先是群里有大牛发了这样一则从“今日头条”引用过来的视频,半夜发的,没怎么注意看。早上起床之后看了一眼。觉得还是很有意思的。视频地址在这里:https://v.qq.com/x/page/o0357o5n9om.html
哪里有意思呢?首先当然是美女主播啦!
然后,还有各种高大上的设备,让人流口水的Boss办公环境,员工办公环境,而且是在manhattan,曼哈顿主城。不得不说这样的公司我也想去。
然后就是美女主播介绍这次interview的主题——对嵌入式设备的安全研究,Ang Cui(是不是很像是一个中国人的名字?像An Li,李安),测试过程中的失败很多,大概有好几十部电话机拆散了扔在了“电话机墓”里。崔安的研究是利用无线电技术,将工业电路集成设备变成窃听器
原理他也说的很清楚
也就是经典的“特雷门琴”的工作原理,也就是二战末期苏联窃听美国大使馆的“金唇”的工作原理。这款窃听器的厉害之处,在于它不需要电源,“一切窃听器都需要电源。”这个间谍届貌似不可颠覆的真理,被苏联人打破了。苏联人制作了一个结构简单,体积微小,没有电池,也无需外接电流的窃听器,并故意命名为“这玩意”(THE thing)。因为没有电,当时的反窃听设备无法捕捉到任何信号,300米以内大耗电量振荡器所发出的微波脉冲都能够被“这玩意”捕捉到,更奇特的是它的工作寿命是无限的,因为其不需要电源。而特雷门琴也是至今为止世上唯一一款不需要身体接触就能发音的乐器,所使用的也就是无线电反射的原理。
好了,我们继续:
也就是说:
- 主要还是依靠一个0day,改写固件。将line in转化成line out,使之可以持续
24小时拾音; - 然后利用特雷门琴射频的原理,将其拾音的频率传送出去;
- 这样外面的收音机接受到信号之后做滤波处理,将声音还原出来。
我们继续,短短的七分钟视频,内容还是很多的:
在这里又刷新了我们的认知:
- 用简历改写固件?That`s impossible!简历上肯定带有畸形字符,携带某些可供打印机识别的工控信息;
- 打印机识别到指令之后,将会到远程主机更新固件,工控集成设备很难做到HTTPS或者证书绑定(Cer Pinning),只要路由方向的任意一台主机被控制(ISP劫持),既可以实施中间人攻击,或者DNS投毒也可以;
- 打印机在更新固件的时候,事实上是在下载和更新由攻击者控制的包含木马后门的固件,这样完成了打印机的控制;
4,一般情况下打印机和电话机都是由电话线连接在一起的,这样由打印机横向渗透进入电话机。Trigger the 0day,然后电话机都变成了监听机; - 这些电话应该是ip电话,由ipv4地址,然后很像扫描所有内网主机。跟“僵尸病毒”是一样的模式。
然后他们还做到了:
- 语音到文字的实时转换。
- 将办公室的内容实时用文字发布到twitter。
智能语音识别早就不是什么新鲜的话题,不信你可以去搜索一下李开复博士的简历,从上个世纪八十年代起,他就在从事这个方向的工作。而接近三十年今后的今天,前几天看到的一则新闻中,将专攻智能语音识别的“科大讯飞”放在中国最聪明公司的第一位,排名在腾讯(大数据)、旷视科技(人脸识别)、大疆(无人机飞控)、富士康(智能制造)、阿里巴巴(商业云)等业界巨擘之前。也不知道是该高兴,还是应该感到悲哀。
而且专攻人工智能、自动驾驶的百度,将人工智能和自动驾驶当作公司的“愿景”和“使命”的百度,只排在第五十位。
新闻如下:
6月27日,2017年《MIT科技评论》评选“全球最聪明50家公司”的榜单在北京全球首发。有9家来自中国,分别是科大讯飞(第6位,002230.SZ)、腾讯(第8位,00700.HK)、旷视科技(第11位)、大疆(第25位)、富士康(第33位,02038.HK)、阿里巴巴(第41位)、HTC(第42位)、蚂蚁金服(第49位)、百度(第50位)。
当然,科大讯飞的成就我们有目共睹,“该公司旗下的语音助理技术是中国版的Siri。其实时翻译技术则是杰出的人工智能应用,克服了方言、俚语和背景杂音,可将汉语精准地翻译成十几种语言。”在中文识别方向,其成就无出其右,如果有不服的,可以下载他们的App试用看看,当然锤子的语音输入,也是用的他们的API。
我们继续:
接下来就是有点low了,还要给打印机加装一个振动器,让打印机的数据也泄漏出去。这么大的振动器,只要任何办公室人员眼睛没瞎,都看得见。哪怕如果做成内置的,军工采购也不可能通过,也就是说后面的几乎都是balabalabala了。更别提军工周围的无线电都是严格管制状态,通过无线电把数据传输出去的思路,还不如通过网络呢。
加装振动器和调制器之后,当然任何设备都能把信号发射出去了,这个就跟家里的电视机没什么区别了。把调制解调器当作新的技术,这就有点荒谬了。
总结一下,视频里的技术深度,前面特雷门琴的部分可以打60分吧,在专业玩SDR(Software defined radio,软件定义无线电)的360团队看来的话可能还给不到60分,后半部分竟然还要加装部件,只能给20分。
然后就想着,在Manhattan曼哈顿主城租这样一个办公室,还带四五个employee,其实也是一笔不小的开支,大家知道美国的CS非常的贵,一般Intern都要给到接近八、九万美金一年,如果是全职,那就更加贵了。后来搜索了一下red ballon security的官网,大概是连Boss在内一共七个人。
按照视频里的曼哈顿主城办公室加上七个人一年的薪水,一年的开销怎么也得接近百万美金,如果放在中国,不管是北京还是上海,深圳还是广州,哪怕是杭州,两、三百万一年也肯定是需要的。
他们的主营业务是什么呢?
恕我直言,没看懂。
Device manufacturers can now inject Symbiote Defense into any device regardless of CPU type and operating system. No hardware or source code modifications required.
设备制造商可以将Symbiote Defense注入到任何Iot设备中去,不管是哪种CPU或者什么系统都可以,软硬件都无需更改。
这…是一个硬件?还是一个软件呢?还是…什么呢?
刚刚视频里的小蓝盒子么?也不像吧,那不是一个modern么?
不懂。
大学生想要炫技可以理解,虽然没有任何独创和突破,但是“我把课本学习的很好呀!”“做了这么多实验,我可是完整的掌握了实验技能呢!”,“凭借这些技能就能改变世界了喔!”所以我要开个公司,还拿到了“Microsoft Ventures Accelerator”的奖学金,其实已经算是不错的哥大毕业生了,可能还在Top10或者Top5里面。
然后继续谷歌崔安这位大帅哥,果然硕果累累,研究方向基本上都是工控集成电路和智能硬件固件篡改的方向,嗯,有为青年!
点开其第一篇论文,也就是引用数高达82次的论文,果然找到了通过standard printed document来篡改打印机固件的。而且,还是用的别人(第三方)的漏洞。
通读论文,崔安大帅哥将payload解释的很清楚,直接将firmware update的PJL命令发送给raw printing port就可以。也可以将payload也就是包含木马后门的固件binary package伪装在看起来人畜无害的学术论文或者简历里面。只要“简历”被打印一次,攻击者就成功了。看来连前文提到的连接远程主机执行更新都不需要了。当然,笔者也不是专门做这个的,上文只是个人的猜测。
然后文章还详细解释了作者自创的ABSR和Symbiote 的原理,ABSR类似于360安全卫士,可以关闭开启不常用的功能,替厂商/用户做出“正确”的决定,甚至它还有自己的ABSR configuration interface配置界面,同时宣城有了ABSR的存在,可以更好的提升性能,反之像ASLR或者DynamicRIO等需要更改二进制或者hot patching的机制都是弱鸡。
Symbiote则是360内核加固,在内核中插入钩子,防止自身被卸载或者禁用。就是这么简单和潇洒,玩的都是360玩剩下的东西,不过这套系统是给Iot设备使用的,不是Windows。话说连Windows我们都防下来了,Iot设备不知道简单多少倍了好么?这篇paper的地址在这里:http://ids.cs.columbia.edu/sites/default/files/ndss-2013.pdf,有兴趣的读者可以继续深入阅读。不过应该也没有什么有用的内容了。
继续挖崔安的家底,还挖到了催帅哥作为嘉宾在BlackHat2015发表过演讲,将的是如何将从打印机和电话机的serial port串口上dump下来的数据,通过调制器Funtenna发射出去,然后坐在家里用“电视机”来接受这些数据。并且祈祷者FBI不要跟自己在同一个频道喔!
然后把链接的长达206页的PPT也看了一遍,作者仍然希望有实习生将Funtenna带到机密实验室去,将从打印机和电话机的serial port串口上dump下来的数据,通过调制器Funtenna发射出去,然后坐在家里用“电视机”来接受这些数据。并且祈祷者FBI不要跟自己在同一个频道喔!当然,为了尽可能提高适用性,它还考虑了将载体从无线电换成电磁波的可能性,在加密解密上也做了文章,怎么讲呢?这是一个好思路,笔者差点路转粉了,因为如果不是针对“军工设备”或者“绝密实验室”的话,通过无线电将数据泄漏出去确实是一个非常好的方案,比如在商业谍战渗透的过程中,这一招可以大杀特杀,商业环境下大多数人还是安全小白的。如果将这样的一个设备插到物理隔离的服务器上,可以拿下好多血,当然前提是防范不力,当然没有谁会对服务器防范不力的。PPT的链接在这里:https://www.blackhat.com/docs/us-15/materials/us-15-Cui-Emanate-Like-A-Boss-Generalized-Covert-Data-Exfiltration-With-Funtenna.pdf
话题讲到这里,是不是就结束了呢?不是的,其实话才说到一半。前文讲到他们这样的一个团队,每年可能需要至少百万美金,才能活下来,哪怕在中国,也需要至少两三百万,才能活下来,这里没有提他们有多少利润,只是完全在说需要这么多真金白银,才能不至于倒闭。
也就是说,他们得有收入,这种情况下,就有两种可能。
他们有收入,能赚钱;
他们没有收入,赚不到钱。
我们先讨论第一种可能,因为这一种可能其实是一种可能性比较渺然的可能。首先,卖产品,卖授权,给自己Iot设备安装由几个大学生开发出来的“安全软件”?一般的设备厂商肯定是信不过外人的,一般选择自建团队或者哪怕外包给值得信赖的国内重点实验室,都可以。毕竟原理就在这里,剩下的就是写代码的工作,如何竞争过专业的“码畜”,这并不是他们最擅长的地方。
其次,卖服务,卖方案,也就是“乙方”。在国内,“乙方”任何时候都不是一份好干的差事,更不是一份“体面”的差事,正所谓客户虐我千百遍,我待客户如初恋,“钱多事少离家近,位高权重责任轻。睡觉睡到自然醒,数钱数到手抽筋”这里面的每一个词的反义词,就是“乙方”的工作特性。一般都是赚着卖白菜的钱,操着卖白粉的心,鉴于安全行业的尿性,不出事谁也没有功劳,一出事全是你的不对,乙方也是人,驻场也是人,也是有爹有妈有人疼的宝宝,有时候为了拿到明年的合同,为了可能是六位数甚至是五位数的少得可怜的预算,腿都跑断了,点头哈腰、毕恭毕敬,鞍前马后、肝肠寸断的,对于做市场的售前业务,再多溢美之辞都不嫌多。
然而,还是赚不到钱。不管你是做方案也好,卖服务也好,还是卖软件卖售后也好,安全就是个人人都不待见的行业。不仅是2B(toB)赚不到钱,2C(toC)也是赚不到钱的,360把免费杀毒的概念普及开来之后,谁还买杀毒软件,江民瑞星金山卡巴,不免费、都玩完。
崔安也好,Red ballon security也好,他虽然用的是别人的0day,但是把这一套玩转了,也是需要不少的水平的,而且还很努力地出paper推介,上Blackhat做宣传,还参加这样的节目拍摄来炫技做宣传,提高团队知名度,这些都是非常值得肯定的,就冲着他积极向上的态度,也可以给他数个大拇指。
但是他并不是Top选手,屡战屡败的Geohot才是真正的最好的例子,Geohot真的很厉害,破解iPhone第一人,PS3第一人,ChromeOS等等都不在话下,这些可都是自己的洞,自己原创的漏洞!甚至研发了自己的自动驾驶系统Comma,这才是真正的天才,然而,天才赚到钱了么?
是他没有技术么?不是!要是说他没有技术,全世界99.99%的程序员都没有技术。是他不够勤奋么?不是!马不停蹄地■■这么多设备,一会儿想要加入Facebook,一会儿想要加入Google,一会儿研发自己的自动驾驶设备,让那些巨头脸上蒙羞!他以一己之力,提升着整个社区团队的技术和道德水准,要说这样的人不努力,那全世界99.99%的程序员都是不努力的了。像崔安同学,也是非常努力的!他也以自己力所能及的方式,向着目标前进中!
然而,天才Geohot,还是没能赚到钱。崔安团队我不知道,难说。
回到国内,国内某个知名团队主力多次诉苦,在找到“打比赛”这条正确的道路之前,曾经拮据得住地下室,几个月发不出工资,连吃顿烧烤都犹豫不决,为了拿个五千块的外包跑吃了多少次闭门羹,这才是安全团队创业的主流“姿势”。后来有名的也好,无名的也好,几乎都是挖洞打比赛。有名的实力雄厚的打国际比赛,奖金最多也就几万美金,都不够开一个人一年的工资,说不定挖到这个洞就花了不止一年。无名的打国内的比赛,刷漏洞平台,一个洞就几百块钱,没事,大家一起熬夜刷吧!积少成多,总之也能活下来就行了。几乎找不到比安全团队创业更加卑微的创业方式了。放在日本,就跟“浪人”是一样的,流浪的武士,空有一身抱负,却得不到赏识。国内的安全团队,创业都不赚钱。
现在开始讨论第二种可能,团队没有收入,赚不到钱,怎么办?
为什么不赚钱?因为商业逻辑和技术逻辑,从来就是两码事。
技术逻辑是数学逻辑,有对有错,对就是对,错就是错。对就继续前进,进入下个分支;错就立即止步,重新进行计算。我们讲究的是严格的论证和推导,是一板一眼的科学精神。
商业逻辑是经济学逻辑,研究的对象是资源的优化与配置。在资源的优化与配置的过程中,没有对与错,只有赢与输。资源总会倾向于本身就拥有巨大资源的人,这是资源的原罪,也是人性的原罪。资源不讲科学,谁更有资源,资源就倾向于谁,资源没有对错。在人类历史上贫富差距从来没有消失过。
很多科学家很喜欢违背资源的本性,故作清高,不愿与资源同流合污,比如说Geohot,非要跟索尼打官司,自己出Comma要把所有科技公司打趴下,这就是非常典型的科学家思维。崔安大帅哥也并没有靠近资本,从谷歌到的结果来看,没有投资,发表的presentation也是黑客圈子里的同僚,至少从表面来看,是孤傲的,同时又希望遇到伯乐。千里马常有,伯乐不常有啊。有伯乐前来光顾的时候,还要对伯乐进行筛选,不能只投钱,还要是理解的,有学识的,人脉广的,无条件的等等,伯乐也不敢来了。
资源的优化与配置,在商业的环境下,这里的“资源”指的就是真金白银;如果把资源的定义再放宽一些,就是名与利,名利场,要么名,要么利,都是聚居属性的人类社会中所有男性朝思暮想的无上至宝,李建成甚至为了争夺皇位杀死了自己的亲哥哥,在资源的配置过程中发挥主观能动性,拿得到了封建社会最大的资源——皇位。
而上文的这些安全团队,在资源的优化和配置过程中,得到了哪些或者什么资源呢?不知道,看不出来。
在中国,政府是最大的雇主,也是拥有巨大资源的行业领导,在世界范围里,政府也是最大的合约提供方,各行各业最大的买方,在经济学的研究对象中,通常是要将政府采购作为单一研究范畴,进行专项研究和深入;
其次是业界巨擘,各行各业都有托拉斯、辛迪加、康采恩这些经济学范畴上独裁、专制的垄断巨头,这些巨头通过各种形式的垄断,攫取了各行各业的绝大多数利润,为这些大金主服务,不管拿下哪一家,一辈子吃喝不用愁了;
再不济,中型企业、有良好发展的中型企业、拥有核心资源的企业,也是良好的目标,但最多算三等公民,风险高,回报低,还不稳定;
如果想着从小微企业或者个人手中得到信赖、得到资源,得到付费用户,在外国或许行得通,在中国还是算了吧。
选择第一梯队的公司很多,而且这些公司大多都上市了,牢牢垄断着互联网信息安全第一梯队阵营,主板上市的卫士通、蓝盾股份、泰豪科技、浪潮信息、东方电子、中国软件、启明星辰,创业板上市的绿盟科技,未上市的华为、中兴、大唐、华三,这些企业生产的软硬件垄断了军工市场、大中小型政府及企业市场,牢牢地占据着第一梯队。任何国家级战略也好,地方政府规划也好,只要是信息技术安全相关的投资和资源,最大的一口肉、最大一块蛋糕,永远是在这些企业的牢牢掌握之中。
选择第二梯队的公司也不少,KEEN团队最终选择了被腾讯收购,盘古也依附于360,长亭科技依附于真格基金、启明星辰,靠打比赛打出名气,建立了绝对的技术壁垒,成为了资本眼中的香饽饽,也树立了成名要趁早、还得靠比赛的准入规则。不打比赛,别人都不认识你,打了比赛,360也好、腾讯也好,每年都有自己的CTF比赛,想要加入他们很简单,用实力赢得他们的尊重即可。跟着这些公司,虽然荣华富贵也很难,毕竟竞争实在是太激烈了;但是温饱肯定是没有问题的,至少不用为生存而担忧,可以把心思专注在科学研究上,虽然只是喝汤,但也能补补身子,养精蓄锐,无丝竹之乱耳,无案牍之劳形。
第三梯队的就比较难办了,时时刻刻都处在崩溃的边缘,必须不断地自我革新、寻找新的利润增长点,才能保证不被淘汰,钱少事多离家远,位低权轻责任重,就是对这个梯队最好的描述。第四梯队的就是地狱模式了,“小而美”的杀毒软件和方案,在中国是没有市场的,在中国只有百团大战。
古代讲究“士农工商”的排名,如今是“士商工农”;第一梯队牢牢掌握着“士”的位置,古代也好现代也好,都是第一选择;第二梯队把“商工”结合在一起,既在商业上形成垄断,又在技术上形成垄断,老虎不在家,猴子当带王,在民主国家,托拉斯的实力早就超过政府,甚至形成跨政府联盟,比如欧佩克石油输出国组织,该组织的力量,远远超过单一国家政府的力量。第三第四梯队就是新时代的“小农经济”,最辛苦,最劳累,靠天吃饭,还没钱赚。
崔安就是要搞小农经济,还有Geohot,他们有他们的价值观,他们的价值里面,“钱”、business不是最重要的吧,可能黑客精神,自由的精神和灵魂,才是最重要的吧。众人皆醉我独醒、举世皆浊我独清,这样的境界也不是常人可以达到的,常人的境界,还停留在像笔者这样分析他们赚不赚钱,然后来对他们评头论足,这就是常人,这就是为了五斗米折腰的常人!
而他们,真的是为了黑客精神,在奋斗!