你印象中的黑客是不是这样的:
一身全黑、隐姓埋名、技术精湛、擅长破坏犯罪?
而有一档综艺《我是极客》。
将一群具备高超计算机技术、
致力于发现安全缺陷、
为大众信息安全保驾护航的白帽子极客邀请到了聚光灯下
这档综艺正在腾讯视频、爱奇艺、小米视频上线播出中。
国内20组优秀的安全极客向观众展示着他们的工作和生活日常。
现场还邀请到TK、大牛蛙两位大咖作为嘉宾,这两人在安全圈人眼里也算是节目一大看点了
TK是现任腾讯安全玄武实验室负责人,安全圈尊称他为“妇科圣手”。这位学医出身的国内顶尖白帽黑客,上能给奥运会信息网络安全指挥部当技术专家,下能接地气在新浪微博当一名网红科普博主。2014年,他加入了玄武实验室,2016年,发现了微软历史上最大漏洞,并得到十万美金漏洞奖励。
大牛蛙是国内第一代极客,KEEN团队创始人,前微软(中国)安全响应中心ChinaMSRC创始人之一,2014年获上海IT青年十大新锐奖,同年他带领KEEN创办发起全球首个关注智能生活的安全极客(黑客)赛事平台GeekPwn。
再挑几个我印象比较深刻的节目片段,讲讲我为什么安利这个综艺!
检测到前方高能反应,非战斗人员请迅速撤离(手动滑稽)~
《暴走的机器人》
这是一种利用未知缺陷远程劫持智能服务机器人的挑战。
2009房间的客人点餐后,点餐机器人被劫持,
前往了极客所在的房间,点餐内容被替换后,
按原计划返回了客人所在的2009房间。
弹幕上瞬间炸了锅:
弹幕上瞬间炸了锅:
太危险了!好可怕!
弹怎么办?
这项技术应用起来,威胁可就大了!
可应用于威胁重要人物的生命安全、
运动员兴奋剂检测、
投递监控设备等等,
想想就觉得毛骨悚然。
更可怕的是,参赛选手告诉我们可以从全球任何一个角落发起攻击!
并且得到了TK教主的认可!
更吸引人的是,这档节目没有预先排练,
出现的临时状况都是靠选手现场灵机应变解决
通过计算机植入恶意代码失败后,
Geek经过紧张的思考,
决定用手机做中继设备,重新连接机器人。
本以为接下来可以看到他们顺利完成挑战,
可是没想到,再次遇到突发情况。
这个波折就很真实(手动狗头)
最终,选手们紧急排错,成功完成了挑战!
从技术层面来说,他们使用了手机作为中介、通过无线AP向送餐机器人注入恶意代码,从而获取最高的后台管理权限,并使用提前编写好的脚本,随意控制送餐机器人的走向,复现难度不是特别高,但对社会带来的危害可能非常大,例如用于定点清除目标人物。
《眼镜易容术》
一种利用AI对抗技术欺骗名人识别系统的挑战。
选手须佩戴自制的眼镜。
使名人识别服务把选手误判为主办方指定的名人
从而顺利通过验证。
可能会有人质疑:
是不是识别系统太好通过了?
我也能打印个眼镜出来试一试!
于是,嘉宾们分别尝试了:
完整脸部照片
玩偶替代人像
潘晓婷佩戴王昱珩的伪装眼镜
王昱珩佩戴潘晓婷的伪装眼镜
结果如何呢?在这里先卖个关子,读者可以自行观看《我是极客》,求证你心中的答案。
个人觉得这个项目并不是随便打印一张照片就可以通过人脸识别,参赛选手戴上眼镜后也是反复“摇头晃脑”般在摄像头前测试。
能否通过人脸验证,还是与动态处理算法、光照识别算法等等有关,针对算法进行突破,才有可能实现这个技术,难度是比较高的,如果被不法分子利用,可能造成大众的财产损失。
《被挟持的胰岛素》
一项通过控制胰岛素泵,来突破胰岛素泵原有注射设置的挑战。
胰岛素泵由控制器和泵体两部分构成并通过蓝牙连接,
选手通过破坏胰岛素泵体的原有注射设置,
加大胰岛素注射量,
使控制器并不会发出警报,
在没有报警情况下加大胰岛素注射量。
看到这里,后背有没有发凉?
如果这项未知缺陷被恶意利用,
将会对人的生命造成直接威胁!
可能很多人不理解到底多大危害,可以看一看上面这段评论:
“一次性注射完会出现严重低血糖危及生命”
“人没了就”
“打上这么多人就死了”
紧接着,我们看一组数据:
我国的糖尿病总人口已经超过1.1亿人,
占人口总数的10.9%,
也就是说,每10个人里,至少有1人患有糖尿病。
而全球每年约有460万人死于糖尿病,
平均每7秒钟就有1人因糖尿病离世。
水哥说了一段让人印象无比深刻的话:
这个挑战让我感觉到了,
这个节目存在的,
价值和意义。
我希望这个节目,
能被更多的人,更多的厂家看到,
能够改变他们的傲慢,
能够改变我们对极客的一些偏见。
大牛蛙也表示:
安全问题并非因为极客才存在,
恰恰是被极客发现才被消灭!
作为相关从业人员,
看到这里,
我深受鼓舞,
我也深信,
在舞台上活跃的极客一定会越来越多!
给我们大众的安全带来更强的信心和更足的底气!
《变身的耳机》
一种利用未知缺陷改造蓝牙耳机实现远程定位的挑战
选手通过无接触式技术手段,
现场改造蓝牙耳机:
通过植入代码远程实时获取目标人员的行动轨迹。
在生活中,蓝牙耳机是大多数人的日常用品,如果被修改成了追踪、定位的设备,便会加大了个人隐私暴露的风险,严重甚至危害个人生命安全。
按照传统思路,往往是设备中存在GPS定位设备
导致被远程定位,
但这一次,选手们突破了这个限制,
挑战的蓝牙耳机中没有这个模块:
选手先是远程向蓝牙耳机中注入了恶意代码:
随后工作人员佩戴远程刷机完成的蓝牙耳机开车外出:
到达地点后,工作与选手定位进行匹配确认:
人员定位
经裁判确认,选手挑战成功。
这个项目的选手可能是发现并利用了蓝牙固件版本的漏洞,通过连接蓝牙耳机,对耳机进行刷机操作,实现了越权,赋予蓝牙耳机获得手机定位功能的权限,从而实现实时定位。牙耳机获得手机定位功能的权限,从而实现实时定位。
试想,如果蓝牙耳机如果被修改成了追踪、定位的设备,
便会加大了隐私暴露风险,威胁生命安全。
如:
蓝牙耳机被当成了追踪、报复的工具?
女生被变态定位、追踪?
看了这个综艺,我觉得站上舞台的极客们和以前白帽子的日常形成了鲜明对比:
前者在大众面前公开展示涉及个人隐私、生命财产安全的未知缺陷,现场演示挑战项目。
后者挖个SRC,还要挂几层代理、准备干净的虚拟机和VPS,做好个人指纹特征的清理,稍微深入一点都有触碰法律的风险。
真是不禁感叹:大人,时代变了!
越来越多的极客在这站上舞台,正大光明出现在大众视野里
早期的极客们,经历了极为艰难时期,兴趣爱好无法成为正经工作,发现缺陷的行为被厂商视作“找茬、收保护费”。
“你是谁?”
“谁指使你来的?”
“你有什么目的?”
更有甚者,极客们被厂商一纸状书告上法庭,遭受牢狱之灾。
很长一段时间,“极客”被大众与“黑灰产、犯罪”紧紧联系在一起。
早期的极客们,大都转行谋生、黯然离场。
直到今天,极客们逐渐有机会站上舞台,站到聚光下。
正大光明地展示厂商产品的未知安全缺陷。
大众对极客行为的态度有了明显改变,
意识到“安全问题并非因为极客而产生,而是因为被极客发现才被消灭”,
从而认可白帽极客为大众安全所做出的贡献。
这个节目是相当有价值的,在瞠目结舌的震惊褪去后,我们还能品味到的,是白帽极客正式走上大众舞台,先苦后甜的滋味儿。
热门跟贴