在無人機黑客世界，專注、熱愛、天分和動手能力才是硬通貨。

　　在傳統飛控黑客畫像中，沉默、不修邊幅、獨來獨往常常是出現其中的詞匯。這些在電腦面前工作的人們，靠紅牛和奧利奧沒日沒夜調試屏幕上的各色代碼、以極大的熱情和專注力探索熱衷的領域、又在現實世界人與人的溝通中扮演或木訥或敏感的角色。或者這只是存在于電影世界中的刻板印象？世上沒有相同的人，無人機黑客也是如此。他們中有些談到《EVA》便會滔滔不絕，有些喜歡拿小技巧毫無惡意的捉弄你的小飛雞，還有些善于和人溝通且愛笑——比如楊卿。然而初見楊卿就毫無生疏的對坐聊天、快過常人近一倍的語速和縝密的思維、將研究內容深入淺出的講述，你很難將他同黑客掛上鉤。連帽衫？我行我素？無政府主義？真正走近他們你會發現，這些與黑相連的符號只是用以塑造角色的表象，不受束縛、崇尚技術、不斷向上探索事物才是無人機黑客的核心所在。

　　沒有動手能力的程序員不是好無人機黑客

　　大部分看過愛因斯坦那張在自己雜亂辦公桌前著名照片的人，都會得出桌面不整潔的人一定很聰明的結論。在Unicorn團隊的辦公區，你很難找到一張整潔的辦公桌。電路板、工具、放大鏡……錯綜復雜堆在每個人的面前，成員之一正緊盯屏幕對桌上架著的最新飛行器做接口測試，一旁的瘦男生正在用電烙鐵在電路板焊元器件。

　　圖為一種新型的能偽裝成皮塔餅的無線電竊聽裝置（Radio Bug）結構，能通過無線竊走附近的電腦中的安全密鑰信息。

　　為什么國內很少有人研究無線領域？楊卿認為很大原因是國內教育方式及國人動手能力。以最基礎的Wi-Fi破解為例，即便擁有軟件工具仍需要特定芯片的無線網卡的配合。并不是所有的無線網卡都能支持工具，甚至有時還需要對網卡進行硬件改裝，所以必要的硬件知識也必不可少——當然還要燒錢，信號越好的無線網卡價格也就越貴，更專業的設備價格自不必說。

　　從地鐵和一張公交卡開始

　　在 2007 年的 T00ls(又名土司) 安全技術論壇曾形成過一個核心圈子，每個人鉆研的領域各不相同，有人擅長Web滲透、有人擅長病毒木馬。當時剛剛從網絡安全專業畢業的楊卿，最感興趣的是無線局域網安全。

　　電影里黑客在大街上或馬路上直接用筆記本嗒嗒嗒就把某個東西黑掉了，都是通過無線，此前的采訪中楊卿曾以此解釋自己踏入無線安全領域的原因。然而與Web滲透等技能相比，無線網絡安全的職業發展要窄得多——對Wi-Fi的熟知能提供什么商業價值呢？但其能產生的影響不可衡量，比如——黑掉地鐵。

　　適逢60周年國慶，北京擁有了第一條帶有Wi-Fi網絡的地鐵線路。并非提供給乘客、而是列車通信使用的無線局域網，會不會存在安全漏洞？乘坐地鐵嘗試用筆記本電腦破解，結果成功進入了地鐵線路無線內網。如果在內網中進行進一步的網絡掃描、滲透攻擊，地鐵的正常通信將被擾亂甚至連列車運行都會被惡意控制。意識到問題嚴重性的楊卿立刻寫下漏洞報告轉交相關的通報渠道，很快漏洞就被修復。

　　無線網絡研究了好幾年，公交卡成了他新興趣。與地鐵相比，公交卡實在微不足道，但同屬無線通信研究范圍之一的NFC（近場通信）技術最廣泛的應用方式正是這張卡片。薄薄的公交卡雖沒有電源，但其自身就是一個能夠處理、計算、存儲并能交換數據的終端設備。

　　如果你將IC卡一層一層地剝開，會發現幾條互不相交的金屬細線圍成的矩形線圈，它既是傳送信息的天線，也是接觸讀卡器發射的電磁波時產生電能的裝置。一塊大約10平方毫米的矩形芯片是卡片的核心所在，封裝其中的 MPU 負責將接收到的信號進行解密、分析、加密，FLASH ROM 則負責存儲加密數據。

　　一卡通的新片位于卡片右上角，通過破解加密算法找到密鑰、不斷測試找到不同存儲區中數據的含義、再修改其中的數據，楊卿和他的同事們最終能將過期的公交卡變成正常使用的卡片、普通卡能變為學生卡或工作人員卡，甚至金額也能被隨意修改。漏洞被找到，可已經發放的幾千萬張公交卡怎么辦？和硬件迭代類似，新卡片不再有漏洞，舊卡片也會慢慢退出自己的舞臺。

　　接下來是無人機、汽車和GPS

　　在國內的大型安全會議上，楊卿的Unicorn團隊成員常常會現場演示用一臺電腦打開寶馬、奔馳、奧迪及Smart等車的車門。其實也沒有多復雜，特別是幾年前破解汽車很簡單，因為大部分廠商都使用固定碼——車和車鑰匙都存儲一串不改變的密碼，兩者一致時車門就會打開。只要用無線電設備抓取車鑰匙的信號再重放，就像新配了一把門鑰匙，車門就能反復開關。經歷了白帽子的不斷挑刺和算法的演進，現在的汽車鑰匙往往使用滾動碼，一個周期很長的偽隨機碼。每開一次車門鑰匙和車存儲的密碼都會一同向前滾動一格，兩者一致時車門才會打開——即便如此仍有取巧的方式。比如離車在較遠的地方按下車鑰匙，同時用設備接收信號，走到尚未收到過密碼的車輛前重放這段信號就能打開車門。只能打開一次不算真正的破解？想要多次打開車門？最快的辦法是分析解碼控制器的功耗，結合 KeeLoq算法推導出控制器中的密鑰以及算法，只要幾秒鐘就能破解車門密碼。但接觸并拆解車鑰匙、測量控制器功耗、調整算法，每一件都不是容易事。

　　現在楊卿專注的是無人機GPS信號的偽造和欺騙。

　　GPS 通過同時出現在空中的 4 顆衛星確定設備位置

　　2011年12月4日，美國一架RQ-170無人機飛行至伊朗領空，伊朗軍方通過GPS欺騙讓這架飛機降落在伊朗東北部的Kashmar，這架完好的無人機使得伊朗軍方獲取了不少技術和軍事機密。可 GPS不是天上24顆衛星來回運轉，怎么會被欺騙？通過測量與空中同時出現的4顆衛星的距離，GPS就能確定接收設備的位置。但GPS衛星的廣播信號從太空抵達地面時已變得非常微弱，如果接收設備旁有一個模擬器發出和GPS一樣的信號假裝自己是衛星，強度更高的信號就會被當成真的GPS信號。原本攻擊者想要擁有偽造GPS信號的設備非常困難，信號發射器的成本往往在千萬元、使用范圍也僅是用于科研、生產等測試。近幾年軟件無線電技術的興起加上安全聯盟研究的代碼和算法，使得幾百美元的設備也能制造出GPS信號。不僅如此，GPS技術的廣泛使用使得偽造GPS信號帶來更廣泛的威脅。讓一輛在海淀區行駛的汽車以為自己正在西藏、跟蹤車輛不斷向其發射偽GPS信號引導它開向預先設置好的地點，或者在某一路段制造大量GPS信號，讓數據中心誤以為此處擁堵將車流疏導到更擁堵的路段從而制造混亂都有可能。擾亂空間只是偽造GPS信號帶來的危害之一。寫有時間信息的GPS還是一個對時系統，使用GPS信號作為時間源的網絡對時服務器廣泛應用于電力電網、通信網絡、金融交易系統等基礎設施。讓設備接收帶有錯誤時間的偽造GPS信號——比如1900年，沒有考慮過時間異常情況的水位傳感器就會作出異常反應，以精確時間完成金融交易系統同樣會輕易崩潰。

　　在無線電頻譜上穿梭

　　GPS欺騙的研究結果是Defcon大會（每年舉辦于拉斯維加斯的黑客盛會）的議題之一，其所能帶來的危害暫時不必擔心——為防止信號泄漏，Unicorn團隊的偽造信號實驗一直在一個金屬立方體的暗箱中進行。

　　從無線網絡、公交卡、到GPS信號、劫持無人機、開汽車車門，這些看上去毫不相關的東西怎么成為他的研究課題？如果你仔細觀察過無線電頻譜，就會發現導航、通信、廣播、雷達、電視、電話、近乎人類全部的信息傳輸都基于無線電，100多年前人類發現所發現的能承載信息的電磁波如今已經滲透到每個人生活的方方面面。Wi-Fi和手機是最常見的應用，GPS、NFC只是間接存在于種種設備之中而很少被被人們注意到，飛機遙控器、電腦上的網卡、手機上的蜂窩、車鑰匙的射頻等通信全部包含在這龐大的頻譜中。

　　無線電頻譜

　　Wi-Fi是2.4GHz，做的多了就覺得 Wi-Fi 沒什么可研究的，看向其他頻譜的協議是很自然的事。飛機ADS-B的1080MHz、常用的射頻433MHz、315MHz、868MHz，一個頻段搞清楚了，自然會去研究其他頻段。

　　無線安全是一個大課題，但這個領域很多公司都不太重視。因為大多涉及基礎公共設施又很難商品化，無線安全研究一直不是安全類公司的重點。

　　使用計算機以及所有有助于了解這個世界本質的事物都不應受到任何限制。任何事情都應該親手嘗試。——黑客倫理（hacker ethic) 第一條，《黑客與畫家》

　　成立于2009年的Unicorn團隊一度只有楊卿和生于92年的Wi-Fi小黑客柴坤哲兩人。直到2014年精通硬件安全的孤獨小白、簡云定的加入，一個月后在又在軟件無線電安全會議上遇見志同道合的黃琳博士，團隊才開始逐漸擴大。在此之前，黃琳已經在法國電信工作了7年。在通信領域鉆研多年的她將與楊卿以GPS欺騙攻擊為演講主題一同前往Defcon，同時她也是第一位現身Defcon的中國女黑客。

　　黃琳博士近照

　　一同前往Defcon的還有生1995年的單好奇。剛剛畢業的好奇一直有寫技術博客的習慣。從Unicorn的微博上得知招聘信息、投遞簡歷到加入，楊卿欣賞他的熱情——自己寫代碼、在Github做項目，博客的字里行間透露著鉆研技術潛力。想成為一名出色的數據鏈安全人員，學校很難提供有效的知識和攻防實踐經驗。聰明專注、不斷學習、對技術的絕對熱愛，只有這些品質才能讓他們抵擋現實的誘惑和寂寞。好奇也將與團隊的另外一名安全老將鄭玉偉以另外一個題目前往Defcon演講——Hack飛蜂窩設備劫持GPRS。一部分負責鉆研安全攻防技術、一部分負責將技術轉變為軟硬件的產品，已經有15個人的Unicorn團隊有條不紊的忙碌著。以《高達》中擁有精神骨架甚至能終結戰爭的Unicorn機甲之名命名的這個團隊，正在以自己的熱情不斷鉆研存在于空氣中的無線電和看得見摸得著的硬件，守護一個更安全的無人機世界。

　　長按識別圖中二維碼關注我們！

　　內容轉載自公眾號

　　極客公園

　　了解更多

　　加載中