作者| Cici

編輯| 吳懟懟

一個(gè)多世紀(jì)以前，馬克斯·韋伯的《新教倫理與資本主義精神》成為對(duì)工業(yè)時(shí)代的精神的經(jīng)典闡述。21世紀(jì)，在信息時(shí)代的代表人物眼里，黑客精神將反叛舊日的新教倫理，成為新的時(shí)代精神。黑客代表一種充滿激情和創(chuàng)造力的態(tài)度。你即使從未使用過(guò)計(jì)算機(jī)，也可能是一名黑客。

這是曾經(jīng)的技術(shù)神童，現(xiàn)在工作于赫爾辛基大學(xué)和美國(guó)加利福尼亞大學(xué)伯克利分校的派卡·海曼在其《黑客倫理與信息時(shí)代精神》一書(shū)中所提出的觀點(diǎn)。

為這本書(shū)寫(xiě)序且貢獻(xiàn)卓著的另外兩個(gè)人鼎鼎大名，一位是李納斯·托沃茲，計(jì)算機(jī)行業(yè)內(nèi)最受尊敬的黑客之一，Linux操作系統(tǒng)的創(chuàng)始人，另一位是《信息時(shí)代》的作者曼紐爾·卡斯特斯。

在他們看來(lái)，最初的黑客精神，行為主要不是由金錢，而是創(chuàng)造一個(gè)同行社區(qū)認(rèn)為有價(jià)值的事物的欲望所激發(fā)的。對(duì)新教工作倫理而言，工作被看成一種必須做而必須做的義務(wù)。

但在黑客精神中，你必須去關(guān)懷，你必須去玩，你必須心甘情愿去探索。對(duì)黑客而言，計(jì)算機(jī)不是賺錢的工具，計(jì)算機(jī)本身是一種熱愛(ài)，一種社交，計(jì)算機(jī)就是創(chuàng)造力，就是世界的窗戶。

我們已經(jīng)見(jiàn)證了眾多探路的黑客用計(jì)算機(jī)改變世界，我們也在眾多科幻小說(shuō)和影視作品里看到黑客的身影。而實(shí)際上，黑客并沒(méi)有那么遙遠(yuǎn)，黑客就在我們身邊。

GeekPwn（國(guó)際安全極客大賽）就是那個(gè)承載黑客精神的「社區(qū)」之一。如果你去過(guò)一次GeekPwn現(xiàn)場(chǎng)，就可以體會(huì)到極客群體對(duì)于技術(shù)瘋狂的熱愛(ài)，以及極客群體在背后默默做的事情，其實(shí)深切影響了我們的生活以及社會(huì)的進(jìn)程。

01

1024只屬于極客

互聯(lián)網(wǎng)從業(yè)者們對(duì)數(shù)字極為敏感，一些和數(shù)字有關(guān)的節(jié)日和「?！闺S著這幾年國(guó)內(nèi)互聯(lián)網(wǎng)的蓬勃發(fā)展已經(jīng)深入人心。在10月24日民間程序員節(jié)這天，GeekPwn 國(guó)際安全極客大賽在上海迎來(lái)五周年第十屆。

早晨9點(diǎn)不到，已經(jīng)有非常多的觀眾結(jié)伴組隊(duì)而來(lái)，還有不少人拖著行李箱趕來(lái)。如果你是一個(gè)非互聯(lián)網(wǎng)技術(shù)從業(yè)者，一定會(huì)很好奇，一個(gè)名字聽(tīng)起來(lái)「不明覺(jué)厲」的安全攻防大賽為什么有這樣大的吸引力？

自第一屆起，GeekPwn就開(kāi)始發(fā)現(xiàn)培養(yǎng)安全人才，已經(jīng)向安全圈輸出了大批安全技術(shù)骨干力量，而賽事本身也在不斷求新求變，在消費(fèi)電子、智能家電、機(jī)器人、AI、大數(shù)據(jù)等領(lǐng)域都有卓越的安全貢獻(xiàn)。

在過(guò)去GeekPwn的舞臺(tái)上，參賽選手和場(chǎng)下觀眾幾乎是全程處于亢奮狀態(tài)，因?yàn)樗麄冊(cè)谶@里見(jiàn)證最新的iOS系統(tǒng)被破解，第一次特斯拉被破解，第一次POS機(jī)被盜刷等等的「第一次」。

這些是每屆極客大賽的高光，但大牛蛙（GeekPwn發(fā)起人）卻說(shuō)，今年的極客大賽有些不一樣。

2018年，極客大賽提出將時(shí)間背景放在2049，討論當(dāng)奇點(diǎn)來(lái)臨，人類被失控的人工智能控制后如何應(yīng)對(duì)。黑客可能是拯救人類的最后機(jī)會(huì)。今年，比賽變了，不變的是黑客使命和精神的延續(xù)。大牛蛙說(shuō)，「我們承認(rèn)數(shù)字化世界帶給我們的美好，也承認(rèn)數(shù)字化世界帶給我們的不美好?！乖诋?dāng)下，我們是否能夠通過(guò)消滅現(xiàn)實(shí)當(dāng)中的不完美，來(lái)實(shí)現(xiàn)完美的未來(lái)，一個(gè)安全的未來(lái)？

即便你是一個(gè)不懂技術(shù)更不懂安全的普通用戶，也能在在這里找到了非常多自己正在關(guān)心的議題。無(wú)論是主會(huì)場(chǎng)的不同主題的現(xiàn)場(chǎng)安全比賽，還是華為200萬(wàn)重金求漏洞、騰訊云拿出150萬(wàn)獎(jiǎng)金池給安全研究者,抑或是外部展臺(tái)各個(gè)廠商提供幾十萬(wàn)元獎(jiǎng)金支持參會(huì)者找出技術(shù)漏洞，它們都與現(xiàn)實(shí)生活的安全息息相關(guān)。

都說(shuō)極客是孤獨(dú)的，是喜歡宅著的，那可能是我們的誤讀。今年的極客大賽充滿社交屬性和屬于程序員的萌點(diǎn)，比如帶著閃著不同顏色燈的胸牌的參會(huì)者，就踴躍在現(xiàn)場(chǎng)進(jìn)行交互點(diǎn)亮。都說(shuō)互聯(lián)網(wǎng)從業(yè)者不善社交，但他們?yōu)榱思R顏色「召喚神龍」，一點(diǎn)都不羞澀。

與他們的交談也進(jìn)一步解答了我的疑問(wèn)，這個(gè)大賽的吸引力在哪里？

有兩位男生正是從廈門遠(yuǎn)道而來(lái)，工作都與安全相關(guān)。他們提到主會(huì)場(chǎng)第一個(gè)現(xiàn)場(chǎng)比賽，即圖像對(duì)抗樣本挑戰(zhàn)賽，也就是利用對(duì)圖片的修改欺騙人工智能。讓AI犯錯(cuò)，這也是GeekPwn的傳統(tǒng)項(xiàng)目。人工智能對(duì)圖片的辨別機(jī)制與我們大腦并不相同，在評(píng)委的解釋下，可以理解成這是一場(chǎng)基于數(shù)字、夾角、距離和坐標(biāo)的欺騙「游戲」。

當(dāng)然，實(shí)際操作并沒(méi)有那么簡(jiǎn)單。多個(gè)戰(zhàn)隊(duì)成功利用圖片對(duì)抗樣本針對(duì)圖像分類器發(fā)起攻擊，最后，TSAIL戰(zhàn)隊(duì)在第三關(guān)「人臉識(shí)別攻擊」中用圖片成功欺騙Clarifai人臉識(shí)別系統(tǒng)，讓AI將黃健翔識(shí)別成了「美國(guó)第一千金「伊萬(wàn)卡」，并最終以229.77分的累計(jì)得分，成功拿到GeekPwn2019 CAAD CTF圖像對(duì)抗樣本攻防賽的第一名。

02

解決問(wèn)題的俠客或社會(huì)的瞭望者

如果平時(shí)關(guān)注新聞、隱私以及安全，一定不會(huì)錯(cuò)過(guò)幾天前的一條新聞：一名科技博主利用專業(yè)設(shè)備，在一間布滿80多個(gè)針孔攝像頭的房間挑戰(zhàn)反偷拍，但還是沒(méi)能找到其中的大多數(shù)。

這場(chǎng)挑戰(zhàn)的發(fā)起者正是GeekPwn。

關(guān)于反偷拍，不由讓我想到去年夏天的經(jīng)歷。當(dāng)我抵達(dá)臺(tái)北進(jìn)入捷運(yùn)站后，第一件驚訝的事是竟然不用安檢，第二件事則是站內(nèi)的公廁幾乎都貼著標(biāo)語(yǔ)：已進(jìn)行反偷拍檢測(cè)。

后來(lái)我回來(lái)查了一次，發(fā)現(xiàn)大概是這樣的機(jī)制：每月至少一次例行反針孔攝像偵測(cè)，另外還有每月1-2次不定期偵測(cè)。

但這個(gè)頻率以及技術(shù)層面已經(jīng)在韓國(guó)被證實(shí)并不夠用。2012年-2017年，韓國(guó)偷拍案件從2400起上升到6470起。50名政府員工需要負(fù)責(zé)檢查首爾的超過(guò)2萬(wàn)間公廁，檢查結(jié)果卻都顯示2016和2017兩年內(nèi)沒(méi)有發(fā)現(xiàn)任何偷拍攝像頭。

在極客大賽現(xiàn)場(chǎng)，關(guān)于反偷拍也有一場(chǎng)比賽。在25平米的場(chǎng)地中，一共有近二十個(gè)攝像頭，這些攝像頭被GeekPwn重新設(shè)計(jì)，提升勘測(cè)難度，組委會(huì)甚至“變態(tài)”到用若干智能設(shè)備和降溫系統(tǒng)來(lái)迷惑選手。

在之前，普通用戶以及科技博主都以物理方法為主：觀察房間內(nèi)可疑物品、借助輔助設(shè)備進(jìn)行確認(rèn)。但在現(xiàn)場(chǎng)難度卻被大大提升，所有物品都被布簾覆蓋，選手無(wú)法通過(guò)肉眼判斷攝像頭是否存在，需要成為靠技術(shù)說(shuō)話的硬核「閉眼玩家」。

識(shí)別盡可能多，而且不允許識(shí)別錯(cuò)誤，在評(píng)委看來(lái)，很難達(dá)到一種平衡，有的團(tuán)隊(duì)技術(shù)很好準(zhǔn)確率很高，但是識(shí)別出的數(shù)量太少。最終，所有參賽選手均沒(méi)有達(dá)到比賽要求的最低得分，沒(méi)有團(tuán)隊(duì)獲獎(jiǎng)。

盡管本年度的挑戰(zhàn)以失敗告終，看起來(lái)目前沒(méi)沒(méi)有最好的解決方案，但這卻提醒了我們問(wèn)題存在的嚴(yán)重性。偷拍產(chǎn)業(yè)鏈逐漸浮出水面，已成為社會(huì)之痛。暴露問(wèn)題引起關(guān)注，未嘗不是吸引更多安全從業(yè)者在未來(lái)投入技術(shù)解決問(wèn)題的好方法。

另一件事有關(guān)假新聞。

關(guān)于假新聞的產(chǎn)生機(jī)制其實(shí)主要有兩種。一種是對(duì)關(guān)鍵事實(shí)的篡改，這主要由媒體、記者承擔(dān)責(zé)任。另一種是因?yàn)榧夹g(shù)漏洞，網(wǎng)站被攻擊或是賬號(hào)被盜產(chǎn)生了黑客想要大家看到的假新聞。

現(xiàn)場(chǎng)一支韓國(guó)團(tuán)隊(duì)向我們展示了這種方式。如果描述這個(gè)過(guò)程，那就是寫(xiě)代碼只花1分鐘，翻譯溝通確認(rèn)花了3分鐘，一條黃健翔整容的新聞就出現(xiàn)在了網(wǎng)站上。

主持人黃健翔問(wèn)了一個(gè)我很想知道的問(wèn)題：作為小白，如何知道我們家里的設(shè)備被黑？

評(píng)委陳良現(xiàn)場(chǎng)回答說(shuō)，如果這個(gè)設(shè)備真的是被攻破或者是通過(guò)一些高級(jí)的手段做一些隱匿的植入一些「后門」，你完全沒(méi)有辦法察覺(jué)到它存在。也就是說(shuō)，廠商此時(shí)肩負(fù)更大責(zé)任，應(yīng)該更加積極的響應(yīng)這些問(wèn)題修補(bǔ)技術(shù)漏洞，作為用戶一定要勤于更新，規(guī)避一些風(fēng)險(xiǎn)。

另一個(gè)層面，這也是極客精神的體現(xiàn)。安全永遠(yuǎn)是相對(duì)的，極客們有時(shí)候是一個(gè)俠客，可以出手解決問(wèn)題；有時(shí)候又像是社會(huì)這艘航船上的瞭望者，及時(shí)發(fā)現(xiàn)暗礁與島嶼。

03

有時(shí)是一個(gè)人的打怪升級(jí)

更多是一群人的協(xié)作互助

1984年，伯瑞爾·史密斯在第一屆世界黑客大會(huì)上說(shuō)，任何職業(yè)者都可以是黑客，你可以是個(gè)木匠黑客；它與高科技無(wú)關(guān)，只要你無(wú)比關(guān)心你手中的產(chǎn)品就表明你是個(gè)成功的黑客。

黑客本身就是超脫于工作本身存在的。記得去年，騰訊安全玄武實(shí)驗(yàn)室首次披露了在安卓手機(jī)中普遍應(yīng)用的屏下指紋技術(shù)的嚴(yán)重漏洞——「殘跡重用」漏洞。這一漏洞源頭并非手機(jī)廠商，而是屏下指紋芯片廠商，屬于屏下指紋技術(shù)設(shè)計(jì)層面的問(wèn)題。利用該漏洞，攻擊者只需一秒鐘就可解鎖手機(jī)。

玄武實(shí)驗(yàn)室的掌門「TK 教主」于旸就是業(yè)內(nèi)知名的白帽子。他曾在2016 年發(fā)現(xiàn)了微軟歷史上影響最廣泛的漏洞。現(xiàn)在他不是一個(gè)人戰(zhàn)斗，而是領(lǐng)銜了了一個(gè)「門派」——被稱為 「漏洞挖掘機(jī)」的玄武實(shí)驗(yàn)室。這個(gè)實(shí)驗(yàn)室的安全員馬彬和陳昱曾搭檔發(fā)現(xiàn)了iPhone 的Face ID技術(shù)漏洞。

今年，陳昱又在GeekPwn 2019攻破了超聲波屏下指紋識(shí)別技術(shù)，這也是國(guó)際首次。整個(gè)過(guò)程是驚險(xiǎn)刺激且直白的，在觀眾接觸過(guò)一個(gè)玻璃水杯后，陳昱先是拿出手機(jī)拍攝觀眾留存在水杯上的指紋，隨后在手機(jī)上調(diào)試之后「克隆」了一個(gè)全新的指紋，利用這個(gè)「新指紋」通過(guò)了該觀眾提前錄好指紋的3臺(tái)手機(jī)和2臺(tái)考勤機(jī)的指紋識(shí)別，一共破解了使用電容、光學(xué)和超聲波三種技術(shù)類型的指紋驗(yàn)證設(shè)備。

對(duì)于TK、陳昱、馬彬這樣的極客來(lái)說(shuō)，挖掘漏洞是一個(gè)打怪升級(jí)的過(guò)程。而修復(fù)漏洞，其實(shí)是多方聯(lián)合協(xié)作的過(guò)程。關(guān)于GeekPwn，有一條很重要，選手在現(xiàn)場(chǎng)展示的攻克漏洞，會(huì)在第一時(shí)間內(nèi)告知廠家。這意味著大賽除了用技術(shù)解決現(xiàn)實(shí)問(wèn)題之外的最大優(yōu)勢(shì)，它是合法、安全且全面的。

比如去年在展示「殘跡重用」漏洞之前，安全玄武實(shí)驗(yàn)室就已經(jīng)通過(guò)和手機(jī)廠商及上游芯片供應(yīng)鏈的協(xié)作聯(lián)動(dòng)，修復(fù)了這個(gè)漏洞。今年的指紋識(shí)別問(wèn)題，玄武實(shí)驗(yàn)室也已與多家指紋驗(yàn)證設(shè)備提供商進(jìn)行溝通，推動(dòng)解決。

除了面部和識(shí)別方面的安全與我們的實(shí)際生活日益密切，云安全也是一個(gè)繞不開(kāi)的話題。此前Facebook大面積的用戶隱私泄露，引發(fā)了世界范圍內(nèi)的恐慌。

當(dāng)云成為重要的基礎(chǔ)設(shè)施，成為萬(wàn)物的底層后，其安全的重要性不言而喻。

在GeekPwn 2019，就有全世界首個(gè)基于真實(shí)通用云環(huán)境的安全挑戰(zhàn)賽?！毒W(wǎng)絡(luò)安全法》實(shí)施后，對(duì)于白帽子來(lái)說(shuō)，限制更加嚴(yán)格。白帽子修復(fù)網(wǎng)絡(luò)漏洞的前提，是發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，而對(duì)自身發(fā)掘漏洞行為是否合法，如何合法地繼續(xù)展開(kāi)漏洞挖掘工作，是白帽子面臨的一個(gè)重要問(wèn)題。

為了促成此次比賽順利進(jìn)行，騰訊安全云鼎團(tuán)隊(duì)聯(lián)合GeekPwn團(tuán)隊(duì)設(shè)計(jì)了幾十套方案，三個(gè)多月封閉作戰(zhàn)，甚至投入幾百萬(wàn)費(fèi)用去搭建一個(gè)真實(shí)的、適用于選手比賽的云上環(huán)境，并且完全復(fù)現(xiàn)主流云平臺(tái)的架構(gòu)、技術(shù)和系統(tǒng)軟硬件環(huán)境。

在云安全挑戰(zhàn)賽現(xiàn)場(chǎng)，前期100多支報(bào)名隊(duì)伍中選出來(lái)的6支隊(duì)伍發(fā)起了11750次攻擊，最好的成績(jī)是攻克到16道有效賽題中的第9道，最終未能有戰(zhàn)隊(duì)突破最后一個(gè)級(jí)別的挑戰(zhàn)。

這個(gè)結(jié)果其實(shí)在云鼎實(shí)驗(yàn)室的預(yù)料之中。云計(jì)算技術(shù)復(fù)雜、體系龐大,網(wǎng)絡(luò)安全研究人員自己想廣泛深入研究較為困難。這也就是為什么云鼎實(shí)驗(yàn)室要聯(lián)合GeekPwn搭建這樣一個(gè)比賽平臺(tái)，這樣做不僅為研究人員提供了一個(gè)真實(shí)環(huán)境的平臺(tái),同時(shí)因?yàn)楦采w環(huán)節(jié)全面,更有利于研究人員的實(shí)踐。

中國(guó)信通院發(fā)布的《云計(jì)算發(fā)展白皮書(shū)(2019)》談到，目前，我國(guó)云安全產(chǎn)品不斷豐富，促進(jìn)了云用戶安全防護(hù)水平的極大提升。一方面，云計(jì)算廠商在強(qiáng)化自身安全能力的同時(shí)，紛紛將自身安全能力產(chǎn)品化輸出；另一方面，安全廠商積極布局云計(jì)算安全解決方案，將積累的豐富安全經(jīng)驗(yàn)適配于云環(huán)境。

事實(shí)上，騰訊、華為、小米等廠商就是這么做的。為應(yīng)對(duì)產(chǎn)業(yè)互聯(lián)網(wǎng)環(huán)境下的安全問(wèn)題，騰訊安全協(xié)同騰訊云，共同構(gòu)建了「一個(gè)基礎(chǔ)底座，兩個(gè)安全中臺(tái)，攻防兩面一體」的核心安全能力，為產(chǎn)業(yè)打造更安全的云環(huán)境?？梢钥吹剑酌焙诳筒辉偈枪萝妸^戰(zhàn)，他們?cè)絹?lái)越重視協(xié)作，為企業(yè)和硬件的安全性做更多的努力。

正如GeekPwn創(chuàng)始人大牛蛙所言，每個(gè)頂級(jí)的黑客都是藝術(shù)家，他們享受那種破解的成就感。對(duì)于黑客白帽而言，他們?cè)?jīng)是數(shù)字時(shí)代的冒險(xiǎn)家與探險(xiǎn)者，是依靠個(gè)人創(chuàng)造力為社會(huì)解決問(wèn)題的斗士和俠客。如今，他們依靠全產(chǎn)業(yè)的協(xié)作和守望相助，成為數(shù)字經(jīng)濟(jì)時(shí)代的建筑師。

吳懟懟工作室原創(chuàng)出品

吳懟懟，自媒體藝人，人人都是產(chǎn)品經(jīng)理2017年度作者，新榜2018年度商業(yè)觀察者，騰訊全媒派榮譽(yù)導(dǎo)師，虎嗅、36氪、鈦媒體、數(shù)英等專欄作者。

原標(biāo)題：《我在GeekPwn中看到的極客精神》

閱讀原文