采访|王秋凤
文|傲敦
一指令下,不是一纸令下,Dade搅动了华尔街。
刚满18岁的Dade转学到Kate所在的学校,在电脑面前轻松耍了几下,把自己调成了Kate的同学。
他是电脑怪才,11岁的时候他已经侵入华尔街的金融公司系统并差点令股市崩溃,由于闯了大祸,Dade被惩罚性地剥夺上网权利直到18岁。
最后Kate成为Dade的女朋友,两位“白帽子”挽救了一场灾难,在露天泳池里相吻,这一幕早已让观众忘了前一秒他们在警局的落魄。
1995年上映的电影《黑客》海报
这是电影《黑客》里的画面,魔幻色彩的电影海报在查理·米勒(Charlie Miller)的房间,一片黑,几台电脑屏幕微亮。
我们与这位汽车圈头号“敌人” 的两次对话中,从未问起他为什么会成为黑客,又为什么会选择“白帽”,有时候,好人和坏人实在难以分辨岚皋天气预报。
博士毕业后,米勒放弃了教授工作成为美国安全局一员,从2005年才开始真正开始自己的研究。尴尬的是,在这之前他与妻子参加派对时都不知道跟其他人聊什么,保密是常态老树皮乐队。
电影里说,黑客最喜欢用的密码是“上帝”,米勒说,他喜欢数学,“你争不过我,我说的就是答案,我可以向你证明这一点。”
说来有点霸道,米勒喜欢成为唯一,他把修补软件漏洞比作极难的数独拼图,“这很难,但是当你完成后,你就会成为唯一一个曾经做过的人。”
后来,他的确无数次成为唯一,喜欢用“上帝的视角”做事。
01
从密码学家转向网络安全,从安全局职员成为黑客大赛常客,米勒有无数次机会一夜暴富。
但是在2007年篮球大联盟 ,离开国家安全局六年后,米勒第一次公开发声,他没能一夜暴富却一夜“爆红”。
他在一篇文章里承认,2005年把“零日漏洞”利用程序卖给了美国政府,交易价格为5万美元。
从此,米勒成为第一个公开将漏洞利用程序卖给政府的人。作为一名安全研究院,米勒站在了安全的对立面,利用售卖漏洞程序牟利。
业内有一群人想借机本大搞一下米勒,他捅破了零日漏洞市场的“一层薄纸”,让本是地下交易成为世人皆知的秘密。
但对米勒而言,当时的环境似乎不太适合把漏洞免费透露给软件供应商,因为对方很有可能以刺探公司系统为由可,对这种行为提起诉讼。
不过此时,他已然成为一名骇客,与白帽无关。
后来,业内没能吊销米勒的CISSP(信息系统安全认证专家)执照,米勒也从未承认过他的行为违反了职业道德规范。之后,米勒“管住了嘴”远程成为推特安全团队一员,不再参与零日漏洞交易。
但他丢下这么一句话,如果你认为零日漏洞卖给政府这件事是错的, 那么“当军火公司把枪和坦克卖给政府时,有人会发疯吗?”。
局外人看来,这种解释也不无道理。
同年,米勒又达成了另一个“唯一”。iPhone上市一个月,他成为首次入侵iPhone的人,这件事情让当时的苹果公司恨之入骨。
听过他在黑帽大会上演讲的人,这样描述在圈内的言谈举止,爱开玩笑,笑起来就是一枚坏人。但是iPhone刚兴起的时代,只要他出现在黑客圈,他便是最抢手的合影对象。
他首次成功入侵iPhone后,苹果很快发布了补丁修复漏洞,两天后,米勒在黑帽会议上展示了自己的成果。
苹果一直是黑客界的“宠儿”,黑客最不相信的就是“最安全”,这些年米勒从未停止对苹果公司的研究,曾多次公开质疑苹果在安全方面的封闭性。
两年后,米勒又发现了iPhone的高危漏洞,黑客可能会通过短信控制你的iPhone手机,无须你做任何动作。米勒在黑帽大会上揭露了iPhone的这一漏洞后,苹果公司又在第二天就修复了这个安全隐患。
他连续三年破解Mac,连续三年获得了Pwn2Own黑客大赛的奖金,最短时间记录是10秒。
他被美国媒体评价为地球上最熟练的黑客之一,还曾放话“Windows是城市里上锁的门,Mac OS系统是乡村不上锁的门。” (Mac OS X is like living in a farmhouse in the country with no locks,and Windows is living in a house with bars on the windows in the bad part of town.)
时至今日,他都无法理解为什么没有人来攻击Mac,“如果万一有人对Mac进行大规模的攻击,应该是一个很大的新闻。”
2009年,苹果收编了这位挑战者,2012年9月又离开。而就在那一年,被他质疑的苹果初登黑帽大会舞台介绍 iOS 系统的安全功能,不得不说,离开前,米勒给苹果送上了一份厚礼。
02
虐完苹果,米勒找到了更好玩儿、更大、更难的攻破对象——一辆车,或者说一堆车。
米勒曾说过,人们也许不能理解入侵浏览器是多么危险的事,但是人们很容易理解当黑客控制汽车是多么可怕的事情。
早在2013年,米勒和他的搭档克里斯·瓦拉塞克(Chris Valasek)坐在福特Escape和丰田普锐斯的后座拿着笔记本,边笑边使车辆刹车失灵,同时控制转向鸣笛。
两年后,2015年,兄弟二人跑到了车外,不受空间距离的限制,米勒在家中通过一台笔记本轻松控制了一辆驾驶中的切诺基,汽车失去控制,空调、收音机、雨刮都在飞舞。
克莱斯勒召回140万辆汽车龙珠阿沙隆,安装软件补丁。在2015年的黑帽大会上,米勒和瓦拉塞克一脸严肃地展示了技术细节悍虎机油,他们知道,汽车关系生命,确实“不好玩儿”新醉拳。
7月16日,那些配备Uconnect功能的车主收到来自克莱斯勒的通知,要求对系统进行更新,官方未提及米勒与瓦拉塞克的研究。
而克莱斯勒在回应《连线》网站的提问时表示,他们表示“感激”。克莱斯勒在声明中表示,任何鼓励或帮助黑客在未经授权的情况下获取机动车系统控制权限的行为都是不合适的,虽然公司对此类研究的成果表示支持,但任何行为都不应以牺牲公众的安全为代价。
但这一次,无人怀疑“白帽子”米勒,他似乎同时守住了黑白两只队伍的底线混世穷小子,用户、企业有选择,骇客却没得选。
说来也怪,自那以后其实没有发生过大规模汽车遭黑客攻击事件,米勒是危言耸听?还是另有其因?米勒对汽车厂商的安全保护措施一直持质疑态度军长砸酒店,在他看来,可能是因为黑客出于某种考虑没有采取类似行动。
米勒说,黑客有太多的盈利方式,2015年对吉普的研究成果也并非一蹴而就,难度很大。他花费了近2两年的时间和大量的人力物力,“他们也不愿意花两年多的时间做前期攻克,这并不是说车子的安全性能很高,而是因为黑客不屑做这个事。”
米勒似乎也不再愿意破解传统车,从Uber、滴滴再到通用汽车Cruise他一路转型追赶潮流,他在等待下一个唯一。
米勒清晰的认识到,随着激光雷达、以太网、GPS被应用风流小医仙,给自动驾驶汽车带来了很多新挑战。作为Cruise首席安全构架师,他还是需要比其他人跑得更快。
此次来到中国,在CSS 2018互联网安全领袖峰会上,米勒主讲了自动驾驶安全。谈到黑客对自动驾驶的攻击,米勒认为可能会出现远程攻击、近程攻击、物理接触攻击和感应器攻击,未来冗余结构设计会减少攻击的风险。
与之前不同的是,米勒在正向保护一辆车,而不是攻破它。无人驾驶的安全机制是米勒目前的研究方向,他认为,目前无人驾驶不属于个人,一个公司可以保障一批无人车的管理和空中升级,这种方式可以有效防范黑客任何一种方式的攻击,“任何汽车的安全,都可以通过数据中心和小的网络来实现,通过控制器技术等现有技术进行优先保障。”
米勒不相信安全,却建议我们去尝试最新的无人驾车。张嘉蓉米勒说,自动驾驶没有刹车、没有方向盘等等设计,甚至没有蓝牙、wifi等媒介,所以会更安全。
“目前为止,像我这样的研究人员,要黑飞机的话我觉得比较难,因为我没有飞机。所以,类似的道理,自动驾驶的汽车目前的安全度主要是来源于黑客还没有太多接触它的机会。所以,现在自动驾驶的汽车会有一些安全优势。”
不用怀疑,米勒在等待那辆无人车,不知黑与白,那时,或许自己都难说好人还是坏人。
后记:
有一种采访很“自虐”,明明很想大谈人生,却一直追问技术成就。
你有没有想过干坏事?真正的坏事?
有没有后悔过成为现在的自己?
你给了别人选择,别人有没有给你选择?
希望,上文能让你对黑与白,好与坏有了自己的判断。
相关阅读:
又见Charlie Miller,他说黑客不屑于攻击汽车
被誉为全球最强黑客的查理·米勒究竟是何方神圣?
汽车丨科技丨大数据丨营销
有茶有酒有诗,谈车论道聚友
秋凤空间
微信号 : QFWzone