劉健皓

世界上第一個破解特斯拉的人。

他只需要發(fā)送一個鏈接，就可以拿到汽車的控制權(quán)。

在網(wǎng)絡(luò)安全的洪荒時代，他就已經(jīng)發(fā)現(xiàn)了運營商 WLAN 重大的協(xié)議漏洞；

早在智能物聯(lián)網(wǎng)設(shè)備興起之初的2014年，他就已經(jīng)預(yù)言智能設(shè)備的漏洞會威脅全球互聯(lián)網(wǎng)。

他用不同的方法黑掉特斯拉，只為讓這個狂飆的鋼鐵俠更值得被人信任。

相比黑客的“破”，他更傾心于白客的“立”。黑客技術(shù)的寒光在他手中，成為了捍衛(wèi)心中價值觀的利刃。

本文為劉健皓專訪，他為雷鋒網(wǎng)獨家講述，自己如何成為一名黑客。

【劉健皓】

游戲中的“上帝”

宅客：請從幼稚園的經(jīng)歷開始，說說自己怎樣接觸的黑客技術(shù)吧。

劉健皓：

我是1987年出生的。印象中2000年左右，家里就買了電腦。所以我在初中高中的時候都喜歡玩電腦，還擔(dān)任了計算機課代表。

不過，我對黑客技術(shù)的認知，還是要“歸功于”打游戲。那時候流行的，都是最早的一批網(wǎng)絡(luò)游戲：石器時代、魔力寶貝、傳奇等等。

在玩的時候，為了升級和裝備，我就會想到一些作弊的手段。于是我開始上網(wǎng)研究別人寫的外掛程序，還有修改方法。按照帖子里的方法，一步步通過修改傳輸協(xié)議，篡改其中的數(shù)據(jù)包，然后修改本地的請求，就可以改變我的游戲參數(shù)。

我記得那時候使用過 WPE，一款非常早的網(wǎng)絡(luò)解包篡改軟件。

宅客：很多人在玩游戲的時候都會有作弊的嘗試，但是為什么你最后深入研究黑客技術(shù)了呢？

劉健皓：

最初玩游戲只是為了炫耀一下，但是這使得我接觸到了一些真正的黑客技術(shù)。

我對這些技術(shù)產(chǎn)生了興趣，于是開始逛各種黑客論壇，包括“Hack58”“邪惡八進制”。在論壇上面經(jīng)常有一些動畫視頻，照著做就能實現(xiàn)一些攻擊。我最初的黑客技術(shù)就是這樣自學(xué)的。

那時候“灰鴿子”正在盛行。這是一種遠程控制木馬，把木馬植入對方的電腦上，就可以看到對方屏幕上顯示的內(nèi)容。由于那個時候大部分都是 ADSL 撥號上網(wǎng)，所以很多主機都直接暴露在公網(wǎng)上。我只要掃描公網(wǎng)地址段，就可以看到大批電腦，然后對它們進行控制。

我記得很清楚，有一次我看到了一個哥們，他的電腦界面是在升級魔獸，并且已經(jīng)下載了一點幾個G，我直接把升級窗口給他關(guān)閉了。要知道那個時候上網(wǎng)是按流量收錢的，升級眼看就要完成的時候遇到這種事情是很崩潰的。

自己編教材自己學(xué)，是一種怎樣的體驗？

宅客：聽說你是中國第一批信息安全專業(yè)的學(xué)生。

劉健皓：

我高中畢業(yè)的時候，其實有兩個感興趣的方向，一個是研究醫(yī)學(xué)中的毒理，另一個是研究電腦病毒。

我報考了北大醫(yī)學(xué)部，清華大學(xué)附屬醫(yī)科大學(xué)，但是分數(shù)差了一些。于是我就選擇了另一個方向，當(dāng)時北大方正軟件技術(shù)學(xué)院，是中國第一個開設(shè)信息安全專業(yè)課程的學(xué)校。于是我毫不猶豫地報考了這個專業(yè)。

但上學(xué)的時候，我才發(fā)現(xiàn)，雖然專業(yè)名稱叫做信息安全，但是并沒有相關(guān)的課程。我們主要學(xué)的依然是網(wǎng)絡(luò)工程。而當(dāng)時全北京甚至沒有一個正規(guī)的網(wǎng)絡(luò)安全的教材。

于是，我和幾個網(wǎng)絡(luò)安全技術(shù)還不錯的同學(xué)，成為了（在老師名下）編寫教材的主力。這本教材叫做《黑客攻防技術(shù)》，在大二的時候就出版了，還拿到了北京市教委的獎。

大三的時候，我們專業(yè)終于有了黑客技術(shù)的課程。有趣的是，這門課學(xué)的正是我們自己剛剛編出的教材。

宅客：自己編教材自己學(xué)，體驗如何？

劉健皓：

體驗并不好，我發(fā)現(xiàn)老師在用教材上課的時候，經(jīng)常沒有搞懂書中的意思。有一個案例，我們使用了一個 IPC$ 空口令，就可以直接把木馬植入到對方電腦上，但是老師沒懂，拿著U盤在班上傳。這其實把我們的設(shè)計降低了很多。

從那以后，我們就沒有去上那門課。這導(dǎo)致在年底這門課沒有成績，不過沒關(guān)系，我在學(xué)校的系統(tǒng)里，自己把所有的分數(shù)都改成了 98。老師當(dāng)然心里也清楚，不過鑒于我對學(xué)校教材的貢獻，最后還是默認了。

三頭六臂的安全研究員

宅客：畢業(yè)之后你就順利地成為安全研究員了嗎？

劉健皓：

其實并沒有那么順利。2008年我在學(xué)校的時候，學(xué)校就為我推薦了工作，不過是在信息安全公司里做客服，主要工作是接電話。。。我決定還是出來找工作。

09年畢業(yè)前，我找到了第一份工作，但從事的并不是網(wǎng)絡(luò)安全，而是網(wǎng)絡(luò)工程，這是一家包括老板和老板娘在內(nèi)，總共只有五個人的公司。

畢業(yè)之后，我終于找到了一份和網(wǎng)絡(luò)安全相關(guān)的工作。那就是在北京安氏領(lǐng)信做信息安全評估。安氏領(lǐng)信可以說是安全界的黃埔軍校。它的成立比綠盟、啟明星辰、天融信都要早，很多黑客大牛都曾經(jīng)供職于此。這個時候，我的安全研究員生涯才算正式開始。

宅客：成為真正的安全研究員，應(yīng)該比作為愛好者的時候面臨更多的困難吧？

劉健皓：

其實，在入職的第二天，我就遇到了非常難的事。

有一家公司為了提高自己業(yè)務(wù)系統(tǒng)的安全性，找專門的黑客來做滲透測試。而黑客經(jīng)過努力之后成功地滲透進去，但黑客只告訴對方自己滲透到了什么位置，而并不透露滲透技巧和漏洞所在。所以作為這家公司的安全供應(yīng)商，我出現(xiàn)在了他們的機房。

由于這次滲透測試非常接近黑客的真實攻擊，所以我們沒有任何已知的信息。那次排查非常繁瑣，我們幾個人連續(xù)找了兩天兩夜，終于找到了黑客安插的后門。讓我欣慰的是，我們不僅定位了這個漏洞，還找到了很多其他的問題。

宅客：有哪些事情，讓你的安全技術(shù)超越了一般人？

劉健皓：

由于那個時候，安全研究員人手非常緊缺。所以我們的安全服務(wù)項目有一個原則：一個項目經(jīng)理全權(quán)負責(zé)制。也就是說，整個項目，從開始到結(jié)束必須由一個人完成。包括收錢，實施，滲透測試，安全評估，基線檢查，漏洞掃描，寫報告，這些本來需要五六個人做的事情，都需要一個人來搞定。

那個時候我非常忙，但是這個經(jīng)歷對我的提升非常大。從那以后，我對信息安全評估這件事才有了透徹的認識。這些經(jīng)歷，成為我后期做漏洞挖掘的基礎(chǔ)。

【青澀的劉健皓】

保衛(wèi)運營商

宅客：什么原因讓你從安全服務(wù)人員，轉(zhuǎn)向了前沿安全技術(shù)的研究呢？

劉健皓：

2012 到 2013 年的時候，我做了很多安全服務(wù)。但是我發(fā)現(xiàn)做得多了之后，這就淪為重復(fù)性的工作了。我更希望能為公司創(chuàng)造一些新的業(yè)務(wù)領(lǐng)域。于是我開始研究無線 Wi-Fi 安全方面的技術(shù)。

那個時候，很多人都在破解 WPA、WEP 的無線密碼。但是我覺得，在這個領(lǐng)域一定存在一些更通用，影響范圍更廣的安全問題。于是我就開始研究商用無線網(wǎng)絡(luò)的漏洞。

我的研究對象有：

AP：無線訪問接入點，功能等同于家用 Wi-Fi 路由器。

AC：無線控制器，用于統(tǒng)一部署和管理大規(guī)模 AP 集群。

很多人都使用過運營商提供的 WLAN 服務(wù)，這是一套封閉的架構(gòu)系統(tǒng)。但那時候某運營商是我們的客戶，我正好有條件接觸到這些網(wǎng)絡(luò)系統(tǒng)和硬件設(shè)備。

宅客：你找到的第一個重大漏洞是什么？

劉健皓：

在2013年的時候，我發(fā)現(xiàn)了一個 WLAN 的高危漏洞。利用這個漏洞，攻擊者只需要連接一個 WLAN 的熱點，甚至不用實名登錄，就可以對無線設(shè)備發(fā)起攻擊。一旦進攻成功，甚至可以攻擊到運營商的核心網(wǎng)絡(luò)，造成城市大規(guī)模斷網(wǎng)。

這應(yīng)該是錄入國家漏洞庫的全國首例 WLAN 高危漏洞。從那以后，我加入了天融信，主業(yè)就變成了“WLAN 系統(tǒng)安全評估”，在業(yè)內(nèi)還是小有名氣的。

宅客：運營商的 WLAN，還存在哪些安全問題呢？

劉健皓：

由于 AC 和 AP 之間，使用的是無線專有協(xié)議，研究的門檻比較高，所以研究的人員也很少。后來，我有了一個重大發(fā)現(xiàn)。在 AC 管理 AP 的過程中，使用的 CAPWAP 協(xié)議存在致命的漏洞。于是我發(fā)現(xiàn)了一種攻擊方法：

利用這套協(xié)議給 AC 發(fā)送畸形數(shù)據(jù)，只需要幾個包，就可以把 AC“打死”。這可以導(dǎo)致 AC 和它管理的上千個 AP 的通信失效。從而實現(xiàn)“拒絕服務(wù)攻擊”。

一旦攻擊成功，將會造成大面積的 WLAN 無法正常工作。

【劉健皓團隊桌子上各種的智能硬件】

世上所有的智能硬件

宅客：為什么你最終選擇對智能硬件下手了呢？

劉健皓：

2014年，智能硬件開始大規(guī)模普及。就在這個時候，我加入了 360，進入網(wǎng)絡(luò)攻防實驗室。根據(jù)我的安全經(jīng)驗，我覺得物聯(lián)網(wǎng)會在未來迅速普及，成為互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施。

對于網(wǎng)絡(luò)協(xié)議漏洞的挖掘，正是我這些年一直在做的事情。就是在那個時候，我開始關(guān)注雷鋒網(wǎng)，從評測中發(fā)現(xiàn)有趣的智能硬件設(shè)備，然后買來研究。在14-15年之間，我研究了大量的智能硬件設(shè)備，這幾乎包括了市面上所有的產(chǎn)品。

研究之后我發(fā)現(xiàn)，中國的智能硬件存在很多安全問題。例如，我們破解了一個攝像頭，很有可能直接橫向控制這個品牌的所有設(shè)備，這個數(shù)量是驚人的。所以我們在2014年就發(fā)出了報告，預(yù)言當(dāng)這種不安全的智能硬件被大規(guī)模使用的時候，一定會危及互聯(lián)網(wǎng)安全。今年發(fā)生的美國大斷網(wǎng)事件，就印證了我兩年前的擔(dān)憂。

宅客：研究智能硬件安全，難度在哪呢？

劉健皓：

智能硬件涵蓋的領(lǐng)域比較廣，包括應(yīng)用、網(wǎng)絡(luò)、協(xié)議和硬件等等。研究起來，需要融合很多方面的技巧。剛開始的時候，并沒有現(xiàn)成的研究套路可以借鑒。而智能硬件的種類又非常多，所以我的方法就是：

買來智能硬件，先加載起來自己用。在使用的過程中，根據(jù)自己的敏感度來判斷哪里有漏洞。

這種方法帶有很大的隨機性，所以一開始是走了很多的彎路的。

但是，一旦掌握了某類硬件的研究方法，就可以知道在哪些方面容易存在漏洞，根據(jù)這個，我們就可以建立起來一個研究框架，之后的研究就順利了。

【劉健皓和美國汽車黑客查理·米勒和瓦拉塞克】

搞定特斯拉

宅客：當(dāng)初為什么要去研究特斯拉呢？

劉健皓：

汽車也屬于智能硬件/物聯(lián)網(wǎng)設(shè)備的范圍。而且，我從小就喜歡車，周圍也有很多喜歡玩車、改車的朋友。我并不玩改裝車，但覺得用電腦來操控一輛車也很酷。

其實，我一直想要破解智能汽車，只不過在一開始，智能汽車沒有如此普及，有時也不容易接觸到。于是我選擇先研究智能硬件，為汽車的研究打基礎(chǔ)。

在我加入 360 之后不久，需要負責(zé) 2014年7月舉行的特斯拉破解比賽。為了制定規(guī)則，我必須自己預(yù)先破解一遍。就這樣，我不小心成為了全球第一個破解特斯拉的人。

我對于特斯拉的破解，大概是這樣的：

只需要車主點擊我發(fā)過去的一個鏈接，我就可以拿到車主的 App 登錄身份，實現(xiàn)不用鑰匙打開車門。而特斯拉在行駛過程，需要鑰匙不斷發(fā)出“心跳信號”，以確認車主的鑰匙在車上。我利用電腦模擬這些信號，就可以正常駕駛特斯拉了。

在我之前，有國內(nèi)外的黑客對特斯拉進行過研究，但是沒有破解得這么具體。

宅客：最近，你又因為發(fā)現(xiàn)了特斯拉傳感器的安全問題再次被頻繁曝光。

劉健皓：

有了之前的研究基礎(chǔ)，我們決定做一些深入的研究，成立了 360 汽車安全實驗室。

特斯拉的“輔助駕駛”系統(tǒng)，需要通過分布在車周圍的傳感器來收集周圍的環(huán)境信息。而我們通過發(fā)射特定的干擾信號，可以攻擊這些傳感器，讓它們感受到不存在的障礙物，或者直接失靈，無法感知障礙。

在今年美國的 DEF CON 黑客大會上，我也講了這個破解的詳細信息。

特斯拉的車主，如果對于汽車傳感器的盲區(qū)和特性有所了解的話，就會避免很多悲劇發(fā)生。所以我們最近在舉行活動，為特斯拉車主做一些安全駕駛培訓(xùn)。

【劉健皓（畫右）和研究伙伴 閆?。ó嬜螅?/strong>

如何成為劉健皓

宅客：大多數(shù)黑客，都迷戀破解的感覺，但是你似乎更喜歡守護網(wǎng)絡(luò)安全。

劉健皓：

我之前面試過一個人，他的能力很強。他告訴我，“一個系統(tǒng)會因為我的存在而變得不安全”。我覺得這樣的價值觀很可怕，一個人做網(wǎng)絡(luò)安全，應(yīng)該是為了讓這個世界更安全。

我研究智能硬件的安全，也是想提高整個行業(yè)的安全能力。

讓人難過的是，今年美國大斷網(wǎng)事件中，遭到黑客控制的智能攝像頭設(shè)備，大部分都來自于中國的廠商。如果現(xiàn)在還不采取措施的話，將來中國的智能硬件在國際上的競爭力就會下降。所以，智能硬件安全研究非常重要。

宅客：對于想成為安全研究員的童鞋，你有什么建議？

劉健皓：

我覺得網(wǎng)絡(luò)安全從業(yè)者的目標(biāo)應(yīng)該分為兩類：專家和雜家。

你可以在某個特定方面成為專家，在全球的技術(shù)能排在 Top 10 以內(nèi)。這就需要你花很多時間在這個領(lǐng)域。這一方面需要智商，一方面需要悟性。

而雜家是對網(wǎng)絡(luò)安全的各個方向都有一定的研究。這樣的人同樣可以解決很多問題。在網(wǎng)絡(luò)安全領(lǐng)域，雜家和專家的價值是一樣的。但是成為雜家，所需要的時間成本并沒有那么高。

我覺得，相比專家，我更是一個雜家。物聯(lián)網(wǎng)技術(shù)就是一門很混雜的技術(shù)，如果花時間深入研究，很多安全的知識面就都可以覆蓋了。如果想成為“雜家”，物聯(lián)網(wǎng)安全是一個很好的入口。

宅客：研究物聯(lián)網(wǎng)安全方面，你有什么經(jīng)驗嗎？

劉健皓：

其實智能硬件研究的技術(shù)并不是最難的，想法和思路才是主要的。

最近，我和團隊剛剛寫了一本書，名字叫做《智能硬件安全》，在里面我們把這兩年對所有智能硬件的研究方法，包括汽車的破解思路都分享出來了，書不厚，但是不便宜（笑），因為里面全是干貨。

在去年 Hackpwn 黑客大賽舉辦之前，有一些參賽選手來咨詢我們。他們想要破解一款智能電視，但是對固件和系統(tǒng)進行了傳統(tǒng)的漏洞掃描和滲透測試之后，并沒有發(fā)現(xiàn)問題。

我發(fā)現(xiàn)，他在走我們走過的彎路，就是進攻思路的問題。我并沒有直接幫助他們，而是從身份鑒權(quán)，加密傳輸，訪問控制這三個方向做了分享，他們回去之后，就順利發(fā)現(xiàn)了一些漏洞。

對于想要研究智能硬件安全的童鞋，我有兩個建議：

首先是一定不要利用漏洞和破解方法去危害社會。

其次是研究過程不能只看書，一定要多動手，實際操作。

后記

世人只會記住世界最高峰的名字，而第二高峰籍籍無名。

破解特斯拉第一人，是劉健皓身上的光環(huán)。

相比光環(huán)，劉健皓顯然更在意物聯(lián)網(wǎng)世界真實的安全威脅。從 WLAN 到智能硬件到智能駕駛安全，某些時刻，他更像一個先知，獨自抵抗著世人還未意識到的危險。

智能硬件讓全美斷網(wǎng)，黑客組織左右總統(tǒng)競選。這些最近發(fā)生的可怕事實，讓我們對一個安全世界的渴求從未如此強烈。

據(jù)此，劉健皓的經(jīng)歷和憂思，或許值得駐足玩味。

文/史中（微信 ID：fungungun，歡迎講述你的黑客故事）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。