子的行动轨迹以及实时位置信息,不到3分钟,这项破解就宣布成功。

  厂商否认技术被破解

  令人想不到的是,在主办方宣布儿童卫士破解成功后,一条由360儿童卫士官方发布的信息立刻在圈子里炸开了锅:360断然否认极客对手环的破解,并提出要对报道儿童卫士被破解成功这一消息的媒体保留追究法律责任的权力。

  由于涉及儿童产品,有网友对于极客的破解行为不理解,甚至和厂商一起责备极客对儿童用品下手是没有社会责任感。清华大学计算机教授段海信则认为,真正的极客都是追求技术极致的人,他们的乐趣在于在破解过程中体会智力的对抗和博弈,“白帽”们反而能更加自觉地提高技术标准,发现漏洞报告给厂商减少损失。

  与此同时,“黑客打手”这样的字眼也极大地刺激了不少极客的自尊心,尽管360后面宣称,将赠送儿童手表供极客研究,并悬赏10万奖励,“但是,我并不认为钱能弥补今天你们对技术(安全)人员的侮辱。” 一名90后极客告诉记者,类似儿童手环这种产品,在极客高手眼里简直是不堪一击。

  极客技术:

  电子银行成黑客提款机?

  10月24日主办方Keen团队率先用一款软件同时破解了时下最主流的70款安卓智能手机,立刻镇住全场,实现这一操作仅是利用Keen研究最新移动系统安全漏洞中的几个芯片级高危漏洞,如果你是这种智能手机使用者,利用这些后门和漏洞获取你手机中的信息易如反掌。而Keen团队的一个20出头的年轻极客仅用几天时间就实现将手机变成“窃听器”。

  接下来的展示更令人震惊,一名观众的手机上出现了一张特斯拉的图片,触摸屏幕,点击手机中特斯拉汽车图片的车轮部分,按下“是”的选项,现场大屏幕上显示,正在室外停放的一辆特斯拉的后轮开始急速旋转起来。负责展示的王琦宣布:“远程控制特斯拉,让汽车行驶、急停甚至突然倒车都可以,甚至能进入完全失控的状态。”

  随后来自清华大学的蓝莲花团队展示一个世界级的漏洞。清华大学段海新教授现场展示:“利用漏洞,电子银行将化身黑客的提款机。”这是一项影响巨大的网络基础协议设计中存在的漏洞,无需木马、无需钓鱼,就可以让你打给别人账户的钱悄无声息地转到我的账户里。这一漏洞后已通报了相关银行,进行修补。

  • 股票名称 最新价 涨跌幅