“二分之一是各地的历年高考状元,二分之一是数学专业,二分之一来自微软。”Keen这样的团队不太喜欢用中文的“黑客”来自称,因为这个字眼让人感觉是在神秘地做“黑事”,一定要用时,也要称自己是“白帽黑客”。他们也坚决与黑产划清界限,这也是圈内的“道德洁癖”,一个人一旦有意涉足黑产,便再也不会被信息安全圈内接受。
成功攻破数个目标系统
北京时间2014年3月14日凌晨,加拿大温哥华,Pwn2Own比赛现场。在这项全球顶级信息安全赛事中,苹果的桌面操作系统Mac OS已经连续三年保持了未被攻破的“不败金身”。
“Pwn2Own”由微软、谷歌、苹果、Zero Day Initiative等全球知名软件厂商和安全解决方案提供商赞助,提供最新版本最安全的主流桌面操作系统、浏览器和应用程序作为攻击对象,各参赛队所使用安全漏洞和攻击手段的技术细节只会被反馈给相应的厂商,供其发布漏洞补丁。为鼓励技术创新,赞助商今年为所有项目的获胜队提供了总计100万美元的奖金。
上海Keen团队主攻手陈良,用15秒攻破最新的苹果桌面操作系统MacOS X,是参赛选手里唯一成功攻破目标系统的人。同时被他攻破的还有Windows8.1,耗时仅20秒,同样是现场唯一的成功者。去年11月,在Pwn2Own东京比赛中,Keen用30秒攻破苹果手机iOS 7.0.3系统,成为中国在信息安全领域的首个世界冠军。
如何进行攻击?陈良要做的是在“目标电脑”的浏览器上输入自己建的网址,之后便在自己的电脑上运行攻击代码;半小时内若能够操纵目标电脑,比如能监视该电脑敲击键盘的顺序,就算成功。
“不知攻,焉知防’,我们研究进攻的目的是为了更好地进行安全防御。”Keen属于上海·震云计算科技有限公司,公司的联合创始人、首席运营官吕一平说。
专注事业失去女友
力求拥有国际化视野的Keen团队,总是不太喜欢用中文的“黑客”来自称,因为这个字眼让人感觉是在神秘地做“黑事”,一定要用时,也要称自己是“白帽黑客”。
来自上海的陈良,生于1986年,本科和硕士分别毕业于上海交大和复旦。为了准备这两次Pwn2Own比赛,陈良每次都要在赛前“闭关”两个月。所谓闭关,就是把自己关在一个出租屋的小房间里,基本和外界断绝联系,吃饭全靠外卖,每天足不出户,除了6小时睡眠外,其他时间都在电脑前研究如何找到目标系统的漏洞。
当然,操作系统的总代码高达数千万甚至上亿行,漏洞不可能一行一行地去找,“要是那样的话,恐怕十年也看不完。”他会利用逻辑判断和一些Keen团队内部开发的工具,排除那些显然不会存在漏洞的代码。找到寻找漏洞的正确方向,是攻关的重点。
最近一次闭关,陈良直到比赛前半个月的3月1日晚上才找到突破口。那段时间,他每天的睡眠时间已经减少到了4-5小时。“那天已经是晚上十一二点了,就是感觉突然一下被灵感击中,觉得那个想法一定能成,于是彻底失眠,赶紧在电脑上试验。”成功后,他就像中了几千万的彩票一样兴奋。
陈良对这样专注于一件事的过程“非常享受”,获奖后反而有了一种失落感。他承认,自己平时会有些“宅”,“因为比较能坐得住吧”。不能接受他对事业过于专注,是前女友和他分手的原因。
让中国安全技术成为世界顶尖
其实,不只是陈良,Keen的8人创业团队,也是现在的核心技术成员,几乎个个都是信息安全领域的“大牛”,都是顶尖黑客。吕一平用“三个二分之一”来概括他们团队的特点:“二分之一是各地的历年高考状元,二分之一是数学专业,二分之一来自微软”。而这群人也被称为“怪人”。最经典的故事是,这群研究员一起在外吃火锅的时候,兴高采烈地讨论“数学之美”。不少黑客喜欢数学,数学的规律和逻辑,和高级别的黑客攻击是相通的。陈良回忆说,谈论时,大量专业术语从这群年轻人口中蹦出来,他们喝了酒,讲话很大声,有争辩,还有笑声。服务员们走过这桌都翻白眼,上完菜就赶紧躲得远远的—“一群怪人”。
3年前,这群“怪人”在上海成立了计算科技有限公司。吕一平说,大家之所以给团队取名叫Keen,取的是这个单词“热情、锐利”之意。而这个含义,几乎可以说是黑客精神的代名词。他说,自己心中一直有个梦,就是要让中国的安全技术成为世界顶尖。
吕一平再三强调说,Keen这样的团队是坚决与黑产划清界限的,这也是圈内的“道德洁癖”,一个人一旦有意涉足黑产,便再也不会被信息安全圈内接受。
转载请注明:拈花古佛 » 揭秘中国顶尖“黑客”团队:50%是历年高考状元