白帽子新烦恼:斗黑客斗厂商

 中国邮箱网  1条评论  1991次浏览  2014年11月03日 星期一 14:40

分享到: 更多
中国邮箱网讯 11月3日消息,“GeekPWN!”“GeekPWN!”“GeekPWN” ……舞台中央,被悬挂在GeekPWN字形架子上的70多部智能手机被观众逐一攻破,最终,所有手机的开机画面都被定格在统一的繁星LOGO(“GeekPWN”大赛标识)时,场内外所有人都欢腾了。

10月24日,北京,神秘的“白帽子”黑客第一次以“极客嘉年华”的方式出现在公众面前。作为黑客中的正面人物,“白帽子”借攻破各种漏洞的方式提醒企业对安全设防,就在本次“极客嘉年华”中,除了70多部智能手机外,特斯拉、360儿童智能手环、极路由等等耳熟能详的智能产品都被极客们一一攻破。

然而,这场原本充满惊喜的大赛,却遭遇前所未有的阻力,比赛接二连三因故推迟。在这背后,一场脱离竞技的“博弈”悄然上演,展示了一场真实的“黑客”“漏洞”“生产者”三者间黑与白的“利益较量”。

地下黑客想借机揩油 白帽子现场展开“黑白对决”

开场秀上,70多部智能手机被悬挂在舞台中央,主办方邀请7名菜鸟级观众上台,谁能第一个攻破漏洞,更换智能手机的开机画面,谁就能赢走手机。而观众要做的是找到主办方预设的“攻破入口”。不到5分钟,一位年轻的男生举手示意成功,此时,他面前的智能手机开机画面已顺利地显示为本场比赛的标识“GeekPWN”,然后是第二部、第三部……十五分钟后,悬挂着的70部智能手机集体亮起“GeekPWN” 和象征探秘的行星,当星星颗颗亮起时,就像是白帽子们在用常人难以理解的攻破技巧完成一场华丽“恶作剧”。

根据维基百科,GeekPWN 中的“PWN”属黑客语法用词,意指网络游戏中始终是“胜利者”的玩家,而在网络游戏文化中,这个词常用来嘲笑被完全击败的竞争对手,“PWNED”则意指被攻破。

而在这场大赛中,除了选手,想要角逐“PWN”这一称号的,似乎更多是来自比赛外的“特邀选手”。

在第一天的比赛现场,就有人发起了挑战。比赛开始后,当第一个挑战项目Google Nest被成功攻破后,第二个挑战项目——对智能路由器的攻破进行到一半便无法继续。比赛被迫中断,主办方给出的解释是Wi-Fi 不稳定,这样的停滞持续了几个小时,部分参赛选手被告知当天无法继续比赛。主办方只能临时调整参赛项目顺序,提前安排对Wi-Fi信号依赖更低的挑战项目。

一场极客比赛陷入“混乱”,而台下的观众并不清楚究竟发生了什么。最后,主办方承认,现场有一群隐蔽的黑客“在用特殊的方式加入这场竞技赛。”裁判长确认在现场发现了多条匿名Wi-Fi信道在干扰,以至于比赛用Wi-Fi信号无法正常工作。“我可以保证这绝不是主办方刻意安排!”裁判团主席于旸,人称TK教主,在现场无奈开起玩笑,“我们很意外,能看到这样一场真实的白帽子与黑客之间的攻守对决。”

据《IT时报》记者了解,主办方所使用的网络是在酒店局域网内自行搭建起来的,在此前没有发现任何问题,但选手上场之后,网络便出现了干扰。

“应该是有人使用公开的openbts-umts技术制造3G假基站,强制干扰通讯。”评委团中从事Wi-Fi攻破研究的营先生向记者透露,他明显感到手机信号被迫降至2G,“我上午9点进入主会场后,就发现手机信号明显变化,整个3G信号都没了,但走出会场又很快恢复。”

但直到比赛结束,主办方依然没能就Wi-Fi干扰事件给出明确答复。在业内人士看来,这样的攻击很有可能来自一群“地下黑客”,目的是利益窃取。“很多人会拿着现成的设备来搞监听、偷取资料。”在这位人士看来,白帽子们苦心研究用来提高安全防御能力的攻破代码,在黑客看来却是换取高额利润的“利器”,因此,这样一场大赛能吸引一群地下黑客的参与,并不让人意外。

360怕被攻破关闭服务器 谷歌欣然接受极客建议

10月25日上午,选手挑战360儿童安全手环准点进行。1个小时后,挑战选手顺利完成了其中两项挑战——通过技术手段远程截取手环上的地址信息,获得孩子的出行轨迹以及实时位置信息,以及远程将父母的手机App下线,封锁孩子可能发出的求救信息。

然而,后两项挑战却因为“环境问题”而无法继续完成。比赛现场,主办方并未具体点明究竟是什么“环境问题”,但从微博上或许能找到答案。作为被攻破的对象,360儿童卫士在25日上午11点通过微博发表声明,称这是主办方的恶意炒作,是腾讯雇佣黑客打手在蓄意抹黑360儿童卫士手环,“这样的攻破是虚假行为。”作为抗议,360方面关闭了部分远程功能,“演示问题所需要的云端功能神奇地不见了。”有人在现场发微博称。

当天,在360儿童卫士手环的论坛上,一批用户集中投诉360儿童卫士手环部分功能无法正常运作。

“这只不过是一个就安全论安全的探讨,360却硬要把与腾讯的恩怨扯进来,很不大气!”主办方与360的交锋不断升级,组委会成员现场发布微博:“最初,对儿童手环项目是否纳入GeekPWN,我持反对意见……现在,他们(360)刚开始闹的时候,我说赶紧把漏洞报了就完了。没想到越来越不像话,那我就不能什么都不说了!”

据了解,在比赛第一天,根据黑客大赛的国际惯例,主办方给360发送了第一个被攻破的360路由器漏洞报告,但360方面拒不承认收到报告。而这种态度,让主办方犹豫是否要继续发送第二份报告。

“厂商来砸场,这在国外黑客大赛中还是很少见的。关键还是国内厂商怕品牌利益受损。”在大赛一位评委看来,这样的干扰让他们很难理解。“在国外,黑客大赛常常能获得厂家的赞助,因为在国际安全观念中,被找到的漏洞越多,产品也就越安全。”事实上,在本场大赛中,在第一个攻破Google nest智能家用路由器的过程中,来自Google安全团队负责人Chris全程观战,最终欣然接受挑战者提出的建议:Nest 存在“未经用户同意获取个人信息”的不安全行为,并同意在未来的产品中预设开关,让更多用户选择是否上传个人信息。

最终,这场“波折”以360方面承认漏洞,并愿意为此支付酬金而告终。但国内厂商为利益隐瞒漏洞的安全观还是值得深思。

赛场花絮 那些被攻破的智能产品们

定名为GeekPWN极客嘉年华的竞技赛,由安全领域内的前锋部队keen team团队主办,获得来自腾讯、华为、联想等巨头企业的赞助,多了大佬光环的“加持”,整场比赛异常热闹,目前炙手可热的一批智能设备也悉数亮相,一一被PWNED(攻破)。

特斯拉? PWNED!

大赛场外的一辆特斯拉格外显眼,而在无人驾驶的情况下,它自动完成了“前轮旋转”的动作,而操控它的正是现场内的一位普通观众。这位观众通过主办方提供的微信账号,“轻松”完成了对特斯拉的破解。

小米盒子? PWNED!

来自香港的两位研究生在现场,对着小米路由器“开膛破肚”,通过物理手段加网络手段,攻破了小米路由器,从而间接完成对小米盒子的攻击。攻击完成后,选手通过电脑就能远程完成对小米盒子的操控,以及信息的读取。

Jawbone Up 24 智能手环?PWNED!

Jawbone Up 24是全球最热门的可穿戴式智能健康手环,选手完成对Jawbone Up24 从硬件到软件的逆向破解和修改,通俗理解是向手环植入后门,攻破后,可远程遥控,指定手环在特定时间发出震动和闪屏。

锤子手机? PWNED!

在智能硬件破解大赛中,锤子手机被成功破解,参赛选手安装了一个普通APK后在没有root的状态下,就可获取其他应用通信的权限,并将敏感信息传到远端服务器上,轻松仿冒任何其他应用。

智能门锁? PWNED!

在选手攻破后,美女顺手扫张二维码后,就能完成从门锁到电脑全部被黑。

文章来源: IT时报(上海)

标签:黑客白帽子厂商

我的评论:

请  后发表评论。

回复 匿名用户  2014年11月03日 星期一 19:45

最开始还以为极路由竟然如此不安全,后来才明白所谓的破解只是物理的接触,谁会傻到拿个路由器给黑客呀,所以这所谓的破解根本就不是真的破解,所以极路由什么的那些产品都还算是安全的,没那么危险。

0条回复