581aeb812d43e

【為什麼我們挑選這篇文章】當初是特斯拉破解比賽的舉辦人,為了訂規則必須先破解,結果就成為全球第一位破解特斯拉的人。駭客的技術他都熟習,但在他身上,沒有反派的因子、犯罪的心理,在駭客能對個人或國家造成危險的世代,他的確是股清流。

不過比起世界第一的光環,他更在意物聯網對現實世界的安全威脅,他是一位駭客,從遊戲發端的駭客,他的名字是 ─ 劉健皓。(責任編輯:張瑋倫)

遊戲中的「上帝」

宅客:請從幼稚園的經歷開始,說說自己怎樣接觸的駭客技術吧。

劉健皓

我是1987年出生的。印像中2000年左右,家裡就買了電腦。所以我在初中高中的時候都喜歡玩電腦,還擔任了計算機課代表。

不過,我對駭客技術的認知,還是要「歸功於」打遊戲。那時候流行的,都是最早的一批網路遊戲:石器時代、魔力寶貝、傳奇等等。

在玩的時候,為了升級和裝備,我就會想到一些作弊的手段。於是我開始上網研究別人寫的外掛程序,還有修改方法。按照帖子裡的方法,一步步通過修改傳輸協議,篡改其中的數據包,然後修改本地的請求,就可以改變我的遊戲參數。

我記得那時候使用過 WPE,一款非常早的網路解包篡改軟體。

宅客:很多人在玩遊戲的時候都會有作弊的嘗試,但是為什麼你最後深入研究駭客技術了呢?

劉健皓:

最初玩遊戲只是為了炫耀一下,但是這使得我接觸到了一些真正的駭客技術。

我對這些技術產生了興趣,於是開始逛各種駭客論壇,包括「Hack58」「邪惡八進制」。在論壇上面經常有一些動畫視頻,照著做就能實現一些攻擊。我最初的駭客技術就是這樣自學的。

那時候「灰鴿子」正在盛行。這是一種遠程控制木馬,把木馬植入對方的電腦上,就可以看到對方屏幕上顯示的內容。由於那個時候大部分都是 ADSL 撥號上網,所以很多主機都直接暴露在公網上。我只要掃描公網地址段,就可以看到大批電腦,然後對它們進行控制。

我記得很清楚,有一次我看到了一個哥們,他的電腦界面是在升級魔獸,並且已經下載了幾 G,我直接把升級窗口給他關閉了。要知道那個時候上網是按流量收錢的,升級眼看就要完成的時候遇到這種事情是很崩潰的。

自己編教材自己學,是一種怎樣的體驗?

宅客:聽說你是中國第一批訊息安全專業的學生。

劉健皓:

我高中畢業的時候,其實有兩個感興趣的方向,一個是研究醫學中的毒理,另一個是研究電腦病毒。

我報考了北大醫學部,清華大學附屬醫科大學,但是分數差了一些。於是我就選擇了另一個方向,當時北大方正軟體技術學院,是中國第一個開設訊息安全專業課程的學校。於是我毫不猶豫地報考了這個專業。

但上學的時候,我才發現,雖然專業名稱叫做訊息安全,但是並沒有相關的課程。我們主要學的依然是網路工程。而當時全北京甚至沒有一個正規的網路安全的教材。

於是,我和幾個網路安全技術還不錯的同學,成為了(在老師名下)編寫教材的主力。這本教材叫做《駭客攻防技術》,在大二的時候就出版了,還拿到了北京市教委的獎。

大三的時候,我們專業終於有了駭客技術的課程。有趣的是,這門課學的正是我們自己剛剛編出的教材。

宅客:自己編教材自己學,體驗如何?

劉健皓:

體驗並不好,我發現老師在用教材上課的時候,經常沒有搞懂書中的意思。有一個案例,我們使用了一個 IPC$ 空口令,就可以直接把木馬植入到對方電腦上,但是老師沒懂,拿著 USB 在班上傳。這其實把我們的設計降低了很多。

從那以後,我們就沒有去上那門課。這導致在年底這門課沒有成績,不過沒關係,我在學校的系統裡,自己把所有的分數都改成了98。老師當然心裡也清楚,不過鑑於我對學校教材的貢獻,最後還是默認了。

三頭六臂的安全研究員

宅客:畢業之後你就順利地成為安全研究員了嗎?

劉健皓:

其實並沒有那麼順利。2008年我在學校的時候,學校就為我推薦了工作,不過是在訊息安全公司裡做客服,主要工作是接電話。。。我決定還是出來找工作。

09年畢業前,我找到了第一份工作,但從事的並不是網路安全,而是網路工程,這是一家包括老闆和老闆娘在內,總共只有五個人的公司。

畢業之後,我終於找到了一份和網路安全相關的工作。那就是在北京安氏領信做訊息安全評估。安氏領信可以說是安全界的黃埔軍校。它的成立比綠盟、啟明星辰、天融信都要早,很多駭客大牛都曾經供職於此。這個時候,我的安全研究員生涯才算正式開始。

宅客:成為真正的安全研究員,應該比作為愛好者的時候面臨更多的困難吧?

劉健皓:

其實,在入職的第二天,我就遇到了非常難的事。

有一家公司為了提高自己業務系統的安全性,找專門的駭客來做滲透測試。而駭客經過努力之後成功地滲透進去,但駭客只告訴對方自己滲透到了什麼位置,而並不透露滲透技巧和漏洞所在。所以作為這家公司的安全供應商,我出現在了他們的機房。

由於這次滲透測試非常接近駭客的真實攻擊,所以我們沒有任何已知的訊息。那次排查非常繁瑣,我們幾個人連續找了兩天兩夜,終於找到了駭客安插的後門。讓我欣慰的是,我們不僅定位了這個漏洞,還找到了很多其他的問題。

宅客:有哪些事情,讓你的安全技術超越了一般人?

劉健皓:

由於那個時候,安全研究員人手非常緊缺。所以我們的安全服務項目有一個原則:一個項目經理全權負責制。也就是說,整個項目,從開始到結束必須由一個人完成。包括收錢,實施,滲透測試,安全評估,基線檢查,漏洞掃描,寫報告,這些本來需要五六個人做的事情,都需要一個人來搞定。

那個時候我非常忙,但是這個經歷對我的提升非常大。從那以後,我對訊息安全評估這件事才有了透徹的認識。這些經歷,成為我後期做漏洞挖掘的基礎。

581ae93723b1f (1)

青澀的劉健皓

保衛運營商

宅客:什麼原因讓你從安全服務人員,轉向了前沿安全技術的研究呢?

劉健皓:

2012 到2013 年的時候,我做了很多安全服務。但是我發現做得多了之後,這就淪為重複性的工作了。我更希望能為公司創造一些新的業務領域。於是我開始研究無線 Wi-Fi 安全方面的技術。

那個時候,很多人都在破解 WPA、WEP 的無線密碼。但是我覺得,在這個領域一定存在一些更通用,影響範圍更廣的安全問題。於是我就開始研究商用無線網路的漏洞。

我的研究對像有:

AP:無線訪問接入點,功能等同於家用 Wi-Fi 路由器

AC:無線控制器,用於統一部署和管理大規模 AP 集群

很多人都使用過運營商提供的 WLAN 服務,這是一套封閉的架構系統。但那時候某運營商是我們的客戶,我正好有條件接觸到這些網路系統和硬體設備。

宅客:你找到的第一個重大漏洞是什麼?

劉健皓:

在2013年的時候,我發現了一個 WLAN 的高危漏洞。利用這個漏洞,攻擊者只需要連接一個 WLAN 的熱點,甚至不用實名登錄,就可以對無線設備發起攻擊。一旦進攻成功,甚至可以攻擊到運營商的核心網路,造成城市大規模斷網。

這應該是錄入國家漏洞庫的全國首例 WLAN 高危漏洞。從那以後,我加入了天融信,主業就變成了「WLAN 系統安全評估」,在業內還是小有名氣的。

宅客:運營商的 WLAN,還存在哪些安全問題呢?

劉健皓:

由於 AC 和 AP 之間,使用的是無線專有協議,研究的門檻比較高,所以研究的人員也很少。後來,我有了一個重大發現。在 AC 管理 AP 的過程中,使用的 CAPWAP 協議存在致命的漏洞。於是我發現了一種攻擊方法:

利用這套協議給 AC 發送畸形數據,只需要幾個包,就可以把AC「打死」。這可以導致 AC 和它管理的上千個 AP 的通訊失效。從而實現「拒絕服務攻擊」。

一旦攻擊成功,將會造成大面積的 WLAN 無法正常工作。

581af4ca291ca

劉健皓團隊桌子上各種的智慧硬體

世上所有的智慧硬體

宅客:為什麼你最終選擇對智慧硬體下手了呢?

劉健皓:

2014年,智慧硬體開始大規模普及。就在這個時候,我加入了360,進入網路攻防實驗室。根據我的安全經驗,我覺得物聯網會在未來迅速普及,成為互聯網的基礎設施。

對於網路協議漏洞的挖掘,正是我這些年一直在做的事情。就是在那個時候,我開始關注雷鋒網,從評測中發現有趣的智慧硬體設備,然后買來研究。在14-15年之間,我研究了大量的智慧硬體設備,這幾乎包括了市面上所有的產品。

研究之後我發現,中國的智慧硬體存在很多安全問題。例如,我們破解了一個攝像頭,很有可能直接橫向控制這個品牌的所有設備,這個數量是驚人的。所以我們在2014年就發出了報告,預言當這種不安全的智慧硬體被大規模使用的時候,一定會危及互聯網安全。今年發生的美國大斷網事件,就印證了我兩年前的擔憂。

宅客:研究智慧硬體安全,難度在哪呢?

劉健皓:

智慧硬體涵蓋的領域比較廣,包括應用、網路、協議和硬體等等。研究起來,需要融合很多方面的技巧。剛開始的時候,並沒有現成的研究套路可以藉鑑。而智慧硬體的種類又非常多,所以我的方法就是:

買來智慧硬體,先加載起來自己用。在使用的過程中,根據自己的敏感度來判斷哪裡有漏洞。

這種方法帶有很大的隨機性,所以一開始是走了很多的彎路的。

但是,一旦掌握了某類硬體的研究方法,就可以知道在哪些方面容易存在漏洞,根據這個,我們就可以建立起來一個研究框架,之後的研究就順利了。

581af4b662856

劉健皓和美國汽車駭客查理·米勒和瓦拉塞克

搞定特斯拉

宅客:當初為什麼要去研究特斯拉呢?

劉健皓:

汽車也屬於智慧硬體/物聯網設備的範圍。而且,我從小就喜歡車,周圍也有很多喜歡玩車、改車的朋友。我並不玩改裝車,但覺得用電腦來操控一輛車也很酷。

其實,我一直想要破解智慧汽車,只不過在一開始,智慧汽車沒有如此普及,有時也不容易接觸到。於是我選擇先研究智慧硬體,為汽車的研究打基礎。

在我加入360 之後不久,需要負責2014年7月舉行的特斯拉破解比賽。為了制定規則,我必須自己預先破解一遍。就這樣,我不小心成為了全球第一個破解特斯拉的人。

我對於特斯拉的破解,大概是這樣的:

只需要車主點擊我發過去的一個鏈接,我就可以拿到車主的 App 登錄身份,實現不用鑰匙打開車門。而特斯拉在行駛過程,需要鑰匙不斷發出「心跳訊號」,以確認車主的鑰匙在車上。我利用電腦模擬這些訊號,就可以正常駕駛特斯拉了。

在我之前,有國內外的駭客對特斯拉進行過研究,但是沒有破解得這麼具體。

宅客:最近,你又因為發現了特斯拉傳感器的安全問題再次被頻繁曝光。

劉健皓:

有了之前的研究基礎,我們決定做一些深入的研究,成立了360 汽車安全實驗室。

特斯拉的「輔助駕駛」系統,需要通過分佈在車周圍的傳感器來收集周圍的環境訊息。而我們通過發射特定的干擾訊號,可以攻擊這些傳感器,讓它們感受到不存在的障礙物,或者直接失靈,無法感知障礙。

在今年美國的 DEF CON 駭客大會上,我也講了這個破解的詳細訊息。

特斯拉的車主,如果對於汽車傳感器的盲區和特性有所了解的話,就會避免很多悲劇發生。所以我們最近在舉行活動,為特斯拉車主做一些安全駕駛培訓。

581af1b4f3ccb

劉健皓(畫右)和研究夥伴 閆琛(畫左)

如何成為劉健皓

宅客:大多數駭客,都迷戀破解的感覺,但是你似乎更喜歡守護網路安全。

劉健皓:

我之前面試過一個人,他的能力很強。他告訴我,「一個系統會因為我的存在而變得不安全」。我覺得這樣的價值觀很可怕,一個人做網路安全,應該是為了讓這個世界更安全。

我研究智慧硬體的安全,也是想提高整個行業的安全能力。

讓人難過的是,今年美國大斷網事件中,遭到駭客控制的智慧攝像頭設備,大部分都來自於中國的廠商。如果現在還不採取措施的話,將來中國的智慧硬體在國際上的競爭力就會下降。所以,智慧硬體安全研究非常重要。

宅客:對於想成為安全研究員的朋友,你有什麼建議?

劉健皓:

我覺得網路安全從業者的目標應該分為兩類:專家和雜家。

你可以在某個特定方面成為專家,在全球的技術能排在 Top 10 以內。這就需要你花很多時間在這個領域。這一方面需要智商,一方面需要悟性。

而雜家是對網路安全的各個方向都有一定的研究。這樣的人同樣可以解決很多問題。在網路安全領域,雜家和專家的價值是一樣的。但是成為雜家,所需要的時間成本並沒有那麼高。

我覺得,相比專家,我更是一個雜家。物聯網技術就是一門很混雜的技術,如果花時間深入研究,很多安全的知識面就都可以覆蓋了。如果想成為「雜家」,物聯網安全是一個很好的入口。

宅客:研究物聯網安全方面,你有什麼經驗嗎?

劉健皓:

其實智慧硬體研究的技術並不是最難的,想法和思路才是主要的。

最近,我和團隊剛剛寫了一本書,名字叫做《智慧硬體安全》,在裡面我們把這兩年對所有智慧硬體的研究方法,包括汽車的破解思路都分享出來了,書不厚,但是不便宜(笑),因為裡面全是乾貨。

在去年 Hackpwn 駭客大賽舉辦之前,有一些參賽選手來諮詢我們。他們想要破解一款智慧電視,但是對固件和系統進行了傳統的漏洞掃描和滲透測試之後,並沒有發現問題。

我發現,他在走我們走過的彎路,就是進攻思路的問題。我並沒有直接幫助他們,而是從身份鑑權,加密傳輸,訪問控制這三個方向做了分享,他們回去之後,就順利發現了一些漏洞。

對於想要研究智慧硬體安全的朋友,我有兩個建議:

首先是一定不要利用漏洞和破解方法去危害社會。

其次是研究過程不能只看書,一定要多動手,實際操作。

後記

世人只會記住世界最高峰的名字,而第二高峰籍籍無名。

破解特斯拉第一人,是劉健皓身上的光環。

相比光環,劉健皓顯然更在意物聯網世界真實的安全威脅。從 WLAN 到智慧硬體到智慧駕駛安全,某些時刻,他更像一個先知,獨自抵抗著世人還未意識到的危險。

智慧硬體讓全美斷網,駭客組織左右總統競選。這些最近發生的可怕事實,讓我們對一個安全世界的渴求從未如此強烈。

據此,劉健皓的經歷和憂思,或許值得駐足玩味。

(本文經合作夥伴雷鋒網授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為〈人物誌| “特斯拉破解第一人”劉健皓:我怎樣成為一個黑客〉。)

延伸閱讀

【興趣是把全世界天才踩在腳下】破解 iPhone 和 PS3 小菜一碟,紫雨創造人挑戰特斯拉自駕技術
破過哀鳳、創造紫雨》天才駭客這次親自編碼,要打造出比 Tesla 還強的無人車
【下一站:地獄?】特斯拉最大漏洞被駭,你的無人車就是駭客的玩具遙控車