你对黑客的印象是这样的:
全黑,隐姓埋名,技术高超,擅长破坏犯罪?
还有一个品种《我是极客》。
会拥有一批高超的计算机技术,
致力于发现安全缺陷,
为公共信息安全保驾护航的白帽极客被邀请到聚光灯下。
这个综艺节目正在腾讯视频、爱奇艺视频、小米视频播出。
20位中国优秀安全极客向观众展示日常生活和工作。
现场邀请了TK和大牛蛙两大咖啡作为嘉宾。这两人也被视为安全圈的一大看点。
TK现任腾讯安全宣武实验室负责人,被安全圈誉为“妇科圣手”。这个在国内学医的高顶白帽黑客,可以是奥运会信息网络安全指挥部的技术专家,可以是新浪微博网络名人中的科普博主。2014年加入玄武实验室,2016年发现微软历史上最大的漏洞,获得10万美元的漏洞奖励。
大牛蛙是中国第一代极客,是KEEN团队的创始人,也是前微软(中国)安全响应中心ChinaMSRC的创始人之一。2014年获上海市十大青年IT大奖。同年,他带领KEEN成立了GeekPwn,这是全球首个专注于智能生活的安全geek(黑客)竞赛平台。
挑几个印象比较深刻的节目片段,说说安利为什么是综艺!
前方探测到高能反应,请迅速撤离非战斗人员(手动滑稽)~
《暴走的机器人》
这是一个利用未知缺陷远程劫持智能服务机器人的挑战。
2009房间客人点餐后,点餐机器人被劫持。
去了极客的房间,点菜后被换了,
按照原计划,我回到了2009年的客房。
弹幕上瞬间炸了锅:
太危险了!可怕!
中毒怎么办?炸弹呢?
应用这项技术,威胁会很大!
可以用来威胁重要人物的生命安全,
运动员兴奋剂检测,
交货监控设备等。
想到这件事我就毛骨悚然。
更可怕的是,选手们告诉我们,我们可以从世界的任何一个角落发起攻击!
并得到了TK领导的认可!
更吸引人的是,这档节目没有预先排练,
出现的临时状况都是靠选手现场灵机应变解决
通过计算机植入恶意代码失败后,
Geek经过紧张的思考,
决定用手机做中继设备,重新连接机器人。
本以为接下来可以看到他们顺利完成挑战,
可是没想到,再次遇到突发情况。
这个波折就很真实(手动狗头)
最终,选手们紧急排错,成功完成了挑战!
从技术层面来说,他们使用了手机作为中介、通过无线AP向送餐机器人注入恶意代码,从而获取最高的后台管理权限,并使用提前编写好的脚本,随意控制送餐机器人的走向,复现难度不是特别高,但对社会带来的危害可能非常大,例如用于定点清除目标人物。
《眼镜易容术》
一种利用AI对抗技术欺骗名人识别系统的挑战。
选手须佩戴自制的眼镜。
使名人识别服务把选手误判为主办方指定的名人
从而顺利通过验证。
可能会有人质疑:
是不是识别系统太好通过了?
我也能打印个眼镜出来试一试!
于是,嘉宾们分别尝试了:
完整脸部照片
玩偶替代人像
潘晓婷佩戴王昱珩的伪装眼镜
王昱珩佩戴潘晓婷的伪装眼镜
结果如何呢?在这里先卖个关子,读者可以自行观看《我是极客》,求证你心中的答案。
个人觉得这个项目并不是随便打印一张照片就可以通过人脸识别,参赛选手戴上眼镜后也是反复“摇头晃脑”般在摄像头前测试。
能否通过人脸验证,还是与动态处理算法、光照识别算法等等有关,针对算法进行突破,才有可能实现这个技术,难度是比较高的,如果被不法分子利用,可能造成大众的财产损失。
《被挟持的胰岛素》
一项通过控制胰岛素泵,来突破胰岛素泵原有注射设置的挑战。
胰岛素泵由控制器和泵体两部分构成并通过蓝牙连接,
选手通过破坏胰岛素泵体的原有注射设置,
加大胰岛素注射量,
使控制器并不会发出警报,
在没有报警情况下加大胰岛素注射量。
看到这里,后背有没有发凉?
如果这项未知缺陷被恶意利用,
将会对人的生命造成直接威胁!
可能很多人不理解到底多大危害,可以看一看上面这段评论:
“一次性注射完会出现严重低血糖危及生命”
“人没了就”
“打上这么多人就死了”
紧接着,我们看一组数据:
我国的糖尿病总人口已经超过1.1亿人,
占人口总数的10.9%,
也就是说,每10个人里,至少有1人患有糖尿病。
而全球每年约有460万人死于糖尿病,
平均每7秒钟就有1人因糖尿病离世。
水哥说了一段让人印象无比深刻的话:
这个挑战让我感觉到了,
这个节目存在的,
价值和意义。
我希望这个节目,
能被更多的人,更多的厂家看到,
能够改变他们的傲慢,
能够改变我们对极客的一些偏见。
大牛蛙也表示:
安全问题并非因为极客才存在,
恰恰是被极客发现才被消灭!
作为相关从业人员,
看到这里,
我深受鼓舞,
我也深信,
在舞台上活跃的极客一定会越来越多!
给我们大众的安全带来更强的信心和更足的底气!
《变身的耳机》
一种利用未知缺陷改造蓝牙耳机实现远程定位的挑战
选手通过无接触式技术手段,
现场改造蓝牙耳机:
通过植入代码远程实时获取目标人员的行动轨迹。
在生活中,蓝牙耳机是大多数人的日常用品,如果被修改成了追踪、定位的设备,便会加大了个人隐私暴露的风险,严重甚至危害个人生命安全。
按照传统思路,往往是设备中存在GPS定位设备
导致被远程定位,
但这一次,选手们突破了这个限制,
挑战的蓝牙耳机中没有这个模块:
选手先是远程向蓝牙耳机中注入了恶意代码:
随后工作人员佩戴远程刷机完成的蓝牙耳机开车外出:
到达地点后,工作人员定位与选手定位进行匹配确认:
经裁判确认,选手挑战成功。
这个项目的选手可能是发现并利用了蓝牙固件版本的漏洞,通过连接蓝牙耳机,对耳机进行刷机操作,实现了越权,赋予蓝牙耳机获得手机定位功能的权限,从而实现实时定位。
试想,如果蓝牙耳机如果被修改成了追踪、定位的设备,
便会加大了隐私暴露风险,威胁生命安全。
如:
蓝牙耳机被当成了追踪、报复的工具?
女生被变态定位、追踪?
……
看了这个综艺,我觉得站上舞台的极客们和以前白帽子的日常形成了鲜明对比:
前者在大众面前公开展示涉及个人隐私、生命财产安全的未知缺陷,现场演示挑战项目。
后者挖个SRC,还要挂几层代理、准备干净的虚拟机和VPS,做好个人指纹特征的清理,稍微深入一点都有触碰法律的风险。
真是不禁感叹:大人,时代变了!
越来越多的极客在这站上舞台,正大光明出现在大众视野里
早期的极客们,经历了极为艰难时期,兴趣爱好无法成为正经工作,发现缺陷的行为被厂商视作“找茬、收保护费”。
“你是谁?”
“谁指使你来的?”
“你有什么目的?”
更有甚者,极客们被厂商一纸状书告上法庭,遭受牢狱之灾。
很长一段时间,“极客”被大众与“黑灰产、犯罪”紧紧联系在一起。
早期的极客们,大都转行谋生、黯然离场。
直到今天,极客们逐渐有机会站上舞台,站到聚光下。
正大光明地展示厂商产品的未知安全缺陷。
大众对极客行为的态度有了明显改变,
意识到“安全问题并非因为极客而产生,而是因为被极客发现才被消灭”,
从而认可白帽极客为大众安全所做出的贡献。
这个节目是相当有价值的,在瞠目结舌的震惊褪去后,我们还能品味到的,是白帽极客正式走上大众舞台,先苦后甜的滋味儿。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/42861.html