“过去一年我找遍了做IOT(物联网)、无人机、自动驾驶的国内外厂商,几乎没人和我讨论安全问题。”国内知名白帽黑客团队Keen创始人兼CEO王琦对《第一财经日报》记者感慨。他在白帽黑客江湖中的绰号叫“大牛蛙”,技术上的大牛,同时长着一双大眼睛。
与全球那些靠黑客技术违法牟利的神秘势力不同,白帽黑客是这个领域里的“清道夫”,凭借技术和直觉找到网络生活中的后台风险,攻破并协助软硬件厂商及时堵住安全漏洞。但在现实中,白帽黑客在财大气粗的厂商面前并没有得到应有的重视,除非他们闯入了产品的安全后门,让厂商感到紧张和不快。
24日上午,NickStephens在上海虹口区一个由当年的屠宰场改造的创意园中展示了如何通过代码攻击,破解一部新拆封的华为手机指纹密码。他来自加利福尼亚大学圣塔芭芭拉分校,还是一名学生。现场观众在这部新手机上录入了指纹,手机的TrustZone区域被攻破后,手机后台可以让任何指纹通过验证,攻击者甚至可以用鼻子代替手指,解锁了手机。现场掌声雷动。Nick在接受记者采访时称,目前还不能远程用这种方法去攻破一部手机的指纹,只能在本地完成。
华为方面随即表态称,对主办方提供的漏洞进行了慎重仔细的分析及修复工作,以保证华为手机系统的安全性进一步提升,“对于十分重视用户安全的华为手机来说,安全极客的攻破演示无疑成为一次提高产品安全性的重要机会。”
华为提到的主办方是在24日全天举行GeekPwn2016嘉年华的白帽黑客团队Keen。Pwn是个黑客俚语,形容成功实施了黑客攻击的声音。在去年一场以攻破金融支付领域漏洞为主题的视觉盛宴后,GeekPwn今年将主题设定在眼下火热的人工智能与物联网上,并同步在上海与硅谷两地进行攻破演示竞赛。它想提醒人们:别光顾着人工智能的酷炫,背后的安全隐患更值得重视。
“通常攻破一个漏洞后,漏洞在(白帽)黑客手中停留的时间是很短的,他们随即会把漏洞交给相应的厂商,协助堵住它。”王琦说。事实上,在黑客眼中,任何智能手机都存在一定的未知安全漏洞,但能像华为这样正视并积极堵住漏洞的厂商并不多,更多硬件厂商将白帽黑客定义为不受欢迎的找茬者。
“人家是做人工智能、无人驾驶的,高大上,瞧不上我们,认为黑客是小儿科,那我们就伸手去够一够,看看能做些什么事情。”在王琦看来,人工智能领域的安全问题被表面的繁荣掩盖了,对于系统漏洞,厂商方面应该主动肩负起更大的责任。GeekPwn秉承着这样的理念应运而生。
24日的GeekPwn2016现场,十几场攻破秀看得人眼花缭乱,又心生忐忑。一个由东南大学与澳门大学师生组成的PhenixCode团队将攻击对象瞄准了生活中并不起眼的智能插座,攻破后,他们竟然让这个智能插座发布了一条微博。这个意想不到的攻击创意让在场嘉宾感到震惊,一位白帽黑客称,黑客技术上的突破是比拼的焦点,但有时能从生活中想到可以攻破的点,更加难得。
既然一个小小的智能插座能成为黑客远程控制用户社交媒体的载体,那黑客就可以通过这个硬件做更多破坏事情。这说明,当人们在朝着智能生活的方向迈进过程中,的确有太多安全漏洞赤裸地呈现在黑客眼前。在黑客的潜在攻击下,物联网、人工智能、智慧城市、智能硬件等这些只要能联网的领域显得黯然失色。拿人工智能举例,不管是AlphaGo还是自动驾驶,都是通过长期对大量数据的机器学习去实现接近人脑的水平。但同步在硅谷演示的攻破秀上,已经有白帽黑客实现了欺骗机器的深度学习。特斯拉创始人马斯克甚至认为,发展人工智能实则是在“召唤恶魔”。机器变得越聪明,安全风险也就越大。
面对智能生活领域潜在的安全风险,作为消费者层面看似只能提高自身的安全意识,比如设置复杂密码并不定期更换,尽量不在公共WiFi环境下使用手机进行资金交易,不连接不熟悉的公共WiFi等,而更应当去自查改进的是软硬件生产厂商。像微软对后台漏洞的长年修复,苹果“悬赏”奖励发现手机漏洞的研究人员等行为,至少表明了厂商对安全的态度。
