你印象中的黑客是不是这样的:

一身全黑、隐姓埋名、技术精湛、擅长破坏犯罪?

而有一档综艺《我是极客》。

将一群具备高超计算机技术、

致力于发现安全缺陷、

为大众信息安全保驾护航的白帽子极客邀请到了聚光灯下

这档综艺正在腾讯视频、爱奇艺、小米视频上线播出中。

国内20组优秀的安全极客向观众展示着他们的工作和生活日常。

现场还邀请到TK、大牛蛙两位大咖作为嘉宾,这两人在安全圈人眼里也算是节目一大看点了

TK是现任腾讯安全玄武实验室负责人,安全圈尊称他为“妇科圣手”。这位学医出身的国内顶尖白帽黑客,上能给奥运会信息网络安全指挥部当技术专家,下能接地气在新浪微博当一名网红科普博主。2014年,他加入了玄武实验室,2016年,发现了微软历史上最大漏洞,并得到十万美金漏洞奖励。

大牛蛙是国内第一代极客,KEEN团队创始人,前微软(中国)安全响应中心ChinaMSRC创始人之一,2014年获上海IT青年十大新锐奖,同年他带领KEEN创办发起全球首个关注智能生活的安全极客(黑客)赛事平台GeekPwn。

再挑几个我印象比较深刻的节目片段,讲讲我为什么安利这个综艺!

检测到前方高能反应,非战斗人员请迅速撤离(手动滑稽)~

《暴走的机器人》

这是一种利用未知缺陷远程劫持智能服务机器人的挑战。

2009房间的客人点餐后,点餐机器人被劫持,

前往了极客所在的房间,点餐内容被替换后,

按原计划返回了客人所在的2009房间。

弹幕上瞬间炸了锅:

弹幕上瞬间炸了锅:

太危险了!好可怕!

弹怎么办?

这项技术应用起来,威胁可就大了!

可应用于威胁重要人物的生命安全、

运动员兴奋剂检测、

投递监控设备等等,

想想就觉得毛骨悚然。

更可怕的是,参赛选手告诉我们可以从全球任何一个角落发起攻击!

并且得到了TK教主的认可!

更吸引人的是,这档节目没有预先排练,

出现的临时状况都是靠选手现场灵机应变解决

通过计算机植入恶意代码失败后,

Geek经过紧张的思考,

决定用手机做中继设备,重新连接机器人。

本以为接下来可以看到他们顺利完成挑战,

可是没想到,再次遇到突发情况。

这个波折就很真实(手动狗头)

最终,选手们紧急排错,成功完成了挑战!

从技术层面来说,他们使用了手机作为中介、通过无线AP向送餐机器人注入恶意代码,从而获取最高的后台管理权限,并使用提前编写好的脚本,随意控制送餐机器人的走向,复现难度不是特别高,但对社会带来的危害可能非常大,例如用于定点清除目标人物。

《眼镜易容术》

一种利用AI对抗技术欺骗名人识别系统的挑战。

选手须佩戴自制的眼镜。

使名人识别服务把选手误判为主办方指定的名人

从而顺利通过验证。

可能会有人质疑:

是不是识别系统太好通过了?

我也能打印个眼镜出来试一试!

于是,嘉宾们分别尝试了:

完整脸部照片

玩偶替代人像

潘晓婷佩戴王昱珩的伪装眼镜

王昱珩佩戴潘晓婷的伪装眼镜

结果如何呢?在这里先卖个关子,读者可以自行观看《我是极客》,求证你心中的答案。

个人觉得这个项目并不是随便打印一张照片就可以通过人脸识别,参赛选手戴上眼镜后也是反复“摇头晃脑”般在摄像头前测试。

能否通过人脸验证,还是与动态处理算法、光照识别算法等等有关,针对算法进行突破,才有可能实现这个技术,难度是比较高的,如果被不法分子利用,可能造成大众的财产损失。

《被挟持的胰岛素》

一项通过控制胰岛素泵,来突破胰岛素泵原有注射设置的挑战。

胰岛素泵由控制器和泵体两部分构成并通过蓝牙连接,

选手通过破坏胰岛素泵体的原有注射设置,

加大胰岛素注射量,

使控制器并不会发出警报,

在没有报警情况下加大胰岛素注射量。

看到这里,后背有没有发凉?

如果这项未知缺陷被恶意利用,

将会对人的生命造成直接威胁!

可能很多人不理解到底多大危害,可以看一看上面这段评论:

“一次性注射完会出现严重低血糖危及生命”

“人没了就”

“打上这么多人就死了”

紧接着,我们看一组数据:

我国的糖尿病总人口已经超过1.1亿人,

占人口总数的10.9%,

也就是说,每10个人里,至少有1人患有糖尿病。

而全球每年约有460万人死于糖尿病,

平均每7秒钟就有1人因糖尿病离世。

水哥说了一段让人印象无比深刻的话:

这个挑战让我感觉到了,

这个节目存在的,

价值和意义。

我希望这个节目,

能被更多的人,更多的厂家看到,

能够改变他们的傲慢,

能够改变我们对极客的一些偏见。

大牛蛙也表示:

安全问题并非因为极客才存在,

恰恰是被极客发现才被消灭!

作为相关从业人员,

看到这里,

我深受鼓舞,

我也深信,

在舞台上活跃的极客一定会越来越多!

给我们大众的安全带来更强的信心和更足的底气!

《变身的耳机》

一种利用未知缺陷改造蓝牙耳机实现远程定位的挑战

选手通过无接触式技术手段,

现场改造蓝牙耳机:

通过植入代码远程实时获取目标人员的行动轨迹。

在生活中,蓝牙耳机是大多数人的日常用品,如果被修改成了追踪、定位的设备,便会加大了个人隐私暴露的风险,严重甚至危害个人生命安全。

按照传统思路,往往是设备中存在GPS定位设备

导致被远程定位,

但这一次,选手们突破了这个限制,

挑战的蓝牙耳机中没有这个模块:

选手先是远程向蓝牙耳机中注入了恶意代码:

随后工作人员佩戴远程刷机完成的蓝牙耳机开车外出:

到达地点后,工作与选手定位进行匹配确认:

人员定位

经裁判确认,选手挑战成功。

这个项目的选手可能是发现并利用了蓝牙固件版本的漏洞,通过连接蓝牙耳机,对耳机进行刷机操作,实现了越权,赋予蓝牙耳机获得手机定位功能的权限,从而实现实时定位。牙耳机获得手机定位功能的权限,从而实现实时定位。

试想,如果蓝牙耳机如果被修改成了追踪、定位的设备,

便会加大了隐私暴露风险,威胁生命安全。

如:

蓝牙耳机被当成了追踪、报复的工具?

女生被变态定位、追踪?

看了这个综艺,我觉得站上舞台的极客们和以前白帽子的日常形成了鲜明对比:

前者在大众面前公开展示涉及个人隐私、生命财产安全的未知缺陷,现场演示挑战项目。

后者挖个SRC,还要挂几层代理、准备干净的虚拟机和VPS,做好个人指纹特征的清理,稍微深入一点都有触碰法律的风险。

真是不禁感叹:大人,时代变了!

越来越多的极客在这站上舞台,正大光明出现在大众视野里

早期的极客们,经历了极为艰难时期,兴趣爱好无法成为正经工作,发现缺陷的行为被厂商视作“找茬、收保护费”。

“你是谁?”

“谁指使你来的?”

“你有什么目的?”

更有甚者,极客们被厂商一纸状书告上法庭,遭受牢狱之灾。

很长一段时间,“极客”被大众与“黑灰产、犯罪”紧紧联系在一起。

早期的极客们,大都转行谋生、黯然离场。

直到今天,极客们逐渐有机会站上舞台,站到聚光下。

正大光明地展示厂商产品的未知安全缺陷。

大众对极客行为的态度有了明显改变,

意识到“安全问题并非因为极客而产生,而是因为被极客发现才被消灭”,

从而认可白帽极客为大众安全所做出的贡献。

这个节目是相当有价值的,在瞠目结舌的震惊褪去后,我们还能品味到的,是白帽极客正式走上大众舞台,先苦后甜的滋味儿。