今天指尖安全相约到了一位无线电攻防领域的专家,他被称为颜值最高的黑客,他也是国内首例破解公交IC卡及漏洞的报送者,2015年央视一套315晚会上,他客串蒙面的黑客出现在公众的视野中。他的象征一只独角兽,凭借在无线安全领域的突破,带领着其他伙伴冲向“DEFCON”。他出生于1986年,凭着自己的努力完成了他基本的梦想,也娶到了自己大学时期的女神,如今也有一个可爱的女儿。
他就是杨卿。360无线电安全研究部的掌门人。
杨卿:原t00ls安全技术论坛核心成员,喜欢研究无线局域网、RFID安全。09年进入360公司。曾发现北京某交通设施无线网络高风险安全漏洞,同时也是北京市政一卡通(公交IC卡)首位成功破解及漏洞报告者。
2015年315晚会上他客串的蒙面黑客出现在公众视野,同时他是360一支名叫“独角兽”的安全团队负责人,曾经并带领团队成员5人完成了3个议题同时入选美国DEFCON黑客大会的成绩。他和他的团队也同时出了一本关于无线电通信安全的书《无线电安全攻防大揭秘》。
杨卿告诉指尖安全最早对安全感兴趣是因为终结者电影里的一个片段,幼年时代约翰康纳用一台UMPC轻松Hack了ATM,当时觉得简直帅爆了,对,就是下面这张图
所以从那一刻起,体内的某些因子就像被激活了,也梦想着自己有朝一日也能做出这么“酷”的事情。
但从对安全一无所知的我到现在终于成为这个领域的一分子,路途还是蛮艰辛的,好在小时候接触计算机比较早,也算是从80386玩起的男人,但确实是真的“玩”,Z字特工队、命令与征服1、极品飞车1、魔兽争霸1、大富翁1等等DOS游戏玩了一个遍,后来又赶上父母置办了一台帝盟33.6k的调制解调器,很早就体验到了互联网的“无趣”(笑,那个时候的门户站就是一页HTML加一堆蓝色超链接啊卧槽…)
有这些基础在,所以后来我对计算机与网络的直觉与理解力还是比较OK的,也算是一些助力,上中学的时候看了CoolFire的黑客教程入门系列,也摸索着模仿着去练习,那个时候网络上Unix、Linux系统的服务器很多,Solaris、AIX、HP-UX等等,我就通过从开扫描器扫79端口,用finger服务看用户名,然后telnet上去尝试用户名/密码登陆,成功登陆就去lsd-pl或者milw0rm上找exploit提权,成功了就在rhosts里留++后门,然后擦log这样的Hack方式一点点的入门安全攻防的技术。
再后来有了智能手机,就是多普达那个阶段,Windows Mobile系统加触摸屏加全实体键盘的水货手机大量涌入,因为WAPI标准的原因行货手机的WiFi功能被闭关锁国了好长时间,只有水货手机上的WiFi模块没有被阉割。
也就是从那个时候开始,我对无线通信上的网络及无线通信自身协议上的安全有了很多新奇的想法。后来WiFi渐渐被大众所熟知,我便开始从理解WiFi协议,到掌握各类加密方式的破解与如何加固WiFi防止被破解的爱好上做了很久。然后利用之前积累的网络渗透经验,又在利用目标设施架势的WiFi对目标进行网络渗透测试上摸索了一阵。再后来北京公交卡开始使用,我便又去理解RFID协议,去研究如何破解与思考合理的漏洞修复措施。直到我在360工作多年之后建立了一支专注于无线通信安全研究的独角兽团队。
说了这么多的艰辛历程,难得坐客指尖安全,和大伙谈谈您认为您干的最有意思的事情吧?
父母因为要使用IE和网景浏览器上网,把我家那台586电脑(奔腾133Mhz,16Mb,1G硬盘)的操作系统从Windows3.1换成了Windows95,之前的游戏全没了,在从来没用过Win95的情况下我凭着感觉用可爱的“我的电脑”把仙剑奇侠传装了回来。
上面是个玩笑,我觉得最有意思是大学那会有一次我从学校图书馆借的书逾期了,欠了五毛钱(真的是五毛钱…),便想Hack进图书馆数据库把逾期记录update掉,然后发现图书馆用了Powerbuild写的借阅系统,数据库理所应当的用了Sybase,因为之前从没见过,不知道数据库语句怎么写,便又去图书馆里看这方面的书,把语句记下来,回去接着Hack,最后成功了…(笑)
指尖安全:2015年的央视315晚会您出现在舞台上,当时蒙面是您个人提议还是节目组的安排?
杨卿:蒙面是315晚会导演大人的想法,一是为了体现黑客的神秘感,二是为了让我不紧张,毕竟我是第一次参加这种央视大型晚会直播,临场感与平常做技术演讲还是挺不一样的,整个环节下来感觉还是挺OK的,假面也成了一个话题点(笑哭…)
指尖安全:您当时是怎么发现公交IC卡漏洞的?给您带来人生最大的转折点是什么?
杨卿:公交IC卡漏洞因为使用了Mifare的方案,那时当Mifare漏洞被公布后,我知道的国内还没有人对北京一卡通进行可被破解及破解后能否使用的评估,所以我就去做了(笑,我这个人比较喜欢做别人没做过的事情),当然没人做的原因确实是那个时期这方面各种资料的不健全,从头去摸索很有难度,也没人可以请教,那时候去Proxmark等一些国外研究RFID的论坛问也基本上没人理你,哪像现在各类Mifare的破解工具教程满天飞(笑)。
所以从对Mifare一无所知到最后利用漏洞破解,在到分析每张公交卡里面每个数据区数值的意义与如何构造合规的数据,再到我可以“优雅”的将一张被人丢弃的过期公交卡的有效期恢复正常,金额任意,卡类型按照我的心情换成学生卡还是老人卡甚至是地铁工作人员卡,及每次乘车记录时间、地点随意控制,还是花了很长时间的。
至于后来发生的事情我觉得还是时代的问题,那个时候整个社会、相关部门机构对于发现漏洞人员的评定与漏洞协同处置机制都很不健全,这个漏洞我成功搞定后就立刻写邮件报告了公司领导,随后公司也马上和相关部门联系进行漏洞上报,但最后你会发现真正需要对漏洞进行处置修复的公司对漏洞报告却一无所知,执法机关也不理解你所谓的白帽子情怀(那个时候好像还没有白帽子这个说法),他们只觉得是千载难逢了一起高科技case(笑…)
所以当你想去证明一件事情,最终发现漏洞确实可被利用并报告后,迎来的不是对你的认可而是质疑的时候,确实挺伤感的,哈哈。
不过从这件事情上能得到的经验教训来说,大家还是可以借鉴的,首先托习大大的福,国家整体都正在逐渐重视“白帽子”,但是我们的各种机构、部门又还是太多了,大家在发现了什么样的漏洞或者报告了什么部门之后也一定不要掉以轻心,如果你真是在做“好事” ,一定要留好你的测试记录及测试目的,以备不时之需,安全人员做事比较随意可能是天性使然,但既然是安全测试,就必须要严肃且合规,能力越大责任越大嘛。
指尖安全:您加盟360公司和“独角兽“团队的创立,让您最难忘的经历是什么?
杨卿:谈不上加盟哈,我09年加入的360,那时候还是个脚本小子般的菜鸟,当时认为360在安全方面的投入未来一定会是一个很好的平台。会是一家具有安全使命感的公司,所以和我给我自己的未来规划还是很匹配的。
《无线电安全攻防大揭秘》和360天巡
一大堆无线电作品难忘的事情嘛,刚来公司那会承担了架设公司WiFi的任务,深知企业WiFi就该用企业WiFi认证方式,当时为了给公司省钱买了十几台二手刷了DD-WRT的Linksys家用级路由,自己搭了台Raduis,热点名都设置一样,真漫游成了一个企业WiFi,但是就是有一个地方的路由器老是死机,每次我都要从行政借梯子上去断电重启,好长时间也定位不到死机的原因,最后发现是因为那个地方下面就是茶水间,里面有台可恶的微~波~炉~。
指尖安全:现在很多地方交通执法部门利用无人机执法,也成立了无人机执法分队,如果遇到黑客恶意拦截,将会造成无人机执法困难的现象与损失,对此您怎么看?
杨卿:我认为执法部门所使用的无人机抗劫持能力还是比民用航拍无人机更高一筹的,而且敢对执法机关设备出手的人已经脱离黑客升华为罪犯了,所以就用对待罪犯的方式进行处置就好了,哈哈。
独角兽团队成员在Defcon
其实我认为目前无人机自身会不会被劫持事小,时下我们应着眼的是不遵纪守法使用无人机的人,前一段时间看到一些无人机社区里,有人在晒他利用无人机在航拍航线上离无人机不远的民航客机,无人机在禁飞区域飞行,这是很严重的安全问题,所以民用无人机厂商应重视现在黑客发现的各种绕过禁飞区限制的手段,及时优化修补,使民航空域里绝不会出现这些危险分子才是眼下最需要去做的。
指尖安全:无线技术初学者该怎么入门? 为让他们以后少走弯路,您有什么建议?
杨卿:前一段时间我们正在做安全技术的等级评定,在无线电安全这个类目上,我们发现这个学科是有点凌驾于传统安全之上的,为什么呢,如果你想在这个领域有所斩获,首先你要有扎实的网络安全甚至攻防的能力,然后你还要具备额外知识和动手能力,如对各类无线电模块硬件修改和研制的能力,比如你要做GPS信号的安全研究,得会加个LNA吧,得会用USRP吧,此外你还要懂无线电通信吧,最后你还得懂点GPS导航技术。
这样看来这是个学习资料又少(同好群体少),还费钱(设备贵),且未来回报还不太清晰(安全职业发展)的领域。
但相对的,我认为这行又是一个造福后人的行当,任何一个无线技术的漏洞或者可被恶意利用的特性在发现后,都不会和操作系统、应用、模块那样可以短时间靠几个补丁就能立刻修复,从协议的修正到软件的适配再到无线模块硬件的改良制造,无线通信漏洞的修复势必会是一个很长的周期,几年甚至几十年(大家可以从伪基站这几年的余毒感受到), 所以这样的漏洞越早被无线安全研究人员发现揭露,让社会重视,才能越快的督促整个世界去对其进行优化修正,才能让无线电技术在未来更加的安全可靠(想象一下人类如果没有无线电技术,现在我们的生活是什么样子吧)。可在这条道路上你还得能耐得住寂寞,忍受的了一些人的不理解,很多人质疑“GPS欺骗老外早就能做了”对,所以我们发现的是低成本的GPS欺骗方法,在网上几百块买到的设备就可以实现的GPS欺骗,而不是动辄几十万的GPS信号发生器能进行的攻击方法。何为大规模杀伤性武器,原子弹?不不,它们还老老实实的躺在发射井里,物美价廉的AK47才是大规模杀伤性武器。所以在谈入门前,请大家首先确保你能否一直贯彻你内心的信念。且不论走的是弯路还是直路,你都能一直坚持。如果你具备了以上两个素质,那么没有什么事情可以难倒你…
PS:感谢 @杨卿 在百忙之中接受指尖安全的专访,几天的采访给小编的印象是:低调、随和、很好沟通,而杨卿不仅仅是表面的帅和酷更多的还有在技术上的专注和投入。。。
