论文部分内容阅读
7月27日—8月4日,美国拉斯维加斯吹响了黑客集结号,全球顶尖黑客云集于此,分别参加“黑帽子”(Black Hat)大会和“防御态势”大会,这两个大会被认为是世界上最能了解未来安全趋势的信息峰会。大会同时也公布了一年来的黑客成果,高手过招,酒店旁的取款机都没人敢用了。
可惜,35岁的明星黑客巴纳比·杰克(Barnaby Jack)不能再展示神技了。他原本计划在会上做一个名为“植入式医疗器械:正在黑掉人类”的发言,演示如何从30英尺(9.14米)开外的地方通过黑掉一个心脏起搏器杀人于无形。诡异的是,就在大会召开前,7月25日,杰克在旧金山的家中意外身亡,死因仍在调查中,目前排除他杀可能。
这位新西兰黑客在2010年黑帽子大会上表演的“提款机破解秀”堪称当年最轰动的戏码。当时,他利用ATM机的程序漏洞让两台自动提款机吐出如小山高的钞票。此外,他还发现了胰岛素泵的安全漏洞——可操控百米外的胰岛素泵令其释放出足够致命的胰岛素。
杰克去世消息传出后,黑客们纷纷通过推特表达哀悼:“安息吧,杰克你这个臭混蛋。我昨天晚上还在聊你的传说,我们会想你的,哥们儿。”“无法置信,我被杰克黑掉的胰岛素泵射了一脸,安息吧,你曾让我笑得如此快乐。”
今年的“黑帽子”大会特别保留了杰克的发言时间,以此表达对大拿的怀念,还授予其Pwnie终身成就奖。声明中主办方称,“巴纳比·杰克对很多人来说意义重大,我们希望本次论坛能提供一个机会,让我们所有人都能继承他留下的遗产。”
“两会”:“黑帽子”大会VS
“防御态势”大会
拉斯维加斯凯撒皇宫大酒店的豪华会议厅内,过万名生龙活虎的黑客高手冒着39度的高温集结于此,他们都是奔着黑客界的“两会”——“黑帽子”大会和“防御态势”而来。
这朵业界“双生花”均由杰夫·莫斯(Jeff Moss)创办。作为世界上“身价”最高的专业黑客之一,莫斯如同大佬般在互联网黑白两道呼风唤雨,他精湛的技术和传奇的事迹为他圈了无数死忠粉。
传统的西方电影中,反派都会戴着黑色的帽子,在计算机领域,人们把这个词用到了黑客身上,这也是“黑帽子”大会名字的由来。打开大会的官网,就会看见一位头戴黑色礼帽的绅士竖着大衣领,笔直地站在神秘月光下,表情模糊但气场强大。
1997年创办的“黑帽子”大会被称为“电脑保安界的首脑会议”。作为安全领域的研究人员交流产品安全漏洞、寻求同行反馈、展望漫漫未来路的权威之地,它吸引了黑客界的各路英雄,甚至还有美国国防部、中央情报局等政府部门的高级头目。
每年大会最吸睛的莫过于大家争相展示自己的“小把戏”和研究成果。
2011年的黑帽子大会上,研究人员展示了如何利用手机轻松破解斯巴鲁汽车的防盗器、门锁并成功发动汽车引擎。
黑客查理·米勒在2012年的会场上通过近场通讯漏洞入侵了两个基于安卓系统的诺基亚N9和三星Nexus S智能手机。
而今年,三位来自佐治亚理工学院的黑客摸索到在60秒内利用冒充普通应用的恶意软件攻克iPhone与iPad的门径,并将这种机制定名为“恶意充电”法。大会还首次披露了利用自制USB充电装置在一分钟之内搞定iOS设备的方法。
不过,一些大公司可不喜欢被当众揭丑。2005年,美国思科公司(Cisco)就曾对一位研究者进行阻挠,不让他曝光其产品存在的网络安全漏洞。思科不惜从2000份与会者手册中逐份抽出这位研究者的书面研究报告,却最终没能阻止这场曝光。
恶作剧也是大会的一大亮点,黑客们会互“黑”彼此的旅馆账单系统和Wifi网络。有时候,他们还会展示一份“绵羊墙”,上面有被“黑”人的名字和密码,用来提醒人们不进行安全防护是可耻的。
不同于“黑帽子”大会的正式,入会门槛较低的“防御态势”大会起源于21年前莫斯为黑客好友举办的百人告别聚会,因参与者的意犹未尽而演变成一年一度的世界黑客狂欢;也因为参与者更多的是持无政府立场的观众,它又被业界称为“电脑黑客秘密大派对”。莫斯曾说:“很久以前在我推出这个疯狂聚会时,我从来没有想到能持续20年,但我们依然还在。”
对于那些“见光死”的黑客们,“防御态势”大会更像是一场武林大会,他们扎着小辫、穿着便服、喝着啤酒,做着一些平时没有时间做的“好玩的事”,他们昼夜工作参与“夺旗”大战(黑客们自行组队对战,扮演计算机网络攻守角色,击败对手将其拉下马)、“社会策划者”比赛(考验参赛者如何在电话交谈中套取企业计算机安全信息,并利用这些信息攻破企业计算机网络)、兜售解锁工具以及来自黑客灵感的内衣、跟酒店的ATM机玩游戏等。
资深黑客马克·托皮阿斯曾在会后感慨“智能不意味着安全”。而面对随处可见的安全漏洞,莫斯则表示:“这是正常的。技术并不可靠,这不是一个什么事情都有条不紊的领域。”
黑客:“罗宾汉”VS“江洋大盗”
杰克的神秘暴毙让“白帽黑客”这个原本鲜为人知的词汇一夜普及。
“白帽黑客”主要是指那些醉心于测试系统或软件性能的技术宅,不同于网络罪犯,他们通过自身技术找到系统的程序漏洞,评估系统可以承受的黑客入侵程度,从而赶在犯罪分子入侵前帮助公司完善产品,降低损失。通俗点说,他们就是网上的“罗宾汉”。
年轻的杰克便是“白帽黑客”的佼佼者。2009年,杰克找到了远程访问ATM机让其自动吐钱的方法,他甚至可以避开用户身份认证环节,进入账户获取相关密码。但是他最终选择了公开自己的研究成果,并将自己的研究报告交到相关的厂商手中。直到第二年,他带着姗姗来迟的“疯狂吐钞秀”一举成名,而此时同品牌ATM机的安全性能比之前要强上1000倍。
面对责骂,杰克说,“黑客大会的目的绝不是为打算抢劫ATM的人提供方法,我是在确保厂商已修补漏洞后,才做这场演示的。”
可惜,35岁的明星黑客巴纳比·杰克(Barnaby Jack)不能再展示神技了。他原本计划在会上做一个名为“植入式医疗器械:正在黑掉人类”的发言,演示如何从30英尺(9.14米)开外的地方通过黑掉一个心脏起搏器杀人于无形。诡异的是,就在大会召开前,7月25日,杰克在旧金山的家中意外身亡,死因仍在调查中,目前排除他杀可能。
这位新西兰黑客在2010年黑帽子大会上表演的“提款机破解秀”堪称当年最轰动的戏码。当时,他利用ATM机的程序漏洞让两台自动提款机吐出如小山高的钞票。此外,他还发现了胰岛素泵的安全漏洞——可操控百米外的胰岛素泵令其释放出足够致命的胰岛素。
杰克去世消息传出后,黑客们纷纷通过推特表达哀悼:“安息吧,杰克你这个臭混蛋。我昨天晚上还在聊你的传说,我们会想你的,哥们儿。”“无法置信,我被杰克黑掉的胰岛素泵射了一脸,安息吧,你曾让我笑得如此快乐。”
今年的“黑帽子”大会特别保留了杰克的发言时间,以此表达对大拿的怀念,还授予其Pwnie终身成就奖。声明中主办方称,“巴纳比·杰克对很多人来说意义重大,我们希望本次论坛能提供一个机会,让我们所有人都能继承他留下的遗产。”
“两会”:“黑帽子”大会VS
“防御态势”大会
拉斯维加斯凯撒皇宫大酒店的豪华会议厅内,过万名生龙活虎的黑客高手冒着39度的高温集结于此,他们都是奔着黑客界的“两会”——“黑帽子”大会和“防御态势”而来。
这朵业界“双生花”均由杰夫·莫斯(Jeff Moss)创办。作为世界上“身价”最高的专业黑客之一,莫斯如同大佬般在互联网黑白两道呼风唤雨,他精湛的技术和传奇的事迹为他圈了无数死忠粉。
传统的西方电影中,反派都会戴着黑色的帽子,在计算机领域,人们把这个词用到了黑客身上,这也是“黑帽子”大会名字的由来。打开大会的官网,就会看见一位头戴黑色礼帽的绅士竖着大衣领,笔直地站在神秘月光下,表情模糊但气场强大。
1997年创办的“黑帽子”大会被称为“电脑保安界的首脑会议”。作为安全领域的研究人员交流产品安全漏洞、寻求同行反馈、展望漫漫未来路的权威之地,它吸引了黑客界的各路英雄,甚至还有美国国防部、中央情报局等政府部门的高级头目。
每年大会最吸睛的莫过于大家争相展示自己的“小把戏”和研究成果。
2011年的黑帽子大会上,研究人员展示了如何利用手机轻松破解斯巴鲁汽车的防盗器、门锁并成功发动汽车引擎。
黑客查理·米勒在2012年的会场上通过近场通讯漏洞入侵了两个基于安卓系统的诺基亚N9和三星Nexus S智能手机。
而今年,三位来自佐治亚理工学院的黑客摸索到在60秒内利用冒充普通应用的恶意软件攻克iPhone与iPad的门径,并将这种机制定名为“恶意充电”法。大会还首次披露了利用自制USB充电装置在一分钟之内搞定iOS设备的方法。
不过,一些大公司可不喜欢被当众揭丑。2005年,美国思科公司(Cisco)就曾对一位研究者进行阻挠,不让他曝光其产品存在的网络安全漏洞。思科不惜从2000份与会者手册中逐份抽出这位研究者的书面研究报告,却最终没能阻止这场曝光。
恶作剧也是大会的一大亮点,黑客们会互“黑”彼此的旅馆账单系统和Wifi网络。有时候,他们还会展示一份“绵羊墙”,上面有被“黑”人的名字和密码,用来提醒人们不进行安全防护是可耻的。
不同于“黑帽子”大会的正式,入会门槛较低的“防御态势”大会起源于21年前莫斯为黑客好友举办的百人告别聚会,因参与者的意犹未尽而演变成一年一度的世界黑客狂欢;也因为参与者更多的是持无政府立场的观众,它又被业界称为“电脑黑客秘密大派对”。莫斯曾说:“很久以前在我推出这个疯狂聚会时,我从来没有想到能持续20年,但我们依然还在。”
对于那些“见光死”的黑客们,“防御态势”大会更像是一场武林大会,他们扎着小辫、穿着便服、喝着啤酒,做着一些平时没有时间做的“好玩的事”,他们昼夜工作参与“夺旗”大战(黑客们自行组队对战,扮演计算机网络攻守角色,击败对手将其拉下马)、“社会策划者”比赛(考验参赛者如何在电话交谈中套取企业计算机安全信息,并利用这些信息攻破企业计算机网络)、兜售解锁工具以及来自黑客灵感的内衣、跟酒店的ATM机玩游戏等。
资深黑客马克·托皮阿斯曾在会后感慨“智能不意味着安全”。而面对随处可见的安全漏洞,莫斯则表示:“这是正常的。技术并不可靠,这不是一个什么事情都有条不紊的领域。”
黑客:“罗宾汉”VS“江洋大盗”
杰克的神秘暴毙让“白帽黑客”这个原本鲜为人知的词汇一夜普及。
“白帽黑客”主要是指那些醉心于测试系统或软件性能的技术宅,不同于网络罪犯,他们通过自身技术找到系统的程序漏洞,评估系统可以承受的黑客入侵程度,从而赶在犯罪分子入侵前帮助公司完善产品,降低损失。通俗点说,他们就是网上的“罗宾汉”。
年轻的杰克便是“白帽黑客”的佼佼者。2009年,杰克找到了远程访问ATM机让其自动吐钱的方法,他甚至可以避开用户身份认证环节,进入账户获取相关密码。但是他最终选择了公开自己的研究成果,并将自己的研究报告交到相关的厂商手中。直到第二年,他带着姗姗来迟的“疯狂吐钞秀”一举成名,而此时同品牌ATM机的安全性能比之前要强上1000倍。
面对责骂,杰克说,“黑客大会的目的绝不是为打算抢劫ATM的人提供方法,我是在确保厂商已修补漏洞后,才做这场演示的。”