黑客教父萬(wàn)濤：智能硬件的“黑產(chǎn)”一定會(huì)出現(xiàn)

2001年，以中美撞機(jī)事件為契機(jī)，爆發(fā)了中美兩國(guó)黑客互攻對(duì)方網(wǎng)站的“網(wǎng)絡(luò)戰(zhàn)爭(zhēng)”，“紅客”一詞由那時(shí)變得家喻戶曉。在中國(guó)年輕的紅客隊(duì)伍中，萬(wàn)濤的形象被熱血和激蕩定格了下來(lái)，成為了代號(hào)“老鷹”的“黑客教父”。

萬(wàn)濤

轉(zhuǎn)眼2015年，自從萬(wàn)濤“一戰(zhàn)成名”已經(jīng)過去了14年之久。第一代黑客的孩子都會(huì)打醬油了，這個(gè)當(dāng)年的“Angry young man”也在歲月的磨刀霍霍下變成了如今的“壞叔叔”。

安全文化的布道者

有人說(shuō)我總在談文化。但我覺得相比于安全技術(shù)，安全文化是更為重要的，尤其是在一個(gè)安全文化基礎(chǔ)缺失的國(guó)家。

采訪的過程中，萬(wàn)濤反復(fù)強(qiáng)調(diào)他心中的“安全文化”。比起“黑客”，對(duì)萬(wàn)濤更準(zhǔn)確的定位可能是“黑客的精神領(lǐng)袖”。他是黑客圈中文化談得最好，文化圈中黑客技術(shù)最棒的人。從早期建立“鷹盟”（全稱中國(guó)鷹派聯(lián)盟，名噪一時(shí)的黑客愛國(guó)組織）在國(guó)際事件中為中國(guó)發(fā)聲，到改組為“益云”公益平臺(tái)做網(wǎng)絡(luò)公益，建立威脅情報(bào)分析小組“IDF實(shí)驗(yàn)室”培養(yǎng)安全人員，萬(wàn)濤試圖用自己的行為為黑客們找到一條“精忠報(bào)國(guó)”“自我實(shí)現(xiàn)”的路徑。

在這一過程中，有人深受鼓舞，也有人覺得他婆婆媽媽。然而他卻不以為意，在他心中，中國(guó)的安全文化需要有人奔走呼號(hào)。

所謂的安全文化基礎(chǔ)缺失，不只是網(wǎng)絡(luò)安全。食品衛(wèi)生沒保障、暴雨積水點(diǎn)沒有標(biāo)識(shí)、偷井蓋、行人闖紅燈、駕駛員超速，這些都是因?yàn)楣姏]有對(duì)安全給予應(yīng)有的重視。

作為安全文化的“布道者”，萬(wàn)濤涉獵了諸多安全領(lǐng)域。從去年開始，他又找到了一塊安全領(lǐng)域的處女地——智能硬件。

為了做研究，萬(wàn)濤的家已經(jīng)被智能硬件所“包圍”。各式路由器、安防裝置、監(jiān)控?cái)z像頭、智能插座甚至智能養(yǎng)花設(shè)備，單是這些硬件的配套App就在他的iPhone上占了好幾屏（所以他的iPhone一定不是乞丐版的16G）。為了研究設(shè)備安全，他經(jīng)常會(huì)把家中的網(wǎng)絡(luò)搞癱瘓，目前家人已經(jīng)“勒令”他和團(tuán)隊(duì)租下一棟別墅，專門搞智能硬件研究。

萬(wàn)濤家中的智能硬件環(huán)境

智能硬件的“黑產(chǎn)”一定會(huì)出現(xiàn)

有人說(shuō)互聯(lián)網(wǎng)還在“草莽”階段，安全威脅只是“沒有牙的老虎”，萬(wàn)濤表示不能認(rèn)同。

在他的眼里，“物理接入”的智能硬件比“虛擬接入”的網(wǎng)絡(luò)世界更具殺傷力。他為雷鋒網(wǎng)列舉了一些智能硬件的威脅：

1、信息誤導(dǎo)。黑客人販可以入侵兒童的安全手表，更改GPS信息，讓信任手表的家長(zhǎng)以為孩子還在回家的路上。通過類似手段同樣可以竊取無(wú)人機(jī)等設(shè)備。

2、物理傷害。通過控制智能插座，讓正在從事一些精密活動(dòng)的人被設(shè)備傷害；或者入侵微波爐或類似的智能設(shè)備，造成爆炸、火災(zāi)等直接傷害。

“以前偷東西很麻煩，還要踩點(diǎn)摸主人的活動(dòng)規(guī)律，現(xiàn)在只要入侵你的智能攝像頭，就知道你是不是在家了。”

目前智能硬件的設(shè)計(jì)潮流是體驗(yàn)要“輕”，于是造成人的選擇較少，設(shè)備的自主權(quán)很大。萬(wàn)濤認(rèn)為，這樣的設(shè)計(jì)理念造成了入侵設(shè)備的途徑更多。而最為嚴(yán)重的是，目前大多數(shù)智能硬件的安全極其脆弱，甚至是“令人發(fā)指”的空白。

“你可以不用微信，但是你身邊的人都用了微信，你就必須用。你也可以不用智能攝像頭，但是當(dāng)你周圍的環(huán)境充滿了智能攝像頭，你用不用也沒有區(qū)別了。”萬(wàn)濤堅(jiān)信智能硬件會(huì)充斥整個(gè)社會(huì)環(huán)境，這一點(diǎn)是不以個(gè)人的意志為轉(zhuǎn)移的，而在這樣的環(huán)境下，每個(gè)人都是受到威脅的。“你以為你是個(gè)屌絲，就沒人搞你嗎？無(wú)數(shù)個(gè)屌絲的隱私數(shù)據(jù)放在一起，就會(huì)產(chǎn)生商業(yè)價(jià)值。所以基于智能硬件的“黑產(chǎn)”一定會(huì)出現(xiàn)。不是我們現(xiàn)在教育用戶，就是黑產(chǎn)未來(lái)教育用戶。”

很多智能硬件都是被人隨身攜帶，或者放在家里，它給予黑客更精準(zhǔn)的定位信息。而且一般的智能硬件一旦被使用，就會(huì)用很長(zhǎng)時(shí)間，所以黑客可以拿到比你想象中更多的隱私信息。用這些信息來(lái)進(jìn)行詐騙，將是非常難以防御的。也許在未來(lái)，你是否“受騙”已經(jīng)和“智商”無(wú)關(guān)了。

萬(wàn)濤在想象中模擬了一些黑色產(chǎn)業(yè)攻擊場(chǎng)景：

1、通過攝像頭追蹤被攻擊者的行為習(xí)慣，再通過他的設(shè)備定位其經(jīng)常出沒的咖啡廳，在咖啡廳設(shè)立釣魚Wi-Fi進(jìn)行隱私竊取。

2、通過遠(yuǎn)程攻擊鎖定被攻擊者的手機(jī)/智能門鎖，向被攻擊者發(fā)出敲詐信息，交錢解鎖。

3、攻擊辦公樓的智能電梯，讓電梯停靠在禁停樓層或異常上下，從而實(shí)現(xiàn)盜竊、敲詐等目的。

這個(gè)曾“歷經(jīng)風(fēng)雨”的黑客預(yù)言，只要用戶基數(shù)足夠大，這些現(xiàn)在發(fā)生在實(shí)驗(yàn)室中的攻擊就會(huì)出現(xiàn)在現(xiàn)實(shí)中。

萬(wàn)濤家中的一些智能硬件

安全的成本有多高？

很多硬件創(chuàng)業(yè)企業(yè)都在把生存作為目標(biāo)，對(duì)于安全投入選擇了戰(zhàn)術(shù)上的放棄。作為一個(gè)安全文化的捍衛(wèi)者，萬(wàn)濤對(duì)這樣的選擇表示難以理解。

“同等的配置下，買車我一定會(huì)買沃爾沃，因?yàn)楦踩！痹谒挠^念中，安全不是成本，而是賣點(diǎn)。“平心而論，企業(yè)在產(chǎn)品安全性上的投入不會(huì)成為主要成本，輕視安全研究一定是主觀的因素更大。”

他認(rèn)為現(xiàn)在大眾覺得硬件相對(duì)安全，只是由于缺乏手段去驗(yàn)證自己設(shè)備的脆弱。他向雷鋒網(wǎng)透露，為了讓這種風(fēng)險(xiǎn)“可視化”，他和團(tuán)隊(duì)正在研究一款“安全評(píng)估”類的智能硬件，讓安全威脅可以像“PM2.5指數(shù)”一樣可以看得到。至于產(chǎn)品的細(xì)節(jié)和具體發(fā)布時(shí)間，萬(wàn)濤表示目前還不能透露。

無(wú)論是做黑客大會(huì)的評(píng)委，還是研究安全硬件產(chǎn)品，萬(wàn)濤都欣然赴戰(zhàn)。兩個(gè)多小時(shí)的采訪，他口若懸河，仿佛用“繩命”為安全布道。某一瞬間，他看起來(lái)就像一個(gè)“預(yù)言者”，從未來(lái)世界歸來(lái)，在向麻木的人們?cè)V說(shuō)著他“親眼所見”的憂患。

也正是在這一瞬間，當(dāng)年的熱血青年分明又回到了眼前。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。