GeekPwn:全球安全极客“英雄帖”
- 来源:中国计算机报 smarty:if $article.tag?>
- 关键字:GeekPwn,极客 smarty:/if?>
- 发布时间:2014-07-29 15:24
深夜,两个身着帽衫,看不清面目的黑衣人潜入到一座大厦的电力控制室。一人将一台笔记本电脑连接到电力控制系统并迅速地敲击键盘,一人将一张电路板连接到配电箱。十几秒后,为防被保安发现,二人急忙带着笔记本电脑一路狂奔逃向大厦对面的过街天桥。奇怪的是,他们到了桥上后,并没有继续逃跑,而是突然停下。只见一人再次掏出了笔记本电脑,敲击了一下键盘,这时令人惊奇的情景出现了:刚才他们潜入的那座大厦突然所有的电灯都熄灭了,而几秒后,由电灯组成的画面变成了经典红白机中的一个小游戏——炮打小蜜蜂,二人又拿出随身携带的手柄,面对着大厦,玩得不亦乐乎。
这两个人,在互联网领域中有一个专属的称号——极客(Geek)。几十年前,极客这个称号是个贬义词,被用来形容那些对电子技术、计算机技术非常痴迷,痴迷到非常极端的那一类人,这些人满脑子都是自由思想并且总是一副离经叛道的“计算机嬉皮士”的形象。在那个时候,没有人愿意被称作极客,而现在,极客则在计算机技术领域中扮演着重要的角色。《经济学人》杂志指出,那些被称为极客的人在中学阶段可能在学校里面是被嘲讽的对象,不是特别受欢迎,可能会被那些学校运动队里的人、足球队里的人嘲笑,甚至会有一些人受到欺负,但是现在,任何正儿八经的组织要想蓬勃发展,都离不开他们。“甚至还有一种更为前卫的观点认为,极客形象在将来会等同于性感。”曾夺得过微软全球安全挑战最高奖的唯一华人于旸说。
上面的情景出现在一段由德国人在2008年发布的视频中,而时隔6年,这一情景让安全研究团队KEEN的创始人王琦仍记忆犹新。“我们希望我们能够改变极客中消极的部分,使之产生积极的改变。现在,极客的春天确实来了。”王琦在7月15日GeekPwn(极棒)安全极客嘉年华(以下简称GeekPwn)的启动会上发言时说。
智能硬件设备因为能够迎合物联网的发展需求,已经开始向IT基础设施、工业、家庭等领域逐渐延伸,但在远程控制带来的高效之下,安全问题随之凸显,肩负重任的极客们能否改变当前智能硬件领域的安全现状呢?
智能设备也有“漏洞”
还是一个有关灯的例子。美国旧金山的一位名叫Phil的设计师发明了一款叫做“LIFX”的智能灯泡,这款灯泡可以被安装在普通的电灯插座上,其能够体现智能的地方在于:它可以通过智能手机来控制亮度、颜色;也可以根据日光强度来自动调整亮度;它还配有闹钟和主人回家时自动打开、离家时自动关闭的功能;甚至它还能随着室内播放音乐中的节奏自动调整相应的灯光来配合。当然,你家中的老式开关按键也能够控制它的打开和关闭。
LIFX智能灯泡适合在几乎所有的国家使用,适应110V到260V的电网。它与手机的通信是通过WiFi完成的,要控制它,需要在Google Play或者App Store上下载LIFX的控制应用程序。它在澳大利亚和美国完成设计,配件制造和组装是在深圳和墨尔本完成的。
如果你已经产生购买这款产品的欲望了,下面的信息可能会让你觉得沮丧。
同任何其他智能家用设备一样,如果要无线联网,就必须使用无线信号和标准技术进行通信,LIFX智能灯泡也不例外。你虽然能够方便地通过智能手机来关闭或开启它,但如果这种权限因为产品存在漏洞而被别人窃取,那么你家中的电灯也会像文章开头中的场景一样,变成别人的玩物。
而这个漏洞确实存在。WiFi 的用户鉴权会在通信的过程中使用AES(Advanced Encryption Standard,高级加密标准)进行信息传递。但不幸的是,AES至今为止从未变动过,导致黑客可以通过被特殊处理过的硬件识别出加密算法,并用它来捕捉和解密WiFi鉴权。
幸运的是,这一漏洞是被白帽黑客也即“安全极客”首先发现的,并且将此漏洞通知了LIFX智能灯泡的设计方。现在,漏洞已被修复了,购买了该产品的客户也不用再担心电灯会在晚上12点恐怖地自动亮起。
这一事件给所有做智能设备的厂商发出了警告,也包括那些确实需要提升技术的OEM。
而另一个例子就发生在记者身边,在GeekPwn启动会上,一辆特斯拉Model S 智能汽车在没人用车钥匙操控的情况下,居然自行鸣笛、闪灯、缓缓打开天窗。“无形之手”来自于离汽车数十米外的Keen Team团队的一名成员,是他通过电脑实现了对特斯拉的远程控制。
寻找安全极客高手
至少现在看,安全极客们从前对于智能设备的研究成果并不是阳春白雪。当智能设备出现漏洞,就需要用最优秀的工程方法,最安全的保护措施来解决问题。所以,对于智能设备来说,安全极客存在的意义在于,当智能设备的用户数量越来越多时,让自己而不是让“小白”用户们成为第一批接受实验的小白鼠。GeekPwn嘉年华就是想找到那些分散在全球各地的安全极客。
“只要你能够真正解决安全问题,我们就给予奖励。我们鼓励更多的人发现自己有这样的能力,能够在这条路上坚持下去。”王琦说。
实际上,王琦创立的Keen Team就是一支安全极客团队。该团队一直致力于“捕捉系统信息安全漏洞和恶意攻击事件”,是近年来报告微软、苹果、谷歌系统漏洞最多的团队。
Keen Team是一个地地道道的中国安全极客团队。团队核心成员有中国最早一批信息安全研究人员,也有Keen Team培养起来的新生代研究员。如果国内真正做信息安全研究的团队只能算是“凤毛麟角”, 则Keen Team绝对有资格被称为“角尖”。
Keen Team先后于去年和今年早些时候在国际顶级安全赛事Pwn2Own上攻破了iPhone、Windows和MacOS,成为全球第一个在该赛事中能够同时攻破PC和手机的团队,于是不少智能硬件设备生产公司找到他们,希望他们在中国也办一场类似Pwn2Own的活动,GeekPwn嘉年华由此而生。
首届GeekPwn嘉年华将聚焦智能家居、智能穿戴、智能交通、智能娱乐、智能终端等五大智能生活领域的安全问题。时下大热的Google Glass(谷歌眼镜)、Tesla Car(特斯拉汽车)、智能手表、Nest智能温控等先锋智能设备会作为被挑战的智能设备出现,接受来自全球顶尖极客的挑战。同时,活动设下300万(人民币)初始奖金池激励极客们尽情展示才华,该奖金内的奖金还将随着更多厂商的参与不断增加。
链接:GeekPwn嘉年华
GeekPwn安全极客嘉年华由中国唯一在国际安全顶级赛事Pwn2Own中夺冠的团队Keen Team(碁震安全研究团队)主办,XCon安全焦点信息安全技术峰会协办,是全球首个关注智能生活的安全极客嘉年华,是中国首个世界级的安全极客活动。
从7月15日到9月30日,GeekPwn组委会将接受国内以个人名义参赛的选手报名。参与项目根据选手的报名情况最后确定,并在GeekPwn活动网站上公布规则和对应的项目奖金,同时确认各智能设备的参与顺序。GeekPwn安全极客嘉年华将于10月24日~25日于北京按照事先确认好的设备、规则、顺序进行。
GeekPwn安全极客嘉年华的举办旨在通过吸引世界一流的极客发现智能设备存在的安全问题,这将有助于设备厂商及时修复漏洞,增加设备的安全性,以此惠及用户。
本报记者 于杰