尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
聽說世界上只有百分之3的人關注Jayson,很幸運你是其中一位
聲稱最安全的「指紋隨身碟」需要在確認主人的指紋後,才能讀取保密部分的文件,可是黑客用自己製作的部件替換了隨身碟中辨認指紋的部分,並且改寫讀取保密文件的指令,就能在不需要獲得指紋隨身碟主人指紋信息的情況下,獲取指紋隨身碟里的保密文件。
你以為給辦公室裝上密碼鎖、錄影頭就能保證電腦信息安全,卻不知道黑客製作了機器人,能夠從通風管進入,在房間里放置竊聽器、遮擋干擾錄影頭,並且由兩個機器人配合,完成對電腦內文件的竊取。
機器人「特工隊」
最新的智能鎖很受普通用戶歡迎,因為它們不需要鑰匙,通過比對密碼、指紋或者手機遠程操控開關,可是在黑客面前,只要一個網路環境,就可以控制智能門鎖網關,隨心所欲地操控大門的開關……
這些好似科幻小說或科幻電影里的場景,這兩天卻在上海一處舞台真實上演。因為2018國際安全極客大賽(GeekPwn 2018)再次登陸上海,在10月24日和25日的兩天里,來自世界各地的安全研究員、「白帽子黑客」(常指那些為了彌補安全漏洞而進行模擬攻擊的黑客),組成黑客界「最強大腦」團隊,攻破重重關卡與迷陣,上演了一場現實版「黑客帝國」。
在這次比賽上,解放日報·上觀新聞記者遇到已經連續多年參加比賽的女黑客skye——畢竟在黑客的世界里,女性並不多,所以在男性為主的參賽選手中,漂亮的她非常顯眼。
skye在賽場上
skye的正式身份是騰訊安全移動安全實驗室參賽選手,此次參加的比賽是基於漏洞攻破挑戰賽,主攻智能門鎖破解。在比賽中,skye與三名同伴合作破解智能門鎖,她主要負責尋找攻擊入口,構造攻擊路徑以及合理化攻擊場景。
面對比賽現場各種「腦洞大開」卻又讓人不寒而栗的黑客攻擊場景,skye為記者進行了簡單解讀,同時也從網路安全研究人員的身份提醒,普通人對各種智能產品還需要多留一個新鮮,「相對而言,大品牌的產品較為可靠;而不亂連公共Wi-Fi、不亂掃二維碼是防止黑客攻擊的最基本的措施。」
「不斷修復才能越來越安全」
skye今年25歲,畢業於國內某國防大學計算機專業,在校期間就熟練掌握計算機操作系統、編譯原理、匯編語言等計算機基礎課程,在研究生階段,她還從事過人工智能技術的課題研究。出於對安全技術的熱愛,她在校期間就很喜歡漏洞挖掘技術,特別是挖掘智能設備的漏洞挖掘。「‘挖漏洞’是一個不斷突破自己思維的過程。你要不斷的突破自己的思維,不僅要逆向思維、還要突破正向的一些開發思維。」skye破解過路由器、錄影頭、智能門鎖、自行車鎖等智能設備,短短一年所挖掘的高危漏洞達50多個。不過在這些漏洞中,她覺得很難挑出「印象最深刻」的那個,因為「每一個都突破了自己思維」。
之所以在這次的比賽中她選擇了智能門鎖,因為可以借此讓各界意識到智能設備也存在安全漏洞。Skye說:「現在物聯網設備、智能設備比較火,所以大部分的黑客都會關注這部分。相比之下,只能門鎖是物聯網、智能設備中比較冷門的那個,但是智能門鎖作為物聯網中的家庭布局,是生命安全、財產安全的第一道防線,所以我選擇了智能門鎖。」
skye在比賽前的半年里就專注於智能門鎖的安全機制研究。通過深入理解智能門鎖系統,她往往能夠在很短時間內挖出門鎖的高危漏洞,發現攻擊面,並創造簡單新奇的攻擊方式,輕易繞開門鎖的安全機制,輕鬆「破門而入」。在半年內,skye攻破了十幾款智能門鎖,挖掘高危漏洞20多個,基本達到無「鎖」不破的程度。
「漏洞挖掘多了,你會不會對這個世界充滿不安全感?尤其是智能門鎖都不安全。」記者將這個問題拋給skye。
「會有一點點吧!」她坦言,但立刻話鋒一轉:「但是我覺得,系統是人做的,不可能100%安全,所以需要我們去挖掘漏洞,然後修復,這樣才會讓世界變得越來越安全。」
所以面對諸多被自己攻破的智能門鎖,skye認為公眾也不需「因噎廢食」:「消費者可以選一些大品牌的產品,因為他們比較關注自己的產品。我們發現漏洞,也會第一時間告訴這些企業,而他們反饋地業比較及時,立刻通過後台對漏洞進行彌補,產品也會迭代。最終,產品會變得越來越安全。」
人「攻」智能是為了更加安全
skye的破解智能門鎖只是今年極棒大賽中的一個亮點。很多安全研究員或白帽子黑客也展示了其他智能設備中的安全漏洞:
你以為智慧型手機中相冊加密,別人就看不到嗎?來自AMC團隊楊志偉、胡強成功完成手機私密相冊的破解挑戰。他們利用手機操作系統的漏洞,通過在手機中安裝一個惡意app,root權限執行任意命令,從而做到在手機中靜默安裝木馬。他們說,有了這樣的木馬,即便相冊密碼再長、再複雜,都能被黑客攻破。換句話說,用戶不輕易「掃一掃」或隨意下載app,是防止這類攻擊的有效辦法。
你能想像一張紙就能打開安卓手機的屏下指紋鎖?騰訊安全玄武實驗室就現場演示了一番:安全研究員通過一張普通的卡片,可以讓任何人對手機的屏下指紋進行解鎖。因為目前的屏下指紋解鎖功能是利用光學技術捕捉用戶的指紋影像,而安全研究員通過反射體欺騙的方法,利用螢幕上殘存的指紋痕跡,讓屏下指紋傳感器誤認為手機的主人正在使用指紋驗證。據悉,該漏洞屬於屏下指紋技術設計層面的問題,幾乎無差別地影響所有使用屏下指紋技術的設備。但讓用戶安心的是,騰訊安全玄武實驗室發現這一樓洞後,從今年初開始和國內幾家主流手機廠商合作,不僅通過更新算法修復了已上市手機中的漏洞,還將相關解決方案提交給相關晶片廠商,推動供應鏈層面的安全修復。
安全研究員和白帽子黑客在研究「進攻」方式
極棒大賽發起和創辦人、安全公司KEEN公司首席執行官王琦表示,「人工智能」一詞近來很火,但極棒大賽堪稱「人‘攻’智能」,但「人‘攻’智能」的目的是為了幫助更多的生產商防范漏洞。創辦五年來,極棒帶賽帶來了許多破解展示,向廠商提交了近千個嚴重安全威脅漏洞,絕大多數漏洞並未在現實生活中爆發危害就已經被提前消滅。他覺得,這才是極棒大賽的意義:「漏洞從來不是因為黑客才存在,恰恰是被黑客發現後消滅的。極棒要讓更多人關注到智能生活中安全問題的重要性。人「攻」智能不是目的,我們這些年的努力,是為了讓更多的人可以享受智能生活,讓黑客帶給我們更安全的光明和未來。」
騰訊高級副總裁丁珂也表示,騰選安全與極棒也進行了五年的深度合作,目的也是希望以前瞻和敏銳的黑客思維去探索、發現世界的新規律,最終建立安全的網路環境、安全社區:「一方面,騰訊安全保持對安全社區的持續關注和投入,通過組織極客賽事、發布前沿技術、參與比賽等形式打造國際前沿的技術交流平台;另一方面,騰訊安全團隊將自身安全能力開放給各行各業,為建設數字安全新生態提供助力。」
跟著Jayson玩耍看世界,帶你裝逼帶你飛。喜歡的觀眾老爺可以點波關注,Jayson在此跪拜。記得點讚,點讚,點讚!還有底部廣告呀~