“极客嘉年华”上,特斯拉、小米盒子、锤子手机、360儿童手环,统统被PWNED!
IT时报记者 章蔚玮
“GeekPWN! ”“GeekPWN! ”“GeekPWN”……舞台中央,被悬挂在GeekPWN字形架子上的70多部智能手机被观众逐一攻破,最终,所有手机的开机画面都被定格在统一的繁星LOGO(“GeekPWN”大赛标识)时,场内外所有人都欢腾了。
10月24日,北京,神秘的“白帽子”黑客第一次以“极客嘉年华”的方式出现在公众面前。作为黑客中的正面人物,“白帽子”借攻破各种漏洞的方式提醒企业对安全设防,就在本次“极客嘉年华”中,除了70多部智能手机外,特斯拉、360儿童智能手环、极路由等等耳熟能详的智能产品都被极客们一一攻破。
然而,这场原本充满惊喜的大赛,却遭遇前所未有的阻力,比赛接二连三因故推迟。在这背后,一场脱离竞技的“博弈”悄然上演,展示了一场真实的“黑客”“漏洞”“生产者”三者间黑与白的“利益较量”。
地下黑客想借机揩油白帽子现场展开“黑白对决”
开场秀上,70多部智能手机被悬挂在舞台中央,主办方邀请7名菜鸟级观众上台,谁能第一个攻破漏洞,更换智能手机的开机画面,谁就能赢走手机。而观众要做的是找到主办方预设的“攻破入口”。不到5分钟,一位年轻的男生举手示意成功,此时,他面前的智能手机开机画面已顺利地显示为本场比赛的标识“GeekPWN”,然后是第二部、第三部……十五分钟后,悬挂着的70部智能手机集体亮起“GeekP-WN”和象征探秘的行星,当星星颗颗亮起时,就像是白帽子们在用常人难以理解的攻破技巧完成一场华丽“恶作剧”。
根据维基百科,GeekPWN 中的“PWN”属黑客语法用词,意指网络游戏中始终是“胜利者”的玩家,而在网络游戏文化中,这个词常用来嘲笑被完全击败的竞争对手,“PWNED”则意指被攻破。
而在这场大赛中,除了选手,想要角逐“PWN”这一称号的,似乎更多是来自比赛外的“特邀选手”。
在第一天的比赛现场,就有人发起了挑战。比赛开始后,当第一个挑战项目Google Nest被成功攻破后,第二个挑战项目对智能路由器的攻破进行到一半便无法继续。比赛被迫中断,主办方给出的解释是Wi-Fi 不稳定,这样的停滞持续了几个小时,部分参赛选手被告知当天无法继续比赛。主办方只能临时调整参赛项目顺序,提前安排对Wi-Fi信号依赖更低的挑战项目。
一场极客比赛陷入“混乱”,而台下的观众并不清楚究竟发生了什么。最后,主办方承认,现场有一群隐蔽的黑客“在用特殊的方式加入这场竞技赛。”裁判长确认在现场发现了多条匿名Wi-Fi信道在干扰,以至于比赛用Wi-Fi信号无法正常工作。“我可以保证这绝不是主办方刻意安排!”裁判团主席于?,人称TK教主,在现场无奈开起玩笑,“我们很意外,能看到这样一场真实的白帽子与黑客之间的攻守对决。”
据《IT时报》记者了解,主办方所使用的网络是在酒店局域网内自行搭建起来的,在此前没有发现任何问题,但选手上场之后,网络便出现了干扰。“ 应 该 是 有 人 使 用 公 开 的openbts-umts技术制造3G假基站,强制干扰通讯。”评委团中从事Wi-Fi攻破研究的营先生向记者透露,他明显感到手机信号被迫降至2G,“我上午9点进入主会场后,就发现手机信号明显变化,整个3G信号都没了,但走出会场又很快恢复。”
但直到比赛结束,主办方依然没能就Wi-Fi干扰事件给出明确答复。在业内人士看来,这样的攻击很有可能来自一群“地下黑客”,目的是利益窃取。“很多人会拿着现成的设备来搞监听、偷取资料。”在这位人士看来,白帽子们苦心研究用来提高安全防御能力的攻破代码,在黑客看来却是换取高额利润的“利器”,因此,这样一场大赛能吸引一群地下黑客的参与,并不让人意外。
360怕被攻破关闭服务器谷歌欣然接受极客建议
10月25日上午,选手挑战360儿童安全手环准点进行。1个小时后,挑战选手顺利完成了其中两项挑战通过技术手段远程截取手环上的地址信息,获得孩子的出行轨迹以及实时位置信息,以及远程将父母的手机App下线,封锁孩子可能发出的求救信息。
然而,后两项挑战却因为“环境问题”而无法继续完成。比赛现场,主办方并未具体点明究竟是什么“环境问题”,但从微博上或许能找到答案。作为被攻破的对象,360儿童卫士在25日上午11点通过微博发表声明,称这是主办方的恶意炒作,是腾讯雇佣黑客打手在蓄意抹黑360儿童卫士手环,“这样的攻破是虚假行为。”作为抗议,360方面关闭了部分远程功能,“演示问题所需要的云端功能神奇地不见了。”有人在现场发微博称。
(下转第6版)