渴望影響這個(gè)時(shí)代的天才黑客都在這里了

本文作者：康民

每一個(gè)登上極棒舞臺(tái)的黑客都是明星

5月12日，GeekPwn黑客大賽2016年的首站澳門，來自中國最權(quán)威的安全專家評委們把該賽事的首個(gè)“最大腦洞獎(jiǎng)”頒給了來自美國加州大學(xué)的在讀博士生曹躍。他所在的團(tuán)隊(duì)重現(xiàn)了“世界頭號(hào)黑客”凱文·米特尼克的“任意互聯(lián)網(wǎng)會(huì)話劫持技術(shù)”：這意味著互聯(lián)網(wǎng)上幾乎所有的安卓和Linux系統(tǒng)，都可能在任意時(shí)間、任意位置被攻擊，被劫持通訊。

“今年的‘TCP任意遠(yuǎn)程劫持’項(xiàng)目我覺得是腦洞比較大開的，因?yàn)榇蠹叶颊J(rèn)為TCP協(xié)議已經(jīng)過去這么多年了，應(yīng)該不會(huì)存在問題，也沒有人證明過它有問題，質(zhì)疑過它。但曹躍所在團(tuán)隊(duì)居然去質(zhì)疑它，并且在他們的實(shí)驗(yàn)環(huán)境下取得成功。這需要大膽和豐富的想象力。”GeekPwn發(fā)起和創(chuàng)辦人王琦給予很高的評價(jià)。而該項(xiàng)目也因此獲得了總計(jì)15萬元的獎(jiǎng)金。

三年前，總部位于上海的科技公司KEEN（碁震）創(chuàng)辦了世界級(jí)安全賽事GeekPwn（中譯為“極棒”）。Geek意為“極客”，Pwn是“攻破設(shè)備或者系統(tǒng)”。GeekPwn的字面意思是“極客攻破新設(shè)備和系統(tǒng)”。

無論是選手實(shí)力，還是比賽過程，這屆極棒澳門站都有更多的亮點(diǎn)：

破解大疆無人機(jī)的兩名黑客王丙坤和劉杰煒年僅16歲，是極棒史上年齡最小的參賽選手，他們通過手機(jī)程序劫持無人機(jī)并讓其降落。雖然最終評委判定不屬于安全漏洞范疇，但兩位小鮮肉還是得到了大賽的肯定，獲得“極客精神鼓勵(lì)獎(jiǎng)”。

騰訊電腦管家網(wǎng)絡(luò)攻防小組破解微軟Surface Pro 4，控制surface攝像頭，實(shí)現(xiàn)了遠(yuǎn)程監(jiān)控，這個(gè)世界級(jí)技術(shù)難度的項(xiàng)目獲得“最霸技術(shù)獎(jiǎng)”。

非安全行業(yè)從業(yè)人員的女極客賈云，在比賽現(xiàn)場破解了兩款不同的智能遙控器，演示了如何偽裝成主人對家電進(jìn)行遙控。

專注研究智能保險(xiǎn)箱的安全技術(shù)人士“黑客叔叔p0tt1”（本名姚威），在不到一分鐘的時(shí)間內(nèi)就破解掉一臺(tái)通過Wi-Fi與手機(jī)相連的SAFEOK防黑客智能保險(xiǎn)箱，并將其改造成“不起床就可能錢財(cái)不?！钡聂[鐘。獲得了“最酷展示獎(jiǎng)”。

三年來，極棒大賽創(chuàng)辦人、KEEN公司CEO王琦像一位虔誠的布道師一樣，在一切可能的公開場合傳播著他和團(tuán)隊(duì)舉辦極棒的初衷：激發(fā)可能改變我們世界的新思維，讓我們現(xiàn)在和未來的智能生活更安全。

在極棒的舞臺(tái)上，每一個(gè)人都是明星，那些看起來安全可靠的智能設(shè)備在手握強(qiáng)大技術(shù)實(shí)力的極客面前不堪一擊。雖然很多極客都不是有名望和富有的人，但這些技術(shù)精湛的天才們?yōu)槭廊顺尸F(xiàn)了一幅全新的科技景象。

有人說，所有程序員的夢想都是當(dāng)黑客，而黑客的夢想就是找到世界上最大的安全問題，影響最廣泛的安全問題。

場景化地重現(xiàn)黑客攻擊的真實(shí)危害，是極棒首創(chuàng)的競賽形式。在極棒的舞臺(tái)上，曾經(jīng)有包括特斯拉、無人機(jī)、POS機(jī)、O2O支付、智能家居、保險(xiǎn)箱等在內(nèi)的近百個(gè)項(xiàng)目被白帽黑客攻破。極棒向人們展示了主流智能軟硬件使用背后關(guān)于隱私安全、信息安全、財(cái)產(chǎn)安全，甚至人身安全的嚴(yán)重問題。

盡管這個(gè)年輕的賽事活動(dòng)在過往兩屆都有不俗表現(xiàn)，并且吸引了安全行業(yè)人士和主流媒體的關(guān)注，但經(jīng)過前兩屆的比賽，王琦仍然認(rèn)為，參賽選手的創(chuàng)造力和想象力還沒有被完全激發(fā)。

在他看來，中國有很多聰明的年輕人，歷史上很多安全技術(shù)不是中國人發(fā)明的，但中國極客會(huì)把這些技術(shù)用得淋漓盡致。在找漏洞過程當(dāng)中，中國極客非常善于發(fā)現(xiàn)規(guī)律性的東西，然后在此基礎(chǔ)上進(jìn)行升華，往往比國外同行發(fā)現(xiàn)更多漏洞。

“這也可能跟中國的教育有關(guān)，中國式教育的特點(diǎn)是善于總結(jié)規(guī)律但不善于打破規(guī)律，突破性思維不多，而黑客做的事情就是超出設(shè)計(jì)者的預(yù)期，完成一件原本不可能完成的事情。”王琦說。

2016年極棒澳門站比賽前夕，總裁判于旸在官網(wǎng)上寫下一段話：“有人用電腦攻擊無人機(jī)，你能不能用無人機(jī)攻擊電腦？有人用電磁波攻擊，你能不能用聲波攻擊？有人說中國人勤奮但缺乏創(chuàng)造力，我覺得只是想象力沒有放開?！?/p>

你能讓智能馬桶變成音樂噴泉嗎？你可以把一臺(tái)帶噪音監(jiān)測的智能空氣凈化器變成一個(gè)竊聽器嗎？你可以同時(shí)叫來1000輛出租車嗎？在第一屆極棒舉辦時(shí)，大賽組委會(huì)曾拋出這樣的提示。

極棒活動(dòng)的報(bào)名者有在校學(xué)生、老師、普通IT工程師，還有很多非IT行業(yè)的人。過去沒有一個(gè)平臺(tái)給他們這樣的展示機(jī)會(huì)，而極棒的規(guī)則就是沒有規(guī)則?！爸灰愀蚁搿⒛馨l(fā)現(xiàn)任何智能產(chǎn)品的安全問題，我們都?xì)g迎你。極棒鼓勵(lì)這個(gè)世界上最不被規(guī)則束縛、最天馬行空、最具創(chuàng)造力的安全極客新思維。你的奇思妙想一定會(huì)得到尊重,你的研究成果一定會(huì)得到物質(zhì)和精神的認(rèn)可?！蓖蹒f，極棒希望給更多優(yōu)秀的年輕人展現(xiàn)其突破性思維的機(jī)會(huì)，引領(lǐng)黑客探尋未知的精神。

極棒崎嶇路：廠商從抵制、理解到戰(zhàn)略合作

第一屆極棒在尋找智能產(chǎn)品廠商的合作時(shí)，得不到任何國內(nèi)廠商的支持，甚至遭遇了部分廠商的抵觸。在他們看來，組織黑客們來尋找商家產(chǎn)品漏洞，看起來像是“找茬收保護(hù)費(fèi)”。在一番周折后，王琦只獲得了微軟、谷歌、騰訊等幾家大廠商的支持。“國外商家早就有了承認(rèn)、接受甚至花錢購買安全漏洞分析的姿態(tài)?！蓖蹒f，但國內(nèi)企業(yè)的安全觀并未國際接軌，國內(nèi)的氛圍是“發(fā)現(xiàn)漏洞就是不安全”。

黑客分黑帽和白帽，白帽從事信息安全研究，幫助企業(yè)修復(fù)漏洞，而黑帽則專注于安全攻擊并借此獲利。在王琦看來，任何系統(tǒng)都會(huì)存在漏洞，白帽所做的工作是找出漏洞，并研究這些漏洞是否會(huì)被利用并形成攻擊。白帽攻擊漏洞是為了給廠商糾錯(cuò)，而不是非法牟利。“我們不做壞事，而是要把問題報(bào)給廠商，讓廠商把它消滅，讓整個(gè)互聯(lián)網(wǎng)變得更安全。”

轉(zhuǎn)變從第二屆極棒開始。這一年，廠商對安全的重視程度越來越高，心態(tài)更加開放。智能廠商開始逐步接受“問題被發(fā)現(xiàn)和消滅的越多，產(chǎn)品越安全”的極棒安全觀。極棒開始激發(fā)傳統(tǒng)安全公司和廠商做出改變，被成功攻破的廠商產(chǎn)品（包括小米、拉卡拉、盒子支付等）大多從保護(hù)用戶安全的角度，真誠地向極棒致謝，并愿意盡快修復(fù)產(chǎn)品安全問題。參賽項(xiàng)目廠商華為、小米等公司的代表還受邀出現(xiàn)在挑戰(zhàn)賽現(xiàn)場。安全行業(yè)由“技術(shù)驅(qū)動(dòng)”向“合作驅(qū)動(dòng)”的轉(zhuǎn)型，標(biāo)志著國內(nèi)智能軟硬件廠商的安全意識(shí)和觀念逐漸與國際接軌。

極棒遵守國際通用的白帽子黑客約束與承諾規(guī)則，堅(jiān)持“科學(xué)中立不妥協(xié)”原則，活動(dòng)過后，組委會(huì)將智能軟硬件的漏洞報(bào)告提交給廠商，協(xié)助修復(fù)安全問題。在廠商修復(fù)漏洞之前，所有細(xì)節(jié)均不對外公開，避免被人利用。

“舉辦這個(gè)活動(dòng)最怕別人誤解我們，它可能是一個(gè)雙節(jié)棍，別人以為你要打人，實(shí)際上我們的結(jié)果是讓人強(qiáng)身健體，或者說防身?！蓖蹒f。

舉辦極棒的目的不是為了炫技，而是通過頂級(jí)安全極客攻破最熱門智能設(shè)備的活動(dòng)，發(fā)現(xiàn)安全極客人才，推動(dòng)廠商去修補(bǔ)漏洞，提高產(chǎn)品安全系數(shù)?！按蚱瞥Ｒ?guī)、追求極致”是極棒倡導(dǎo)的黑客精神，發(fā)現(xiàn)并培養(yǎng)人才是極棒的初心。

極客們與廠商平等溝通，不僅可以展現(xiàn)自己的才華，而且各方可以聯(lián)合起來共同發(fā)現(xiàn)并解決問題。這背后的邏輯是，面對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，廠商們的獨(dú)立技術(shù)研發(fā)和對抗已不能滿足形式多變的現(xiàn)代網(wǎng)絡(luò)攻防對抗戰(zhàn)，合縱連橫已成為中國網(wǎng)絡(luò)安全面向未來的大勢。

在2016年極棒澳門站，騰訊安全、京東智能、小米、華為等廠商作為極棒的戰(zhàn)略合作伙伴，都派出嘉賓到現(xiàn)場助陣。小米首席安全官陳洋表示：“非常歡迎白帽黑客來幫助我們尋找產(chǎn)品的瑕疵，我們共同把產(chǎn)品做得更安全?！比A為安全專家周斌說：“來自外部安全社區(qū)的力量不可忽視......這些想法能夠發(fā)現(xiàn)一些新思路，這對改善程序安全都是很必要的。”

在今年的央視315晚會(huì)上，KEEN團(tuán)隊(duì)現(xiàn)場展示了因?yàn)闆]有使用HTTPS加密，一些明文通信可能被攻擊者獲取的場景，這一現(xiàn)場互動(dòng)就是利用極棒大賽上路由器的漏洞完成的。315之后，在極棒的推動(dòng)下，國內(nèi)互聯(lián)網(wǎng)大司紛紛加入到這場加密保衛(wèi)戰(zhàn)中，為用戶提供切實(shí)的安全保障。今年4月阿里云開始對外推出HTTPS加密解決方案；百度云加速也宣布全面推動(dòng)HTTPS化、SSL證書免費(fèi)等措施。

極棒已經(jīng)走到第三年，為全球黑客提供展示平臺(tái)的同時(shí)，與智能廠商和安全企業(yè)在人才培養(yǎng)、產(chǎn)品安全、生態(tài)建設(shè)上，逐漸形成了一個(gè)智能網(wǎng)絡(luò)安全共同體。極棒還與眾多廠商達(dá)成戰(zhàn)略合作，未來還會(huì)共同推出智能硬件安全標(biāo)準(zhǔn)，共同推進(jìn)智能行業(yè)網(wǎng)絡(luò)安全發(fā)展。

尋找未來的黑客

在王琦看來，未來的黑客可能都不會(huì)是現(xiàn)在這種基于CPU架構(gòu)和硬件技術(shù)的人，甚至可能也不是來自于互聯(lián)網(wǎng)服務(wù)領(lǐng)域，而極棒希望可以找到這些未來的黑客們。

在《黑客：計(jì)算機(jī)革命的英雄》一書中，作者Steven Levy講述了計(jì)算機(jī)革命浪潮中那些最聰明和最富有個(gè)性的黑客們的故事。他們勇于承擔(dān)風(fēng)險(xiǎn)，挑戰(zhàn)規(guī)則，不僅看到并親自體驗(yàn)了科技的魔力，而且還努力把這種魔力釋放出來，讓它造福于全人類，成為媒體和用戶眼中新一代英雄。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。