5月12日，澳門，知名安全團(tuán)隊(duì)KEEN主辦的黑客大賽GeekPwn(極棒大賽)正在進(jìn)行，這是黑客界的“星光大道”。穿梭往來(lái)的游客們一定不會(huì)想到，身邊匆匆走過(guò)的T恤牛仔褲男子，完全有能力通過(guò)技術(shù)手段完成電影中入侵系統(tǒng)的橋段，迅速破解系統(tǒng)密碼，甚至劫持幾臺(tái)機(jī)器，只要這些機(jī)器都接入在互聯(lián)網(wǎng)環(huán)境下。

可惜，賭場(chǎng)對(duì)于他們中的絕大多數(shù)人都毫無(wú)吸引力，他們尋求的刺激，并不是運(yùn)氣帶來(lái)的財(cái)富，而是依靠嚴(yán)密的邏輯和計(jì)算能力，用一行行枯燥至極的代碼，換取而來(lái)的攻防刺激，直至屏幕上出現(xiàn)“Pwned”。Pwned這個(gè)單詞翻譯成中文，一般指“攻破設(shè)備或系統(tǒng)”。每當(dāng)它出現(xiàn)在屏幕上，一般都預(yù)示著豐厚的獎(jiǎng)金和技術(shù)上的成就。

1、大牛蛙拋出的問(wèn)題

“你們是誰(shuí)，你們黑什么，你們?yōu)槭裁匆?”

可大牛蛙卻對(duì)這些刺激感到了厭倦，“我就是稍微有點(diǎn)厭倦了，所以我現(xiàn)在做公司了。”

大牛蛙本名王琦，4年前，他從微軟出走創(chuàng)立KEEN團(tuán)隊(duì)，這個(gè)團(tuán)隊(duì)曾在全世界最著名、獎(jiǎng)金最豐厚的黑客大賽Pwn2Own上連續(xù)三年獲得五個(gè)冠軍。

不過(guò)，在極棒大賽的第三個(gè)年頭，他少了點(diǎn)興奮，整個(gè)人也變得更加“深沉了”。

“能黑的都黑完了，還有什么看頭呢?”王琦說(shuō)。在前兩屆比賽中，涌現(xiàn)出了100多個(gè)選手，這些黑客們已經(jīng)把能玩的都玩了。他們破解過(guò)特斯拉，“劫持”過(guò)無(wú)人機(jī)，甚至為了讓比賽更酷一點(diǎn)，他們還想出過(guò)選手上廁所需要破解密碼的招數(shù)。不少選手通過(guò)參賽，贏得了豐厚的獎(jiǎng)金，也在行業(yè)中嶄露頭角。

這一次，他準(zhǔn)備把黑客的終極哲學(xué)問(wèn)題拋給參賽選手們。“你們是誰(shuí)，你們黑什么，你們?yōu)槭裁匆?”他當(dāng)然清楚地知道自己設(shè)置比賽的初衷，每每問(wèn)起他，回答都是一致的“給他們?cè)黾狱c(diǎn)收入”。

黑客缺錢嗎?恐怕要看黑客選擇了哪條道路。騰訊安全平臺(tái)部總經(jīng)理?xiàng)钣卤硎荆?ldquo;當(dāng)你進(jìn)入這個(gè)行業(yè)，第一就是誘惑很多，很容易走偏門，因?yàn)閽赍X也快;當(dāng)你炫技時(shí)很容易得到別人的矚目，有些時(shí)候你就沉迷在里面了。”可更多的人選擇“不作惡”，所以比賽是增加收入的不錯(cuò)選擇。例如今年的比賽，總獎(jiǎng)金100萬(wàn)，最大的贏家團(tuán)隊(duì)就拿走了42萬(wàn)元總獎(jiǎng)金，還有數(shù)個(gè)10萬(wàn)以上的單項(xiàng)獎(jiǎng)金。與在一些安全平臺(tái)上提交一個(gè)漏洞獲得的獎(jiǎng)金不過(guò)幾十幾百元來(lái)比，這筆獎(jiǎng)金絕對(duì)算得上是巨額收入了。

2、“白帽”與“黑帽”的分界嶺

比天才更可貴的，是做一個(gè)“好人”

“并不是說(shuō)白帽黑客就有多高尚，只是我們不愿意干壞事。” 王琦承認(rèn)，心里“白帽”與“黑帽”的分界嶺，并非只是正義感和道德感。“他只要用他發(fā)現(xiàn)的安全成果去幫助廠商，幫助我們消滅問(wèn)題、解決問(wèn)題，我們都稱之為‘白帽’。如果說(shuō)他拿的東西我們都不知道，可能這會(huì)兒他正在做壞事，那就是‘黑帽’。”

王琦一直在尋找天才，他希望能讓那些現(xiàn)在還默默無(wú)聞的選手通過(guò)比賽展現(xiàn)出才華，他希望能通過(guò)比賽激發(fā)出選手的創(chuàng)新思維，給廠商帶來(lái)安全提示。但比天才更可貴的，是一個(gè)“好人”。對(duì)黑客而言，那就是用一頂白帽以示區(qū)分，能在光明和黑暗中，小心地堅(jiān)守著底線。

既然這樣，為什么要黑?只有兩個(gè)字，就是“熱愛(ài)”。所以，他們搭臺(tái)，請(qǐng)選手來(lái)唱戲。即使興奮感少了一些，王琦和他的團(tuán)隊(duì)依舊在鼓勵(lì)選手們打開(kāi)腦洞，突破創(chuàng)新的限制。也正因?yàn)榇?，在今年的極棒比賽上，我們看到了一秒破解微軟Surface Pro4，將智能保險(xiǎn)箱徹底玩壞變成鬧鐘，一口氣攻破十大知名品牌路由器這些全新的“刺激”。在這些漂亮的炫技背后，我們也終于近距離接觸了這群掌握著黑客的力量，卻不愿利用技術(shù)“去砸別人家玻璃”的人。

3、腦洞大開(kāi)的TCP項(xiàng)目

古董級(jí)別的互聯(lián)網(wǎng)基礎(chǔ)協(xié)議，被挖掘出如此重量級(jí)的漏洞

“今年的TCP項(xiàng)目我覺(jué)得是腦洞比較大開(kāi)的，因?yàn)榇蠹叶颊J(rèn)為已經(jīng)過(guò)去這么多年了，應(yīng)該不會(huì)存在問(wèn)題，也沒(méi)有人證明過(guò)它有問(wèn)題，質(zhì)疑過(guò)它。但他們居然去質(zhì)疑它，并且在他們的實(shí)驗(yàn)環(huán)境下，甚至在今天早上他們還成功。”王琦口中的TCP項(xiàng)目指的是“遠(yuǎn)程任意TCP劫持連接技術(shù)。”

外行看熱鬧，內(nèi)行看門道。早在1990年代互聯(lián)網(wǎng)發(fā)展早期，被稱為世界頭號(hào)黑客的凱文·米特尼克利用當(dāng)時(shí)還不完善的TCP協(xié)議實(shí)施了“任意互聯(lián)網(wǎng)會(huì)話劫持技術(shù)”并一舉成名。而如今，TCP作為已經(jīng)不斷完善的古董級(jí)別的互聯(lián)網(wǎng)基礎(chǔ)協(xié)議，從中挖掘出如此重量級(jí)的漏洞，無(wú)疑對(duì)世界的信息安全研究都有著重大的參考意義。而這項(xiàng)技術(shù)的展示者，是來(lái)自美國(guó)加州大學(xué)的博士生曹躍。

曹躍在現(xiàn)場(chǎng)演示的“魔術(shù)”無(wú)疑是殺傷力極大的——攻擊者在獲知世界任意一地方受害者的IP地址后，即可能遠(yuǎn)程劫持其通訊。雖然由于現(xiàn)場(chǎng)所處網(wǎng)絡(luò)環(huán)境的限制問(wèn)題演示過(guò)程一波三折，但最終受害者的電腦顯示屏上瀏覽的新聞網(wǎng)頁(yè)在受到劫持后彈出了一個(gè)虛假的登錄頁(yè)面。按提示輸入賬號(hào)及密碼之后，相同的內(nèi)容便出現(xiàn)在了攻擊者曹躍的電腦上。該技術(shù)意味著互聯(lián)網(wǎng)上幾乎所有的安卓和Linux系統(tǒng)，都可以在任意時(shí)間、任意位置被攻擊，被劫持通訊。與木馬、釣魚、欺詐不同的是，受害者沒(méi)有犯任何錯(cuò)誤——就無(wú)辜地淪為了攻擊者的羔羊。

這樣的演示讓業(yè)內(nèi)人士興奮不已。TCP協(xié)議被稱之為當(dāng)今互聯(lián)網(wǎng)的基石，而TCP連接的不可預(yù)測(cè)性更可稱之為互聯(lián)網(wǎng)的安全基石之一。曹躍團(tuán)隊(duì)展示的“魔術(shù)”正是打破了TCP連接的不可預(yù)測(cè)性神話。

“GeekPwn(極棒)是非常年輕有朝氣的平臺(tái)，在華人圈里名望很高，并且和我們的極客價(jià)值觀非常吻合。”據(jù)曹躍介紹，這項(xiàng)研究成果來(lái)自加州大學(xué)Riverside分校的信息安全研究團(tuán)隊(duì)，指導(dǎo)老師錢志云是現(xiàn)代TCP安全方面的專家，而這個(gè)漏洞，是他在飛機(jī)上審閱Linux內(nèi)核代碼時(shí)挖到的。

4、唯一的女選手

非科班出身的她，攻擊手段完全是自學(xué)的

跟曹躍一樣單槍匹馬來(lái)挑戰(zhàn)的，還有本次比賽唯一的女性選手賈云。

“他們都是黑客團(tuán)伙兒，只有我和TCP的選手曹躍是一個(gè)人參加比賽的。我跟他們比起來(lái)，就是個(gè)菜鳥。”1989年出生的賈云畢業(yè)于中國(guó)化工大學(xué)，所學(xué)專業(yè)為高分子材料。作為黑客比賽中少有的女性選手，外表清秀的她總讓人忍不住多看幾眼。她將攻擊目標(biāo)鎖定為智能家居，攻破了巢控智能遙控器，凡是可以通過(guò)紅外遙控器控制的家電都可以被劫持。令人意想不到的是，非科班出身的她，此次演示的攻擊手段，完全是通過(guò)視頻自學(xué)的。

賈云對(duì)北京晨報(bào)記者表示，她購(gòu)買的智能遙控器在使用的過(guò)程中存在閃退等問(wèn)題。于是她便上網(wǎng)尋找解決辦法，在這個(gè)過(guò)程中發(fā)現(xiàn)了智能遙控器存在的漏洞。“基本的思路是通過(guò)相關(guān)的視頻找到的，但我在編程方面的基本功比較弱，為此還看了好幾節(jié)公開(kāi)課惡補(bǔ)。”對(duì)賈云來(lái)說(shuō)，參加比賽所帶來(lái)的成就感遠(yuǎn)高于所獲得的獎(jiǎng)金。“我發(fā)現(xiàn)我對(duì)這方面挺感興趣。半路出家，是不是也不晚?”

5、16歲的“小鮮肉”

牙套男孩劫持無(wú)人機(jī)控制權(quán)

來(lái)自鄭州的王丙坤和劉杰煒今年都是16歲，他們戴著牙套，由父母陪著來(lái)參加比賽，接受采訪時(shí)最常說(shuō)的話是：“剛才那位哥哥很厲害。”可到了臺(tái)上，他們又變得像個(gè)大人，現(xiàn)場(chǎng)演示如何劫持無(wú)人機(jī)控制權(quán)。這也是極棒大賽舉辦以來(lái)年紀(jì)最小的參賽選手了。

王丙坤來(lái)自鄭州七中，愛(ài)好電腦、航模、無(wú)人機(jī)，拿過(guò)航模比賽全國(guó)第二名，還是國(guó)家二級(jí)運(yùn)動(dòng)員。他每天保持著嚴(yán)格的作息規(guī)律，6點(diǎn)起床，23點(diǎn)睡覺(jué)，不熬夜，事情多時(shí)就學(xué)會(huì)擠時(shí)間。“學(xué)校電視臺(tái)、社團(tuán)、錄音棚都有我的身影，但我的成績(jī)卻不降反升”。他跟劉杰煒小學(xué)、初中都同班，到高中分開(kāi)了，卻依然愛(ài)往一起湊。劉杰煒通過(guò)烏云平臺(tái)知道了此次比賽的消息，兩位“小鮮肉”合計(jì)了一下，決定參賽。

父母都支持他們的決定，本著帶孩子見(jiàn)見(jiàn)世面的原則，操辦好了一切。倆孩子也沒(méi)什么心理壓力：“要是成功了簡(jiǎn)歷中還多了一筆經(jīng)歷，對(duì)我申請(qǐng)學(xué)校有好處。”王丙坤對(duì)北京晨報(bào)記者表示，他正準(zhǔn)備申請(qǐng)美國(guó)的大學(xué)，系統(tǒng)地學(xué)習(xí)無(wú)人機(jī)專業(yè)。

“我們本想來(lái)參加比賽試試水，來(lái)了才知道水深得看不見(jiàn)?？墒强吹竭@么多大神，還是很興奮。”劉杰煒在采訪中話不多，因?yàn)樗恢痹诩m結(jié)要怎么修改他的項(xiàng)目說(shuō)明書，可談起比賽現(xiàn)場(chǎng)的黑客們，他的眼睛一下子亮了。“我一直以為黑客們都是戴個(gè)眼鏡抱個(gè)電腦，打幾行字電腦就都黑屏了。今天發(fā)現(xiàn)他們都挺帥的，我以后也得注意點(diǎn)形象，把自己收拾干凈點(diǎn)。”

更令他們觸動(dòng)的是精神層面。“昨天有幾個(gè)哥哥為了測(cè)試程序從下午5點(diǎn)一直忙到11點(diǎn)，他們的思路令人耳目一新，基本功也都特別扎實(shí)。”劉杰煒表示，自己平時(shí)有些偏科，這次來(lái)除了學(xué)習(xí)到思路和技巧外，也明白了堅(jiān)持的重要性。

事實(shí)上，“小鮮肉”們演示的“劫持”無(wú)人機(jī)項(xiàng)目雖然炫目，但技術(shù)難度并不高。但即便如此，他們還是令現(xiàn)場(chǎng)的“老江湖”都興奮不已。評(píng)委“老鷹”為他們捧上了“極客精神獎(jiǎng)”獎(jiǎng)杯時(shí)表示：“很高興看到這么年輕的小鮮肉。在無(wú)人機(jī)演示時(shí)，我們看到了他們的創(chuàng)意和嘗鮮的勇氣，這是值得所有選手期待的，希望未來(lái)能尋找到更多的小鮮肉。”

6、黑客的轉(zhuǎn)身

現(xiàn)在成了各大公司的安全掌門人

這兩位“小鮮肉”并不知道，為他們頒獎(jiǎng)的“老鷹”就是被媒體稱為“黑客教父”的萬(wàn)濤。

1990年代，在北方交通大學(xué)的機(jī)房里，萬(wàn)濤在拷盤時(shí)遭遇計(jì)算機(jī)病毒，從此對(duì)病毒產(chǎn)生了興趣。他是中國(guó)第一批“觸網(wǎng)者”，1998年加入中國(guó)第一個(gè)黑客組織“綠色兵團(tuán)”。他喜歡強(qiáng)悍、自由，為自己取名為“老鷹”。2001年，他成立中國(guó)鷹派聯(lián)盟。經(jīng)歷驕傲的黑客時(shí)代，而后他迷茫，隱退，進(jìn)入跨國(guó)公司。如今的萬(wàn)濤，多“出沒(méi)”于公益圈，將鷹盟轉(zhuǎn)型為鷹眼安全文化網(wǎng)，通過(guò)互聯(lián)網(wǎng)信息技術(shù)推動(dòng)公益發(fā)展與社會(huì)創(chuàng)新。

萬(wàn)濤的轉(zhuǎn)身，在黑客中頗有代表性。他們中的絕大多數(shù)，現(xiàn)在成了各大公司的安全掌門人。“大牛蛙”王琦在創(chuàng)辦Keen之前，也是微軟公司的著名安全員，如今他擁有自己的安全團(tuán)隊(duì)，并與同行們追逐在世界各地的安全行業(yè)技術(shù)賽場(chǎng)上。在這里，他們還能找到當(dāng)年的榮光?？伤鎸?duì)團(tuán)隊(duì)成員的新選擇，也只能表示“這個(gè)沒(méi)辦法。”

陳良是Keen團(tuán)隊(duì)三奪Pwn2Own冠軍的主攻手。除了技術(shù)，1986年出生的陳良最感興趣的是金融。他看了一個(gè)月書，考了美國(guó)注冊(cè)管理會(huì)計(jì)師(CMA)，這是很多人讀幾年書都通不過(guò)的考試。如今的陳良成為了騰訊科恩實(shí)驗(yàn)室的一名高級(jí)研究員，這個(gè)實(shí)驗(yàn)室是騰訊新成立的一支專注于云計(jì)算與移動(dòng)終端安全研究的白帽黑客隊(duì)伍，核心成員多來(lái)自原Keen 團(tuán)隊(duì)。

今年3月，陳良和同事鄧欣組建的騰訊安全聯(lián)隊(duì)團(tuán)隊(duì)出征Pwn2Own，3秒攻破蘋果Safari瀏覽器。而在今年的極棒大賽上，由鄧欣帶隊(duì)的騰訊電腦管家團(tuán)隊(duì)演示了攻擊微軟Surface Pro項(xiàng)目，憑借高難度的技術(shù)含量獲得15萬(wàn)單項(xiàng)獎(jiǎng)金以及5萬(wàn)“最霸技術(shù)獎(jiǎng)”獎(jiǎng)金。

雖然老板換了，但陳良的工作狀態(tài)并沒(méi)什么改變。他一般早上來(lái)公司比較晚，在路上時(shí)就會(huì)往一些研究技術(shù)的微信群里發(fā)送一些國(guó)外的技術(shù)論文或是某個(gè)專家的最新技術(shù)文章。到了公司，同事們立刻針對(duì)文章開(kāi)始討論，這樣的攻擊思路有沒(méi)有可行性，能不能變通一下應(yīng)用到IOS或是安卓系統(tǒng)中。下午就是挖掘漏洞，找到漏洞就匯報(bào)給廠商。除了找漏洞，就是準(zhǔn)備比賽，比賽的周期很長(zhǎng)，從考慮報(bào)名什么參加什么項(xiàng)目到具體的攻防方案，還得多做幾手準(zhǔn)備以防主辦方在比賽前推出的“大補(bǔ)丸”。因?yàn)槭枪シ李惐荣悾x手的價(jià)值正在于在廠商發(fā)現(xiàn)漏洞之前挖掘到有價(jià)值的漏洞，以此贏取主辦方的巨額獎(jiǎng)金。而“大補(bǔ)丸”就是廠商給出的官方系統(tǒng)補(bǔ)丁。“ 補(bǔ)丁是在美國(guó)時(shí)間出的，在中國(guó)出的時(shí)間是半夜兩三點(diǎn)，這件事情如果到第二天做的話，是沒(méi)有心情睡覺(jué)的。所以必須要在第一時(shí)間知道，漏洞有沒(méi)有被修補(bǔ)，如果被修補(bǔ)了，馬上就要有一個(gè)應(yīng)對(duì)策略。”

比賽之后，往往就是休假，拿著獎(jiǎng)金帶領(lǐng)團(tuán)隊(duì)休假。陳良和鄧欣的團(tuán)隊(duì)在今年的Pwn2Own獲得了20萬(wàn)美元獎(jiǎng)金。

7、黑客是有趣的職業(yè)?

事實(shí)上完全不是這樣，你必須十分耐得住寂寞

“平時(shí)大家都覺(jué)得黑客或者研究人員很神秘、很酷，覺(jué)得這是一個(gè)非常有趣的職業(yè)。事實(shí)上完全不是這樣，你必須十分耐得住寂寞。”如今的陳良和鄧欣也要負(fù)責(zé)尋找合適的人才擴(kuò)充隊(duì)伍，比起技術(shù)，他們都更看重人品。

“你知道我們?yōu)槭裁唇锌贫鲉?”陳良告訴北京晨報(bào)記者，在日本動(dòng)漫《名偵探柯南》里，他是一個(gè)狙擊手。專業(yè)的狙擊手需要耐得住寂寞，同時(shí)也需要一個(gè)人幫他看。我們做漏洞攻防的研究，不可能是一個(gè)人完成，需要團(tuán)隊(duì)協(xié)作，去找到軟件弱點(diǎn)，精準(zhǔn)突破挑戰(zhàn)。”

“在我畢業(yè)的那段時(shí)間，很多人已經(jīng)絕望，都把關(guān)注投向病毒的研究。你會(huì)經(jīng)常聽(tīng)到一個(gè)初中生，就是‘熊貓燒香’的作者，他是對(duì)技術(shù)的愛(ài)好，絕不是深入的研究。”陳良對(duì)外界將“熊貓燒香”這種小黑客寫出的病毒捧成神話十分不解。“他生怕人不知道，他急著告訴你，我叫熊貓燒香，叫李俊，畢業(yè)于武漢……這和‘白帽’的初衷背道而馳，就是為了出名。”鄧欣表示：“精妙的病毒，不會(huì)造成任何用戶上的感覺(jué)，造成用戶越用越慢，或者死機(jī)越高，這種病毒都是比較失敗的病毒。”

“人品好比技術(shù)好重要太多。我面試時(shí)有特別牛的，一開(kāi)口就是，我曾經(jīng)黑過(guò)×××，對(duì)于這樣的，我從不考慮。”1989年出生的潮男姚威對(duì)此頗有同感，因?yàn)楣敬蠖喽际?0后，所以他給自己起了“黑客叔叔”的網(wǎng)名。姚威也是今年極棒大賽攻破智能保險(xiǎn)箱的項(xiàng)目演示者，他同樣經(jīng)歷了身份的轉(zhuǎn)換。他曾經(jīng)是極棒大賽的一名觀眾，如今不僅是選手，也是廣州一家安全公司的CEO，目前團(tuán)隊(duì)有15人。

來(lái)參加比賽也不是沒(méi)有私心。“以前是單槍匹馬一個(gè)人，現(xiàn)在要養(yǎng)活團(tuán)隊(duì)，得賺錢。這次比賽也是個(gè)提升品牌形象的好機(jī)會(huì)。” 姚威告訴北京晨報(bào)記者，成立不到一年的時(shí)間，已經(jīng)接到了三四個(gè)收購(gòu)意向。“可我是有底線的，第一必須團(tuán)隊(duì)成員都在一起，第二是我們得保持獨(dú)立性，最好是成為實(shí)驗(yàn)室。”

姚威說(shuō)，做公司以來(lái)，遇到過(guò)不少曾經(jīng)從事黑產(chǎn)，現(xiàn)在想來(lái)公司漂白的。但他沒(méi)給過(guò)機(jī)會(huì)，即便有可能錯(cuò)失一個(gè)天才。“有個(gè)小伙子技術(shù)巨牛，攻克了一個(gè)大漏洞之后問(wèn)了一句，我這個(gè)漏洞值多少錢?”姚威二話沒(méi)說(shuō)，讓小伙子走了。面對(duì)記者的不理解，姚威說(shuō)，其實(shí)這并沒(méi)有標(biāo)準(zhǔn)答案，“但一般同道之人會(huì)在破解后會(huì)說(shuō)‘這個(gè)漏洞真稀有’。”

來(lái)自黑客的安全提示

盡量不要用WiFi，最好用3G或4G

關(guān)于黑客，有個(gè)段子一直被人津津樂(lè)道。在前幾年的一次Pwn2Own比賽中，一群選手在加拿大比賽時(shí)玩心四起，技癢難耐，就瞄準(zhǔn)了酒店的WiFi。從那以后，這些人便上了加拿大酒店的黑名單，直到今天，不少酒店都不愿意接待他們。

在移動(dòng)互聯(lián)網(wǎng)時(shí)代，WiFi的確是容易被攻擊的一處地方。陳良告訴北京晨報(bào)記者，在參加國(guó)外安全會(huì)議時(shí)，他會(huì)不斷提醒成員絕對(duì)不要使用酒店WiFi。“我們一般都是租移動(dòng)WiFi，在比賽期間也盡量做到不要上網(wǎng)，因?yàn)閯e人有可能竊取賬戶。從理論上來(lái)說(shuō)，如果有機(jī)會(huì)連到同一個(gè)網(wǎng)絡(luò)，我是有機(jī)會(huì)竊取你的手機(jī)信息的。”

在極棒大賽上一口氣攻破十幾臺(tái)路由器的長(zhǎng)亭科技成員楊坤也對(duì)北京晨報(bào)記者表示：“ 電影電視會(huì)有些夸張，但也差不多。比如攻破了你家的路由器之后，基本上所有連上路由器的智能設(shè)備都能被控制。”根據(jù)現(xiàn)場(chǎng)演示，安卓手機(jī)在連接了有漏洞的路由器后，在使用正規(guī)軟件市場(chǎng)下載應(yīng)用時(shí)，正規(guī)軟件便會(huì)被替換為植入了木馬的惡意程序，使得攻擊者可以收發(fā)查看受害者短信、控制手機(jī)的電話功能、調(diào)用手機(jī)攝像頭等。除此之外，長(zhǎng)亭科技還發(fā)現(xiàn)了存在漏洞的華碩路由器服務(wù)被暴露在互聯(lián)網(wǎng)上，攻擊者可以在全世界任意位置對(duì)其發(fā)起遠(yuǎn)程攻擊，受影響的路由器達(dá)數(shù)萬(wàn)臺(tái)。

楊坤表示，假如路由器被黑客攻破，路由器作為所有設(shè)備上網(wǎng)的入口，所有的信息都會(huì)有數(shù)據(jù)流，這些數(shù)據(jù)流里面可能有個(gè)人比較敏感的信息，所以危害比較大。他建議，路由器應(yīng)當(dāng)設(shè)置強(qiáng)密碼，可以包含數(shù)字、大小寫，盡量多一些變化，應(yīng)該經(jīng)常更改密碼。此外盡量使用WP2加密的WiFi，另外也不要用萬(wàn)能鑰匙這樣的軟件。

其實(shí)，在今年的“3·15晚會(huì)”中，不僅有利用路由器漏洞獲取觀眾隱私信息的情景互動(dòng)，更有智能生活安全“黑客大片”上演。王琦認(rèn)為，站在用戶的角度，如果是用免費(fèi)WiFi，如果有人要攻擊你，那可能防不勝防。“盡量連一些我們熟知的WiFi，如果要做重要的工作，盡量不要用WiFi，采用3G、4G。”王琦給出了安全建議。

此外要注重對(duì)于個(gè)人隱私的保護(hù)，“在不同的地方用不同的密碼，一旦出現(xiàn)問(wèn)題可以只是在小范圍之內(nèi)。”王琦說(shuō)。

花邊

“白帽子”的平均收入才6402元?

百萬(wàn)獎(jiǎng)金?千萬(wàn)收入? 黑客的收入到底有多高?這個(gè)問(wèn)題如果去問(wèn)黑帽黑客，便是亢奮，但對(duì)白帽黑客來(lái)說(shuō)，他們都很意外，“比賽之前根本沒(méi)看獎(jiǎng)金、獎(jiǎng)項(xiàng)。好像從沒(méi)考慮過(guò)這個(gè)問(wèn)題。”

騰訊電腦管家網(wǎng)絡(luò)攻防小組在大會(huì)上一秒破解微軟Surface Pro 4并控制攝像頭，項(xiàng)目中用到的內(nèi)核漏洞通殺所有Windows操作系統(tǒng)，這個(gè)研究成果曾被國(guó)外網(wǎng)絡(luò)軍火商開(kāi)價(jià)8萬(wàn)美元公開(kāi)收購(gòu)。小組成員鄧欣說(shuō)，白帽子現(xiàn)在收入水平有所提高，到企業(yè)做安全研究能拿二三十萬(wàn)年薪，但是覺(jué)得“還可以再提高一點(diǎn)”，“不能總是在出問(wèn)題的時(shí)候才重視安全。”

“一般幫助廠商挖出一個(gè)安全漏洞能得到幾十元左右的獎(jiǎng)勵(lì)，如果是大漏洞會(huì)多些。最開(kāi)始的時(shí)候，我們還送過(guò)充電寶或者玩偶，也非常受歡迎。” 小米科技首席安全官陳洋表示。

一個(gè)漏洞的價(jià)值難道就是一個(gè)充電寶?賬顯然不能這么算。據(jù)媒體報(bào)道，現(xiàn)今國(guó)內(nèi)頂級(jí)安全人才的年收入可以達(dá)到百萬(wàn)水平，加入互聯(lián)網(wǎng)公司的高技術(shù)水平白帽子年入十幾萬(wàn)到二十萬(wàn)不等，即便是散兵游勇的白帽子，通過(guò)在平臺(tái)上提交漏洞，也可以月入數(shù)萬(wàn)元。

“多數(shù)漏洞挖掘者是出于愛(ài)好，也是產(chǎn)品的發(fā)燒友。找出漏洞，又被廠商認(rèn)可，這個(gè)過(guò)程帶來(lái)了愉悅和成就感。所以比起金錢，那代表著一種榮譽(yù)。”陳洋表示。

另一個(gè)客觀現(xiàn)實(shí)是，隨著智能產(chǎn)品的增加，避免不了大大小小的漏洞。如果對(duì)單個(gè)漏洞的“懸賞”價(jià)格過(guò)高，也容易養(yǎng)成一批職業(yè)挖掘者，以此謀利，這顯然有悖初衷。

根據(jù)補(bǔ)天平臺(tái)統(tǒng)計(jì)，中國(guó)的白帽子黑客收入差距十分懸殊。補(bǔ)天平臺(tái)上白帽子的平均收入為6402元，最賺錢的白帽子“合肥濱湖虎子”收入則是428850元，比排名第二的“sectops”收入161300元高出近30萬(wàn)元。

不可否認(rèn)的事實(shí)是，比起黑產(chǎn)的巨大財(cái)富誘惑，白帽子的收入絕對(duì)不會(huì)使他們“暴富”。大牛蛙曾經(jīng)在接受媒體采訪時(shí)表示：“我也可以偷一票好萊塢明星的照片，然后去夏威夷度假，遠(yuǎn)走高飛。不是不愿意干壞事，平心而論是膽小，萬(wàn)一被抓了怎么辦?我說(shuō)的是人的本性。此外我們對(duì)暴富的訴求沒(méi)那么強(qiáng)烈。”