按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
(感谢李玺林先生受访并提供图片资料。感谢大同地方志办公室原主任要子谨先生、大同政策研究室原副主任赵忠阁先生、大同民俗馆馆长赵佃玺先生受访。感谢李歆先生协助采访)
参考文献:徐永昌《徐永昌日记》,赵正楷《徐永昌传》、《徐永昌回忆录》,陈存恭《现代专业军人的典范——徐永昌》、《赵正楷先生访问纪录》,王奇生《湖南会战:中国军队对日军一号作战的回应》,吴相湘《民国百人传》,刘存善《徐永昌与阎锡山》,唐德刚《张学良口述历史》,赖炜曾《从地方到中央:论徐永昌与民国》,陈寿恒等《薛岳将军与国民革命》。
一群“白帽黑客”的乌托邦
作者:赵佳月 字数:7693
2014年12月王琦被评为“上海IT青年十大新锐”,领奖那天,他迟迟未到,同伴焦急地问他为何迟到,他说:“我找不到西装了。”
王琦是KeenTeam(下简称Keen)信息安全研究团队创始人,这个团队由信息安全理论和技术研究方面全球领先的中国“白帽”安全专家组成。他自认为在团队中,他还是个正常人。
黑客也分黑白两道:“白帽子”不会恶意利用计算机系统或网络系统中的安全漏洞,而是通过提示和公布等方式,促进漏洞的修补;“黑帽子”指研究攻击技术并将之用来惹是生非的黑客。
大牛蛙不愿提起别人看来傲人的过往,只有他的同事会小声嘀咕:他是微软在海外开设的第一个安全应急响应中心(CNMSRC)创始人和负责人,负责将漏洞报给总部的微软安全响应中心(MSRC)。在安全社区,王琦名叫大牛蛙,作为长相干净俊朗的国内第一批黑客,他在圈内拥趸无数。
Keen成立虽仅三年,但在此前的十数年中,其团队成员在首席科学家吴石的带领下已为谷歌、微软、苹果等公司的流行软件提供了数百个严重安全漏洞的挖掘成果,连续三年获得ZDI全球漏洞计算机挖掘白金贡献奖,吴石还获得了全球顶级安全会议Blackhat卓越安全研究成果Pwnies奖的提名,《福布斯》杂志评价吴石“发现的漏洞是苹果整个安全团队的两倍还多”。
三年里Keen参加过两次Pwn2Own大赛,三次在与全球顶级黑客的竞争中攻破了Mac等系统夺得冠军。自年前开始,Keen研究团队又进入备战今年加拿大Pwn2Own大赛的闭关期。
2014年1月,美国第三方AndroidROM团队CyanogenMod与KeenTeam达成合作。12月正式成为GoogleProjectZero亚洲第一个正式合作伙伴,意味着中国安全研究团队的实力获得世界最高水平安全社区的认可。
KeenTeam信息安全研究团队创始人王琦
GeekPWN:民间黑客的星光大道
尽管Keen在安全圈已经名声大震,为大众所知却还是去年的事。2014年10月24日,由Keen主办的第一届GeekPwn大赛在北京进行。在这次大赛中,各路民间黑客实现了一连串令人惊叹的事实:用微信“无人驾驶”特斯拉;通过已经关机的手机自动拍照,监听现场声音;无需木马或钓鱼,让打到别人账户的钱在途中悄无声息转到黑客账户……很多籍籍无名的民间黑客以其偏执的关注点,发现了智能生活中的安全漏洞,他们走上了由Keen铺就的星光大道。
GeekPWN中文全名是“极棒安全极客嘉年华”,是全球首个关注智能生活的安全极客嘉年华,也是国内信息安全领域最具权威性和影响力的活动。
但是发起这次活动,却让大牛蛙大费了一番周折。他要寻找智能产品商家合作。但他发现国内没有商家支持他,要组织黑客来寻找这些商家产品的漏洞,他们看起来更像是“找茬收保护费”的。
“最初只有微软和谷歌支持,国外商家早就有了承认、接受甚至花钱购买安全漏洞分析的姿态。”大牛蛙跟这两家谈到四五月份,发现微软windows从政府采购名单里清除了,“说明他跟中国政府关系变差了,把它赶出去,很大一个原因是说微软的东西可能会影响国家信息安全。”
国内企业的安全观并未国际接轨,国内的氛围是发现漏洞就是不安全。大牛蛙在心里打鼓:“天哪,还有没有人支持我们!”
大牛蛙在心里打鼓:“天哪,没人支持我们了!”紧接着6月,谷歌全面被封。“办不下去了,没办法办了!”他几乎就要放弃。他决定:合同不能用“黑客”两字,不能用“攻破”一词,甚至连“漏洞”都不要提。活动宣传人员犯了难:那还写什么稿子宣传让人来参加啊!
最后他们用“极客”来代替“黑客”,用“安全问题”代替了“漏洞”。这样的招募让整个团队担心:万一没有人来参加怎么办?
第一个报名的是过安检的X光机,可以带把刀,带把枪过安检,让X光机完全穿透,看不出来。“第一个就给我们出了一个难题,当时云南昆明火车站砍人事件才过去没多久,要不要接受?”出于各种考虑,这位报名者最后并未被接受。
接着报名的是劫持他人车里的车载GPS,干扰另外一个人的GPS,传递一个错误信息,比如,传达一个“北京二环现在是畅通的消息”,车就全部涌过去了,这样整个城就可能瘫痪。
但炫技并不是大牛蛙极力发起这次比赛的初衷,他的愿望是:通过攻破并发现智能设备的漏洞,推动厂商提高产品的安全性,为消费者使用安全提供保障。同时也能发现更多的安全极客人才,保护人们的未来生活。GeekPwn提倡新的安全观:“产品被发现和消灭的安全问题越多,产品越安全。”
在比赛前,大牛蛙一直想找到代表人们未来生活的智能设备,找出其安全漏洞。最后他找到了特斯拉。托人去北京看,“它确实是一种智能车。最初想不买车,太贵了,想着能不能在美国买个车载电脑,但没地方卖。”
大牛蛙觉得要做事情,得下血本。那时特斯拉不容易买到,他是加价10万才买下的。和最初攻破iphone5一样,没人知道能不能成功,“但是你要是不奔着那个目标,怎么知道不成功呢?”
他看电影《中国合伙人》,记住了一句话:“害怕失败的人永远不会失败,因为他一开始就失败了。”
车子开了四天,从北京开回上海。中途没电,找地方充电,充一天电,开一天。即便是车买了,他还是想放弃。“做这个并不能为团队带来业务发展,要研究它,需要很多人一起去做。还要不要干别的事?万一失败了怎么办?毕竟不是一个兴趣小组,或者有钱烧没关系。”斟酌再三,Keen还是取得统一意见:要做。
KEEN的早期团队
准备把车子大卸八块前,大牛蛙看到,买回来后在上海郊区大马路边放了四个月的车子已经面目全非:中控平台被螺丝刀弄破了,气囊也坏了。
这期间,大牛蛙去北京时发现,特斯拉中国总部就在360马路对面。在Keen开始研究它的漏洞之前,360通过研究特斯拉APP的漏洞实现车子开启车门、鸣笛闪灯,并大张旗鼓宣传:360控制特斯拉。
大牛蛙觉得车白买了,“人家已经说攻破了,以后你说什么都没用,都是拾人牙慧。”但是最终Keen团队还是决定不放弃,全力以赴。
团队兵分两路,一路沿袭2014年黑帽大会上提出的思路,对车辆“内网”和通信协议进行分析研究,另一路发挥漏洞挖掘优势,将特斯拉的标志之一——中控平台作为目标,在浏览器中找到不少安全隐患。“360只是找到了安装在手机上的特斯拉APP的初级漏洞,攻破了手机而非攻破了特斯拉,而Keen则是真正车子本身中控系统的漏洞,安全级别要远远在其之上。”
10个人研究3个月,“这么高的成本,意义在于:摸到了未来的东西。”事后,特斯拉对于Keen的努力表达了赞赏和认可,其安全负责人特意访华拜访Keen,颁发了四枚最高安全荣誉勋章。“这在国内安全圈尚属首次。”
“所以,熊猫烧香算什么?”几乎安全社区所有人都不屑谈起“熊猫烧香”,但是大牛蛙每次都忍不住要提起“以正视听”:“这种技术能力很初级。我写了病毒生怕人知道,他生怕人不知道;我把别人东西偷走,都不留名,他急着告诉你:我叫熊猫烧香,叫李俊,毕业于武汉……这和“白帽”的初衷背道而驰,就是为了出名。”
大牛蛙对外界将熊猫烧香这种小黑客写的病毒捧成神,有着强烈不理解。他不理解的还有: