黑客教父万涛:智能硬件的“黑产”一定会出现-阿里云开发者社区

开发者社区> boxti> 正文

黑客教父万涛:智能硬件的“黑产”一定会出现

简介:
+关注继续查看
   
   2001年,以中美撞机事件为契机,爆发了中美两国黑客互攻对方网站的“网络战争”,“红客”一词由那时变得家喻户晓。在中国年轻的红客队伍中,万涛的形象被热血和激荡定格了下来,成为了代号“老鹰”的“黑客教父”。

黑客教父万涛:智能硬件的黑产一定会出现

万涛

转眼2015年,自从万涛“一战成名”已经过去了14年之久。第一代黑客的孩子都会打酱油了,这个当年的“Angry young man”也在岁月的磨刀霍霍下变成了如今的“坏叔叔”。

安全文化的布道者

有人说我总在谈文化。但我觉得相比于安全技术,安全文化是更为重要的,尤其是在一个安全文化基础缺失的国家。

采访的过程中,万涛反复强调他心中的“安全文化”。比起“黑客”,对万涛更准确的定位可能是“黑客的精神领袖”。他是黑客圈中文化谈得最好,文化圈中黑客技术最棒的人。从早期建立“鹰盟”(全称中国鹰派联盟,名噪一时的黑客爱国组织)在国际事件中为中国发声,到改组为“益云”公益平台做网络公益,建立威胁情报分析小组“IDF实验室”培养安全人员,万涛试图用自己的行为为黑客们找到一条“精忠报国”“自我实现”的路径。

在这一过程中,有人深受鼓舞,也有人觉得他婆婆妈妈。然而他却不以为意,在他心中,中国的安全文化需要有人奔走呼号。

所谓的安全文化基础缺失,不只是网络安全。食品卫生没保障、暴雨积水点没有标识、偷井盖、行人闯红灯、驾驶员超速,这些都是因为公众没有对安全给予应有的重视。

作为安全文化的“布道者”,万涛涉猎了诸多安全领域。从去年开始,他又找到了一块安全领域的处女地——智能硬件。

为了做研究,万涛的家已经被智能硬件所“包围”。各式路由器、安防装置、监控摄像头、智能插座甚至智能养花设备,单是这些硬件的配套App就在他的iPhone上占了好几屏(所以他的iPhone一定不是乞丐版的16G)。为了研究设备安全,他经常会把家中的网络搞瘫痪,目前家人已经“勒令”他和团队租下一栋别墅,专门搞智能硬件研究。

黑客教父万涛:智能硬件的黑产一定会出现

万涛家中的智能硬件环境

智能硬件的“黑产”一定会出现

有人说互联网还在“草莽”阶段,安全威胁只是“没有牙的老虎”,万涛表示不能认同。

在他的眼里,“物理接入”的智能硬件比“虚拟接入”的网络世界更具杀伤力。他为雷锋网列举了一些智能硬件的威胁:

1、信息误导。黑客人贩可以入侵儿童的安全手表,更改GPS信息,让信任手表的家长以为孩子还在回家的路上。通过类似手段同样可以窃取无人机等设备。


2、物理伤害。通过控制智能插座,让正在从事一些精密活动的人被设备伤害;或者入侵微波炉或类似的智能设备,造成爆炸、火灾等直接伤害。

“以前偷东西很麻烦,还要踩点摸主人的活动规律,现在只要入侵你的智能摄像头,就知道你是不是在家了。”

目前智能硬件的设计潮流是体验要“轻”,于是造成人的选择较少,设备的自主权很大。万涛认为,这样的设计理念造成了入侵设备的途径更多。而最为严重的是,目前大多数智能硬件的安全极其脆弱,甚至是“令人发指”的空白。

“你可以不用微信,但是你身边的人都用了微信,你就必须用。你也可以不用智能摄像头,但是当你周围的环境充满了智能摄像头,你用不用也没有区别了。”万涛坚信智能硬件会充斥整个社会环境,这一点是不以个人的意志为转移的,而在这样的环境下,每个人都是受到威胁的。“你以为你是个屌丝,就没人搞你吗?无数个屌丝的隐私数据放在一起,就会产生商业价值。所以基于智能硬件的“黑产”一定会出现。不是我们现在教育用户,就是黑产未来教育用户。”

很多智能硬件都是被人随身携带,或者放在家里,它给予黑客更精准的定位信息。而且一般的智能硬件一旦被使用,就会用很长时间,所以黑客可以拿到比你想象中更多的隐私信息。用这些信息来进行诈骗,将是非常难以防御的。也许在未来,你是否“受骗”已经和“智商”无关了。

万涛在想象中模拟了一些黑色产业攻击场景:

1、通过摄像头追踪被攻击者的行为习惯,再通过他的设备定位其经常出没的咖啡厅,在咖啡厅设立钓鱼Wi-Fi进行隐私窃取。


2、通过远程攻击锁定被攻击者的手机/智能门锁,向被攻击者发出敲诈信息,交钱解锁。


3、攻击办公楼的智能电梯,让电梯停靠在禁停楼层或异常上下,从而实现盗窃、敲诈等目的。

这个曾“历经风雨”的黑客预言,只要用户基数足够大,这些现在发生在实验室中的攻击就会出现在现实中。

黑客教父万涛:智能硬件的黑产一定会出现

万涛家中的一些智能硬件

安全的成本有多高?

很多硬件创业企业都在把生存作为目标,对于安全投入选择了战术上的放弃。作为一个安全文化的捍卫者,万涛对这样的选择表示难以理解。

“同等的配置下,买车我一定会买沃尔沃,因为更安全。”在他的观念中,安全不是成本,而是卖点。“平心而论,企业在产品安全性上的投入不会成为主要成本,轻视安全研究一定是主观的因素更大。”

他认为现在大众觉得硬件相对安全,只是由于缺乏手段去验证自己设备的脆弱。他向雷锋网(公众号:雷锋网)透露,为了让这种风险“可视化”,他和团队正在研究一款“安全评估”类的智能硬件,让安全威胁可以像“PM2.5指数”一样可以看得到。至于产品的细节和具体发布时间,万涛表示目前还不能透露。

无论是做黑客大会的评委,还是研究安全硬件产品,万涛都欣然赴战。两个多小时的采访,他口若悬河,仿佛用“绳命”为安全布道。某一瞬间,他看起来就像一个“预言者”,从未来世界归来,在向麻木的人们诉说着他“亲眼所见”的忧患。

也正是在这一瞬间,当年的热血青年分明又回到了眼前。

   
 
  本文作者:史中

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
8644 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
11016 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10473 0
使用SSH远程登录阿里云ECS服务器
远程连接服务器以及配置环境
2294 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
12295 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
4572 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
6629 0
+关注
boxti
12535
10037
文章
1327
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载