加入星计划,您可以享受以下权益:

  • 创作内容快速变现
  • 行业影响力扩散
  • 作品版权保护
  • 300W+ 专业用户
  • 1.5W+ 优质创作者
  • 5000+ 长期合作伙伴
立即加入
  • 正文
    • 这个黑客不一般
    • 网络界的黑暗魔法
    • 只有魔法才能打败魔法
    • 总结:
  • 相关推荐
  • 电子产业图谱
申请入驻 产业图谱

16岁黑腾讯,20岁黑阿里 少年黑客天才,除了吴翰清,你还认识谁?

2020/07/17
364
阅读需 15 分钟
加入交流群
扫码加入
获取工程师必备礼包
参与热点资讯讨论

菜鸟:只要我不联网,电脑里的数据就是安全的。

黑客:不,你的电脑里还有风扇呢……

日前,以色列本·古里安大学的 Mordechai Guri 发表了一篇足以震惊全网的论文。文中他提出了一个名为 AiR-ViBeR 的数据窃取技术——这项技术可以通过电脑内部的风扇振动的频率,来「窃取」电脑内的资料信息,且不需要联网支持。

乍一听,是不是觉得一头雾水,花 sir 在这里就给大家在线答疑,说一说这项技术是如何实施的:

首先,就像所有黑客入侵的前奏一样,它会先在电脑中植入恶意软件,然后通过这个软件来控制风扇的转速,以此调节电脑所产生的机械振动,同时电脑中的数据也会被编码到这些振动中;

紧接着,只要将添加了加速度传感器智能手机,放在电脑主机附近,就可以收集到较精准的振动信号,最后只要在特定的解码软件中,就可以轻松破解收集到的数据信息。

怎么样,是不是觉得很匪夷所思,是不是开始有《黑客帝国》内味儿了?好了废话不多说,快上车,今天我们唠唠少年黑客天才的话题。

这个黑客不一般

在你眼中,那些游走在技术尖端的黑客,究竟是什么样?(不许说基努·里维斯)

他们的外表往往很普通,扣着低调的棒球帽、背着松垮垮的双肩包、点杯低糖的咖啡,坐在某这个不起眼的角落,默默地敲打着键盘。

举手投足间,便可以轻松的黑掉你的银行卡,盗走你全部的积蓄;黑掉你的摄像头,顺着你的摄像头让大型网站瘫痪……

然而,这还只是小打小闹而已。

2007 年,当第一部 iPhone 采用的还是 AT&T 独家运营商锁网方案时,年仅 17 岁的乔治·霍兹,就通过一把螺丝刀和吉他拨片撬开了 iPhone,并在基带处理器上焊上一条线,用外接信号扰乱编码,将 iOS 系统成功越狱。

后来,小哥把被解码后的 iPhone 放在 eBay 上拍卖,最终 Certicell 公司的老总以一亿美元的价格成功竞拍,乔治·霍兹也以这部 iPhone 交换到了一部日产 350Z 跑车(07 北美款售价 55-58 万 RMB 左右)和三部未破解的 iPhone 手机。

名声大噪后的 2010 年,他还把号称无坚不摧、面世三年从未被破解的索尼 PS3 游戏机拉下了马,最终逼得索尼将他告上了法庭,还掀起了世界级黑客大战。但霍兹恐怕也没想到,因为破解 PS3,自己竟成了第 N 次网络世界大战的导火索。

虽然这次的经历让乔治·霍兹惹上了官司,但却终以和解收场,这一点也不妨碍这位小哥黑客生涯辉煌的延续。

 

这不,沉淀了 5 年后,2015 年 26 岁的他驾驶着无人驾驶汽车,重出江湖!

无独有偶,2010 年 7 月 28 日,33 岁的巴纳比·杰克在计算机安全业界知名的黑帽子大会上,上演了一场入侵 ATM 取款机,并让其「疯狂吐钱」的表演。

 

这一表演,成为了那一届黑帽子大会中,最轰动全场的戏码,也让「智能安全」备受质疑。

三年后,他还研发出另一项「黑客绝技」——入侵心脏除颤器和心脏起搏器。该系统可以入侵 10 到 15 米范围内的心脏除颤器和心脏起搏器,并让机器释放出足以致人死亡的 830V 电压,实现了真正的「杀人于无形」。

然而,不幸的是,这位技术天才却在 2013 年黑客大会的前几天,他被发现死于旧金山的公寓中。由于官方没有公布死因,不明真相的群众开始猜测他是被人暗杀或者触动了银行或医疗公司的利益,不管是真是假,阴谋论为这名黑客增添了足够的神秘色彩。

 

在牛人辈出的黑客帝国中,16 岁入侵 DTRA、NASA 的乔纳森·詹姆斯也属于难得的天才技术少年。而他最耀眼的成绩,无疑就是入侵导致国家航空和宇宙航行局的计算机系统,并让其在 21 天时间内完全瘫痪。为此,乔纳森·詹姆斯也成为了世界上第一个因黑客行为被捕的未成年。

作为游走在技术尖端的黑客少年天才,凯文·米特尼克也成为了诸多传奇的缔造者之一。

在 15 岁那年,他成功地黑入「北美空中防务指挥系统」计算机主机,在那次入侵中,他翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料。事后,他成为了第一个被美国联邦调查局通缉的黑客,一度被称为是「世界上头号电脑黑客」。

出狱后,他开始从事网络安全反入侵事业,并出版了《反欺骗的艺术》,《反入侵的艺术》和《线上幽灵:世界头号黑客米特尼克自传》等书籍。虽然他们的事迹,多是从「黑入」与「入侵」开头,但不可否认的是,黑客的力量的确超乎常人的想象。

网络界的黑暗魔法

在黑客的世界里,一直有着白、灰、黑三顶帽子的说法,它们分别代表的意义与现实中的法治社会相似。对于这个游走于法律边缘来回试探的灰帽子,先按下不表,今天主要聊一聊泾渭分明黑、白帽子。
 

 

黑帽子们精研病毒与网络漏洞,以个人意识为中心,常攻击企业或政府的网络,使他们造成巨额损失,并从中获利。

2014 年 11 月 24 日,位于美国加州的索尼子公司索尼影响娱乐,遭到黑客的攻击,不到两天的时间,大量系统瘫痪,450GB 的内部数据全部泄露,其中还包括了 5 部未上映的电影、高管薪酬以及员工邮箱、社保账号……

整个事件导致索尼公司直接损失了 1500 万美元。

 

2016 年,孟加拉国中央银行也遭到了黑客攻击,黑客利用恶意软件操纵的银行计算机设备,转移 10 亿美元的资金,但由于公式错误,银行「只」损失了 8100 万美元。

然而,近年来受黑客影响最为深远的,莫过于 2017 年的勒索病毒事件。

 

2017 年 5 月,黑客将美国国家安全局泄露的漏洞「永恒之蓝」,升级为勒索病毒「WannaCry」,随后病毒迅速在全球传播开来,一百多个国家和地区的 30 多万台电脑遭到攻击。

紧接着,升级后的 NotPetya 勒索病毒卷土重来,导致许多欧洲许多企业和组织的系统瘫痪,港口、通讯等诸多行业遭到勒索,乌克兰受害较为严重,其政府、国企相继「中招」。

 

之所以被称为是勒索病毒,是因为黑客在锁定用户设备后,会向受害组织或企业索要比特币作为赎金。

虽然两场声势浩荡的网络勒索,黑客只获得了 5 万和九千美金的赎金,但是企业系统的中断和维修所造成的损失高达 80 亿和 8.5 亿美金。

 

在上述几则实例中,一直闪现着最「臭名昭著」的朝鲜黑客组织——Lazarus Group 的身影,他们的攻击更趋向于经济利益,且对比特币有着极大的兴趣。是黑帽子黑客的代表群体。

随后的几年里,勒索病毒的阴影一直都没有消散。时至今日,网络上还里陆续出现一款名为「WannaRen」的新型勒索病毒,其属性与「WannaCry」相似。遭到攻击后,会自动加密 Windows 系统中几乎所有的文件信息,想要恢复就要向黑客支付 0.05 个比特币的赎金。

但是,整个事件,只勒索到了五块钱,最后还主动交出密钥,不少网友怀疑这很有可能是一场自我炒作。抛开炒作一说,单是事件的过程就足以让不少人胆战心惊的了。

只有魔法才能打败魔法

在隐秘的黑客世界中,与黑帽子站在对立面的白帽子,他们往往受雇于各大企业,协助企业修复漏洞,从事信息安全研究网络、计算机防御技术,抵御非法黑色产业链

 

  

上文中所提到的巴纳比·杰克、凯文·米特尼克都是这一行列中的代表人物,他们都致力于发现企业的漏洞并为之修复升级,以提高公司的安全性。

其中,也包括了「阿里神盾局」中的灵魂人物——吴翰清。在关于他的众多传奇故事中,最为人津津乐道的便是「招安黑客」:

 

一名资深黑客在突破了阿里的第一道防火墙后,屏幕上显示出「来阿里上班吧,月薪 2 万」的几个大字;黑客不予理会,在突破第二道防火墙后,收到了「来阿里上班吧,月薪 10 万」的信息,紧接着黑客的定位坐标被暴露在屏幕之上,最后黑客只得「被迫」招安。

2015 年的 9 月 1 日,表面上看似平凡一天,阿里云却遭到了史上最严重的 DDoS 攻击。那一天,吴翰清团队对阿里云盾上的安骑士产品进行了一次常规升级,但是令人始料未及的是,不到半个小时的时间,大量客户的业务发生中断。

 

一石激起千层浪,由于是全国大规模的开学期间,大量学校反映系统故障,造成很多学生没办法报到,紧接着,国家各级管理部分纷纷致信询问缘由,并要求阿里云盾提交故障报告。

事后,吴翰清将每年的 9 月 1 日,定为阿里的「云盾日」,随后在自己的微信公众号中,发文致歉:在中国,大量的中小企业客户都处于裸奔的状态,用户的安全需求很难的到满足……

难道只要中小企业有安全隐患吗?真相远不止于此。

 
2019 年双十一当天,阿里遭受了 22 亿此的黑产攻击,在「阿里神盾局」的守护下,有惊无险的度过了 24 个小时。

 

前不久,Zoom 遭到黑客撞库攻击,内部信息惨遭泄露,有媒体爆料称:有 53 万个 Zoom 账户密码在暗网公开叫卖,且价格便宜,换算成人民币,一分钱可以买 71 个账号。然而,Zoom 的会员,一个月就要 140 元人民币。这一事件一度将 Zoom 的安全问题推上了风口浪尖。

今年,史上最危险的域名——corp.com,被公开出售,最终被微软亿 170 万美元的介个成功拍下。微软的收购很多程度上保障了用户和那些将 Active Directory 构建于「corp」或「corp.com」之上的公司的安全与隐私,同时还消除了黑客们想要通过此域名来实施网络犯罪的可能性。

 

现实中,并不是所有企业都能够像阿里和微软那样,拥有足够的资金与技术来确保着企业安全的运作,那些背着众多用户信息在互联网上裸奔的中小企业,很多都存在着用户信息泄露的隐患。

作为用户在无法提升自用软件的企业安全的情况下,如何自保成为了当务之急。

 

首先,要创建一个较为复杂的密码,较为复杂的密码可以减少黑客恰巧破解密码的可能性。且尽量不要向他人透露密码,且要经常更换密码,因为隐患总会潜伏在在身边。

其次,尽量不要使用公共网络,例如星巴克、肯德基等,因为这种公共网络很容易被黑客盯上,黑了你的账户事小,刷爆你所有的卡才是真的恐怖。同时,在关闭浏览器的同时也要注意有没有注销账号,因为你的个人信息并不会因为网页的关闭而关闭。

 

再其次,学会分辨官方网站与钓鱼网站,钓鱼网站也就是我们常说的山寨网站,很多黑客会通过伪造成社交媒体或是银行账户的登录界面,实施网络钓鱼诈骗。

最后,也是最重要的,要市场备份数据。黑客入侵,一般会数据造成两种伤害——可逆与不可逆。如果运气不好,碰到了不可逆的,即使你付了高额赎金,也很难换不回原有的数据信息。

总结:

自 1988 年第一个网络蠕虫病毒诞生以来,「危机四伏」成为了互联网撕不掉的标签。然而危机有多大,诱惑就有多大,那个由「0」与「1」构成的虚拟世界,也在朝夕之间一点一点的融入我们生活。

 

前几年,上映的惊悚片《解除好友:暗网》也许只是一部电影,但是电影往往来源于生活。

近年来,不断被爆出的「N 号房间」、「直播虐猫狗」、「鲍毓明案」等事件的背后,都是一条条鲜血淋漓、触目惊心的黑产链。

 
只有魔法可以打败魔法,黑客亦是如此。

相关推荐

电子产业图谱