快速攻克IT产品漏洞封堵“黑客产业链”财路去年，KeenTeam演示了通过专业的“黑客”技术“侵入”电动汽车特斯拉ModelS的系统，从而实现用手机远程控制特斯拉的行驶。张衡年/摄影去年底，Keen Team官方微博透露，正式成为“Google Project Zero”的亚洲第一个正式合作伙伴。这意味着，中国安全研究团队的实力获得世界最高水平安全社区的认可。3月下旬，已连续3年在全球顶级黑客大赛Pwn2Own上摘得5项冠军的“白帽黑客”Keen Team出现在纽约时代广场的大屏幕上。所谓“白帽黑客”就是利用“黑客”技术为网络公司提供安全检测的网络安全工程师们。30秒就攻破微软PDF插件提起黑客大赛Pwn2Own，在网络安全工程师眼中，相当于足球领域中的世界杯。Pwn2Own由惠普旗下TippingPoint项目组ZDI主办，谷歌、微软、苹果、Adobe等互联网和软件巨头对比赛提供支持，通过黑客攻击挑战来完善自身产品。换句话说，一向自认技术很牛的谷歌、微软、苹果等公司，会将自己的最新更新系统、硬件、软件产品拿出来，鼓励参赛技术团队找到产品的漏洞并攻克，如果在规定的半小时内“黑”进产品，证明产品并不是无坚不摧。在最近一届Pwn2Own比赛上，Keen Team报名参加了6个项目中的Flash、PDF两项，并分别用时30秒、60秒攻破IE环境运行下的两大插件。值得一提的是，与往届相比，今年Pwn2Own特意增加了难度，自2007年首次举办以来，堪称“史上最难”的Pwn2Own。“比赛的时候仅用了30秒、60秒就攻破了插件，但这些都是前面准备了几个月的结果，虽然知道可以攻破，在宣布结果的一瞬间，内心还是很激动。”90后陆吉辉是此次Keen Team参加Pwn2Own比赛中的一员，也是PDF插件项目的“主攻手”，与很多技术男一样，看似内向，但是阐述起自己所熟悉的安全领域，他娓娓道来，也不会顾及坐在对面的外行是否能够听得懂这些专业名词。陆吉辉目前的职务是Keen Team的安全研究员，主要负责研究做Windows操作系统的漏洞挖掘工作。事实上，即便是在赛前一周，微软、苹果等这些比赛支持企业都有可能修补掉漏洞。“如果这些漏洞在比赛前一周被补上，你又找不到新的，再去参加比赛就是纯属观摩。”Keen Team的COO吕一平向商报记者解释道。除了拿到9万美元的基础难度环节比赛奖金，Keen Team在两个项目上还获得了最高系统权限，分别拿到了额外奖金2.5万美元。作为Pwn2Own历史上第一支把电脑桌面操作系统和移动操作系统全部攻破的世界级安全研究团队，Keen Team获得了该项赛事上的5个冠军，也是拿到该赛事冠军的首支亚洲团队。 去年底，Keen Team官方微博透露，正式成为“Google Project Zero”的亚洲第一个正式合作伙伴。这意味着，中国安全研究团队的实力获得世界最高水平安全社区的认可。“白帽黑客”爱惜自己名誉说起自己的“白帽黑客”身份，外界很喜欢把Keen Team与“黑帽黑客”作对比。他们解释道，“白帽黑客”是从事信息安全研究，帮助企业修复漏洞，而“黑帽黑客”则专注于安全攻击并借此获利。Keen Team所处的领域常常被称为危险地带，“在国内，纯做黑客产业的技术牛人不多，我们通常看到黑产业链里的情况并不是纯技术手段来操作的，更多的是利用人的心理来赚钱。”从2006年底到2007年年初，短短的两个多月时间，一个名为“熊猫烧香”的病毒不断入侵个人电脑，感染门户网站和击溃数据系统，给上百万个人用户、网吧和企业局域网用户带来无法估量的损失，被《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》评为“毒王”。在“白帽黑客”网络安全工程师眼中，黑客产业里提到的技术其实都很初级。“从技术层面上，我们都能干'熊猫烧香'，但是我们绝对不会碰，一般做过黑客产业，很难再洗白了。”“白帽黑客”有自己的目标，善于把有关技术的事做到极致，也有着很高的社会地位，一些知名的“白帽黑客”有自己的粉丝，被视做“大神级”人物。“一旦涉足黑客产业，就不会被国际社区所接受，'白帽黑客'都很爱惜自己的名誉。”与企业合作是生存之道去年，Keen Team曾采用互动游戏的方式，让7位业余观众一次性“黑掉”了70款主流安卓手机，而完成这些“任务”，只是使用了一个Keen Team设计的APP，利用了移动系统安全中的几个芯片级高危漏洞而做到的。包括手机在内智能移动设备内的高危漏洞很难被发现，有些问题很容易被攻击利用，造成用户巨大的损失。目前，华为、腾讯等知名的网络公司都成为了Keen Team的合作伙伴。这也使Keen Team的价值得以实现，即帮助企业查找安全漏洞，提交漏洞，在“黑帽黑客”发现漏洞并利用漏洞获利前把“缺口”补上。目前，移动终端安全正是Keen Team最擅长的领域。Keen Team强调自己的技术是“未知攻，焉知防”。他们指出，无论是Pwn2Own，还是其他有奖金的黑客比赛，在比赛结束后，所有选手找到的漏洞都会一并提交给厂商进行修复。包括微软、苹果、谷歌这些互联网巨头举办黑客比赛的目的之一，就是花小钱补大漏洞。同样，企业找上门与Keen Team合作，也是防患于未然。据悉，Keen Team已经向微软、苹果、谷歌等全球知名厂商提交了数百个“严重”级别的安全漏洞，是全世界范围内发现并报告安全漏洞最多的团队。同时，Keen Team也负责为腾讯、华为等国内顶级公司和产品提供安全检测。比如，团队与华为项目合作，为华为已销售或者未上市的手机提供安全监测，如果有漏洞，团队能够攻克，或者有其他安全问题，就交由华为去修复。“像华为、腾讯和部分金融机构等都已经成为了我们的合作伙伴，产品越安全，用户黏性就越高，这些企业也会投入预算和资源去与安全团队配合。”吕一平告诉记者。特斯拉“首秀”后与车企沟通去年，Keen Team演示了通过专业的“黑客”技术“侵入”电动汽车特斯拉Model S的系统，从而实现用手机远程控制特斯拉的行驶。针对这一情况，特斯拉中国出具了一份声明，称未看到任何Model S被“破解”的证据。虽然表面上，特斯拉中国否认了智能系统被攻破，但是后来，特斯拉认可了Keen Team所发现的漏洞。为此，特斯拉总部安全负责人Kyle Osborn去年12月特意飞抵上海，与Keen Team做了沟通。据悉，Keen Team在那次演示后提交的6个特斯拉Model S的安全缺陷，收到了特斯拉美国总部官方致谢，并获赠特斯拉安全最高荣誉限量勋章。目前，这些漏洞正在被修复，特斯拉Model S的车载系统变得更加安全。除了对发现安全缺陷表示感谢外，特斯拉安全负责人Kyle Osborn还希望能够与Keen Team之间有更多的技术交流和合作。Keen Team与特斯拉就车联网时代智能汽车的安全问题进行了交流。据了解，因为这次在车辆安全上的“首秀”，车联网安全受到了厂商的重视，Keen Team就车联网安全技术在与国内的几个知名车品牌进行了沟通，并已达成了合作共识。“到2017年会有品牌的车联网汽车进入市场，车联网信息安全是我们新的研究方向。”吕一平表示，团队对于安全行业有一定前瞻性。Keen Team也希望通过与车企合作研究这一全新的领域，“研究成本不低，与车企合作有资源支持，相对降低成本，研究成果可以反过来用于该企业的车联网安全。”