Ricky
赛场很大,但每个人都坐在电脑前盯着屏幕。音响放的歌很烂,只比洗脚城开业盛典好上一个档次。我打望了几圈,找不到什么有意思的事情,只有键盘声,于是跑到后面茶歇那儿弄了杯糖水 —— 该是多无趣的人才会喝这个味儿的。我不知道这是啥味儿,也不知道这些人还要摁多久键盘。黑客们似乎从未按套路出过牌。
目前看来,世界黑客大赛一点也不酷。
背景音乐让我留下了悲痛的泪水
世界黑客大赛由360 vulcan team 举办,它将美国、俄罗斯、波兰、日本等国的黑客团队弄到中国,圈进一个高档酒店。两天时间内,他们会通过电脑解题,搞一场信息安全比武大会。
托基努·里维斯大人的洪福,我们对黑客的印象是防弹墨镜、无臭狗皮风衣还有连打火机都烧不坏的黑色背心。他把你的手机后盖摸开,插进去一根在越南战场立过功的数据线。“There you go, mate!” 短短三十秒,你的手机从今往后可以免费打国际电话了。
我一边吃着茶歇糕点一边想着这些画面,失落得很。基努·里维斯大人肯定没仔细过目中英翻译的事情。黑客一词来源于 “hacker”,指的是 “通过娴熟技巧处理问题的计算机专家”,与浪漫到窒息的网络大盗不是一回事儿。随着利益关系越发矛盾,黑客有了白帽子与黑帽子的分别。白帽子干好事儿,黑帽子干坏事儿 —— 啥都逃不过咱朴素的黑白阴阳辩证法。
HITCON 217 最终收获了冠军
这些选手最小的才15周岁,大多数都是学生,看起来就不像是隔着网线破坏跨国贸易的角色。同样的,队伍名称与 LOGO 也显示出某种清亮的幽默:LCBC 战队似乎在致敬 AC/DC,0daysober 的来源是他们对酒精的喜爱丝毫不亚于技术,还有我最喜欢的 binja,这支日本战队估计想表达 “Bend-over-ninja”,至于中国战队 Tea Deliverers —— 快递小哥们已经上线!
黑客世界的 “唯技术论” 规则与右上角的倒计时一样残酷
会场里十几个队伍围成圆形,中间是为比赛搭建的服务器和工作人员。大屏幕滚动着好看的动画,这是三排沿着星轨运行的球状图。每个球状图都有不同的名字,比如 “Classic” 或者 “Wall of China”,代表了不同的题。而绕着它公转的小球则是正在解答该题的参赛队标识。
CG 化的黑客团队即时动向十分炫酷,很符合黑客的 “二进制” 思维,:将问题拆解,然后用另一种角度描述出来。这也是黑客神秘的缘由,他们在网络上只有一个专属的符号,其他一无所知。对于他们来说,技术才是狂热的源头。可他们在干什么,又能干什么?
我和360的副总裁 MJ0011 聊了聊,他被人记住有两点原因:1,人们说他长得和高晓松很像,2,他拿到了全世界最著名的黑客大赛的冠军。
MJ 0011 号称国内内核第一人。MJ 是马甲的拼音
VICE :中国的信息安全发展到哪个阶段了?
MJ0011 :十来年前比较混乱,这个行业刚刚诞生。零七、零八年随着大公司的进入,资金投入到了网络信息安全上,个人和企业都有了一定认识,是快速发展期。现在,不管是研究人员、企业甚至政府,都加大了力度,可以说是发展中期。不过离前列的国家,比如美国,还是有一定距离。
黑客的生存状态如何?
往前推个十年,连工作都挺难找,因为没有公司愿意出钱去聘他,但现在能有很好的待遇了。目前网络安全是和计算机平行的一级学科,国内毕业生就业薪资最高的就是它。如果你有技术,就可以去参加比赛,专门拿奖金赚钱。国内也有白帽子平台,合法挖掘漏洞,给大公司查错。我认识很多技术厉害的朋友,他们曾经在国内很难找到合适的工作,现在又因为回报丰厚重新回来了。
据说你有个很厉害的手机壳?
哈哈。其实设备很简单,在网上都能买到。手机壳上印有电模板,可以检测对外信号。有些攻击方式是植入密码后,让你误以为手机关机了,其实根本没有,只是屏幕熄灭。但你的录音、对外发送数据等功能还在。这个手机壳就是检测这些的。
你怎么保护自己的信息?
有强迫症,比如 Iphone 在锁屏状态下,把通知栏、下拉栏、Siri 功能全关闭了,开机密码有十几位,也不用指纹解锁。如果你留有这些功能,有很多方法可以通过它们进入手机。我每次都需要输入很长的密码才能看到消息,的确会不方便,不过安全性和方便性是矛盾的。
你多久能攻破一个 Iphone?
这种一般是团队做的事情。在08年,一个人就可以办到,但现在得十几个人了。
黑客会引起网络战争吗?
其实网络战争一直都在发生,比如四月份美国安全局泄露。他们一直以来对各个国家进行网络攻击,虽然没有公开爆发,但 underground 的战争一直在发生。那段时间泄露的,还包括很完整的攻击计划报告,讲当年怎么入侵中东所有的银行、金融机构。
战争形态是怎样的?
主要是国家与国家间的情报战,当然,也会是网络战争与传统战争的合并,有点像这次的 Wannacry 事件:来个病毒袭击,你的基本设施就崩溃了。乌克兰也是,它的银行、机场、警察局、核电站,包括总理的电脑都挂了。乌克兰电网这两年一直受到攻击,你知道那边冬天断电是很可怕的事情,不管经济还是人民生活都会受到很大的影响。前几天有个法新社的报道,切尔诺贝利核电站也收到了攻击,辐射的控制系统出了问题,有些危害会有更严重的影响。
某种程度上说,好坏是相生的。
你不能去怪坏人,即使这个人不攻击你,其他人也会。但永远会有防护的人,这也是信息产业的基础。随着信息技术的深入,这个行业越来越跟生活相关,对人的影响会更多。比如十年前最坏的情况是上不了网,但放到今天就是加油站加不了油,机场飞不了,银行的钱出问题。
年轻人有了能力,为什么不选择成为黑帽黑客?
俄罗斯有很多黑帽黑客其实技术很好,却不能像国内一样挣钱,才做了黑产。美国八九十年代也是一样。现在国内做黑产,还比不上做白帽赚的钱多。比如今年的 pwn2own,冠军有100万美元。不仅如此,公司还会有奖金,谁会愿意做黑产呢?信息安全的产业化会改变整个行业。
我们的信息会以什么想不到的方式泄露?
即使在隔壁,黑客也能通过 wifi 信号探测房里有哪些人、站着还是立着的。还有,通过电源的波动,可以知道你在键盘上面按了哪个键。所以,网络信息安全不仅是关乎网络的安全,它会纵深到你的生活中。
骨鱼队!
Holy Shit!目送 MJ 0011 去主持下午场的比赛后,我感到这事儿没完 —— 黑客们简直是赛博武器。那个叫什么来着,人间大炮!
会场里依然安静,每个人都盯着屏幕。黑客们还会带上装有自制软件的移动硬盘,这玩意儿可以将运算能力大大提升。太厉害啦!现在只有一个队得分,可想而知题目的复杂程度。接近下午一点,我听到 MJ 0011叹了口气,“终于有人吃东西了”。黑客拿上饼干,立即返回了座位。
我旁边坐着两位观众,他们穿着拖鞋和 Oversize 的短袖,一位头发略卷,一位则像做了120块的药水护理。略一打探,原来两位是奋战在一线的从业人员。我提出了聊聊的想法,药水护理哥的专业素养立即表现出来,“你怎么证明你是 VICE 的?” 我只好打开手机,给他看了看自己的公司邮箱。
橘子汽水的香味,飘在空气中~
VICE :嘿,你们好!可以给读者介绍下自己吗?
Selfighter :我的代号是 Selfighter,做互联网设备的安全研究,比如手机、手表。
Mike :我的范围和搜索相关,比如图像识别、图像搜索。
黑客能触及到哪些领域?
Selfighter :信息的泄露和物理硬件的控制,比如你家里的空调、电灯泡。
Mike :你的密码、身份证信息,客户名单、网站运行,国家机密。
为什么不做黑帽子?
Selfighter :我们会把漏洞报给相关组织。因为做技术的人在乎的是 “做出来比较酷”。嗯,这倒是个好问题。可是如果你拿它做了坏事,就不能拿出来展示了呀。
Mike :一般是提交给公司,或者收集漏洞的机构。可能它给的奖金的确很少,但这也是白帽子精神。说得大一点,是想要这个世界变得更安全。平时和同行业的人聊得多了,都会有黑客精神。
什么是黑客精神?
Selfighter :喜欢一个东西,痴迷其中,然后把它做得比任何人都好。你做记者不也是吗?
Mike :补充一下,就是不用平常人的心态看问题。比如进入大厦,平常人会走正门,但黑客会观察这栋建筑物有哪些疏忽,走后门。
Selfighter :提到这个我给你说,最近我做了一个比较酷的事儿。比如你是门卫,我会在和你打招呼的时候握手,把你的手拉住,我的另一只手就可以开门了。用自己的身体当做传感器,用你的卡开大门。
听起来太宅男了。
Mike :有时候别人不太理解我们,没什么共同话题,自然就显得内敛。
Selfighter :就不想理你而已。比如你出去相亲吃饭,别人不理你,那只是不感兴趣!
你喜欢暗网吗?
Selfighter :这东西挺好,特别是匿名交流,对技术非常友好,不过都干些非法的事情。反正我认为技术是不会错的,肯定是你人有错。
Mike :对。比如有时候丢出的文件和泄密,可以达到某种平衡。
你们做过什么黑产吗?
Selfighter :嘿嘿,没有,嘿嘿,从来没有。
Mike :说点人畜无害的。之前学校的校园网很差,一个月限用几 G 就要流量计费。我在计费系统不断翻源代码,发现了内部漏洞,就一直用了。不过谁也没说,把秘密埋藏了。因为这事儿本身还是不对的,而且不值得。虽然在找到漏洞的那刻高兴,但之后的使用会有罪恶感。
你们年纪也不大,为什么不做红帽黑客?
Mike :红客给我感觉就是一群小……愤青。
Selfighter :我的眼里没有红帽黑客。
红帽黑客代表的是民间力量,我们的实力如何?
Mike :我们看到的只是冰山一角。
Selfighter :美国好一些,其他国家都差不多是制衡的。
我们可以查到普通人多少信息?
Mike :通过 QQ 查到你的密码,然后是你的注册邮箱。通过邮箱查到你注册的论坛和用户名。用户名可以泄露你曾经用过的密码。接着登录你的账号,比如淘宝上买了什么、发了什么帖子。身份证、手机就更别说了。特别是一点,你的酒店开房记录。
无处躲藏
Mike 和 Selfighter 都是好人,但是是危险的好人。Selfighter 告诉我,他的同事搞了个叫什么 “绵羊墙” 的东西,反正就是把他们放在一起,就能通过 WIFI 扒光你的家底。
Selfighter 摸出手机,给我演示了最近他的新作品。这个 APP 耗时半个月写成,是他自己做着玩的小产品。我把银行卡递给他,还没有触碰到手机,他的屏幕上就显示出了我的卡号和交易记录 :5月12日消费了300元 —— 我都不知道这是买什么去了!根据不同的卡,显示的信息也会不同。有些会显示出持卡人的姓名、ID,如果是公交卡,甚至会出现什么时刻、坐了哪班车、花费多少 —— “你充了400块,哇,充那么多。你平时坐车时间挺短啊,都是2块5的。消费了1000来次,挺耐用的。19年就到底了,记得去换卡。”
Selfighter 把卡还给我,带着技术男的微笑。他随口说了一个使用场景:在排队的时候,把手机贴近前面那人的裤兜,如果检测到银行卡,就能通过信号刷卡消费了。我有点担心他把我的信息留存下来,谁知道他能凭借这些信息干什么事情出来?
Selfighter 和 Mike 很快回到了现场,他们想听听队员们在答题环节的演讲,这是一场顶尖的黑客学术交流。屏幕上,英文和符号混杂,树状图理出各个插件、公式的套用,但我感觉有些害怕。网络在极速进化时,末梢已经嵌入我们的生活,万物互联不再是 PPT 上的口号。而被连接起来的我们,除了享受科技的快感,是否也被 “二进制” 成了单纯的信息?我们无法给信息人格,只能和其他人一起,被网络信息产业锁进唯一的保险柜。而当这个保险柜被撬开的时候,一涌而出的,又会是什么?
如果你还不知道什么是 VICE :
