劉健皓

世界上第一個(gè)破解特斯拉的人。

他只需要發(fā)送一個(gè)鏈接，就可以拿到汽車的控制權(quán)。

在網(wǎng)絡(luò)安全的洪荒時(shí)代，他就已經(jīng)發(fā)現(xiàn)了運(yùn)營(yíng)商 WLAN 重大的協(xié)議漏洞；

早在智能物聯(lián)網(wǎng)設(shè)備興起之初的2014年，他就已經(jīng)預(yù)言智能設(shè)備的漏洞會(huì)威脅全球互聯(lián)網(wǎng)。

他用不同的方法黑掉特斯拉，只為讓這個(gè)狂飆的鋼鐵俠更值得被人信任。

相比黑客的“破”，他更傾心于白客的“立”。黑客技術(shù)的寒光在他手中，成為了捍衛(wèi)心中價(jià)值觀的利刃。

本文為劉健皓專訪，他為雷鋒網(wǎng)獨(dú)家講述，自己如何成為一名黑客。

【劉健皓】

游戲中的“上帝”

宅客：請(qǐng)從幼稚園的經(jīng)歷開始，說說自己怎樣接觸的黑客技術(shù)吧。

劉健皓：

我是1987年出生的。印象中2000年左右，家里就買了電腦。所以我在初中高中的時(shí)候都喜歡玩電腦，還擔(dān)任了計(jì)算機(jī)課代表。

不過，我對(duì)黑客技術(shù)的認(rèn)知，還是要“歸功于”打游戲。那時(shí)候流行的，都是最早的一批網(wǎng)絡(luò)游戲：石器時(shí)代、魔力寶貝、傳奇等等。

在玩的時(shí)候，為了升級(jí)和裝備，我就會(huì)想到一些作弊的手段。于是我開始上網(wǎng)研究別人寫的外掛程序，還有修改方法。按照帖子里的方法，一步步通過修改傳輸協(xié)議，篡改其中的數(shù)據(jù)包，然后修改本地的請(qǐng)求，就可以改變我的游戲參數(shù)。

我記得那時(shí)候使用過 WPE，一款非常早的網(wǎng)絡(luò)解包篡改軟件。

宅客：很多人在玩游戲的時(shí)候都會(huì)有作弊的嘗試，但是為什么你最后深入研究黑客技術(shù)了呢？

劉健皓：

最初玩游戲只是為了炫耀一下，但是這使得我接觸到了一些真正的黑客技術(shù)。

我對(duì)這些技術(shù)產(chǎn)生了興趣，于是開始逛各種黑客論壇，包括“Hack58”“邪惡八進(jìn)制”。在論壇上面經(jīng)常有一些動(dòng)畫視頻，照著做就能實(shí)現(xiàn)一些攻擊。我最初的黑客技術(shù)就是這樣自學(xué)的。

那時(shí)候“灰鴿子”正在盛行。這是一種遠(yuǎn)程控制木馬，把木馬植入對(duì)方的電腦上，就可以看到對(duì)方屏幕上顯示的內(nèi)容。由于那個(gè)時(shí)候大部分都是 ADSL 撥號(hào)上網(wǎng)，所以很多主機(jī)都直接暴露在公網(wǎng)上。我只要掃描公網(wǎng)地址段，就可以看到大批電腦，然后對(duì)它們進(jìn)行控制。

我記得很清楚，有一次我看到了一個(gè)哥們，他的電腦界面是在升級(jí)魔獸，并且已經(jīng)下載了一點(diǎn)幾個(gè)G，我直接把升級(jí)窗口給他關(guān)閉了。要知道那個(gè)時(shí)候上網(wǎng)是按流量收錢的，升級(jí)眼看就要完成的時(shí)候遇到這種事情是很崩潰的。

自己編教材自己學(xué)，是一種怎樣的體驗(yàn)？

宅客：聽說你是中國(guó)第一批信息安全專業(yè)的學(xué)生。

劉健皓：

我高中畢業(yè)的時(shí)候，其實(shí)有兩個(gè)感興趣的方向，一個(gè)是研究醫(yī)學(xué)中的毒理，另一個(gè)是研究電腦病毒。

我報(bào)考了北大醫(yī)學(xué)部，清華大學(xué)附屬醫(yī)科大學(xué)，但是分?jǐn)?shù)差了一些。于是我就選擇了另一個(gè)方向，當(dāng)時(shí)北大方正軟件技術(shù)學(xué)院，是中國(guó)第一個(gè)開設(shè)信息安全專業(yè)課程的學(xué)校。于是我毫不猶豫地報(bào)考了這個(gè)專業(yè)。

但上學(xué)的時(shí)候，我才發(fā)現(xiàn)，雖然專業(yè)名稱叫做信息安全，但是并沒有相關(guān)的課程。我們主要學(xué)的依然是網(wǎng)絡(luò)工程。而當(dāng)時(shí)全北京甚至沒有一個(gè)正規(guī)的網(wǎng)絡(luò)安全的教材。

于是，我和幾個(gè)網(wǎng)絡(luò)安全技術(shù)還不錯(cuò)的同學(xué)，成為了（在老師名下）編寫教材的主力。這本教材叫做《黑客攻防技術(shù)》，在大二的時(shí)候就出版了，還拿到了北京市教委的獎(jiǎng)。

大三的時(shí)候，我們專業(yè)終于有了黑客技術(shù)的課程。有趣的是，這門課學(xué)的正是我們自己剛剛編出的教材。

宅客：自己編教材自己學(xué)，體驗(yàn)如何？

劉健皓：

體驗(yàn)并不好，我發(fā)現(xiàn)老師在用教材上課的時(shí)候，經(jīng)常沒有搞懂書中的意思。有一個(gè)案例，我們使用了一個(gè) IPC$ 空口令，就可以直接把木馬植入到對(duì)方電腦上，但是老師沒懂，拿著U盤在班上傳。這其實(shí)把我們的設(shè)計(jì)降低了很多。

從那以后，我們就沒有去上那門課。這導(dǎo)致在年底這門課沒有成績(jī)，不過沒關(guān)系，我在學(xué)校的系統(tǒng)里，自己把所有的分?jǐn)?shù)都改成了 98。老師當(dāng)然心里也清楚，不過鑒于我對(duì)學(xué)校教材的貢獻(xiàn)，最后還是默認(rèn)了。

三頭六臂的安全研究員

宅客：畢業(yè)之后你就順利地成為安全研究員了嗎？

劉健皓：

其實(shí)并沒有那么順利。2008年我在學(xué)校的時(shí)候，學(xué)校就為我推薦了工作，不過是在信息安全公司里做客服，主要工作是接電話。。。我決定還是出來(lái)找工作。

09年畢業(yè)前，我找到了第一份工作，但從事的并不是網(wǎng)絡(luò)安全，而是網(wǎng)絡(luò)工程，這是一家包括老板和老板娘在內(nèi)，總共只有五個(gè)人的公司。

畢業(yè)之后，我終于找到了一份和網(wǎng)絡(luò)安全相關(guān)的工作。那就是在北京安氏領(lǐng)信做信息安全評(píng)估。安氏領(lǐng)信可以說是安全界的黃埔軍校。它的成立比綠盟、啟明星辰、天融信都要早，很多黑客大牛都曾經(jīng)供職于此。這個(gè)時(shí)候，我的安全研究員生涯才算正式開始。

宅客：成為真正的安全研究員，應(yīng)該比作為愛好者的時(shí)候面臨更多的困難吧？

劉健皓：

其實(shí)，在入職的第二天，我就遇到了非常難的事。

有一家公司為了提高自己業(yè)務(wù)系統(tǒng)的安全性，找專門的黑客來(lái)做滲透測(cè)試。而黑客經(jīng)過努力之后成功地滲透進(jìn)去，但黑客只告訴對(duì)方自己滲透到了什么位置，而并不透露滲透技巧和漏洞所在。所以作為這家公司的安全供應(yīng)商，我出現(xiàn)在了他們的機(jī)房。

由于這次滲透測(cè)試非常接近黑客的真實(shí)攻擊，所以我們沒有任何已知的信息。那次排查非常繁瑣，我們幾個(gè)人連續(xù)找了兩天兩夜，終于找到了黑客安插的后門。讓我欣慰的是，我們不僅定位了這個(gè)漏洞，還找到了很多其他的問題。

宅客：有哪些事情，讓你的安全技術(shù)超越了一般人？

劉健皓：

由于那個(gè)時(shí)候，安全研究員人手非常緊缺。所以我們的安全服務(wù)項(xiàng)目有一個(gè)原則：一個(gè)項(xiàng)目經(jīng)理全權(quán)負(fù)責(zé)制。也就是說，整個(gè)項(xiàng)目，從開始到結(jié)束必須由一個(gè)人完成。包括收錢，實(shí)施，滲透測(cè)試，安全評(píng)估，基線檢查，漏洞掃描，寫報(bào)告，這些本來(lái)需要五六個(gè)人做的事情，都需要一個(gè)人來(lái)搞定。

那個(gè)時(shí)候我非常忙，但是這個(gè)經(jīng)歷對(duì)我的提升非常大。從那以后，我對(duì)信息安全評(píng)估這件事才有了透徹的認(rèn)識(shí)。這些經(jīng)歷，成為我后期做漏洞挖掘的基礎(chǔ)。

【青澀的劉健皓】

保衛(wèi)運(yùn)營(yíng)商

宅客：什么原因讓你從安全服務(wù)人員，轉(zhuǎn)向了前沿安全技術(shù)的研究呢？

劉健皓：

2012 到 2013 年的時(shí)候，我做了很多安全服務(wù)。但是我發(fā)現(xiàn)做得多了之后，這就淪為重復(fù)性的工作了。我更希望能為公司創(chuàng)造一些新的業(yè)務(wù)領(lǐng)域。于是我開始研究無(wú)線 Wi-Fi 安全方面的技術(shù)。

那個(gè)時(shí)候，很多人都在破解 WPA、WEP 的無(wú)線密碼。但是我覺得，在這個(gè)領(lǐng)域一定存在一些更通用，影響范圍更廣的安全問題。于是我就開始研究商用無(wú)線網(wǎng)絡(luò)的漏洞。

我的研究對(duì)象有：

AP：無(wú)線訪問接入點(diǎn)，功能等同于家用 Wi-Fi 路由器。

AC：無(wú)線控制器，用于統(tǒng)一部署和管理大規(guī)模 AP 集群。

很多人都使用過運(yùn)營(yíng)商提供的 WLAN 服務(wù)，這是一套封閉的架構(gòu)系統(tǒng)。但那時(shí)候某運(yùn)營(yíng)商是我們的客戶，我正好有條件接觸到這些網(wǎng)絡(luò)系統(tǒng)和硬件設(shè)備。

宅客：你找到的第一個(gè)重大漏洞是什么？

劉健皓：

在2013年的時(shí)候，我發(fā)現(xiàn)了一個(gè) WLAN 的高危漏洞。利用這個(gè)漏洞，攻擊者只需要連接一個(gè) WLAN 的熱點(diǎn)，甚至不用實(shí)名登錄，就可以對(duì)無(wú)線設(shè)備發(fā)起攻擊。一旦進(jìn)攻成功，甚至可以攻擊到運(yùn)營(yíng)商的核心網(wǎng)絡(luò)，造成城市大規(guī)模斷網(wǎng)。

這應(yīng)該是錄入國(guó)家漏洞庫(kù)的全國(guó)首例 WLAN 高危漏洞。從那以后，我加入了天融信，主業(yè)就變成了“WLAN 系統(tǒng)安全評(píng)估”，在業(yè)內(nèi)還是小有名氣的。

宅客：運(yùn)營(yíng)商的 WLAN，還存在哪些安全問題呢？

劉健皓：

由于 AC 和 AP 之間，使用的是無(wú)線專有協(xié)議，研究的門檻比較高，所以研究的人員也很少。后來(lái)，我有了一個(gè)重大發(fā)現(xiàn)。在 AC 管理 AP 的過程中，使用的 CAPWAP 協(xié)議存在致命的漏洞。于是我發(fā)現(xiàn)了一種攻擊方法：

利用這套協(xié)議給 AC 發(fā)送畸形數(shù)據(jù)，只需要幾個(gè)包，就可以把 AC“打死”。這可以導(dǎo)致 AC 和它管理的上千個(gè) AP 的通信失效。從而實(shí)現(xiàn)“拒絕服務(wù)攻擊”。

一旦攻擊成功，將會(huì)造成大面積的 WLAN 無(wú)法正常工作。

【劉健皓團(tuán)隊(duì)桌子上各種的智能硬件】

世上所有的智能硬件

宅客：為什么你最終選擇對(duì)智能硬件下手了呢？

劉健皓：

2014年，智能硬件開始大規(guī)模普及。就在這個(gè)時(shí)候，我加入了 360，進(jìn)入網(wǎng)絡(luò)攻防實(shí)驗(yàn)室。根據(jù)我的安全經(jīng)驗(yàn)，我覺得物聯(lián)網(wǎng)會(huì)在未來(lái)迅速普及，成為互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施。

對(duì)于網(wǎng)絡(luò)協(xié)議漏洞的挖掘，正是我這些年一直在做的事情。就是在那個(gè)時(shí)候，我開始關(guān)注雷鋒網(wǎng)，從評(píng)測(cè)中發(fā)現(xiàn)有趣的智能硬件設(shè)備，然后買來(lái)研究。在14-15年之間，我研究了大量的智能硬件設(shè)備，這幾乎包括了市面上所有的產(chǎn)品。

研究之后我發(fā)現(xiàn)，中國(guó)的智能硬件存在很多安全問題。例如，我們破解了一個(gè)攝像頭，很有可能直接橫向控制這個(gè)品牌的所有設(shè)備，這個(gè)數(shù)量是驚人的。所以我們?cè)?014年就發(fā)出了報(bào)告，預(yù)言當(dāng)這種不安全的智能硬件被大規(guī)模使用的時(shí)候，一定會(huì)危及互聯(lián)網(wǎng)安全。今年發(fā)生的美國(guó)大斷網(wǎng)事件，就印證了我兩年前的擔(dān)憂。

宅客：研究智能硬件安全，難度在哪呢？

劉健皓：

智能硬件涵蓋的領(lǐng)域比較廣，包括應(yīng)用、網(wǎng)絡(luò)、協(xié)議和硬件等等。研究起來(lái)，需要融合很多方面的技巧。剛開始的時(shí)候，并沒有現(xiàn)成的研究套路可以借鑒。而智能硬件的種類又非常多，所以我的方法就是：

買來(lái)智能硬件，先加載起來(lái)自己用。在使用的過程中，根據(jù)自己的敏感度來(lái)判斷哪里有漏洞。

這種方法帶有很大的隨機(jī)性，所以一開始是走了很多的彎路的。

但是，一旦掌握了某類硬件的研究方法，就可以知道在哪些方面容易存在漏洞，根據(jù)這個(gè)，我們就可以建立起來(lái)一個(gè)研究框架，之后的研究就順利了。

【劉健皓和美國(guó)汽車黑客查理·米勒和瓦拉塞克】

搞定特斯拉

宅客：當(dāng)初為什么要去研究特斯拉呢？

劉健皓：

汽車也屬于智能硬件/物聯(lián)網(wǎng)設(shè)備的范圍。而且，我從小就喜歡車，周圍也有很多喜歡玩車、改車的朋友。我并不玩改裝車，但覺得用電腦來(lái)操控一輛車也很酷。

其實(shí)，我一直想要破解智能汽車，只不過在一開始，智能汽車沒有如此普及，有時(shí)也不容易接觸到。于是我選擇先研究智能硬件，為汽車的研究打基礎(chǔ)。

在我加入 360 之后不久，需要負(fù)責(zé) 2014年7月舉行的特斯拉破解比賽。為了制定規(guī)則，我必須自己預(yù)先破解一遍。就這樣，我不小心成為了全球第一個(gè)破解特斯拉的人。

我對(duì)于特斯拉的破解，大概是這樣的：

只需要車主點(diǎn)擊我發(fā)過去的一個(gè)鏈接，我就可以拿到車主的 App 登錄身份，實(shí)現(xiàn)不用鑰匙打開車門。而特斯拉在行駛過程，需要鑰匙不斷發(fā)出“心跳信號(hào)”，以確認(rèn)車主的鑰匙在車上。我利用電腦模擬這些信號(hào)，就可以正常駕駛特斯拉了。

在我之前，有國(guó)內(nèi)外的黑客對(duì)特斯拉進(jìn)行過研究，但是沒有破解得這么具體。

宅客：最近，你又因?yàn)榘l(fā)現(xiàn)了特斯拉傳感器的安全問題再次被頻繁曝光。

劉健皓：

有了之前的研究基礎(chǔ)，我們決定做一些深入的研究，成立了 360 汽車安全實(shí)驗(yàn)室。

特斯拉的“輔助駕駛”系統(tǒng)，需要通過分布在車周圍的傳感器來(lái)收集周圍的環(huán)境信息。而我們通過發(fā)射特定的干擾信號(hào)，可以攻擊這些傳感器，讓它們感受到不存在的障礙物，或者直接失靈，無(wú)法感知障礙。

在今年美國(guó)的 DEF CON 黑客大會(huì)上，我也講了這個(gè)破解的詳細(xì)信息。

特斯拉的車主，如果對(duì)于汽車傳感器的盲區(qū)和特性有所了解的話，就會(huì)避免很多悲劇發(fā)生。所以我們最近在舉行活動(dòng)，為特斯拉車主做一些安全駕駛培訓(xùn)。

【劉健皓（畫右）和研究伙伴 閆?。ó嬜螅?/strong>

如何成為劉健皓

宅客：大多數(shù)黑客，都迷戀破解的感覺，但是你似乎更喜歡守護(hù)網(wǎng)絡(luò)安全。

劉健皓：

我之前面試過一個(gè)人，他的能力很強(qiáng)。他告訴我，“一個(gè)系統(tǒng)會(huì)因?yàn)槲业拇嬖诙兊貌话踩薄Ｎ矣X得這樣的價(jià)值觀很可怕，一個(gè)人做網(wǎng)絡(luò)安全，應(yīng)該是為了讓這個(gè)世界更安全。

我研究智能硬件的安全，也是想提高整個(gè)行業(yè)的安全能力。

讓人難過的是，今年美國(guó)大斷網(wǎng)事件中，遭到黑客控制的智能攝像頭設(shè)備，大部分都來(lái)自于中國(guó)的廠商。如果現(xiàn)在還不采取措施的話，將來(lái)中國(guó)的智能硬件在國(guó)際上的競(jìng)爭(zhēng)力就會(huì)下降。所以，智能硬件安全研究非常重要。

宅客：對(duì)于想成為安全研究員的童鞋，你有什么建議？

劉健皓：

我覺得網(wǎng)絡(luò)安全從業(yè)者的目標(biāo)應(yīng)該分為兩類：專家和雜家。

你可以在某個(gè)特定方面成為專家，在全球的技術(shù)能排在 Top 10 以內(nèi)。這就需要你花很多時(shí)間在這個(gè)領(lǐng)域。這一方面需要智商，一方面需要悟性。

而雜家是對(duì)網(wǎng)絡(luò)安全的各個(gè)方向都有一定的研究。這樣的人同樣可以解決很多問題。在網(wǎng)絡(luò)安全領(lǐng)域，雜家和專家的價(jià)值是一樣的。但是成為雜家，所需要的時(shí)間成本并沒有那么高。

我覺得，相比專家，我更是一個(gè)雜家。物聯(lián)網(wǎng)技術(shù)就是一門很混雜的技術(shù)，如果花時(shí)間深入研究，很多安全的知識(shí)面就都可以覆蓋了。如果想成為“雜家”，物聯(lián)網(wǎng)安全是一個(gè)很好的入口。

宅客：研究物聯(lián)網(wǎng)安全方面，你有什么經(jīng)驗(yàn)嗎？

劉健皓：

其實(shí)智能硬件研究的技術(shù)并不是最難的，想法和思路才是主要的。

最近，我和團(tuán)隊(duì)剛剛寫了一本書，名字叫做《智能硬件安全》，在里面我們把這兩年對(duì)所有智能硬件的研究方法，包括汽車的破解思路都分享出來(lái)了，書不厚，但是不便宜（笑），因?yàn)槔锩嫒歉韶洝?/p>

在去年 Hackpwn 黑客大賽舉辦之前，有一些參賽選手來(lái)咨詢我們。他們想要破解一款智能電視，但是對(duì)固件和系統(tǒng)進(jìn)行了傳統(tǒng)的漏洞掃描和滲透測(cè)試之后，并沒有發(fā)現(xiàn)問題。

我發(fā)現(xiàn)，他在走我們走過的彎路，就是進(jìn)攻思路的問題。我并沒有直接幫助他們，而是從身份鑒權(quán)，加密傳輸，訪問控制這三個(gè)方向做了分享，他們回去之后，就順利發(fā)現(xiàn)了一些漏洞。

對(duì)于想要研究智能硬件安全的童鞋，我有兩個(gè)建議：

首先是一定不要利用漏洞和破解方法去危害社會(huì)。

其次是研究過程不能只看書，一定要多動(dòng)手，實(shí)際操作。

后記

世人只會(huì)記住世界最高峰的名字，而第二高峰籍籍無(wú)名。

破解特斯拉第一人，是劉健皓身上的光環(huán)。

相比光環(huán)，劉健皓顯然更在意物聯(lián)網(wǎng)世界真實(shí)的安全威脅。從 WLAN 到智能硬件到智能駕駛安全，某些時(shí)刻，他更像一個(gè)先知，獨(dú)自抵抗著世人還未意識(shí)到的危險(xiǎn)。

智能硬件讓全美斷網(wǎng)，黑客組織左右總統(tǒng)競(jìng)選。這些最近發(fā)生的可怕事實(shí)，讓我們對(duì)一個(gè)安全世界的渴求從未如此強(qiáng)烈。

據(jù)此，劉健皓的經(jīng)歷和憂思，或許值得駐足玩味。

文/史中（微信 ID：fungungun，歡迎講述你的黑客故事）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。