王琦和他的團隊
王琦對《第一財經日報》記者強調,不同于“駭客”,GeekPwn是關注未來智能安全的黑客賽事,初衷是披露漏洞,改善安全人才培養土壤。白帽黑客做的事不是“砸人家玻璃”。
王琦,行業別名“大牛蛙”,國內最頂尖的白帽黑客團隊KEEN 的創始人兼CEO。他所創辦的KEEN公司的研究團隊曾在全世界著名、獎金最豐厚的黑客大賽Pwn2Own上連續三年獲得五個冠軍,也是有著“黑客奧運會”之稱的GeekPwn國際性智能軟硬件挑戰賽的主辦方。
Keen Team團隊由信息安全理論和技術研究方面的“白帽”安全專家組成,也是目前世界范圍內由廠商官方確認發現計算機漏洞數量最多、最了解突破現代安全保護技術的專業安全團隊之一。Keen Team的數百項安全研究成果已經應用于世界上每一臺Windows和Mac OS設備,每一臺Android和iOS智能終端。Keen Team 是世界知名安全研究團隊“Google Project Zero”的亞洲唯一合作伙伴。
2015年3月,在世界黑客大賽“Pwn2Own”上,Keen Team斬獲兩個項目的世界冠軍。三屆大賽以來,Keen Team五次在與全球頂級黑客的競爭中獲得冠軍,是Pwn2Own歷史上獲勝次數最多的亞洲團隊。
GeekPwn一鳴驚人
在去年舉辦的GeekPwn上,包括特斯拉、智能手機、路由器等大量智能硬件被破解,被發現可以通過電腦遠程操縱的特斯拉為了表示感謝,還向攻破特斯拉的選手贈送了勛章。
10月24日,在有“黑客奧運會”之稱的GeekPwn2015國際性智能軟硬件挑戰賽上,大疆無人機、小米手機、華為手機、智能攝像頭、拉卡拉收款寶POS機、多款O2O類APP的移動支付、奇酷手機的指紋支付……超過40款主流軟硬件產品被選手一一攻破。
24日當天,支付寶于第一時間發布回應稱,有極客演示的某美甲APP系統的漏洞與支付接口無關,原因是商戶APP發送付款單據給支付應用時,在商戶APP內部被中間人劫持并纂改所致,支付寶已第一時間聯系該美甲APP,并愿意為其緊急修復提供幫助。
360也于25日發微博稱,“感謝Keen Team對360奇酷手機安全作出的努力,360安全應急響應中心第一時間對收到的安全報告進行響應,目前已進入驗證漏洞流程。”
這場黑客聚集盛會所引發的影響還在持續。而這場奧運會的主辦方KEEN TEAM的創始人兼CEO王琦在專訪中對《第一財經日報》記者表示,不同于“駭客”,GeekPwn是關注未來智能安全的黑客賽事。
“有漏洞不代表有問題,安全是個獨立的東西,白帽黑客做的事不是’砸人家玻璃’,我們的初衷是披露漏洞,改善安全人才培養土壤。”王琦表示。
KEEN的由來
上海交大碩士畢業后,王琦先在一家公司做安全產品開發,2005年加入微軟,負責網絡安全方面的工作。雖然那時互聯網已經興起,但網絡安全還處于較為新興的領域。王琦和他的伙伴們認為,用他們的技術,可以做出更適應市場需求更有價值的產品,而當時國內也缺乏好的安全公司。所以,他和同事朋友一起組建了KEEN TEAM,正式踏上了組建安全團隊的創業之路。
“未知攻,焉知防,廠商產品的安全性有說服力,很多時候反而體現在對抗過,經歷過攻擊而不倒。”王琦告訴《第一財經日報》記者,在物聯網前的PC時代、移動互聯網時代,像谷歌、微軟、騰訊等,都曾經歷過無數攻擊,他們建立了一整套完善的安全體系。
“除了不斷強化自身的安全能力,這些大企業通常都會以非常開放的心態,去支持甚至獎勵全社會來挖掘自家產品的漏洞。”這也是王琦理想中這個行業應該有的樣子。
而實際情況是,這個行業在國內普及度極低,企業也多對“白帽黑客”的存在并不理解。“過去企業會認為,你是在找我麻煩,我需要先把你搞掉——瘋子的話沒人信。”王琦說。
“勇于承認自身有問題的企業并不多。特別是在國內,很多企業并沒有太多安全的意識,對于我們行為的目的性也表示懷疑。所以,即使高含金量的安全能力,最終還是會陷入低接受度的窘境。”王琦感慨。
王琦把為廠商提供高級安全檢測比喻成“體檢”,“我們先要告訴別人體檢很重要,并向別人證明我們能檢查出別人檢查不出的問題。安全公司知道很多人是病人,可有些人不在乎。所以我們還不得不承擔用戶教育的責任:體檢不是讓你花現在的錢,而是為了讓你身體好從而未來有更好的發展。”
對安全問題負責
“不認可我們不要緊,我們自己要知道堅持什么。等所有設備都用上我們的技術,成功還是問題嗎?”王琦告訴《第一財經日報》記者。從而,KEEN決定通過國際大賽證明自己,獲得越來越多合作伙伴的信任,將頂尖的安全能力用于為用戶的智能生活提供便利。
Pwn2Own是全世界最著名、獎金最豐厚的黑客大賽,由惠普旗下TippingPoint的項目組ZDI(Zero Day Initiative)主辦,ZDI是全世界最大的跨廠商漏洞獎勵計劃。谷歌、微軟、蘋果、Adobe等互聯網和軟件巨頭都對比賽提供支持,通過黑客攻擊挑戰來完善自身產品。
事實上,電子產品、信息產品、智能產品由于復雜性決定了其在設計、開發、測試中存在了不同程度的“缺陷”和“問題”,廠商也是在不斷地迭代過程中尋求功能與體驗的平衡。白帽黑客利用自己的專業知識和能力,通常會發現類似產品的缺陷和問題,但這也并不意味著這些產品質量有問題。
經過這支白帽黑客團隊和行業從業者的不懈努力,“現在情況要好多了”,王琦說,社會大環境對網絡安全越來越重視,安全行業正在迎來春天。
不過,“直到現在,回老家別人問我你是干嘛的,我說做安全的,人就說’哦,你是360的’。”王琦笑道。
“我們人力也有限,不可能做個執法部門。”王琦對《第一財經日報》記者表示,“希望能夠真正能夠培養好尊重知識、尊重人、尊重白帽黑客的環境,希望廠商對自己的安全問題抱有負責任的態度。”
