|
编辑 张耀疆 文 椰 子 360网络攻防实验室负责人,补天平台负责人,全球破解特斯拉第一人,社会工程学专家,福州大学客座教授……这些迥然各异的头衔怎么会集中在林伟一个人的身上?他究竟是怎样的人?做过什么特别的事情?有着怎样的奇思妙想? 本期安在访谈,就让我们一起走进林伟那个“很有意思”的世界吧。 以下对话,张为张耀疆,林为林伟。 他是补天平台负责人 张:近期补天平台刚刚有过全新发布,就先介绍一下补天平台的情况吧? 林:补天平台我是在2015年初接手的,接手后有了一些转变。总体来看,报的漏洞数量更多,也更加聚焦了。白帽子数量也有很大增长,现在,在补天平台上有超过20000个白帽子。 现在的模式是,企业通过预付费的方式参与进来,相当于我在这里帮他建立了一个SRC。这种模式是在2015年4月调整出来的,之前还是传统的方式,也就是我们自己掏钱来收漏洞,然后报给厂商,花了大概几百万,但厂商并不买账:我没有授权给你,你凭什么收我的漏洞?还对外发布?实际上,很多企业是有需求的,他们需要能及时发现并解决问题,只是并非所有企业都有能力来建立自己的SRC,那我们就帮他们建立这种第三方的SRC平台,厂商逐渐就意识到了好处。 此外,我们即将推出一种众测服务,毕竟SRC是付费收漏洞,有可能变相成为火力吸引点,而众测可以解决这个问题。我们会从平台20000名白帽子中甄选出几十个人来为企业做测试,覆盖面会很广,包括手机APP、网站、操作系统、应用软件、智能设备等,甚至汽车都可以,我们的服务会更加精确,同时并不公开。 做漏洞发布平台其实挺微妙的,如果不能形成权威性,厂商不会重视你,但如果做的多了,又可能对企业安全形成某种“伤害”。在没做补天之前,我是和其他漏洞平台直接对接的,我很清楚厂商的立场和思维。 我们做补天,是要兼顾企业和白帽子的感受。白帽子需要获得荣誉,比如企业致谢和国家证书,同时还有收入。当然,不像其他平台,补天因为是不公开漏洞细节的,所以白帽子不能直接从我们发布的漏洞中学到东西,那我们就做了安全播报,希望通过各种渠道为白帽子提供知识。此外,我们和i春秋合作,给白帽子发放免费学习账号,这都有助于白帽子提升技能。 做补天另外一个好处,大家都知道,360专注于安全的能力被业界公认,我们在做漏洞平台时,就会提供专业的修复方案。白帽子懂得挖漏洞却不一定懂得修漏洞,而我们则可以从企业的角度提供更好的方案。 张:早前听说好像补天和乌云之间曾有些风波?比如互爆漏洞什么的? 林:其实是这样的,可能对有些白帽子来说,他手里有乌云的漏洞,影响力还蛮大的,但他也许考虑的是,如果发给乌云,会不会被弱化处理?那干脆就报给补天好了。同样的,也会有白帽子这么看我们。从长远来看,这是有助于生态环境建设的,如果既做运动员又做裁判,会不利于整个行业的发展。 张:漏洞发布和众测平台现在很多,你认为各个平台的未来会怎样? 林:从几家平台的关系来看,未来会比较和平。从生态圈的角度来说,大家都不希望对方死掉,而是会从自己的角度找到了自己的定位,最终各取所需。不过,现在各个平台都处于一个转折阶段,就看各家转型做得如何了。补天会更偏向于做企业安全。 他是360网络安全攻防实验室负责人,他破解了特斯拉 张:除了补天,你还是360网络安全攻防实验室负责人,也是成绩斐然呀,比如破解特斯拉。 林:我们攻防实验室出了很多成果,比如你说的,我们是全球首个破解特斯拉的团队。为了这件事我们还撞报废了老齐的一辆特斯拉,可以说是用生命在做测试的,呵呵。 提到破解特斯拉,其实我是临危受命,之前完全没经验也没想过。但开始着手做了,步骤分解后也很简单,你怎样把一部车开走?第一步,把门打开;第二步,把车发动;第三步,把车开走。既然最先要做的是开门,那就要考虑怎么把门打开?我们发现特斯拉的APP存在漏洞,通过黑掉APP我们打开了车门。第二步,怎么把车发动?特斯拉支持无钥匙启动,我们就想,如果车跟钥匙的通信是高强度加密持续性的,耗电量会非常大,而事实上车钥匙的纽扣电池一般支持三年的使用,如果我是开发人员,我会用相对固定的加密方式,检测可能也不会是持续的,这样才会省电。事实证明我猜对了,车辆一旦发动,就不需要钥匙了,同时,检测信号确实是通用加密。通过对信号的捕捉和重放,我们直接模拟出了一把车钥匙,把车启动开走了。 张:你说还报废了一辆车,出了啥事? 林:在破解过程中,因为需要拆车,车子就出了些短路问题,但更主要的还是意外吧,撞车了。幸好人没事,但车子报废了。后来又买了一辆,就在我们地库,继续破。 我们破完之后特斯拉的人来了中国,当时SyScan搞了一个破解比赛,会上我们公布了一部分,其实我们手里保留了完整的破解。一开始他们不相信,觉得我们演示的破解手机APP很low,说如果我们使用iPhone,你们的攻击是不是就无效了?一副很无所谓的样子。等到会议结束,我们找了一个没人的地方,又给他做了一个演示,告诉他其实我们已经做到了能够完全开走这台车,当时他的反应是:“It‘s amazing!”被吓到了,后来还给我们发了奖章。 其实自从2014年建立攻防实验室以来,我们做了一堆事情,但被业界记住的恐怕只有这个,说起来也挺有意思的。当然,从那件事之后,SyScan就走向世界了。 张:那是否可以认为,你们破解特斯拉,意味着攻防实验室在方向或侧重上的分水岭?比如之前更多是系统,之后则强调IoT了? 林:其实我们攻防实验室一开始的定位就是IoT和威胁情报,倒不是因为特斯拉的原因。定这个方向是因为,可能业界其他实验室更多是在做漏洞挖掘,传统的东西其他团队已经做得很深入了,我们再做没有多大意义。现在看来是赌对了。 张:破解特斯拉之后还有过什么有趣的事情? 林:我们破解特斯拉后,国内某汽车品牌就在微博上@了我们实验室,想让我们也对他们做一下测试,遗憾的是,当时北京买不到他们的车。半年后,也是机缘巧合,我们买到了北京市面上最后一辆,然后破了。之后就是一系列的口水战,一方面向我们发致谢,要漏洞;但一方面又对公众说,他们并没有漏洞,是我们在抹黑他们。后来他们也很尴尬,每次他们做了加固,我们都能给破解掉,差不多同一款车破解了三次。 除了破解汽车,我觉得比较有意思的还有三个。一是智能烤箱,虽然看起来不起眼,但却能借着它作为后门入侵其他设备,并且有可能引起火灾,这就关系到财产生命安全了。二是摄像头,现在全球有千万量级的摄像头可以通过网络在线收看,包括ATM机、银行、监狱里的,如果是在国际间战争时期,这就非常可怕了,它会成为真正的天眼系统。三是手环,会关系到人身安全,像我戴的手环,陀螺仪、加速计和心率计能够捕获我很轻微的手抖,当我们输入密码的时候可以通过手环判断动作,甚至根据动作轻重的不同来判断假输入。心率计还可以通过监测我的心率变化判断我在做什么,猜测我的心理状况。未来的话,有可能通过这一点,在人心情低谷的时候,发一些让人更失落的东西,从而让人心理崩溃,或者是操控人做一些事情。关于人身隐私,未来很有可能成为攻击点,像现在国外就有人破解了心脏起搏器,还有黑客在身体里植入芯片,未来有可能成为趋势。 张:现在关于IoT和智能硬件的安全问题曝得很多,会个人一种感觉,这个世界太乱了,简直无处不漏洞,以至于因为悲观和恐慌而起到了反作用,即所谓的“虱子多了不痒”,无所谓了,爱谁谁吧,对此你怎么看? 林:首先,我们肯定是希望通过挖掘漏洞,让公众意识到身边的威胁,从而重视安全,只有公众重视了,企业才会更加重视。但是你说这个度是什么?现在很多硬件虽然只是简单地装了一个智能芯片,但是确实联网了,又确实存在漏洞。虽然很多设备并不起眼,但是配合起来还是会产生很大效果的,比如操控你的家用电器,半夜电视突然打开放鬼片,空调开始吹冷风,然后灯再配合一下,这样才有气氛(笑)。不过,我们这样做并不是要让公众放弃,包括我自己也在用手环,家里很多智能电器,还有智能摄像头。为什么一方面我们破解它,一方面还在用?因为只有亲身体验,才能了解它的功能,也才好知道它的漏洞。另外,破解之后,我自己才能更安心去用。我们会告诉厂商,有哪些漏洞需要修复,同时也在告诉公众,修复了漏洞的设备能够更放心地使用。如果企业没有任何积极动作,公众会看到它存在的问题,这样的企业将会被淘汰。长久来看,行业会向这个方向发展,我们做宣传的时候也会注意尺度。 我认为,因为自己懂安全就拒绝使用,其实是错误的。我愿意去使用,然后发现新的漏洞,一方面对整个行业有促进作用,一方面我也可以获得更多的成就感。真正的黑客应该保持开放的心态,应该永远保持好奇心。 他是社会工程学专家 张:我发现你有一个很有意思的头衔——社会工程学专家,这是怎么来的? 林:最早时我是做网站安全的,后来遇到了瓶颈,我发现很多大的机构,你是很难通过漏洞攻进去的,往往都是要拼人品(运气)。但从另一方面看,通过社会工程学,却能做很多事情。 关于我这个头衔,还有一个很有意思的事情。其实很多公司都有这种情况,你是负责安全的,但是老板和其他员工对安全既不了解,也不重视,很多事情做起来就会阻力重重,你就会感觉很痛苦。现在360还不错,所有关于安全的事情都会提到最高优先级,甚至一个已经上线的项目都会因为发现安全漏洞而被拉下来,但是在多年之前,360也同样面临过很多企业那样的困惑。我记得那是谭校长在一次高管会议上下达了命令,说要针对大家展开攻击渗透,给大家一周时间去改密码做准备。这事情落在我头上了,我花了一周时间,通过社会工程学的方法“搞定”了三个人:老周和老齐的秘书、CFO和法务副总裁。这三个人可以说都是公司的命脉所在,所以,这件事情在当时非常震撼。从此以后,360关于安全的决策就再也没有受到任何异议。 从这件事情开始,我开始对社会工程学比较痴迷了。 他是辍学生,进了360后成了客座教授 张:除此之外,你还是福州大学客座教授?这似乎和你求学时期的经历有强烈的对比吧? 林:没错,但说起来很惭愧,其实我是福大辍学出来的。当时还没有安全专业,我和本专业老师关系一般,但是和计算机老师关系很好。上学那阵,我还黑过学校的数据库,把学生资料都挖出来了。后来因为参加比赛拿了奖就来到北京,认识了剑心,也认识了老周。现在我在360直接和老周交流,感觉也是很有意思。 大二那年,我觉得自己能力还可以,手上也有一些offer,就退学了,出来办了吐司(Tools)。说起来好像很多早年间做安全的都有过一些不大系统且半途而废的求学经历,比如袁哥就很有意思,其实他是有能力读完的,但是他不愿意去上课,躲在宿舍里睡觉,系主任来了也不起来,然后就直接给挂了(笑)。 离开学校后,我和一个哥们一起去了内蒙,当时没有特别的追求,觉得做吐司很有成就感和归属感,包括现在我认识的不少人都是吐司的,很多都在各个安全公司做高管。 不过,做了一年多以后,我觉得有了瓶颈,社区做的不错,大家也都很开心,当时手里握着一大把漏洞,想黑什么网站都不成问题了,包括Facebook、Twitter都黑过了。但我觉得,如果再这样下去就完蛋了,当你手里握着一把神器,做什么都不需要努力了,你也就不会再成长了。 后来我就回到了北京,进了360。 张:进360前后有怎样的变化?有什么特别让你在意的事情? 林:最大的区别是,过去我是一个攻击者,我只要找到一个漏洞,就能黑掉一个网站,我会很有成就感。但是作为防御者,要求高了很多,你要发现所有的漏洞,并且还要比别人更早发现。 进360后我遇到的最有意思的有两件事。 第一个是鹰眼,当时老板说你负责这两百个网站,后来我发现我们有两万个网站,再后来我们发现有四万台服务器,有更多的网站,三个月后,我做到一个人一天搞定两万个网站,到后来一天搞定四万个,三套不同的自动化流程在搞。在这个过程中,我设计了一个颠覆性的产品叫“鹰眼扫描器”,过去的扫描器是基于爬虫的,有爬虫深度的限制,网站越大盲点越多,并且很多逻辑漏洞和隐藏漏洞不能爬到。而鹰眼则是基于流量的,我们把安全团队和测试团队的数据引进去,一旦有访问链接就会触发扫描。不过,有点遗憾的是,鹰眼有一定的部署难度,也不是所有的企业都认可这样的产品。 第二个是补天。其实早在吐司最火的时候,曾经有过一个事情,当时乌云刚起来,我看到之后认为乌云的模式是对的,但吐司却是社区模式,大家不同意转变,然后我就出来了。两年后乌云成了最火的平台,当然,后来我接管了补天,又有机会做早前曾经关注过的事情了,可以说,这就是命运的安排吧。 他是林伟 张:生活中的你是个怎样的人? 林:之前我是一个很孤僻的人,从来一言不发,几乎没有一个朋友。似乎这也很像一个黑客,在现实中找不到成就感,但在虚拟世界里则一切都在掌控之下。而现在,生活中乐趣还是比较少吧,但已经不再那么孤僻了,大家都觉得我还比较能说会道的,不过,手下兄弟们也会觉得我比较严厉,甚至有点怕我。 从兴趣上来讲,我比较喜欢宅在家里,另外就是喜欢飙车、蹦极这些比较刺激的活动,进了游乐场,里面刺激的项目都要玩个遍。其实严格来讲我是不可以玩这么刺激的,因为我有甲亢,好处是思维会比较活跃,很适合做黑客,但是负面影响是心率很快。所以现在我有意识做一些调整,比如旅游,换一种不同的生活方式,要不然真的会挂(笑)。 张:对未来有什么期望? 林:还是希望有多一点的时间吧,在技术方面掌握更多前瞻性的东西,对管理来说也会有些促进。而更多的,则是希望通过我的能力,帮助更多人做更多的事情。往大处说,中国的黑客人数应该很多,但我们看到的并不多,我想能够把这个圈子聚拢起来,为安全圈和社会做出更多的贡献。 |
|
|
