4 唯一的女选手
非科班出身的她,攻击手段完全是自学的
跟曹跃一样单枪匹马来挑战的,还有本次比赛唯一的女性选手贾云。
“他们都是黑客团伙儿,只有我和TCP的选手曹跃是一个人参加比赛的。我跟他们比起来,就是个菜鸟。”1989年出生的贾云毕业于中国化工大学,所学专业为高分子材料。作为黑客比赛中少有的女性选手,外表清秀的她总让人忍不住多看几眼。她将攻击目标锁定为智能家居,攻破了巢控智能遥控器,凡是可以通过红外遥控器控制的家电都可以被劫持。令人意想不到的是,非科班出身的她,此次演示的攻击手段,完全是通过视频自学的。
贾云对北京晨报记者表示,她购买的智能遥控器在使用的过程中存在闪退等问题。于是她便上网寻找解决办法,在这个过程中发现了智能遥控器存在的漏洞。“基本的思路是通过相关的视频找到的,但我在编程方面的基本功比较弱,为此还看了好几节公开课恶补。”对贾云来说,参加比赛所带来的成就感远高于所获得的奖金。“我发现我对这方面挺感兴趣。半路出家,是不是也不晚?”
5 16岁的“小鲜肉”
牙套男孩劫持无人机控制权
来自郑州的王丙坤和刘杰炜今年都是16岁,他们戴着牙套,由父母陪着来参加比赛,接受采访时最常说的话是:“刚才那位哥哥很厉害。”可到了台上,他们又变得像个大人,现场演示如何劫持无人机控制权。这也是极棒大赛举办以来年纪最小的参赛选手了。
王丙坤来自郑州七中,爱好电脑、航模、无人机,拿过航模比赛全国第二名,还是国家二级运动员。他每天保持着严格的作息规律,6点起床,23点睡觉,不熬夜,事情多时就学会挤时间。“学校电视台、社团、录音棚都有我的身影,但我的成绩却不降反升”。他跟刘杰炜小学、初中都同班,到高中分开了,却依然爱往一起凑。刘杰炜通过乌云平台知道了此次比赛的消息,两位“小鲜肉”合计了一下,决定参赛。
父母都支持他们的决定,本着带孩子见见世面的原则,操办好了一切。俩孩子也没什么心理压力:“要是成功了简历中还多了一笔经历,对我申请学校有好处。”王丙坤对北京晨报记者表示,他正准备申请美国的大学,系统地学习无人机专业。
“我们本想来参加比赛试试水,来了才知道水深得看不见。可是看到这么多大神,还是很兴奋。”刘杰炜在采访中话不多,因为他一直在纠结要怎么修改他的项目说明书,可谈起比赛现场的黑客们,他的眼睛一下子亮了。“我一直以为黑客们都是戴个眼镜抱个电脑,打几行字电脑就都黑屏了。今天发现他们都挺帅的,我以后也得注意点形象,把自己收拾干净点。”
更令他们触动的是精神层面。“昨天有几个哥哥为了测试程序从下午5点一直忙到11点,他们的思路令人耳目一新,基本功也都特别扎实。”刘杰炜表示,自己平时有些偏科,这次来除了学习到思路和技巧外,也明白了坚持的重要性。
事实上,“小鲜肉”们演示的“劫持”无人机项目虽然炫目,但技术难度并不高。但即便如此,他们还是令现场的“老江湖”都兴奋不已。评委“老鹰”为他们捧上了“极客精神奖”奖杯时表示:“很高兴看到这么年轻的小鲜肉。在无人机演示时,我们看到了他们的创意和尝鲜的勇气,这是值得所有选手期待的,希望未来能寻找到更多的小鲜肉。”
6 黑客的转身
现在成了各大公司的安全掌门人
这两位“小鲜肉”并不知道,为他们颁奖的“老鹰”就是被媒体称为“黑客教父”的万涛。
1990年代,在北方交通大学的机房里,万涛在拷盘时遭遇计算机病毒,从此对病毒产生了兴趣。他是中国第一批“触网者”,1998年加入中国第一个黑客组织“绿色兵团”。他喜欢强悍、自由,为自己取名为“老鹰”。2001年,他成立中国鹰派联盟。经历骄傲的黑客时代,而后他迷茫,隐退,进入跨国公司。如今的万涛,多“出没”于公益圈,将鹰盟转型为鹰眼安全文化网,通过互联网信息技术推动公益发展与社会创新。
万涛的转身,在黑客中颇有代表性。他们中的绝大多数,现在成了各大公司的安全掌门人。“大牛蛙”王琦在创办Keen之前,也是微软公司的著名安全员,如今他拥有自己的安全团队,并与同行们追逐在世界各地的安全行业技术赛场上。在这里,他们还能找到当年的荣光。可他面对团队成员的新选择,也只能表示“这个没办法。”
陈良是Keen团队三夺Pwn2Own冠军的主攻手。除了技术,1986年出生的陈良最感兴趣的是金融。他看了一个月书,考了美国注册管理会计师(CMA),这是很多人读几年书都通不过的考试。如今的陈良成为了腾讯科恩实验室的一名高级研究员,这个实验室是腾讯新成立的一支专注于云计算与移动终端安全研究的白帽黑客队伍,核心成员多来自原Keen 团队。
今年3月,陈良和同事邓欣组建的腾讯安全联队团队出征Pwn2Own,3秒攻破苹果Safari浏览器。而在今年的极棒大赛上,由邓欣带队的腾讯电脑管家团队演示了攻击微软Surface Pro项目,凭借高难度的技术含量获得15万单项奖金以及5万“最霸技术奖”奖金。
虽然老板换了,但陈良的工作状态并没什么改变。他一般早上来公司比较晚,在路上时就会往一些研究技术的微信群里发送一些国外的技术论文或是某个专家的最新技术文章。到了公司,同事们立刻针对文章开始讨论,这样的攻击思路有没有可行性,能不能变通一下应用到IOS或是安卓系统中。下午就是挖掘漏洞,找到漏洞就汇报给厂商。除了找漏洞,就是准备比赛,比赛的周期很长,从考虑报名什么参加什么项目到具体的攻防方案,还得多做几手准备以防主办方在比赛前推出的“大补丸”。因为是攻防类比赛,选手的价值正在于在厂商发现漏洞之前挖掘到有价值的漏洞,以此赢取主办方的巨额奖金。而“大补丸”就是厂商给出的官方系统补丁。“ 补丁是在美国时间出的,在中国出的时间是半夜两三点,这件事情如果到第二天做的话,是没有心情睡觉的。所以必须要在第一时间知道,漏洞有没有被修补,如果被修补了,马上就要有一个应对策略。”
比赛之后,往往就是休假,拿着奖金带领团队休假。陈良和邓欣的团队在今年的Pwn2Own获得了20万美元奖金。
7 黑客是有趣的职业?
事实上完全不是这样,你必须十分耐得住寂寞
“平时大家都觉得黑客或者研究人员很神秘、很酷,觉得这是一个非常有趣的职业。事实上完全不是这样,你必须十分耐得住寂寞。”如今的陈良和邓欣也要负责寻找合适的人才扩充队伍,比起技术,他们都更看重人品。
“你知道我们为什么叫科恩吗?”陈良告诉北京晨报记者,在日本动漫《名侦探柯南》里,他是一个狙击手。专业的狙击手需要耐得住寂寞,同时也需要一个人帮他看。我们做漏洞攻防的研究,不可能是一个人完成,需要团队协作,去找到软件弱点,精准突破挑战。”
“在我毕业的那段时间,很多人已经绝望,都把关注投向病毒的研究。你会经常听到一个初中生,就是‘熊猫烧香’的作者,他是对技术的爱好,绝不是深入的研究。”陈良对外界将“熊猫烧香”这种小黑客写出的病毒捧成神话十分不解。“他生怕人不知道,他急着告诉你,我叫熊猫烧香,叫李俊,毕业于武汉……这和‘白帽’的初衷背道而驰,就是为了出名。”邓欣表示:“精妙的病毒,不会造成任何用户上的感觉,造成用户越用越慢,或者死机越高,这种病毒都是比较失败的病毒。”
“人品好比技术好重要太多。我面试时有特别牛的,一开口就是,我曾经黑过×××,对于这样的,我从不考虑。”1989年出生的潮男姚威对此颇有同感,因为公司大多都是90后,所以他给自己起了“黑客叔叔”的网名。姚威也是今年极棒大赛攻破智能保险箱的项目演示者,他同样经历了身份的转换。他曾经是极棒大赛的一名观众,如今不仅是选手,也是广州一家安全公司的CEO,目前团队有15人。
来参加比赛也不是没有私心。“以前是单枪匹马一个人,现在要养活团队,得赚钱。这次比赛也是个提升品牌形象的好机会。” 姚威告诉北京晨报记者,成立不到一年的时间,已经接到了三四个收购意向。“可我是有底线的,第一必须团队成员都在一起,第二是我们得保持独立性,最好是成为实验室。”
姚威说,做公司以来,遇到过不少曾经从事黑产,现在想来公司漂白的。但他没给过机会,即便有可能错失一个天才。“有个小伙子技术巨牛,攻克了一个大漏洞之后问了一句,我这个漏洞值多少钱?”姚威二话没说,让小伙子走了。面对记者的不理解,姚威说,其实这并没有标准答案,“但一般同道之人会在破解后会说‘这个漏洞真稀有’。”
