GeekPwn黑客故事：以技術捍衞信念用分享贏得尊重

2015-10-30

這世上充滿着等待被解決的迷人問題，也有那麼一羣執着地發現問題並解決的人，譬如黑客。在剛剛結束的黑客大賽GeekPwn 2015嘉年華上，近40款主流智能軟硬件產品成為黑客攻破的對象，20多個黑客個人或團隊成為GeekPwn2015的獲勝選手，摘得了屬於他們的榮譽。

獲得46萬元大獎的HTTPS系列項目被評為世界級的研究，選手們在舞台上演示了利用SSL互聯網底層協議的未知漏洞在用户不知不覺中查詢餘額和消費記錄等嚴重危害。作為這個項目的選手之一，清華大學網絡與信息安全實驗室的鄭曉峯説，他平時的主要研究方向之一就是HTTPS相關安全，十分高興今年GeekPwn專門為TLS/SSL設立了專場，這次黑客大賽取得的成果很多來自之前長期的研究積累。而在去年GeekPwn嘉年華的舞台上，鄭曉峯就和導師段海新一起展示過HTTPS支付問題。

鄭曉峯認為，SSL/TLS是當前互聯網使用最廣泛的加密協議，可以説是互聯網安全的基石。而選擇了這個研究的方向，就要秉持追求極致的黑客精神，以及用技術捍衞信息安全的信念。

現在國內有很多人對SSL存在這麼一個認識誤區：SSL很安全，受到SSL防護網頁服務器的資料就一定是萬無一失的。事實上無論是協議本身、加密組件實現、以及應用配置部署，都可能存在隱患和漏洞，近年的相關安全事件也證明了的確如此。首先需要增強SSL安全防護的就是金融領域，鄭曉峯打了個比喻：如果門是一扇朽爛的木門，哪怕配上世界上最堅固、安全的鎖，也是沒有意義，是自欺欺人的。

興趣驅動，堅持源於對黑客技術本身的執着

本次活動一次性攻破7款主智能攝像頭、智能路由器、POS機項目的長亭科技也備受關注。在得知今年的GeekPwn嘉年華報名開始的消息後，長亭科技首席安全研究員楊坤便帶領團隊開始準備，花了兩個月的時間發現了包括聯想newifi、達派POS機、多款智能攝像頭的漏洞。

攻破最新Broadlink智能插座與智能音響的謝君是阿里安全研究實驗室的資深安全專家，他和小夥伴們每天的例行公事是對智能設備進行監測，並作出威脅預警與威脅呈報。在參加GeekPwn 2015嘉年華之前，他們曾監測到5000—6000個智能設備的漏洞，而其參賽項目的漏洞只是其中一部分。

雖然每天的工作內容差不多，但是謝君與小夥伴們自得其樂，他認為，做信息安全不像別的行業，興趣驅動很重要，而堅持下去將技術打磨的精細更必要，而這一切都源於自己對技術非同一般的偏執追求。

在北美工作期間，謝君曾純粹出於興趣研究了惠普與富士施樂打印機的漏洞，發現通過這個漏洞可以致使打印機工作癱瘓。他還研究過車聯網的漏洞，發現通過模擬手機請求，可遠程控制50多輛不同型號的奔馳車開關門與音響等設備，甚至通過這個漏洞還可以看到車主的家庭住址、信用卡等信息。

興趣先行，執着堅持。去年GeekPwn嘉年華唯一白帽黑客女選手李萌萌，成功攻破某知名品牌電視盒子，她也是在大學時放棄醫學專業轉而學習計算機，而畢業之後，原本班上女生佔三分之一，現在還在信息安全行業深耕的只有3人，包括她自己，之所以還能堅持下去正是源於她對技術的鐘情。

自由、節制分享並贏得尊重

GeekPwn去年比賽選手：美國中佛羅里達大學安全攻防實驗室教授金意兒認為，所謂黑客，並不僅僅是“Hacker”，而是一羣有理想有擔當的技術人員，他們往往固執於他們的興趣，希望用技術來保護我們的安全和隱私。而今年憑藉智能路由大擂台項目獲得40萬獎金的安全研究員趙澤光同樣認為，黑客精神歸納為三個詞應該是：研究、創新、不做惡。此外，自由、分享亦是黑客精神的體現。

趙澤光告訴記者，在GeekPwn嘉年華舞台上的每一位選手都是了不起的，因為他們在各自的領域都取得了成績，安全領域其實很需要百花齊放、齊頭並進，每一位安全研究員都不應只盯在某個或某些領域，要在自己擅長的、有優勢的領域發展，並且樂於與國內外信息安全人才進行交流，以期共同進步。像GeekPwn安全峯會這樣高規格的攻防主題峯會就是很好的平台。

同時表示，現在信息安全圈比前幾年熱鬧多了，影響力或者説受到的關注也逐漸增強，同時踏實做技術的人也多了起來，是個好趨勢。但同時應警惕不受其他的誘惑，誤入歧途，保持自由開放的研究態度。

技術不分國界，在分析國內外信息安全發展現狀時，金意兒認為，國內的安全行業缺乏前瞻性研究，容易導致對整個行業的發展方向把握不足，在國際競爭中陷入被動。而趙澤光同樣表示，國外信息安全起步肯定比國內早，但是近幾年發現在國內安全領域的人才也越來越多，也取得了很多值得驕傲的成績。但是就整個信息安全產業的成熟度方面，可能還是有一定差距的。如何取長補短，取得長足的進步十分重要，在這個時候，分享共融就顯得尤為重要。

值得一提的是，GeekPwn舞台上的選手大多是80、90後，不乏在校生。作為發現人才的平台，GeekPwn越來越受到年輕安全人才的追捧。而所有選手幾乎都認為，國內信息安全行業正向着好的方向發展，信息安全人才、廠商與大眾之間的安全鏈條正在被打通，整個社會對信息安全的認知達到前所未有的高度。秉持以技術捍衞信念的黑客精神，在黑客大賽GeekPwn及整個安全社區的努力下，一個健康良性循環的安全生態圈正在逐步構建。