王琦和他的團(tuán)隊(duì)
王琦對(duì)《第一財(cái)經(jīng)日?qǐng)?bào)》記者強(qiáng)調(diào),不同于“駭客”,GeekPwn是關(guān)注未來智能安全的黑客賽事,初衷是披露漏洞,改善安全人才培養(yǎng)土壤。白帽黑客做的事不是“砸人家玻璃”。
王琦,行業(yè)別名“大牛蛙”,國(guó)內(nèi)最頂尖的白帽黑客團(tuán)隊(duì)KEEN 的創(chuàng)始人兼CEO。他所創(chuàng)辦的KEEN公司的研究團(tuán)隊(duì)曾在全世界著名、獎(jiǎng)金最豐厚的黑客大賽Pwn2Own上連續(xù)三年獲得五個(gè)冠軍,也是有著“黑客奧運(yùn)會(huì)”之稱的GeekPwn國(guó)際性智能軟硬件挑戰(zhàn)賽的主辦方。
Keen Team團(tuán)隊(duì)由信息安全理論和技術(shù)研究方面的“白帽”安全專家組成,也是目前世界范圍內(nèi)由廠商官方確認(rèn)發(fā)現(xiàn)計(jì)算機(jī)漏洞數(shù)量最多、最了解突破現(xiàn)代安全保護(hù)技術(shù)的專業(yè)安全團(tuán)隊(duì)之一。Keen Team的數(shù)百項(xiàng)安全研究成果已經(jīng)應(yīng)用于世界上每一臺(tái)Windows和Mac OS設(shè)備,每一臺(tái)Android和iOS智能終端。Keen Team 是世界知名安全研究團(tuán)隊(duì)“Google Project Zero”的亞洲唯一合作伙伴。
2015年3月,在世界黑客大賽“Pwn2Own”上,Keen Team斬獲兩個(gè)項(xiàng)目的世界冠軍。三屆大賽以來,Keen Team五次在與全球頂級(jí)黑客的競(jìng)爭(zhēng)中獲得冠軍,是Pwn2Own歷史上獲勝次數(shù)最多的亞洲團(tuán)隊(duì)。
GeekPwn一鳴驚人
在去年舉辦的GeekPwn上,包括特斯拉、智能手機(jī)、路由器等大量智能硬件被破解,被發(fā)現(xiàn)可以通過電腦遠(yuǎn)程操縱的特斯拉為了表示感謝,還向攻破特斯拉的選手贈(zèng)送了勛章。
10月24日,在有“黑客奧運(yùn)會(huì)”之稱的GeekPwn2015國(guó)際性智能軟硬件挑戰(zhàn)賽上,大疆無人機(jī)、小米手機(jī)、華為手機(jī)、智能攝像頭、拉卡拉收款寶POS機(jī)、多款O2O類APP的移動(dòng)支付、奇酷手機(jī)的指紋支付……超過40款主流軟硬件產(chǎn)品被選手一一攻破。
24日當(dāng)天,支付寶于第一時(shí)間發(fā)布回應(yīng)稱,有極客演示的某美甲APP系統(tǒng)的漏洞與支付接口無關(guān),原因是商戶APP發(fā)送付款單據(jù)給支付應(yīng)用時(shí),在商戶APP內(nèi)部被中間人劫持并纂改所致,支付寶已第一時(shí)間聯(lián)系該美甲APP,并愿意為其緊急修復(fù)提供幫助。
360也于25日發(fā)微博稱,“感謝Keen Team對(duì)360奇酷手機(jī)安全作出的努力,360安全應(yīng)急響應(yīng)中心第一時(shí)間對(duì)收到的安全報(bào)告進(jìn)行響應(yīng),目前已進(jìn)入驗(yàn)證漏洞流程。”
這場(chǎng)黑客聚集盛會(huì)所引發(fā)的影響還在持續(xù)。而這場(chǎng)奧運(yùn)會(huì)的主辦方KEEN TEAM的創(chuàng)始人兼CEO王琦在專訪中對(duì)《第一財(cái)經(jīng)日?qǐng)?bào)》記者表示,不同于“駭客”,GeekPwn是關(guān)注未來智能安全的黑客賽事。
“有漏洞不代表有問題,安全是個(gè)獨(dú)立的東西,白帽黑客做的事不是’砸人家玻璃’,我們的初衷是披露漏洞,改善安全人才培養(yǎng)土壤。”王琦表示。
KEEN的由來
上海交大碩士畢業(yè)后,王琦先在一家公司做安全產(chǎn)品開發(fā),2005年加入微軟,負(fù)責(zé)網(wǎng)絡(luò)安全方面的工作。雖然那時(shí)互聯(lián)網(wǎng)已經(jīng)興起,但網(wǎng)絡(luò)安全還處于較為新興的領(lǐng)域。王琦和他的伙伴們認(rèn)為,用他們的技術(shù),可以做出更適應(yīng)市場(chǎng)需求更有價(jià)值的產(chǎn)品,而當(dāng)時(shí)國(guó)內(nèi)也缺乏好的安全公司。所以,他和同事朋友一起組建了KEEN TEAM,正式踏上了組建安全團(tuán)隊(duì)的創(chuàng)業(yè)之路。
“未知攻,焉知防,廠商產(chǎn)品的安全性有說服力,很多時(shí)候反而體現(xiàn)在對(duì)抗過,經(jīng)歷過攻擊而不倒。”王琦告訴《第一財(cái)經(jīng)日?qǐng)?bào)》記者,在物聯(lián)網(wǎng)前的PC時(shí)代、移動(dòng)互聯(lián)網(wǎng)時(shí)代,像谷歌、微軟、騰訊等,都曾經(jīng)歷過無數(shù)攻擊,他們建立了一整套完善的安全體系。
“除了不斷強(qiáng)化自身的安全能力,這些大企業(yè)通常都會(huì)以非常開放的心態(tài),去支持甚至獎(jiǎng)勵(lì)全社會(huì)來挖掘自家產(chǎn)品的漏洞。”這也是王琦理想中這個(gè)行業(yè)應(yīng)該有的樣子。
而實(shí)際情況是,這個(gè)行業(yè)在國(guó)內(nèi)普及度極低,企業(yè)也多對(duì)“白帽黑客”的存在并不理解。“過去企業(yè)會(huì)認(rèn)為,你是在找我麻煩,我需要先把你搞掉——瘋子的話沒人信。”王琦說。
“勇于承認(rèn)自身有問題的企業(yè)并不多。特別是在國(guó)內(nèi),很多企業(yè)并沒有太多安全的意識(shí),對(duì)于我們行為的目的性也表示懷疑。所以,即使高含金量的安全能力,最終還是會(huì)陷入低接受度的窘境。”王琦感慨。
王琦把為廠商提供高級(jí)安全檢測(cè)比喻成“體檢”,“我們先要告訴別人體檢很重要,并向別人證明我們能檢查出別人檢查不出的問題。安全公司知道很多人是病人,可有些人不在乎。所以我們還不得不承擔(dān)用戶教育的責(zé)任:體檢不是讓你花現(xiàn)在的錢,而是為了讓你身體好從而未來有更好的發(fā)展。”
對(duì)安全問題負(fù)責(zé)
“不認(rèn)可我們不要緊,我們自己要知道堅(jiān)持什么。等所有設(shè)備都用上我們的技術(shù),成功還是問題嗎?”王琦告訴《第一財(cái)經(jīng)日?qǐng)?bào)》記者。從而,KEEN決定通過國(guó)際大賽證明自己,獲得越來越多合作伙伴的信任,將頂尖的安全能力用于為用戶的智能生活提供便利。
Pwn2Own是全世界最著名、獎(jiǎng)金最豐厚的黑客大賽,由惠普旗下TippingPoint的項(xiàng)目組ZDI(Zero Day Initiative)主辦,ZDI是全世界最大的跨廠商漏洞獎(jiǎng)勵(lì)計(jì)劃。谷歌、微軟、蘋果、Adobe等互聯(lián)網(wǎng)和軟件巨頭都對(duì)比賽提供支持,通過黑客攻擊挑戰(zhàn)來完善自身產(chǎn)品。
事實(shí)上,電子產(chǎn)品、信息產(chǎn)品、智能產(chǎn)品由于復(fù)雜性決定了其在設(shè)計(jì)、開發(fā)、測(cè)試中存在了不同程度的“缺陷”和“問題”,廠商也是在不斷地迭代過程中尋求功能與體驗(yàn)的平衡。白帽黑客利用自己的專業(yè)知識(shí)和能力,通常會(huì)發(fā)現(xiàn)類似產(chǎn)品的缺陷和問題,但這也并不意味著這些產(chǎn)品質(zhì)量有問題。
經(jīng)過這支白帽黑客團(tuán)隊(duì)和行業(yè)從業(yè)者的不懈努力,“現(xiàn)在情況要好多了”,王琦說,社會(huì)大環(huán)境對(duì)網(wǎng)絡(luò)安全越來越重視,安全行業(yè)正在迎來春天。
不過,“直到現(xiàn)在,回老家別人問我你是干嘛的,我說做安全的,人就說’哦,你是360的’。”王琦笑道。
“我們?nèi)肆σ灿邢蓿豢赡茏鰝€(gè)執(zhí)法部門。”王琦對(duì)《第一財(cái)經(jīng)日?qǐng)?bào)》記者表示,“希望能夠真正能夠培養(yǎng)好尊重知識(shí)、尊重人、尊重白帽黑客的環(huán)境,希望廠商對(duì)自己的安全問題抱有負(fù)責(zé)任的態(tài)度。”
