刘健皓

全世界之一个破译特斯拉汽车的人。

他只必须推送一个连接，就可以取得轿车的决策权。

在 *** 信息安全的洪荒时代，他就早已发觉了营运商 WLAN 重特大的协议书系统漏洞；

早在智能物联网机器设备盛行之初的二零一四年，他就早已推测智能产品的系统漏洞会威协全世界互联网技术。

它用不一样的方式黑掉特斯拉汽车，只求让这一狂飚的不锈钢更非常值得被别人信赖。

对比黑客的“破”，他更倾情于白客的“立”。黑客技术性的寒芒在他手上，变成了保卫心里价值观念的尖刀。

敬请见：人物志 | “特斯拉汽车破译之一人”刘健皓：我如何变成一个黑客

张婉桥 | 黑客档案资料

她来源于 360 独角兽企业精英团队

曾向全球证实：她有 *** 监视到特定手机上的全部通信数据信息

为何那么炫酷？

由于她顺手就能破译 4g LTE 互联网，让手机上老老实实拿出数据信息

2020年北京的冬天来的凌冽，还行这一中午有温暖的阳光。

在360公司的一间小会议厅里，我看到了传闻中的“漂亮美女黑客”——张婉桥。在这个由“漂亮美女”冠名赞助看起来女士稀有的岗位，以博得营销手段的时期里，填满意外惊喜的是，张婉桥還是当之无愧的。

敬请见：人物志 | 漂亮美女黑客张婉桥的“阿里历险记”

最近，安天AVL终端安全精英团队和小米MIUI安全中心发觉一款带上敲诈勒索作用的阻拦马Trick，历经样版追溯发觉，该病原体竟源于中国一名高中学生之手。该病原体装扮成中国移动通信，以免费获取手机话费的短消息引诱用户安装下载。

该病原体运作后会实行下列故意个人行为：

盗取用户短消息并上传入特定电子邮箱；

依据短消息命令锁住手机上开展敲诈勒索；

依据远程控制短消息命令解析xml手机联系人，并向全部联络群体发附加故意下载地址的垂钓短消息开展恶意传播；一旦发觉用户实行卸载掉此恶意软件的实际操作，该病原体会立即锁住用户手机上，并对用户开展敲诈勒索。

全球最“被黑”的高新科技巨头，也许便是扎克伯格了。

前不久，他的 Twitter 帐户刚被自称 OurMine 的黑客拿下，OurMine 用这名高新科技巨头的帐户，在成千上万粉絲眼前为自己干了一次广告宣传。只是一条文章，就要不清楚是本人黑客還是黑客机构的 OurMine 声名鹊起。

而就在二天前，依据和 OurMine 一直有联络的时尚媒体人 Zack Whittaker 曝料。OurMine 又对可伶的扎克伯格着手了。

此次，她们拿下的是小扎的 Pinterest 账户，而且把主页的照片又改为了 OurMine 自身的网站地址，把个人介绍改为了："Don't worry, we are just testing your security.不必担心，大家仅仅试一试你的安全系数。"（Pinterest 是一个在欧美国家较为时兴的照片沟通交流网址。）

只不过是，信息内容迅速就被移除开，乃至快过 Zack Whittaker 的反应力，以致于他都没都还没截屏。

敬请见：扎克伯格又网站被黑，黑客還是同一人？

你，哦，不是你，别人已经约着炮呢，忽然察觉自己的信息内容被黑客把握也要散布出来，个人素质不扎实的可能要趴着了——完后，这一点小九九要被大家都知道！

据美国独立报11月15日报导，十月，成年人幽会和娱乐传媒公司 Friend Finder Network 刚历经一次最规模性的黑客进攻，造成超出4.12亿的账户信息泄漏。

Friend Finder Network 有哪些样子？

这个企业运营着称为是“全球较大找 *** 小区”的成人交友网址Adult Friend Finder。除此之外，还经营有别的好多个 *** ，在其中包含 penthouse 。

本次泄密包括了3.39亿次AdultFriendFinder.com的账号信息内容，还包含1500万早已“删掉”的账号。

双十一， *** 达人的传统节日，恨不得是各种电子商务程序猿的忌辰。

京东商城，做为全国各地疯狂购物战火的关键总体目标，系统架构师、程序员们一边担负着全国人民打折购物的殷切希望，一边承担着老总东哥如坐针毡的出众眼光。

总而言之，一旦出現闪失，不良影响无法预料。

那麼，到底系统架构师们怎样万无一失地进行那样“不允许不成功”的每日任务呢？

在今天的 SDCC 我国软件开发技术大会上，京东总系统架构师、基本服务平台责任人流海锋为当场观众们详细介绍了2020年护卫京东双十一的“五大宝物”。

【京东总系统架构师、基本服务平台责任人 流海锋】

归根结底，双十一较大的挑戰便是浏览和业务流程猛增。假如可以出示无尽的 *** 带宽和云计算服务器，那麼双十一和别的时间不容易有一切能够 认知的差别。

殊不知，資源始终是比较有限的。这就仿佛一个人通常不可以又购房又购车还每天吃大餐。从这一视角而言，資源整体规划就越来越十分关键。

每每各种各样电商节到来以前，各界单位都变成了呀呀学语的雏鸟。恨不得张嘴就需要十倍于平常的資源。

但是流海锋说：

大家都感觉資源充足才不容易出难题。可是事实上，一些单位多提前准备一些 CPU，心理状态上很有可能骄傲自大，在编码上就释放压力了警醒，那样不一定能够 活下；反过来資源不那麼充裕的状况下，反倒不一定死了。

那麼，比较有限的 CPU 到底分到谁呢？

【前端开发用户提交订单方式启用双十一更高值做到了均值的16倍，而主机房内数据流量更高值仅有均值的1.5倍】

依据流海锋的科学研究，京东前端开发的浏览系统软件在零点以前的十几秒负荷做到更高值。几秒钟内就可以做到均值的16倍。这是由于大家都早已选好啦要想的产品，只等零点以前更新提交订单。可是，那样狂飚的浏览量在系统软件內部却沒有主要表现得这般可怕。在系统软件內部，浏览量很有可能仅有平常的 1.5倍。

为了更好地避免 被黑客偷看，慎重的电脑上用户会一小贴到纸遮住监控摄像头（扎克伯格）；神经紧张的还会继续担忧机器设备上的麦克风；幻想症最比较严重的乃至会把她们的笔记本和智能机拆卸，把声频部件关掉或是果断卸下来，那样黑客就不要想窃听到一切內容。如今，非洲的一组科学研究工作人员把这个监视-反窃听的妄想症游戏推来到新境界——她们开发设计出一个把用户手机耳机临时性变成麦克风，使黑客能对用户开展监视的恶意软件。

非洲本·古里安高校（Ben Gurion University）的科学研究工作人员，造就了一组名叫“Speaker”（音箱）的编码。科学研究初心是借此机会来对“手机耳机变为窃听麦克风”开展定义论述。用它来展现：就算是一台沒有麦克风的数码产品，有信心的黑客一样能够 鬼鬼祟祟地把它被劫持，用于窃听、音频。这一实验性恶意软件可以对用户手机耳机更改命令，把它变为麦克风，把气体的震动转换为电磁感应数据信号，即便 是屋子另一头（相对性于被“黑”的机器设备）的响声也可以被十分清楚地捕获。

本·古里安高校 *** 安全试验室责任人、本新项目领头人 Mordechai Guri 讲到：

“大家从未想过这类隐私保护风险性。就算你将麦克风拔出了，要是手机耳机还插在电脑上，黑客就可以对你窃听。”

据雷锋网(微信公众号：雷锋网)掌握，许多 Youtube 视頻向大家展现过，必需时手机耳机能够 被作为麦克风应用。一切正常手机耳机音箱根据振膜的震动把电磁感应数据信号转换为响声，而振膜能够 被相反用——收集响声震动，随后把他们转换成电磁感应数据信号（不相信？你能把沒有麦克风的手机耳机插到电脑上麦克风插口试一试）。

本·古里安科学研究工作人员撰写的恶意软件，运用了 RealTek 音频解码/编号集成ic一个不为人知的特性，可以悄悄的把电脑上的音频输出安全通道更改为键入安全通道。那样的状况下，就算手机耳机只插在音频输出插口上，沒有联接麦克风插口，此软件依然可以开展窃听。科学研究工作人员们表明，装 RealTek 外置声卡的电脑上到处都是，以致于此软件可以功效于全部的台式电脑和绝大多数的笔记本，无论它运作的是 Windows 還是 Mac OS 系统软件。英国《连线》杂志期刊尝试从此联络 RealTek ，但 RealTek 并未开展答复。

笔记本主板上的 RealTek 集成声卡

Mordechai Guri 说：“这是一个十分比较严重的难题，它使今日基本上全部的电脑上，对该类进攻彻底不设防。”

公平公正地说，仅有这些早已采用多种防黑客对策的杰出强迫症患者，才会在乎这类窃听进攻。但在注重 *** 安全的时期，能悄然无声打开电脑上麦克风的恶意软件，正慢慢引起社会发展流行的忧虑。

Guri 提示雷锋网，稍早，扎克伯格用胶带纸贴紧电脑摄像头的相片。在一段视頻中，棱镜门主人公、前 CIA 情报员斯诺登，来教大家如何拆下来手机上的内嵌麦克风。乃至 NSA（美国国家安全局） 的 *** 信息安全单位对群众提议，禁止使用 PC 的麦克风来让电脑上更安全性。也有数码科技检修网址 iFixit，在2020年七月对杂志期刊 MacWorld 展现了怎样在硬件配置上禁止使用iPhone Macbook 的麦克风。

这届大会的胸卡的主题风格是 IOT 物联网技术，每一块胸卡具有连接 *** 作用，主会场全部胸卡都连接一个物联网技术，在连接 *** 情况下才可以解题。

听说取得成功冲关者才能够 再次报名参加明日的破译比赛。

那麼有什么题？外场观众们能够 一起来破译看一下：

在演试怎样“抢劫银行”前，Jayson E.Street 是十分轻轻松松的，正甩着两根小腿肚坐着演说台子上随歌曲在摆动。

Jayson E.Street 是黑客盛典 DEFCON 机构的全世界融洽人，在 SyScan 360 对他的详细介绍（想来也是他自己写的）中，写到“他是一个比萨发烧友，以前把比萨从北京市送到墨西哥共享，他不期待大家对他的了解仅仅如此，假如留意得话会发觉他在二零零六年被《时代周刊》评比为年度经济人物”，对，雷锋网编写也曾得到这一荣誉奖，了解这一老梗的人你能笑了。

但是，对你说如何抢银行并不是一个笑话，Jayson 今日要出其不意，取得成功斩获你的专注力。

知彼知己，百战百胜。Jayson 也明白这一招数，为了更好地预防和探测这种进攻，他先要演试 *** 攻击怎样看待“你”的网址和职工，运用她们来进攻“你”。这一小伙子但是在美国银行从业防御力工作中十五年，在六年多時间本质好几个新项目中饰演 *** 攻击，是家居度假旅游抢劫银行必需。

并且，Jayson 的“抢劫银行”還是被付钱的——许多 金融机构的 CEO 付钱找他检测银行业务是不是安全性，是不是会被侵入。

在聊一聊 Jayson 是如何抢银行前，先讨论一下他是怎样进攻电力公司，由于2个方式套路一致，仅略微差别。Jayson说，

我曾经被电力公司聘请，CEO 期待我开展中间人攻击，规定是只有运用一个干预点，所有人点一下一切连接都遭受进攻。

Jayson 采用的对策是锁住这个企业的一个人，因此他先登陆电力公司的网址，寻找电力公司 CEO 的详细介绍网页页面，依据网页页面上 CEO 的相片，找到他的twiter，随后抽丝剥茧发觉了别的有关工作员账号。

这周，最恐怖的黑客达人们都汇集上海市，把她们全新的科研成果展现给大家。这就是 SyScan 360 安全性大会。

黑客们在大会上共享了以下议案：

破译有线数字电视的名 门：DVB-T 黑色按钮支点

　　黑客“Old Skewl”在 SyScan 360 安全大会上进行演讲，针对所有目前符合 “Freeview” 的标准英国电视台的实际攻击。换句话说，所有的数字电视，再说一次，是所有的，就像以前关闭模拟信号一样。

　　这个漏洞存在在 MHEG 标准里（想下streroids的Teletext），所有的数据服务包括BBC“红色按钮服务”赋予全力，所以影响到的是所有电视，不止新智能电视。如果电视连接 *** 的话，也存在其他的漏洞，即使它不是可以攻击的电视。

　　钱放在银行也可能丢失（银行和企业安全的战略防御）

　　议题概要：多数从事计算机安全防御工作的人只从防御这个角度看问题！在这个演讲中，将演示攻击者是如何看待你的网站和员工的，再利用他们来攻击你，从如何成功的创建一个鱼叉式 *** 钓鱼开始。通过搜集来自企业自身 “关于” 页面中的信息，以及利用员工的社交媒体网站获取有用信息。大部分的讨论将覆盖成功的反制措施，去帮助防范和侦测这些攻击。这次演讲借鉴演讲者在美国银行从事防御工作 15 年的经验，及其 6 年多在多个项目中扮演攻击者的经验。如果一切顺利每个人都会学到新的东西，他们可以立即回到他们的工作中进行更好的防御准备！

　　全文戳这里：快上车！攻击全球电视、银行大盗火线追踪、黑客篡改支付金额，雷锋网带你闯进 SyScan 360

　　

　　世界上最可怕的 *** “间谍”恐怕要属“APT 攻击”，潜伏数年、甚至数十年，默默偷取关键数据，它可能不为钱、不为利，但就是为了搞垮你。

　　听上去实在是又贱、又狠的一种黑客攻击。

　　赵雨婷，是之一个登上SyScan 360 安全会议演讲台的女讲师。她是360追日团队中的一员，面对 APT 攻击，这个团队希望像夸父追日一样，一直坚持不懈地进行追击。

　　关于 APT 攻击，赵雨婷揭示了一些关于它的秘密。

　　最近一起重要的 APT 攻击当属11月曝光的蔓灵花 APT 行动。

　　美国 *** 安全公司 Forcepoint 发布了一篇报告，该报告主要披露了巴基斯坦 *** 官员最近遭到了来源不明的 *** 间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式，在受害者计算机中植入了定制的 AndroRAT，意图窃取敏感信息和资料。Forcepoint 研究人员认为该组织与 BITTER 相关，而且可能还不止发起了这一起攻击事件。BITTER 攻击始于2013年11月，且多年来一直未被检测到，目前攻击者背景尚未明确。相关 APP 信息包括提供关于印度和巴基斯坦之间的争议地区新闻的 Kashmir News 等。

　　这世间的故事，必有缘起。黑客的江湖，也不例外。两位世外高手，是接下来这个故事的起源。

　　我叫老王。不是隔壁老王，我就是老王。

　　这个低调了二十年的黑客，终于站在了聚光灯下。

　　在此之前，圈外人对于王俊卿的了解几乎为零。事实上，作为中国最早的一批黑客，神秘的老王和他身后声名显赫的 0x557 统领了中国大半部黑客史。从互联网安全的洪荒时代，老王就开始了“拿站”生涯，而随着互联网的发展，老王对世界上几乎所有复杂的大型系统都进行过渗透测试。他符合人们对于一个黑客的全部想象。用所向披靡来形容他在赛博世界的状态并不夸张。在他脑海中，有一万种游走于企业甚至 *** 内网的姿势。

　　白衣如雪，来去如风，往往是武林高手的生存状态。在中国互联网并不长的历史中，他一直站在某个高地，俯视陵谷变迁。据此，他自嘲为“上古神兽”。

　　

　　【老王 王俊卿】

　　然而，在老王眼中却充满了忧虑。他看到这个赛博世界正在聚集越来愈多的妖云，阵脚的龙柱倾覆在即。而不自知的人们却仍然歌舞升平。

　　据此，“神兽”振开双翼，决定降临人间。而同时嗅到危险的，还有另一只“神兽”。

　　Jannock 这个名字，在百度上的信息寥寥无几。他有三个身份：

　　腼腆而睿智的八零后。

　　老王的多年好友和亲密战友。

　　在曾经叱咤风云的“乌云平台”上提交漏洞最多的那个人，没有之一。人称“乌云一哥”。

　　毋庸赘言，如果他想，只需要动动手指，可以突破几乎所有企业的安全防护。有关乌云，他心中有很多故事。但是面对雷锋网宅客频道的好奇，他觉得现在还不是说出来的更好时机。

　　在这个超级白帽子心里，乌云曾经是他保卫世界的 *** ，他帮助企业发现的每一个漏洞，都是赖以抵挡子弹的盾牌。然而当无数企业在面对黑客的战争中态势急转直下的时候，乌云却告别了舞台。

　　于是这位“一哥”似乎别无选择地，走到了世人面前。

　　

　　【Jannock】

　　老王和一哥究竟看到了什么？

　　我们社会对 *** 安全的投入越来越多，理论上来说， *** 攻击应该越来越少。但是事实却正好相反。这不是很奇怪吗？

　　最近三年，每年都有几起大的 *** 攻击事件爆发出来。被攻击的对象不仅有世界五百强企业，还有专门研究攻击控制软件的安全厂商，甚至泄露别人数据的平台，自己的数据也发生了泄漏。更可怕的是，很多专门盗取别人信息的黑客组织自己的工具也泄露了。这是很大的讽刺。

　　隐者老王已经适应了“布道者”这个新角色，向现场观众描述他眼中的 *** 安全世界。

　　

　　【老王在幻云发布会现场】

　　他陈述的是事实。各大顶级企业，包括专门从事 *** 安全的企业和组织，不可能不重视 *** 安全。纵然投入金山银海，就是没有办法抵挡住老王和一哥这样的黑客进攻。

　　在老王眼里，很多企业对于黑客如何思考和进攻一无所知。这使得他们精心构建的“马奇诺防线”沦为昂贵的摆设。因为黑客往往会在某一个特别的位置上发现弱点，从而整体绕过防护机制。

　　老王举了一个例子：

　　每个人心里的密码都不是孤立产生的。你的密码一定带有个人色彩，和你的经历或性格有关，这本身就为黑客破解密码埋下了巨大隐患。如果管理员想要“合规”地编出一套和自己毫无关系的随机密码表，而且按照规定让所有的密码生存期都不超过90天，那么他一定需要维护一张长长的密码表。

　　而这恰恰又触及了安全的禁区——密码落于纸面。

　　内网渗透的基础并不在于找到应用漏洞或者没打补丁的系统，很多时候在于找到那张密码表。使用密码表上的密码入侵内网，是完全符合内网防护策略的。

　　这只是千万条“黑客思路”中的一条。老王不觉得传统的渗透测试可以很好地找到 *** 存在的问题。

　　渗透测试就像是军演，而军演是有剧本的。在真正的战斗中，战斗机可以躲在客机底下，潜艇会隐藏在客轮下面。这些开脑洞的进攻 *** 是绝不可能出现在演习里的。

　　老王曾经对雷锋网宅客频道讲，

　　内网，对于外人来说是一个神秘的地方，但是如果你去询问任何一个黑客，他都会大笑着告诉你：只要突破边界进内网之后，就畅通无阻。内网的安全最烂。

　　如果打个比方的话，很多企业的防护都像是榴莲，外表锋芒毕露，里面软滑香糯，只要你能从裂缝进入，就可以畅享战果。

　　 *** 平台的发展变化让 *** 上的黑客泛滥。可以说，他们经常应对 *** 的入侵。因此，他们应该迅速了解黑客在 *** 上的入侵方式，以免下次面对 *** 账号等异常情况时惊慌失措。 *** 上的黑客叫什么名字？过去，过往出生的吴先生入侵网站服务器，窃取用户数据并转卖用户数据，这是服务器的控制权限，并支付报酬。它看起来很简单，没有入侵的坏处，但实际上产生了很大的副作用。杨先生有大专学历，是一名计算机专家。应对方要求，他迅速联系相关负责人进行说明。杨先生使用的常用工具和特洛伊木马获得了很高的权威。他向吴师傅提供了控制技术，并从对方那里获得了5000元的奖励。同年，控制技术的吴先生又形成了一种系统性的诈骗手段，类似于通常的基本操作步骤，但这次他更注重对方的态度。为了吸引对方的想法，他们在开始聊天时会选择不告诉你具体的执行情况，但一旦你提到相关话题，他们就会被诱入陷阱，他们会选择先把你的想法一点一滴地拿出来，然后再执行自己的作战计划，这样你就会乖乖地给对方钱。吴先生在获得管理员权限后，多次非法侵入皮内特“限时快购”服务器系统，窃取采购商片面信息等数据3万余套。杨师傅不知道的是，在获取了这些买家的数据，经历了 *** 贩卖后，他在半年时间里将犯罪利润的计算提高了数十万元。入侵 *** 的黑客猖獗，特别是在你看不到的小区域，所以要注意细节。一些对互联网和计算机稍有了解的人都会知道中美黑客大战。当时我们在中国的主力军是洪客的代表。在中国，红色本身就代表着一定的意义。作为全国更大的诚实黑客组织，他们追钱是真的吗？这个国家更大的诚实黑客在追逐金钱，这是真的吗？一大批以追求黄金著称于洪克的人都是“洪克就是能量，在他走向高超的技艺和才华之前就是一件乐器。”

　　1.他非常热爱自己的故国，坚持正义，开启奋进精神。因此，拥有这样的精力和热爱电脑的技能都被称为喇叭。你会发现，这就是洪克在互联网上对他的社区说的话。除了他们强调爱国工作之外，它与黑客和黑客在质量上没有什么不同。按喇叭的人意味着没有恶意的侵扰。爱国之心无疑是“和平的日月”！然而，中国的网站也面临着来自外国黑客的巨大风险。对暴力的相关研究实际上意味着不会对损失进行补偿。

　　2.鸣笛的人可能知道这一点，但鸣笛的人自从2001年的战斗以来就隐藏了自己的名字。我不认为它已经消散，但我只是脱掉了血淋淋的衣服，真诚地走了进来。这说明了我国黑客的近况。友们不知道他们是谁。在人类进入信息时代，今年的安全比以往任何一年都要低。网页上充斥着各种病毒、废品和恶意入侵者。“黑客”设备无处不在。人们正在讨论“宾客”颜色的变化。

　　3.熟悉“黑客”的是那些在网页上恶意入侵无聊人的人吗？在60年6月，他们控制了他们奇妙的技术。在70年7月，他们应该为他们的公民使用计算机。80年8月，他们还提出了信息共享。可以说，他们利用黑客作为手段，为自己的目标而战。它在今天的全球信息化中也是非常辛苦的。然而，到了20世纪90年代末，情况发生了变化。

　　4.魔法不再是一小群人的控制力。越来越多的人控制了它。黑客的观点和行为发生了很大的变化。今天的黑客曾经是使用聪明的技术访问他们权限之外的计算机系统的人。从一定角度看，当前网页上的黑客大多在现实中名不副实，这与真正的黑客利用互联网是背道而驰的。黑客指的是利用已有的法语进入他人电脑后，发现和平的天然屏障。