揭秘极客生活 | 可以请全国人民看电影，但更想做的是……

用常见的电影票销售App买一张电影票，然后对着笔记本电脑点点戳戳，就能不花一分钱把App里生成的订单支付了——这是在上海举行的GeekPwn2017国际安全极客大赛上的一道题目，名字叫“我请全国人民看电影的梦想，能实现吗”。而参赛选手的表现回答了这个问题：在极客手里，这不过是小菜一碟，连20分钟都不用。
可是，极客们想做的绝非是免费看电影。他们寻找系统漏洞进行“攻击”，但更希望能对相关漏洞做出有效防范。解放日报•上观新闻记者近距离采访了多位极客，揭秘他们的生活。
极客都是些什么人？
极客，是英语Geek的音译，这个词含有智力超群的意思，目前主要用来形容对计算机和网络技术有狂热兴趣并投入大量时间钻研的人。记者接触的这些极客，恰恰符合这一定义。
他们大多拥有计算机方面的专业背景。比如，女极客“tyy”只花几分钟就攻破具备人脸识别技术的门禁系统，她毕业于浙江大学计算机专业；而用评委的话来说，能够在30秒钟内“黑”掉苹果最新操作系统的极客“slipper@0ops”，毕业于上海交通大学，曾担任CTF（夺旗赛，指网络安全技术人员的一种技术竞技比赛）战队队长，带领团队在国内外CTF比赛上屡获佳绩……当然，在别人眼里，他们就是一群热爱技术的程序员，成天与电脑打交道，熟悉各种编码。
除了极客身份，他们也有正常的工作。记者发现，大部分极客的本质工作都是程序员，其中不少来自相关企业的安全团队或者是信息安全企业的成员。比如，用人工智能技术让机器人模仿人类签名写欠条、并且能骗过专业字迹鉴定师的极客团队，来自中国金融认证中心（CFCA）；利用安卓系统漏洞、远程控制他人手机的，是蚂蚁金服巴斯光年安全实验室的成员；复制目标人物的生物识别特征，成功实现对人脸、虹膜实现克隆的极客，来自百度安全实验室 xLab；大赛的发起人兼评委王琦，是安全公司KEEN的首席执行官……换句话说，在赛场上，他们的目标是像黑客那样发现漏洞，进行“攻击”；可在赛场下，他们却是安全的捍卫者。
王琦说，这或许是极客存在的价值：“我们并不是因为要创新而创新，我们是出于一种好奇，或者是一种忧虑而去创新——这里会不会有问题，那里会不会出问题。因为安全问题从来不是因为黑客才存在的，恰恰是因为黑客发现而被消灭的。”
寻找潜在的安全漏洞
在极客的生活中，寻找漏洞既是他们的兴趣所在，也是他们自认为背负的重要任务。比如，面对当下大热的一些技术，极客们就相对冷静：要提防它们的弊端。
“当机器人学会了握笔写字，它就能替代你签名”——来自中国金融认证中心（CFCA）的极客带着他的3D打印机来到GeekPwn2017的现场，挑战人类专业笔迹鉴定师，他想传递的信号是：在新技术面前，人类的一些经验恐怕已经行不通了。
根据比赛规则，科幻作家陈楸帆为极客提供了笔迹学习样本，极客在参赛前可以接触到这些笔迹，然后在现场要根据评委的要求，用陈楸帆的笔迹写出相关文字，骗过专业的笔迹鉴定师。
比赛现场，极客用人工智能技术构建了一个深度学习 “DeepWritting”程序，它能让3D打印机拿笔在纸上自由书写，伪造真人笔迹。最终，这台3D打印机写了一张连专业笔迹鉴定师都难分真假的 “欠条”，内容如下：“今欠极棒组委夸克币五亿个，日息陆厘。此款应一年内还清。逾期不还，按日收总额百分之八违约金——陈楸帆。”
人脸、声纹、虹膜等生物信息被认为是最安全的密码，可这些密码也可能失效。比如，极客“tyy”利用人脸识别门禁系统的漏洞，只花了两分半钟，就篡改了系统里的人脸数据，使得任何一个人都能轻易通过门禁。极客团队“清晨李唐王”，利用《王者荣耀》中人物妲己的配音者所提供的声音样本，模拟其声纹特征，合成一段“攻击”语音，对比赛现场提供的四个具有声纹识别功能的设备发起攻击，顺利欺骗并通过三个“声纹锁”的验证。来自百度安全实验室 xLab的选手则现场演示了一幕本该存在于电影中的场景——克隆“人”。他通过复制目标人物的生物识别特征，成功实现对人脸、虹膜的克隆。
这些极客表示，生物识别看似安全，但技术尚不完善，攻击者有机会利用相关漏洞破解密码，继而获取用户的个人信息。他们想做的，就是用黑客思维预演这些技术领域可能存在的风险，帮助相关技术安全成长。
有攻击就有防守
值得一提的是，在今年的极客大赛上，主办方GeekPwn与卡巴斯基实验室联合举办了一场极客攻防大赛。从700多支极客队伍中脱颖而出的CyKor（韩国）、TokyoWesterns（日本）、FlappyPig（中国）战队同台亮相，模拟一场围绕炼油厂的安全保卫战。
根据赛事规则，参赛者有机会入侵炼油厂，挑战攻击厂内现场生产的微型流程模型。该模型是一个由变速离心泵、储罐(油箱)、热交换器、缓冲罐构成的铁罐卸料器。三支队伍以攻防对抗的形式参与比赛，预演现实中设备可能遭受的各类安全攻击以及可以采取的保护措施。
极客们则表示，这样的比赛能够让基础设施公司意识到提高安全保障的重要性，因为在现实生活中，基础设施如果受到网络攻击，可能会带来严重后果，2015年年底的乌克兰大规模断电危机就是一个例证：2015年12月23日，乌克兰至少三个区域的电力系统遭到网络攻击，伊万诺-弗兰科夫斯克地区部分变电站的控制系统遭到破坏，造成大面积停电，约140万人受到影响。
所以在比赛现场，极客们上演了基础设施的网络攻防战：有人进攻，更有人防守。王琦说：“人类的网络安全正是在这一次次的攻防战中逐渐得到保障，这也是极客赛事的宗旨。”在他看来，通过这样的攻防赛，不仅让世界各地顶级网络安全研究员切磋了技术，而且让更多人看到智能生活网络安全的重要性，特别是让智能工业的从业者提前为安全布防。