如何评价“特斯拉破解第一人”刘健皓？ 第1页

游戏中的“上帝”

问题：请从幼稚园的经历开始，说说自己怎样接触的黑客技术吧。

刘健皓：
我是1987年出生的。印象中2000年左右，家里就买了电脑。所以我在初中高中的时候都喜欢玩电脑，还担任了计算机课代表。

不过，我对黑客技术的认知，还是要“归功于”打游戏。那时候流行的，都是最早的一批网络游戏：石器时代、魔力宝贝、传奇等等。

在玩的时候，为了升级和装备，我就会想到一些作弊的手段。于是我开始上网研究别人写的外挂程序，还有修改方法。按照帖子里的方法，一步步通过修改传输协议，篡改其中的数据包，然后修改本地的请求，就可以改变我的游戏参数。

我记得那时候使用过 WPE，一款非常早的网络解包篡改软件。

问题：很多人在玩游戏的时候都会有作弊的尝试，但是为什么你最后深入研究黑客技术了呢？

刘健皓：
最初玩游戏只是为了炫耀一下，但是这使得我接触到了一些真正的黑客技术。

我对这些技术产生了兴趣，于是开始逛各种黑客论坛，包括“Hack58”“邪恶八进制”。在论坛上面经常有一些动画视频，照着做就能实现一些攻击。我最初的黑客技术就是这样自学的。

那时候“灰鸽子”正在盛行。这是一种远程控制木马，把木马植入对方的电脑上，就可以看到对方屏幕上显示的内容。由于那个时候大部分都是 ADSL 拨号上网，所以很多主机都直接暴露在公网上。我只要扫描公网地址段，就可以看到大批电脑，然后对它们进行控制。

我记得很清楚，有一次我看到了一个哥们，他的电脑界面是在升级魔兽，并且已经下载了一点几个G，我直接把升级窗口给他关闭了。要知道那个时候上网是按流量收钱的，升级眼看就要完成的时候遇到这种事情是很崩溃的。

自己编教材自己学，是一种怎样的体验？

问题：听说你是中国第一批信息安全专业的学生。

刘健皓：
我高中毕业的时候，其实有两个感兴趣的方向，一个是研究医学中的毒理，另一个是研究电脑病毒。

我报考了北大医学部，清华大学附属医科大学，但是分数差了一些。于是我就选择了另一个方向，当时北大方正软件技术学院，是中国第一个开设信息安全专业课程的学校。于是我毫不犹豫地报考了这个专业。

但上学的时候，我才发现，虽然专业名称叫做信息安全，但是并没有相关的课程。我们主要学的依然是网络工程。而当时全北京甚至没有一个正规的网络安全的教材。

于是，我和几个网络安全技术还不错的同学，成为了（在老师名下）编写教材的主力。这本教材叫做《黑客攻防技术》，在大二的时候就出版了，还拿到了北京市教委的奖。

大三的时候，我们专业终于有了黑客技术的课程。有趣的是，这门课学的正是我们自己刚刚编出的教材。

问题：自己编教材自己学，体验如何？

刘健皓：
体验并不好，我发现老师在用教材上课的时候，经常没有搞懂书中的意思。有一个案例，我们使用了一个 IPC$ 空口令，就可以直接把木马植入到对方电脑上，但是老师没懂，拿着U盘在班上传。这其实把我们的设计降低了很多。

从那以后，我们就没有去上那门课。这导致在年底这门课没有成绩，不过没关系，我在学校的系统里，自己把所有的分数都改成了 98。老师当然心里也清楚，不过鉴于我对学校教材的贡献，最后还是默认了。

三头六臂的安全研究员

问题：毕业之后你就顺利地成为安全研究员了吗？

刘健皓：
其实并没有那么顺利。2008年我在学校的时候，学校就为我推荐了工作，不过是在信息安全公司里做客服，主要工作是接电话。。。我决定还是出来找工作。

09年毕业前，我找到了第一份工作，但从事的并不是网络安全，而是网络工程，这是一家包括老板和老板娘在内，总共只有五个人的公司。

毕业之后，我终于找到了一份和网络安全相关的工作。那就是在北京安氏领信做信息安全评估。安氏领信可以说是安全界的黄埔军校。它的成立比绿盟、启明星辰、天融信都要早，很多黑客大牛都曾经供职于此。这个时候，我的安全研究员生涯才算正式开始。

问题：成为真正的安全研究员，应该比作为爱好者的时候面临更多的困难吧？

刘健皓：

其实，在入职的第二天，我就遇到了非常难的事。

有一家公司为了提高自己业务系统的安全性，找专门的黑客来做渗透测试。而黑客经过努力之后成功地渗透进去，但黑客只告诉对方自己渗透到了什么位置，而并不透露渗透技巧和漏洞所在。所以作为这家公司的安全供应商，我出现在了他们的机房。

由于这次渗透测试非常接近黑客的真实攻击，所以我们没有任何已知的信息。那次排查非常繁琐，我们几个人连续找了两天两夜，终于找到了黑客安插的后门。让我欣慰的是，我们不仅定位了这个漏洞，还找到了很多其他的问题。

问题：有哪些事情，让你的安全技术超越了一般人？

刘健皓：
由于那个时候，安全研究员人手非常紧缺。所以我们的安全服务项目有一个原则：一个项目经理全权负责制。也就是说，整个项目，从开始到结束必须由一个人完成。包括收钱，实施，渗透测试，安全评估，基线检查，漏洞扫描，写报告，这些本来需要五六个人做的事情，都需要一个人来搞定。

那个时候我非常忙，但是这个经历对我的提升非常大。从那以后，我对信息安全评估这件事才有了透彻的认识。这些经历，成为我后期做漏洞挖掘的基础。

保卫运营商

问题：什么原因让你从安全服务人员，转向了前沿安全技术的研究呢？

刘健皓：
2012 到 2013 年的时候，我做了很多安全服务。但是我发现做得多了之后，这就沦为重复性的工作了。我更希望能为公司创造一些新的业务领域。于是我开始研究无线 Wi-Fi 安全方面的技术。

那个时候，很多人都在破解 WPA、WEP 的无线密码。但是我觉得，在这个领域一定存在一些更通用，影响范围更广的安全问题。于是我就开始研究商用无线网络的漏洞。

我的研究对象有：

AP：无线访问接入点，功能等同于家用 Wi-Fi 路由器。
AC：无线控制器，用于统一部署和管理大规模 AP 集群。

很多人都使用过运营商提供的 WLAN 服务，这是一套封闭的架构系统。但那时候某运营商是我们的客户，我正好有条件接触到这些网络系统和硬件设备。

问题：你找到的第一个重大漏洞是什么？

刘健皓：
在2013年的时候，我发现了一个 WLAN 的高危漏洞。利用这个漏洞，攻击者只需要连接一个 WLAN 的热点，甚至不用实名登录，就可以对无线设备发起攻击。一旦进攻成功，甚至可以攻击到运营商的核心网络，造成城市大规模断网。

这应该是录入国家漏洞库的全国首例 WLAN 高危漏洞。从那以后，我加入了天融信，主业就变成了“WLAN 系统安全评估”，在业内还是小有名气的。

问题：运营商的 WLAN，还存在哪些安全问题呢？

刘健皓：
由于 AC 和 AP 之间，使用的是无线专有协议，研究的门槛比较高，所以研究的人员也很少。后来，我有了一个重大发现。在 AC 管理 AP 的过程中，使用的 CAPWAP 协议存在致命的漏洞。于是我发现了一种攻击方法：

利用这套协议给 AC 发送畸形数据，只需要几个包，就可以把 AC“打死”。这可以导致 AC 和它管理的上千个 AP 的通信失效。从而实现“拒绝服务攻击”。

一旦攻击成功，将会造成大面积的 WLAN 无法正常工作。

世上所有的智能硬件

问题：为什么你最终选择对智能硬件下手了呢？

刘健皓：
2014年，智能硬件开始大规模普及。就在这个时候，我加入了 360，进入网络攻防实验室。根据我的安全经验，我觉得物联网会在未来迅速普及，成为互联网的基础设施。

对于网络协议漏洞的挖掘，正是我这些年一直在做的事情。就是在那个时候，我开始关注雷锋网，从评测中发现有趣的智能硬件设备，然后买来研究。在14-15年之间，我研究了大量的智能硬件设备，这几乎包括了市面上所有的产品。

研究之后我发现，中国的智能硬件存在很多安全问题。例如，我们破解了一个摄像头，很有可能直接横向控制这个品牌的所有设备，这个数量是惊人的。所以我们在2014年就发出了报告，预言当这种不安全的智能硬件被大规模使用的时候，一定会危及互联网安全。今年发生的美国大断网事件，就印证了我两年前的担忧。

问题：研究智能硬件安全，难度在哪呢？

刘健皓：
智能硬件涵盖的领域比较广，包括应用、网络、协议和硬件等等。研究起来，需要融合很多方面的技巧。刚开始的时候，并没有现成的研究套路可以借鉴。而智能硬件的种类又非常多，所以我的方法就是：

买来智能硬件，先加载起来自己用。在使用的过程中，根据自己的敏感度来判断哪里有漏洞。
这种方法带有很大的随机性，所以一开始是走了很多的弯路的。

但是，一旦掌握了某类硬件的研究方法，就可以知道在哪些方面容易存在漏洞，根据这个，我们就可以建立起来一个研究框架，之后的研究就顺利了。

搞定特斯拉

问题：当初为什么要去研究特斯拉呢？

刘健皓：
汽车也属于智能硬件/物联网设备的范围。而且，我从小就喜欢车，周围也有很多喜欢玩车、改车的朋友。我并不玩改装车，但觉得用电脑来操控一辆车也很酷。

其实，我一直想要破解智能汽车，只不过在一开始，智能汽车没有如此普及，有时也不容易接触到。于是我选择先研究智能硬件，为汽车的研究打基础。

在我加入 360 之后不久，需要负责 2014年7月举行的特斯拉破解比赛。为了制定规则，我必须自己预先破解一遍。就这样，我不小心成为了全球第一个破解特斯拉的人。

我对于特斯拉的破解，大概是这样

只需要车主点击我发过去的一个链接，我就可以拿到车主的 App 登录身份，实现不用钥匙打开车门。而特斯拉在行驶过程，需要钥匙不断发出“心跳信号”，以确认车主的钥匙在车上。我利用电脑模拟这些信号，就可以正常驾驶特斯拉了。

在我之前，有国内外的黑客对特斯拉进行过研究，但是没有破解得这么具体。

问题：最近，你又因为发现了特斯拉传感器的安全问题再次被频繁曝光。

刘健皓：
有了之前的研究基础，我们决定做一些深入的研究，成立了 360 汽车安全实验室。

特斯拉的“辅助驾驶”系统，需要通过分布在车周围的传感器来收集周围的环境信息。而我们通过发射特定的干扰信号，可以攻击这些传感器，让它们感受到不存在的障碍物，或者直接失灵，无法感知障碍。

在今年美国的 DEF CON 黑客大会上，我也讲了这个破解的详细信息。

特斯拉的车主，如果对于汽车传感器的盲区和特性有所了解的话，就会避免很多悲剧发生。所以我们最近在举行活动，为特斯拉车主做一些安全驾驶培训。

如何成为刘健皓

问题：大多数黑客，都迷恋破解的感觉，但是你似乎更喜欢守护网络安全。

刘健皓：
我之前面试过一个人，他的能力很强。他告诉我，“一个系统会因为我的存在而变得不安全”。我觉得这样的价值观很可怕，一个人做网络安全，应该是为了让这个世界更安全。
我研究智能硬件的安全，也是想提高整个行业的安全能力。

让人难过的是，今年美国大断网事件中，遭到黑客控制的智能摄像头设备，大部分都来自于中国的厂商。如果现在还不采取措施的话，将来中国的智能硬件在国际上的竞争力就会下降。所以，智能硬件安全研究非常重要。

问题：对于想成为安全研究员的童鞋，你有什么建议？

刘健皓：
我觉得网络安全从业者的目标应该分为两类：专家和杂家。

你可以在某个特定方面成为专家，在全球的技术能排在 Top 10 以内。这就需要你花很多时间在这个领域。这一方面需要智商，一方面需要悟性。

而杂家是对网络安全的各个方向都有一定的研究。这样的人同样可以解决很多问题。在网络安全领域，杂家和专家的价值是一样的。但是成为杂家，所需要的时间成本并没有那么高。

我觉得，相比专家，我更是一个杂家。物联网技术就是一门很混杂的技术，如果花时间深入研究，很多安全的知识面就都可以覆盖了。如果想成为“杂家”，物联网安全是一个很好的入口。

问题：研究物联网安全方面，你有什么经验吗？

刘健皓：
其实智能硬件研究的技术并不是最难的，想法和思路才是主要的。

最近，我和团队刚刚写了一本书，名字叫做《智能硬件安全》，在里面我们把这两年对所有智能硬件的研究方法，包括汽车的破解思路都分享出来了，书不厚，但是不便宜（笑），因为里面全是干货。

在去年 Hackpwn 黑客大赛举办之前，有一些参赛选手来咨询我们。他们想要破解一款智能电视，但是对固件和系统进行了传统的漏洞扫描和渗透测试之后，并没有发现问题。

我发现，他在走我们走过的弯路，就是进攻思路的问题。我并没有直接帮助他们，而是从身份鉴权，加密传输，访问控制这三个方向做了分享，他们回去之后，就顺利发现了一些漏洞。
对于想要研究智能硬件安全的童鞋，我有两个建议：

首先是一定不要利用漏洞和破解方法去危害社会。

其次是研究过程不能只看书，一定要多动手，实际操作。

后记

世人只会记住世界最高峰的名字，而第二高峰籍籍无名。

破解特斯拉第一人，是刘健皓身上的光环。

相比光环，刘健皓显然更在意物联网世界真实的安全威胁。从 WLAN 到智能硬件到智能驾驶安全，某些时刻，他更像一个先知，独自抵抗着世人还未意识到的危险。

智能硬件让全美断网，黑客组织左右总统竞选。这些最近发生的可怕事实，让我们对一个安全世界的渴求从未如此强烈。

据此，刘健皓的经历和忧思，或许值得驻足玩味。

-----------End--------

本文作者史中，本文于2016-11-04 首发于雷锋网，个人觉得这虽然是一篇旧文，不过放在现在对大家还是有所帮助的，所以就搬出来供大家阅读或者能够回答知乎上某些问题。传播知识使我快乐 。