作者| Cici
编辑| 吴怼怼
一个多世纪以前,马克斯·韦伯的《新教伦理与资本主义精神》成为对工业时代的精神的经典阐述。21世纪,在信息时代的代表人物眼里,黑客精神将反叛旧日的新教伦理,成为新的时代精神。黑客代表一种充满激情和创造力的态度。你即使从未使用过计算机,也可能是一名黑客。
这是曾经的技术神童,现在工作于赫尔辛基大学和美国加利福尼亚大学伯克利分校的派卡·海曼在其《黑客伦理与信息时代精神》一书中所提出的观点。
为这本书写序且贡献卓著的另外两个人鼎鼎大名,一位是李纳斯·托沃兹,计算机行业内最受尊敬的黑客之一,Linux操作系统的创始人,另一位是《信息时代》的作者曼纽尔·卡斯特斯。
在他们看来,最初的黑客精神,行为主要不是由金钱,而是创造一个同行社区认为有价值的事物的欲望所激发的。对新教工作伦理而言,工作被看成一种必须做而必须做的义务。
但在黑客精神中,你必须去关怀,你必须去玩,你必须心甘情愿去探索。对黑客而言,计算机不是赚钱的工具,计算机本身是一种热爱,一种社交,计算机就是创造力,就是世界的窗户。
我们已经见证了众多探路的黑客用计算机改变世界,我们也在众多科幻小说和影视作品里看到黑客的身影。而实际上,黑客并没有那么遥远,黑客就在我们身边。
GeekPwn(国际安全极客大赛)就是那个承载黑客精神的「社区」之一。如果你去过一次GeekPwn现场,就可以体会到极客群体对于技术疯狂的热爱,以及极客群体在背后默默做的事情,其实深切影响了我们的生活以及社会的进程。
01
1024只属于极客
互联网从业者们对数字极为敏感,一些和数字有关的节日和「梗」随着这几年国内互联网的蓬勃发展已经深入人心。在10月24日民间程序员节这天,GeekPwn 国际安全极客大赛在上海迎来五周年第十届。
早晨9点不到,已经有非常多的观众结伴组队而来,还有不少人拖着行李箱赶来。如果你是一个非互联网技术从业者,一定会很好奇,一个名字听起来「不明觉厉」的安全攻防大赛为什么有这样大的吸引力?
自第一届起,GeekPwn就开始发现培养安全人才,已经向安全圈输出了大批安全技术骨干力量,而赛事本身也在不断求新求变,在消费电子、智能家电、机器人、AI、大数据等领域都有卓越的安全贡献。
在过去GeekPwn的舞台上,参赛选手和场下观众几乎是全程处于亢奋状态,因为他们在这里见证最新的iOS系统被破解,第一次特斯拉被破解,第一次POS机被盗刷等等的「第一次」。
这些是每届极客大赛的高光,但大牛蛙(GeekPwn发起人)却说,今年的极客大赛有些不一样。
2018年,极客大赛提出将时间背景放在2049,讨论当奇点来临,人类被失控的人工智能控制后如何应对。黑客可能是拯救人类的最后机会。今年,比赛变了,不变的是黑客使命和精神的延续。大牛蛙说,「我们承认数字化世界带给我们的美好,也承认数字化世界带给我们的不美好。」在当下,我们是否能够通过消灭现实当中的不完美,来实现完美的未来,一个安全的未来?
即便你是一个不懂技术更不懂安全的普通用户,也能在在这里找到了非常多自己正在关心的议题。无论是主会场的不同主题的现场安全比赛,还是华为200万重金求漏洞、腾讯云拿出150万奖金池给安全研究者,抑或是外部展台各个厂商提供几十万元奖金支持参会者找出技术漏洞,它们都与现实生活的安全息息相关。
都说极客是孤独的,是喜欢宅着的,那可能是我们的误读。今年的极客大赛充满社交属性和属于程序员的萌点,比如带着闪着不同颜色灯的胸牌的参会者,就踊跃在现场进行交互点亮。都说互联网从业者不善社交,但他们为了集齐颜色「召唤神龙」,一点都不羞涩。
与他们的交谈也进一步解答了我的疑问,这个大赛的吸引力在哪里?
有两位男生正是从厦门远道而来,工作都与安全相关。他们提到主会场第一个现场比赛,即图像对抗样本挑战赛,也就是利用对图片的修改欺骗人工智能。让AI犯错,这也是GeekPwn的传统项目。人工智能对图片的辨别机制与我们大脑并不相同,在评委的解释下,可以理解成这是一场基于数字、夹角、距离和坐标的欺骗「游戏」。
当然,实际操作并没有那么简单。多个战队成功利用图片对抗样本针对图像分类器发起攻击,最后,TSAIL战队在第三关「人脸识别攻击」中用图片成功欺骗Clarifai人脸识别系统,让AI将黄健翔识别成了「美国第一千金「伊万卡」,并最终以229.77分的累计得分,成功拿到GeekPwn2019 CAAD CTF图像对抗样本攻防赛的第一名。
02
解决问题的侠客或社会的瞭望者
如果平时关注新闻、隐私以及安全,一定不会错过几天前的一条新闻:一名科技博主利用专业设备,在一间布满80多个针孔摄像头的房间挑战反偷拍,但还是没能找到其中的大多数。
这场挑战的发起者正是GeekPwn。
关于反偷拍,不由让我想到去年夏天的经历。当我抵达台北进入捷运站后,第一件惊讶的事是竟然不用安检,第二件事则是站内的公厕几乎都贴着标语:已进行反偷拍检测。
后来我回来查了一次,发现大概是这样的机制:每月至少一次例行反针孔摄像侦测,另外还有每月1-2次不定期侦测。
但这个频率以及技术层面已经在韩国被证实并不够用。2012年-2017年,韩国偷拍案件从2400起上升到6470起。50名政府员工需要负责检查首尔的超过2万间公厕,检查结果却都显示2016和2017两年内没有发现任何偷拍摄像头。
在极客大赛现场,关于反偷拍也有一场比赛。在25平米的场地中,一共有近二十个摄像头,这些摄像头被GeekPwn重新设计,提升勘测难度,组委会甚至“变态”到用若干智能设备和降温系统来迷惑选手。
在之前,普通用户以及科技博主都以物理方法为主:观察房间内可疑物品、借助辅助设备进行确认。但在现场难度却被大大提升,所有物品都被布帘覆盖,选手无法通过肉眼判断摄像头是否存在,需要成为靠技术说话的硬核「闭眼玩家」。
识别尽可能多,而且不允许识别错误,在评委看来,很难达到一种平衡,有的团队技术很好准确率很高,但是识别出的数量太少。最终,所有参赛选手均没有达到比赛要求的最低得分,没有团队获奖。
尽管本年度的挑战以失败告终,看起来目前没没有最好的解决方案,但这却提醒了我们问题存在的严重性。偷拍产业链逐渐浮出水面,已成为社会之痛。暴露问题引起关注,未尝不是吸引更多安全从业者在未来投入技术解决问题的好方法。
另一件事有关假新闻。
关于假新闻的产生机制其实主要有两种。一种是对关键事实的篡改,这主要由媒体、记者承担责任。另一种是因为技术漏洞,网站被攻击或是账号被盗产生了黑客想要大家看到的假新闻。
现场一支韩国团队向我们展示了这种方式。如果描述这个过程,那就是写代码只花1分钟,翻译沟通确认花了3分钟,一条黄健翔整容的新闻就出现在了网站上。
主持人黄健翔问了一个我很想知道的问题:作为小白,如何知道我们家里的设备被黑?
评委陈良现场回答说,如果这个设备真的是被攻破或者是通过一些高级的手段做一些隐匿的植入一些「后门」,你完全没有办法察觉到它存在。也就是说,厂商此时肩负更大责任,应该更加积极的响应这些问题修补技术漏洞,作为用户一定要勤于更新,规避一些风险。
另一个层面,这也是极客精神的体现。安全永远是相对的,极客们有时候是一个侠客,可以出手解决问题;有时候又像是社会这艘航船上的瞭望者,及时发现暗礁与岛屿。
03
有时是一个人的打怪升级
更多是一群人的协作互助
1984年,伯瑞尔·史密斯在第一届世界黑客大会上说,任何职业者都可以是黑客,你可以是个木匠黑客;它与高科技无关,只要你无比关心你手中的产品就表明你是个成功的黑客。
黑客本身就是超脱于工作本身存在的。记得去年,腾讯安全玄武实验室首次披露了在安卓手机中普遍应用的屏下指纹技术的严重漏洞——「残迹重用」漏洞。这一漏洞源头并非手机厂商,而是屏下指纹芯片厂商,属于屏下指纹技术设计层面的问题。利用该漏洞,攻击者只需一秒钟就可解锁手机。
玄武实验室的掌门「TK 教主」于旸就是业内知名的白帽子。他曾在2016 年发现了微软历史上影响最广泛的漏洞。现在他不是一个人战斗,而是领衔了了一个「门派」——被称为 「漏洞挖掘机」的玄武实验室。这个实验室的安全员马彬和陈昱曾搭档发现了iPhone 的Face ID技术漏洞。
今年,陈昱又在GeekPwn 2019攻破了超声波屏下指纹识别技术,这也是国际首次。整个过程是惊险刺激且直白的,在观众接触过一个玻璃水杯后,陈昱先是拿出手机拍摄观众留存在水杯上的指纹,随后在手机上调试之后「克隆」了一个全新的指纹,利用这个「新指纹」通过了该观众提前录好指纹的3台手机和2台考勤机的指纹识别,一共破解了使用电容、光学和超声波三种技术类型的指纹验证设备。
对于TK、陈昱、马彬这样的极客来说,挖掘漏洞是一个打怪升级的过程。而修复漏洞,其实是多方联合协作的过程。关于GeekPwn,有一条很重要,选手在现场展示的攻克漏洞,会在第一时间内告知厂家。这意味着大赛除了用技术解决现实问题之外的最大优势,它是合法、安全且全面的。
比如去年在展示「残迹重用」漏洞之前,安全玄武实验室就已经通过和手机厂商及上游芯片供应链的协作联动,修复了这个漏洞。今年的指纹识别问题,玄武实验室也已与多家指纹验证设备提供商进行沟通,推动解决。
除了面部和识别方面的安全与我们的实际生活日益密切,云安全也是一个绕不开的话题。此前Facebook大面积的用户隐私泄露,引发了世界范围内的恐慌。
当云成为重要的基础设施,成为万物的底层后,其安全的重要性不言而喻。
在GeekPwn 2019,就有全世界首个基于真实通用云环境的安全挑战赛。《网络安全法》实施后,对于白帽子来说,限制更加严格。白帽子修复网络漏洞的前提,是发现网络漏洞,而对自身发掘漏洞行为是否合法,如何合法地继续展开漏洞挖掘工作,是白帽子面临的一个重要问题。
为了促成此次比赛顺利进行,腾讯安全云鼎团队联合GeekPwn团队设计了几十套方案,三个多月封闭作战,甚至投入几百万费用去搭建一个真实的、适用于选手比赛的云上环境,并且完全复现主流云平台的架构、技术和系统软硬件环境。
在云安全挑战赛现场,前期100多支报名队伍中选出来的6支队伍发起了11750次攻击,最好的成绩是攻克到16道有效赛题中的第9道,最终未能有战队突破最后一个级别的挑战。
这个结果其实在云鼎实验室的预料之中。云计算技术复杂、体系庞大,网络安全研究人员自己想广泛深入研究较为困难。这也就是为什么云鼎实验室要联合GeekPwn搭建这样一个比赛平台,这样做不仅为研究人员提供了一个真实环境的平台,同时因为覆盖环节全面,更有利于研究人员的实践。
中国信通院发布的《云计算发展白皮书(2019)》谈到,目前,我国云安全产品不断丰富,促进了云用户安全防护水平的极大提升。一方面,云计算厂商在强化自身安全能力的同时,纷纷将自身安全能力产品化输出;另一方面,安全厂商积极布局云计算安全解决方案,将积累的丰富安全经验适配于云环境。
事实上,腾讯、华为、小米等厂商就是这么做的。为应对产业互联网环境下的安全问题,腾讯安全协同腾讯云,共同构建了「一个基础底座,两个安全中台,攻防两面一体」的核心安全能力,为产业打造更安全的云环境。可以看到,白帽黑客不再是孤军奋战,他们越来越重视协作,为企业和硬件的安全性做更多的努力。
正如GeekPwn创始人大牛蛙所言,每个顶级的黑客都是艺术家,他们享受那种破解的成就感。对于黑客白帽而言,他们曾经是数字时代的冒险家与探险者,是依靠个人创造力为社会解决问题的斗士和侠客。如今,他们依靠全产业的协作和守望相助,成为数字经济时代的建筑师。
吴怼怼,虎嗅、36氪、钛媒体、澎湃等专栏作者,前澎湃新闻记者,人人都是产品经理2017年度作者,新榜2018年度商业观察者。