在無人機(jī)黑客世界，專注、熱愛、天分和動(dòng)手能力才是硬通貨。

　　在傳統(tǒng)飛控黑客畫像中，沉默、不修邊幅、獨(dú)來獨(dú)往常常是出現(xiàn)其中的詞匯。這些在電腦面前工作的人們，靠紅牛和奧利奧沒日沒夜調(diào)試屏幕上的各色代碼、以極大的熱情和專注力探索熱衷的領(lǐng)域、又在現(xiàn)實(shí)世界人與人的溝通中扮演或木訥或敏感的角色?；蛘哌@只是存在于電影世界中的刻板印象？世上沒有相同的人，無人機(jī)黑客也是如此。他們中有些談到《EVA》便會(huì)滔滔不絕，有些喜歡拿小技巧毫無惡意的捉弄你的小飛雞，還有些善于和人溝通且愛笑——比如楊卿。然而初見楊卿就毫無生疏的對(duì)坐聊天、快過常人近一倍的語速和縝密的思維、將研究?jī)?nèi)容深入淺出的講述，你很難將他同黑客掛上鉤。連帽衫？我行我素？無政府主義？真正走近他們你會(huì)發(fā)現(xiàn)，這些與黑相連的符號(hào)只是用以塑造角色的表象，不受束縛、崇尚技術(shù)、不斷向上探索事物才是無人機(jī)黑客的核心所在。

　　沒有動(dòng)手能力的程序員不是好無人機(jī)黑客

　　大部分看過愛因斯坦那張?jiān)谧约弘s亂辦公桌前著名照片的人，都會(huì)得出桌面不整潔的人一定很聰明的結(jié)論。在Unicorn團(tuán)隊(duì)的辦公區(qū)，你很難找到一張整潔的辦公桌。電路板、工具、放大鏡……錯(cuò)綜復(fù)雜堆在每個(gè)人的面前，成員之一正緊盯屏幕對(duì)桌上架著的最新飛行器做接口測(cè)試，一旁的瘦男生正在用電烙鐵在電路板焊元器件。

　　圖為一種新型的能偽裝成皮塔餅的無線電竊聽裝置（Radio Bug）結(jié)構(gòu)，能通過無線竊走附近的電腦中的安全密鑰信息。

　　為什么國(guó)內(nèi)很少有人研究無線領(lǐng)域？楊卿認(rèn)為很大原因是國(guó)內(nèi)教育方式及國(guó)人動(dòng)手能力。以最基礎(chǔ)的Wi-Fi破解為例，即便擁有軟件工具仍需要特定芯片的無線網(wǎng)卡的配合。并不是所有的無線網(wǎng)卡都能支持工具，甚至有時(shí)還需要對(duì)網(wǎng)卡進(jìn)行硬件改裝，所以必要的硬件知識(shí)也必不可少——當(dāng)然還要燒錢，信號(hào)越好的無線網(wǎng)卡價(jià)格也就越貴，更專業(yè)的設(shè)備價(jià)格自不必說。

　　從地鐵和一張公交卡開始

　　在 2007 年的 T00ls(又名土司) 安全技術(shù)論壇曾形成過一個(gè)核心圈子，每個(gè)人鉆研的領(lǐng)域各不相同，有人擅長(zhǎng)Web滲透、有人擅長(zhǎng)病毒木馬。當(dāng)時(shí)剛剛從網(wǎng)絡(luò)安全專業(yè)畢業(yè)的楊卿，最感興趣的是無線局域網(wǎng)安全。

　　電影里黑客在大街上或馬路上直接用筆記本嗒嗒嗒就把某個(gè)東西黑掉了，都是通過無線，此前的采訪中楊卿曾以此解釋自己踏入無線安全領(lǐng)域的原因。然而與Web滲透等技能相比，無線網(wǎng)絡(luò)安全的職業(yè)發(fā)展要窄得多——對(duì)Wi-Fi的熟知能提供什么商業(yè)價(jià)值呢？但其能產(chǎn)生的影響不可衡量，比如——黑掉地鐵。

　　適逢60周年國(guó)慶，北京擁有了第一條帶有Wi-Fi網(wǎng)絡(luò)的地鐵線路。并非提供給乘客、而是列車通信使用的無線局域網(wǎng)，會(huì)不會(huì)存在安全漏洞？乘坐地鐵嘗試用筆記本電腦破解，結(jié)果成功進(jìn)入了地鐵線路無線內(nèi)網(wǎng)。如果在內(nèi)網(wǎng)中進(jìn)行進(jìn)一步的網(wǎng)絡(luò)掃描、滲透攻擊，地鐵的正常通信將被擾亂甚至連列車運(yùn)行都會(huì)被惡意控制。意識(shí)到問題嚴(yán)重性的楊卿立刻寫下漏洞報(bào)告轉(zhuǎn)交相關(guān)的通報(bào)渠道，很快漏洞就被修復(fù)。

　　無線網(wǎng)絡(luò)研究了好幾年，公交卡成了他新興趣。與地鐵相比，公交卡實(shí)在微不足道，但同屬無線通信研究范圍之一的NFC（近場(chǎng)通信）技術(shù)最廣泛的應(yīng)用方式正是這張卡片。薄薄的公交卡雖沒有電源，但其自身就是一個(gè)能夠處理、計(jì)算、存儲(chǔ)并能交換數(shù)據(jù)的終端設(shè)備。

　　如果你將IC卡一層一層地剝開，會(huì)發(fā)現(xiàn)幾條互不相交的金屬細(xì)線圍成的矩形線圈，它既是傳送信息的天線，也是接觸讀卡器發(fā)射的電磁波時(shí)產(chǎn)生電能的裝置。一塊大約10平方毫米的矩形芯片是卡片的核心所在，封裝其中的 MPU 負(fù)責(zé)將接收到的信號(hào)進(jìn)行解密、分析、加密，F(xiàn)LASH ROM 則負(fù)責(zé)存儲(chǔ)加密數(shù)據(jù)。

　　一卡通的新片位于卡片右上角，通過破解加密算法找到密鑰、不斷測(cè)試找到不同存儲(chǔ)區(qū)中數(shù)據(jù)的含義、再修改其中的數(shù)據(jù)，楊卿和他的同事們最終能將過期的公交卡變成正常使用的卡片、普通卡能變?yōu)閷W(xué)生卡或工作人員卡，甚至金額也能被隨意修改。漏洞被找到，可已經(jīng)發(fā)放的幾千萬張公交卡怎么辦？和硬件迭代類似，新卡片不再有漏洞，舊卡片也會(huì)慢慢退出自己的舞臺(tái)。

　　接下來是無人機(jī)、汽車和GPS

　　在國(guó)內(nèi)的大型安全會(huì)議上，楊卿的Unicorn團(tuán)隊(duì)成員常常會(huì)現(xiàn)場(chǎng)演示用一臺(tái)電腦打開寶馬、奔馳、奧迪及Smart等車的車門。其實(shí)也沒有多復(fù)雜，特別是幾年前破解汽車很簡(jiǎn)單，因?yàn)榇蟛糠謴S商都使用固定碼——車和車鑰匙都存儲(chǔ)一串不改變的密碼，兩者一致時(shí)車門就會(huì)打開。只要用無線電設(shè)備抓取車鑰匙的信號(hào)再重放，就像新配了一把門鑰匙，車門就能反復(fù)開關(guān)。經(jīng)歷了白帽子的不斷挑刺和算法的演進(jìn)，現(xiàn)在的汽車鑰匙往往使用滾動(dòng)碼，一個(gè)周期很長(zhǎng)的偽隨機(jī)碼。每開一次車門鑰匙和車存儲(chǔ)的密碼都會(huì)一同向前滾動(dòng)一格，兩者一致時(shí)車門才會(huì)打開——即便如此仍有取巧的方式。比如離車在較遠(yuǎn)的地方按下車鑰匙，同時(shí)用設(shè)備接收信號(hào)，走到尚未收到過密碼的車輛前重放這段信號(hào)就能打開車門。只能打開一次不算真正的破解？想要多次打開車門？最快的辦法是分析解碼控制器的功耗，結(jié)合 KeeLoq算法推導(dǎo)出控制器中的密鑰以及算法，只要幾秒鐘就能破解車門密碼。但接觸并拆解車鑰匙、測(cè)量控制器功耗、調(diào)整算法，每一件都不是容易事。

　　現(xiàn)在楊卿專注的是無人機(jī)GPS信號(hào)的偽造和欺騙。

　　GPS 通過同時(shí)出現(xiàn)在空中的 4 顆衛(wèi)星確定設(shè)備位置

　　2011年12月4日，美國(guó)一架RQ-170無人機(jī)飛行至伊朗領(lǐng)空，伊朗軍方通過GPS欺騙讓這架飛機(jī)降落在伊朗東北部的Kashmar，這架完好的無人機(jī)使得伊朗軍方獲取了不少技術(shù)和軍事機(jī)密。可 GPS不是天上24顆衛(wèi)星來回運(yùn)轉(zhuǎn)，怎么會(huì)被欺騙？通過測(cè)量與空中同時(shí)出現(xiàn)的4顆衛(wèi)星的距離，GPS就能確定接收設(shè)備的位置。但GPS衛(wèi)星的廣播信號(hào)從太空抵達(dá)地面時(shí)已變得非常微弱，如果接收設(shè)備旁有一個(gè)模擬器發(fā)出和GPS一樣的信號(hào)假裝自己是衛(wèi)星，強(qiáng)度更高的信號(hào)就會(huì)被當(dāng)成真的GPS信號(hào)。原本攻擊者想要擁有偽造GPS信號(hào)的設(shè)備非常困難，信號(hào)發(fā)射器的成本往往在千萬元、使用范圍也僅是用于科研、生產(chǎn)等測(cè)試。近幾年軟件無線電技術(shù)的興起加上安全聯(lián)盟研究的代碼和算法，使得幾百美元的設(shè)備也能制造出GPS信號(hào)。不僅如此，GPS技術(shù)的廣泛使用使得偽造GPS信號(hào)帶來更廣泛的威脅。讓一輛在海淀區(qū)行駛的汽車以為自己正在西藏、跟蹤車輛不斷向其發(fā)射偽GPS信號(hào)引導(dǎo)它開向預(yù)先設(shè)置好的地點(diǎn)，或者在某一路段制造大量GPS信號(hào)，讓數(shù)據(jù)中心誤以為此處擁堵將車流疏導(dǎo)到更擁堵的路段從而制造混亂都有可能。擾亂空間只是偽造GPS信號(hào)帶來的危害之一。寫有時(shí)間信息的GPS還是一個(gè)對(duì)時(shí)系統(tǒng)，使用GPS信號(hào)作為時(shí)間源的網(wǎng)絡(luò)對(duì)時(shí)服務(wù)器廣泛應(yīng)用于電力電網(wǎng)、通信網(wǎng)絡(luò)、金融交易系統(tǒng)等基礎(chǔ)設(shè)施。讓設(shè)備接收帶有錯(cuò)誤時(shí)間的偽造GPS信號(hào)——比如1900年，沒有考慮過時(shí)間異常情況的水位傳感器就會(huì)作出異常反應(yīng)，以精確時(shí)間完成金融交易系統(tǒng)同樣會(huì)輕易崩潰。

　　在無線電頻譜上穿梭

　　GPS欺騙的研究結(jié)果是Defcon大會(huì)（每年舉辦于拉斯維加斯的黑客盛會(huì)）的議題之一，其所能帶來的危害暫時(shí)不必?fù)?dān)心——為防止信號(hào)泄漏，Unicorn團(tuán)隊(duì)的偽造信號(hào)實(shí)驗(yàn)一直在一個(gè)金屬立方體的暗箱中進(jìn)行。

　　從無線網(wǎng)絡(luò)、公交卡、到GPS信號(hào)、劫持無人機(jī)、開汽車車門，這些看上去毫不相關(guān)的東西怎么成為他的研究課題？如果你仔細(xì)觀察過無線電頻譜，就會(huì)發(fā)現(xiàn)導(dǎo)航、通信、廣播、雷達(dá)、電視、電話、近乎人類全部的信息傳輸都基于無線電，100多年前人類發(fā)現(xiàn)所發(fā)現(xiàn)的能承載信息的電磁波如今已經(jīng)滲透到每個(gè)人生活的方方面面。Wi-Fi和手機(jī)是最常見的應(yīng)用，GPS、NFC只是間接存在于種種設(shè)備之中而很少被被人們注意到，飛機(jī)遙控器、電腦上的網(wǎng)卡、手機(jī)上的蜂窩、車鑰匙的射頻等通信全部包含在這龐大的頻譜中。

　　無線電頻譜

　　Wi-Fi是2.4GHz，做的多了就覺得 Wi-Fi 沒什么可研究的，看向其他頻譜的協(xié)議是很自然的事。飛機(jī)ADS-B的1080MHz、常用的射頻433MHz、315MHz、868MHz，一個(gè)頻段搞清楚了，自然會(huì)去研究其他頻段。

　　無線安全是一個(gè)大課題，但這個(gè)領(lǐng)域很多公司都不太重視。因?yàn)榇蠖嗌婕盎A(chǔ)公共設(shè)施又很難商品化，無線安全研究一直不是安全類公司的重點(diǎn)。

　　使用計(jì)算機(jī)以及所有有助于了解這個(gè)世界本質(zhì)的事物都不應(yīng)受到任何限制。任何事情都應(yīng)該親手嘗試?！诳蛡惱恚╤acker ethic) 第一條，《黑客與畫家》

　　成立于2009年的Unicorn團(tuán)隊(duì)一度只有楊卿和生于92年的Wi-Fi小黑客柴坤哲兩人。直到2014年精通硬件安全的孤獨(dú)小白、簡(jiǎn)云定的加入，一個(gè)月后在又在軟件無線電安全會(huì)議上遇見志同道合的黃琳博士，團(tuán)隊(duì)才開始逐漸擴(kuò)大。在此之前，黃琳已經(jīng)在法國(guó)電信工作了7年。在通信領(lǐng)域鉆研多年的她將與楊卿以GPS欺騙攻擊為演講主題一同前往Defcon，同時(shí)她也是第一位現(xiàn)身Defcon的中國(guó)女黑客。

　　黃琳博士近照

　　一同前往Defcon的還有生1995年的單好奇。剛剛畢業(yè)的好奇一直有寫技術(shù)博客的習(xí)慣。從Unicorn的微博上得知招聘信息、投遞簡(jiǎn)歷到加入，楊卿欣賞他的熱情——自己寫代碼、在Github做項(xiàng)目，博客的字里行間透露著鉆研技術(shù)潛力。想成為一名出色的數(shù)據(jù)鏈安全人員，學(xué)校很難提供有效的知識(shí)和攻防實(shí)踐經(jīng)驗(yàn)。聰明專注、不斷學(xué)習(xí)、對(duì)技術(shù)的絕對(duì)熱愛，只有這些品質(zhì)才能讓他們抵擋現(xiàn)實(shí)的誘惑和寂寞。好奇也將與團(tuán)隊(duì)的另外一名安全老將鄭玉偉以另外一個(gè)題目前往Defcon演講——Hack飛蜂窩設(shè)備劫持GPRS。一部分負(fù)責(zé)鉆研安全攻防技術(shù)、一部分負(fù)責(zé)將技術(shù)轉(zhuǎn)變?yōu)檐浻布漠a(chǎn)品，已經(jīng)有15個(gè)人的Unicorn團(tuán)隊(duì)有條不紊的忙碌著。以《高達(dá)》中擁有精神骨架甚至能終結(jié)戰(zhàn)爭(zhēng)的Unicorn機(jī)甲之名命名的這個(gè)團(tuán)隊(duì)，正在以自己的熱情不斷鉆研存在于空氣中的無線電和看得見摸得著的硬件，守護(hù)一個(gè)更安全的無人機(jī)世界。

　　長(zhǎng)按識(shí)別圖中二維碼關(guān)注我們！

　　內(nèi)容轉(zhuǎn)載自公眾號(hào)

　　極客公園

　　了解更多

　　加載中