作者| Cici

編輯| 吳懟懟

一個多世紀(jì)以前，馬克斯·韋伯的《新教倫理與資本主義精神》成為對工業(yè)時代的精神的經(jīng)典闡述。21世紀(jì)，在信息時代的代表人物眼里，黑客精神將反叛舊日的新教倫理，成為新的時代精神。黑客代表一種充滿激情和創(chuàng)造力的態(tài)度。你即使從未使用過計算機，也可能是一名黑客。

這是曾經(jīng)的技術(shù)神童，現(xiàn)在工作于赫爾辛基大學(xué)和美國加利福尼亞大學(xué)伯克利分校的派卡·海曼在其《黑客倫理與信息時代精神》一書中所提出的觀點。

為這本書寫序且貢獻卓著的另外兩個人鼎鼎大名，一位是李納斯·托沃茲，計算機行業(yè)內(nèi)最受尊敬的黑客之一，Linux操作系統(tǒng)的創(chuàng)始人，另一位是《信息時代》的作者曼紐爾·卡斯特斯。

在他們看來，最初的黑客精神，行為主要不是由金錢，而是創(chuàng)造一個同行社區(qū)認為有價值的事物的欲望所激發(fā)的。對新教工作倫理而言，工作被看成一種必須做而必須做的義務(wù)。

但在黑客精神中，你必須去關(guān)懷，你必須去玩，你必須心甘情愿去探索。對黑客而言，計算機不是賺錢的工具，計算機本身是一種熱愛，一種社交，計算機就是創(chuàng)造力，就是世界的窗戶。

我們已經(jīng)見證了眾多探路的黑客用計算機改變世界，我們也在眾多科幻小說和影視作品里看到黑客的身影。而實際上，黑客并沒有那么遙遠，黑客就在我們身邊。

GeekPwn（國際安全極客大賽）就是那個承載黑客精神的「社區(qū)」之一。如果你去過一次GeekPwn現(xiàn)場，就可以體會到極客群體對于技術(shù)瘋狂的熱愛，以及極客群體在背后默默做的事情，其實深切影響了我們的生活以及社會的進程。

01

1024只屬于極客

互聯(lián)網(wǎng)從業(yè)者們對數(shù)字極為敏感，一些和數(shù)字有關(guān)的節(jié)日和「梗」隨著這幾年國內(nèi)互聯(lián)網(wǎng)的蓬勃發(fā)展已經(jīng)深入人心。在10月24日民間程序員節(jié)這天，GeekPwn 國際安全極客大賽在上海迎來五周年第十屆。

早晨9點不到，已經(jīng)有非常多的觀眾結(jié)伴組隊而來，還有不少人拖著行李箱趕來。如果你是一個非互聯(lián)網(wǎng)技術(shù)從業(yè)者，一定會很好奇，一個名字聽起來「不明覺厲」的安全攻防大賽為什么有這樣大的吸引力？

自第一屆起，GeekPwn就開始發(fā)現(xiàn)培養(yǎng)安全人才，已經(jīng)向安全圈輸出了大批安全技術(shù)骨干力量，而賽事本身也在不斷求新求變，在消費電子、智能家電、機器人、AI、大數(shù)據(jù)等領(lǐng)域都有卓越的安全貢獻。

在過去GeekPwn的舞臺上，參賽選手和場下觀眾幾乎是全程處于亢奮狀態(tài)，因為他們在這里見證最新的iOS系統(tǒng)被破解，第一次特斯拉被破解，第一次POS機被盜刷等等的「第一次」。

這些是每屆極客大賽的高光，但大牛蛙（GeekPwn發(fā)起人）卻說，今年的極客大賽有些不一樣。

2018年，極客大賽提出將時間背景放在2049，討論當(dāng)奇點來臨，人類被失控的人工智能控制后如何應(yīng)對。黑客可能是拯救人類的最后機會。今年，比賽變了，不變的是黑客使命和精神的延續(xù)。大牛蛙說，「我們承認數(shù)字化世界帶給我們的美好，也承認數(shù)字化世界帶給我們的不美好。」在當(dāng)下，我們是否能夠通過消滅現(xiàn)實當(dāng)中的不完美，來實現(xiàn)完美的未來，一個安全的未來？

即便你是一個不懂技術(shù)更不懂安全的普通用戶，也能在在這里找到了非常多自己正在關(guān)心的議題。無論是主會場的不同主題的現(xiàn)場安全比賽，還是華為200萬重金求漏洞、騰訊云拿出150萬獎金池給安全研究者,抑或是外部展臺各個廠商提供幾十萬元獎金支持參會者找出技術(shù)漏洞，它們都與現(xiàn)實生活的安全息息相關(guān)。

都說極客是孤獨的，是喜歡宅著的，那可能是我們的誤讀。今年的極客大賽充滿社交屬性和屬于程序員的萌點，比如帶著閃著不同顏色燈的胸牌的參會者，就踴躍在現(xiàn)場進行交互點亮。都說互聯(lián)網(wǎng)從業(yè)者不善社交，但他們?yōu)榱思R顏色「召喚神龍」，一點都不羞澀。

與他們的交談也進一步解答了我的疑問，這個大賽的吸引力在哪里？

有兩位男生正是從廈門遠道而來，工作都與安全相關(guān)。他們提到主會場第一個現(xiàn)場比賽，即圖像對抗樣本挑戰(zhàn)賽，也就是利用對圖片的修改欺騙人工智能。讓AI犯錯，這也是GeekPwn的傳統(tǒng)項目。人工智能對圖片的辨別機制與我們大腦并不相同，在評委的解釋下，可以理解成這是一場基于數(shù)字、夾角、距離和坐標(biāo)的欺騙「游戲」。

當(dāng)然，實際操作并沒有那么簡單。多個戰(zhàn)隊成功利用圖片對抗樣本針對圖像分類器發(fā)起攻擊，最后，TSAIL戰(zhàn)隊在第三關(guān)「人臉識別攻擊」中用圖片成功欺騙Clarifai人臉識別系統(tǒng)，讓AI將黃健翔識別成了「美國第一千金「伊萬卡」，并最終以229.77分的累計得分，成功拿到GeekPwn2019 CAAD CTF圖像對抗樣本攻防賽的第一名。

02

解決問題的俠客或社會的瞭望者

如果平時關(guān)注新聞、隱私以及安全，一定不會錯過幾天前的一條新聞：一名科技博主利用專業(yè)設(shè)備，在一間布滿80多個針孔攝像頭的房間挑戰(zhàn)反偷拍，但還是沒能找到其中的大多數(shù)。

這場挑戰(zhàn)的發(fā)起者正是GeekPwn。

關(guān)于反偷拍，不由讓我想到去年夏天的經(jīng)歷。當(dāng)我抵達臺北進入捷運站后，第一件驚訝的事是竟然不用安檢，第二件事則是站內(nèi)的公廁幾乎都貼著標(biāo)語：已進行反偷拍檢測。

后來我回來查了一次，發(fā)現(xiàn)大概是這樣的機制：每月至少一次例行反針孔攝像偵測，另外還有每月1-2次不定期偵測。

但這個頻率以及技術(shù)層面已經(jīng)在韓國被證實并不夠用。2012年-2017年，韓國偷拍案件從2400起上升到6470起。50名政府員工需要負責(zé)檢查首爾的超過2萬間公廁，檢查結(jié)果卻都顯示2016和2017兩年內(nèi)沒有發(fā)現(xiàn)任何偷拍攝像頭。

在極客大賽現(xiàn)場，關(guān)于反偷拍也有一場比賽。在25平米的場地中，一共有近二十個攝像頭，這些攝像頭被GeekPwn重新設(shè)計，提升勘測難度，組委會甚至“變態(tài)”到用若干智能設(shè)備和降溫系統(tǒng)來迷惑選手。

在之前，普通用戶以及科技博主都以物理方法為主：觀察房間內(nèi)可疑物品、借助輔助設(shè)備進行確認。但在現(xiàn)場難度卻被大大提升，所有物品都被布簾覆蓋，選手無法通過肉眼判斷攝像頭是否存在，需要成為靠技術(shù)說話的硬核「閉眼玩家」。

識別盡可能多，而且不允許識別錯誤，在評委看來，很難達到一種平衡，有的團隊技術(shù)很好準(zhǔn)確率很高，但是識別出的數(shù)量太少。最終，所有參賽選手均沒有達到比賽要求的最低得分，沒有團隊獲獎。

盡管本年度的挑戰(zhàn)以失敗告終，看起來目前沒沒有最好的解決方案，但這卻提醒了我們問題存在的嚴(yán)重性。偷拍產(chǎn)業(yè)鏈逐漸浮出水面，已成為社會之痛。暴露問題引起關(guān)注，未嘗不是吸引更多安全從業(yè)者在未來投入技術(shù)解決問題的好方法。

另一件事有關(guān)假新聞。

關(guān)于假新聞的產(chǎn)生機制其實主要有兩種。一種是對關(guān)鍵事實的篡改，這主要由媒體、記者承擔(dān)責(zé)任。另一種是因為技術(shù)漏洞，網(wǎng)站被攻擊或是賬號被盜產(chǎn)生了黑客想要大家看到的假新聞。

現(xiàn)場一支韓國團隊向我們展示了這種方式。如果描述這個過程，那就是寫代碼只花1分鐘，翻譯溝通確認花了3分鐘，一條黃健翔整容的新聞就出現(xiàn)在了網(wǎng)站上。

主持人黃健翔問了一個我很想知道的問題：作為小白，如何知道我們家里的設(shè)備被黑？

評委陳良現(xiàn)場回答說，如果這個設(shè)備真的是被攻破或者是通過一些高級的手段做一些隱匿的植入一些「后門」，你完全沒有辦法察覺到它存在。也就是說，廠商此時肩負更大責(zé)任，應(yīng)該更加積極的響應(yīng)這些問題修補技術(shù)漏洞，作為用戶一定要勤于更新，規(guī)避一些風(fēng)險。

另一個層面，這也是極客精神的體現(xiàn)。安全永遠是相對的，極客們有時候是一個俠客，可以出手解決問題；有時候又像是社會這艘航船上的瞭望者，及時發(fā)現(xiàn)暗礁與島嶼。

03

有時是一個人的打怪升級

更多是一群人的協(xié)作互助

1984年，伯瑞爾·史密斯在第一屆世界黑客大會上說，任何職業(yè)者都可以是黑客，你可以是個木匠黑客；它與高科技無關(guān)，只要你無比關(guān)心你手中的產(chǎn)品就表明你是個成功的黑客。

黑客本身就是超脫于工作本身存在的。記得去年，騰訊安全玄武實驗室首次披露了在安卓手機中普遍應(yīng)用的屏下指紋技術(shù)的嚴(yán)重漏洞——「殘跡重用」漏洞。這一漏洞源頭并非手機廠商，而是屏下指紋芯片廠商，屬于屏下指紋技術(shù)設(shè)計層面的問題。利用該漏洞，攻擊者只需一秒鐘就可解鎖手機。

玄武實驗室的掌門「TK 教主」于旸就是業(yè)內(nèi)知名的白帽子。他曾在2016 年發(fā)現(xiàn)了微軟歷史上影響最廣泛的漏洞。現(xiàn)在他不是一個人戰(zhàn)斗，而是領(lǐng)銜了了一個「門派」——被稱為 「漏洞挖掘機」的玄武實驗室。這個實驗室的安全員馬彬和陳昱曾搭檔發(fā)現(xiàn)了iPhone 的Face ID技術(shù)漏洞。

今年，陳昱又在GeekPwn 2019攻破了超聲波屏下指紋識別技術(shù)，這也是國際首次。整個過程是驚險刺激且直白的，在觀眾接觸過一個玻璃水杯后，陳昱先是拿出手機拍攝觀眾留存在水杯上的指紋，隨后在手機上調(diào)試之后「克隆」了一個全新的指紋，利用這個「新指紋」通過了該觀眾提前錄好指紋的3臺手機和2臺考勤機的指紋識別，一共破解了使用電容、光學(xué)和超聲波三種技術(shù)類型的指紋驗證設(shè)備。

對于TK、陳昱、馬彬這樣的極客來說，挖掘漏洞是一個打怪升級的過程。而修復(fù)漏洞，其實是多方聯(lián)合協(xié)作的過程。關(guān)于GeekPwn，有一條很重要，選手在現(xiàn)場展示的攻克漏洞，會在第一時間內(nèi)告知廠家。這意味著大賽除了用技術(shù)解決現(xiàn)實問題之外的最大優(yōu)勢，它是合法、安全且全面的。

比如去年在展示「殘跡重用」漏洞之前，安全玄武實驗室就已經(jīng)通過和手機廠商及上游芯片供應(yīng)鏈的協(xié)作聯(lián)動，修復(fù)了這個漏洞。今年的指紋識別問題，玄武實驗室也已與多家指紋驗證設(shè)備提供商進行溝通，推動解決。

除了面部和識別方面的安全與我們的實際生活日益密切，云安全也是一個繞不開的話題。此前Facebook大面積的用戶隱私泄露，引發(fā)了世界范圍內(nèi)的恐慌。

當(dāng)云成為重要的基礎(chǔ)設(shè)施，成為萬物的底層后，其安全的重要性不言而喻。

在GeekPwn 2019，就有全世界首個基于真實通用云環(huán)境的安全挑戰(zhàn)賽。《網(wǎng)絡(luò)安全法》實施后，對于白帽子來說，限制更加嚴(yán)格。白帽子修復(fù)網(wǎng)絡(luò)漏洞的前提，是發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，而對自身發(fā)掘漏洞行為是否合法，如何合法地繼續(xù)展開漏洞挖掘工作，是白帽子面臨的一個重要問題。

為了促成此次比賽順利進行，騰訊安全云鼎團隊聯(lián)合GeekPwn團隊設(shè)計了幾十套方案，三個多月封閉作戰(zhàn)，甚至投入幾百萬費用去搭建一個真實的、適用于選手比賽的云上環(huán)境，并且完全復(fù)現(xiàn)主流云平臺的架構(gòu)、技術(shù)和系統(tǒng)軟硬件環(huán)境。

在云安全挑戰(zhàn)賽現(xiàn)場，前期100多支報名隊伍中選出來的6支隊伍發(fā)起了11750次攻擊，最好的成績是攻克到16道有效賽題中的第9道，最終未能有戰(zhàn)隊突破最后一個級別的挑戰(zhàn)。

這個結(jié)果其實在云鼎實驗室的預(yù)料之中。云計算技術(shù)復(fù)雜、體系龐大,網(wǎng)絡(luò)安全研究人員自己想廣泛深入研究較為困難。這也就是為什么云鼎實驗室要聯(lián)合GeekPwn搭建這樣一個比賽平臺，這樣做不僅為研究人員提供了一個真實環(huán)境的平臺,同時因為覆蓋環(huán)節(jié)全面,更有利于研究人員的實踐。

中國信通院發(fā)布的《云計算發(fā)展白皮書(2019)》談到，目前，我國云安全產(chǎn)品不斷豐富，促進了云用戶安全防護水平的極大提升。一方面，云計算廠商在強化自身安全能力的同時，紛紛將自身安全能力產(chǎn)品化輸出；另一方面，安全廠商積極布局云計算安全解決方案，將積累的豐富安全經(jīng)驗適配于云環(huán)境。

事實上，騰訊、華為、小米等廠商就是這么做的。為應(yīng)對產(chǎn)業(yè)互聯(lián)網(wǎng)環(huán)境下的安全問題，騰訊安全協(xié)同騰訊云，共同構(gòu)建了「一個基礎(chǔ)底座，兩個安全中臺，攻防兩面一體」的核心安全能力，為產(chǎn)業(yè)打造更安全的云環(huán)境。可以看到，白帽黑客不再是孤軍奮戰(zhàn)，他們越來越重視協(xié)作，為企業(yè)和硬件的安全性做更多的努力。

正如GeekPwn創(chuàng)始人大牛蛙所言，每個頂級的黑客都是藝術(shù)家，他們享受那種破解的成就感。對于黑客白帽而言，他們曾經(jīng)是數(shù)字時代的冒險家與探險者，是依靠個人創(chuàng)造力為社會解決問題的斗士和俠客。如今，他們依靠全產(chǎn)業(yè)的協(xié)作和守望相助，成為數(shù)字經(jīng)濟時代的建筑師。

吳懟懟工作室原創(chuàng)出品

吳懟懟，自媒體藝人，人人都是產(chǎn)品經(jīng)理2017年度作者，新榜2018年度商業(yè)觀察者，騰訊全媒派榮譽導(dǎo)師，虎嗅、36氪、鈦媒體、數(shù)英等專欄作者。

原標(biāo)題：《我在GeekPwn中看到的極客精神》

閱讀原文