你眼中的黑客是怎樣的?
站在臺上,slipper 正玩著手機,像是刷到瞭有趣的動態,他臉上帶著愉悅。
「你還在玩手機?你在比賽啊!」活動發起人王琦沖他喊道。王琦是這一環節的評委,他面前的這個小夥子將會在接下來的 20 分鐘裡破解蘋果最新發佈的 iPhone 8 手機。
slipper 和王琦
不一樣的黑客
這裡是位於上海浦東的喜馬拉雅中心,Keen 每年 10 月 24 日都會在這裡舉辦 GeekPwn 黑客大會,這是極客公園第三年受邀前來。
大會上第一個登場挑戰的選手是 tyy,她是一個畢業於浙江大學計算機系的女生,上臺之後以外行身份呈現比賽的主持人黃健翔連呼好幾聲,「她看起來也太無害瞭吧。」
tyy 挑戰的是破解漢王的人臉識別門禁系統,GeekPwn 組委會給她設定瞭 20 分鐘的時限,她要在這 20 分鐘之內入侵這個人臉識別門禁系統,然後將評委的人臉數據換成自己的。
倒計時開始,作為主持人的黃健翔激動地跑過來跑過去,看一看人臉識別的設備,又去瞅瞭瞅 tyy 的電腦。
「我還是跟你嘮嗑吧,」黃健翔轉向評委,「反正我看也看不懂。」
話音剛落沒多久,tyy 舉起瞭自己的手,她覺得自己成功瞭,這時候倒計時還有 17 分多。
評委讓 tyy 走到門禁系統前,刷的一下,能打開瞭。
「挑戰成功!」黃健翔激動地說道。
在賽後的專訪中,tyy 解釋說她其實並沒有直接攻破人臉識別的系統,而是通過門禁機器的漏洞入侵到系統中,「是設備層面的破解。」
也就是說,在面對涉及人工智能系統的設備時,黑客並不需要直接破解 AI 系統,通過設備上的一些漏洞來進行破解同樣可以達到最終的目的。
tyy 將這個漏洞反饋給瞭 GeekPwn 組委和漢王的廠商,後續廠商之主要推送一個漏洞修復的補丁即可。
在接下來的比賽和表演中,雖然因為網絡連接和藍牙幹擾等問題,選手的表現也收到瞭一定程度的影響,但有驚無險,所有參賽者都完成瞭對目標的攻破。
iPhone 的「安全人設」崩瞭
iPhone 在人們心中一直有一個安全性很強的印象,曾經 FBI 還因為無法破解嫌疑犯的 iPhone 而與蘋果進行協商,這樣的故事廣為傳頌,在大傢眼裡,連 FBI 都沒轍的蘋果手機毫無疑問是安全的象征,但今天,在 GeekPwn 的現場,一個年紀輕輕的小夥在在十幾分鐘內就破解瞭 iPhone。
上比賽正式開始前 slipper 表現得非常淡定,事實上他也是 GeekPwn 大會的常客,他曾在 2015 年的比賽中因為破解安卓手機的 Root 權限而入選瞭 GeekPwn 名人堂,又在 2016 年的比賽中成功破解瞭 PS4。
因為大型活動現場的網絡非常不可控,因此需要網絡連接的選手在比賽中會因為網速過慢而影響到破解的過程。slipper 就遇到瞭這種情況。
比賽開始幾分鐘後,原先淡定的 slipper 表情緊張瞭起來,不一會兒,他索性端起電腦,走到路由器邊上跪在地上繼續破解。
十多分鐘後,slipper 表示破解成功,攝像頭對準他的電腦屏幕,是黃健翔剛剛在 iPhone 8 上留下的自拍,「挑戰成功!」
緊接著評委王琦解釋道,網絡情況好的話,這個過程應該不需要一分鐘。臺下頓時一片噓聲,隻要不到一分鐘,最新版的 iPhone 就能被破解。
「因為黑客的存在,安全問題才能被解決」
被稱為「大牛蛙」的王琦是 GeekPwn 大會的發起者,也是主辦方 Keen 的創始人兼 CEO,他曾帶領 Keen 團隊在全球頂級的黑客大賽 Pen2Own 上創造瞭連續三年冠軍的傳奇。
「我們叫自己極客,而不是黑客,我們並不希望讓別人以為我們搞破壞。」王琦曾這麼說道,事實上,就像這次破解 iPhone 一樣,雖然每次 GeekPwn 大會都會給觀眾帶來一定程度的「恐慌」,但王琦並不希望大眾過多地去「懼怕」黑客。
「我們從來不希望公眾恐慌,我們希望廠商重視。漏洞是客觀存在的,大傢應該感到高興,因為這些問題會被修復的。我們也是普通的消費者,能註意到一個地方給消費者一個建議,就是有意義的。怕泄露隱私,重要隱私不要放到網絡上,不要儲存敏感信息,但凡能加密的地方就加密,能不儲存就不儲存,這是常規的一些做法。」王琦在賽後的專訪中說道。
每一年王琦都會重復類似的話題,他希望人們關註安全行業,關註黑客,「我們希望這個行業研究安全的人好起來,人好起來這個行業才能好起來,漏洞會更少,我們的生活也會更加安全。」
「安全問題從來不是因為黑客才存在的,恰恰是因為黑客發現而被消滅。」王琦在開場白中說道。
黑客能戰勝人工智能嗎?
這次 GeekPwn 的主題更多著重在人工智能上,在人工智能時代,強大如 AlphaGo,黑客還能制約住機器嗎?
除瞭上面提到的人臉識別,參賽者還破解瞭包括天貓精靈在內的諸多設備的聲紋識別,僅通過半小時的聲音素材,就在現場快速合成出一句臨時指定的話,從而破解各種聲紋識別設備。
但評委鄭方教授表示,雖然目前市面上的一些帶聲紋識別的智能語音產品對安全性的考慮普遍不足,沒有防攻擊技術的支撐,但就生物特征識別技術的發展而言,聲紋本身因為語音信號所含信息量的豐富性,反而是最安全的生物特征。
除此以外,還有利用人工智能技術的破解項目。
中國金融認證中心的團隊就利用瞭深度學習「DeepWriting」的系統,打造出一個機械手臂,在現場模仿瞭中國著名科幻作傢陳楸帆的字跡,達到瞭肉眼難以辨別的逼真程度。
至於對人工智能系統的直接破解,王琦表示難度非常高,他們會在後續的活動中繼續跟進這一領域,「人工智能有很大的特點,在深度學習的時候,我們反推時得不到它的實現過程,也不知道它是怎麼失敗的,如果有一天它被黑客幹擾,修復起來可能就很困難,不會像今天這樣把漏洞填填補補就行瞭。」
