在無人機黑客世界，專注、熱愛、天分和動手能力才是硬通貨。

　　在傳統(tǒng)飛控黑客畫像中，沉默、不修邊幅、獨來獨往常常是出現(xiàn)其中的詞匯。這些在電腦面前工作的人們，靠紅牛和奧利奧沒日沒夜調(diào)試屏幕上的各色代碼、以極大的熱情和專注力探索熱衷的領(lǐng)域、又在現(xiàn)實世界人與人的溝通中扮演或木訥或敏感的角色?；蛘哌@只是存在于電影世界中的刻板印象？世上沒有相同的人，無人機黑客也是如此。他們中有些談到《EVA》便會滔滔不絕，有些喜歡拿小技巧毫無惡意的捉弄你的小飛雞，還有些善于和人溝通且愛笑——比如楊卿。然而初見楊卿就毫無生疏的對坐聊天、快過常人近一倍的語速和縝密的思維、將研究內(nèi)容深入淺出的講述，你很難將他同黑客掛上鉤。連帽衫？我行我素？無政府主義？真正走近他們你會發(fā)現(xiàn)，這些與黑相連的符號只是用以塑造角色的表象，不受束縛、崇尚技術(shù)、不斷向上探索事物才是無人機黑客的核心所在。

　　沒有動手能力的程序員不是好無人機黑客

　　大部分看過愛因斯坦那張在自己雜亂辦公桌前著名照片的人，都會得出桌面不整潔的人一定很聰明的結(jié)論。在Unicorn團隊的辦公區(qū)，你很難找到一張整潔的辦公桌。電路板、工具、放大鏡……錯綜復雜堆在每個人的面前，成員之一正緊盯屏幕對桌上架著的最新飛行器做接口測試，一旁的瘦男生正在用電烙鐵在電路板焊元器件。

　　圖為一種新型的能偽裝成皮塔餅的無線電竊聽裝置（Radio Bug）結(jié)構(gòu)，能通過無線竊走附近的電腦中的安全密鑰信息。

　　為什么國內(nèi)很少有人研究無線領(lǐng)域？楊卿認為很大原因是國內(nèi)教育方式及國人動手能力。以最基礎(chǔ)的Wi-Fi破解為例，即便擁有軟件工具仍需要特定芯片的無線網(wǎng)卡的配合。并不是所有的無線網(wǎng)卡都能支持工具，甚至有時還需要對網(wǎng)卡進行硬件改裝，所以必要的硬件知識也必不可少——當然還要燒錢，信號越好的無線網(wǎng)卡價格也就越貴，更專業(yè)的設(shè)備價格自不必說。

　　從地鐵和一張公交卡開始

　　在 2007 年的 T00ls(又名土司) 安全技術(shù)論壇曾形成過一個核心圈子，每個人鉆研的領(lǐng)域各不相同，有人擅長Web滲透、有人擅長病毒木馬。當時剛剛從網(wǎng)絡(luò)安全專業(yè)畢業(yè)的楊卿，最感興趣的是無線局域網(wǎng)安全。

　　電影里黑客在大街上或馬路上直接用筆記本嗒嗒嗒就把某個東西黑掉了，都是通過無線，此前的采訪中楊卿曾以此解釋自己踏入無線安全領(lǐng)域的原因。然而與Web滲透等技能相比，無線網(wǎng)絡(luò)安全的職業(yè)發(fā)展要窄得多——對Wi-Fi的熟知能提供什么商業(yè)價值呢？但其能產(chǎn)生的影響不可衡量，比如——黑掉地鐵。

　　適逢60周年國慶，北京擁有了第一條帶有Wi-Fi網(wǎng)絡(luò)的地鐵線路。并非提供給乘客、而是列車通信使用的無線局域網(wǎng)，會不會存在安全漏洞？乘坐地鐵嘗試用筆記本電腦破解，結(jié)果成功進入了地鐵線路無線內(nèi)網(wǎng)。如果在內(nèi)網(wǎng)中進行進一步的網(wǎng)絡(luò)掃描、滲透攻擊，地鐵的正常通信將被擾亂甚至連列車運行都會被惡意控制。意識到問題嚴重性的楊卿立刻寫下漏洞報告轉(zhuǎn)交相關(guān)的通報渠道，很快漏洞就被修復。

　　無線網(wǎng)絡(luò)研究了好幾年，公交卡成了他新興趣。與地鐵相比，公交卡實在微不足道，但同屬無線通信研究范圍之一的NFC（近場通信）技術(shù)最廣泛的應用方式正是這張卡片。薄薄的公交卡雖沒有電源，但其自身就是一個能夠處理、計算、存儲并能交換數(shù)據(jù)的終端設(shè)備。

　　如果你將IC卡一層一層地剝開，會發(fā)現(xiàn)幾條互不相交的金屬細線圍成的矩形線圈，它既是傳送信息的天線，也是接觸讀卡器發(fā)射的電磁波時產(chǎn)生電能的裝置。一塊大約10平方毫米的矩形芯片是卡片的核心所在，封裝其中的 MPU 負責將接收到的信號進行解密、分析、加密，F(xiàn)LASH ROM 則負責存儲加密數(shù)據(jù)。

　　一卡通的新片位于卡片右上角，通過破解加密算法找到密鑰、不斷測試找到不同存儲區(qū)中數(shù)據(jù)的含義、再修改其中的數(shù)據(jù)，楊卿和他的同事們最終能將過期的公交卡變成正常使用的卡片、普通卡能變?yōu)閷W生卡或工作人員卡，甚至金額也能被隨意修改。漏洞被找到，可已經(jīng)發(fā)放的幾千萬張公交卡怎么辦？和硬件迭代類似，新卡片不再有漏洞，舊卡片也會慢慢退出自己的舞臺。

　　接下來是無人機、汽車和GPS

　　在國內(nèi)的大型安全會議上，楊卿的Unicorn團隊成員常常會現(xiàn)場演示用一臺電腦打開寶馬、奔馳、奧迪及Smart等車的車門。其實也沒有多復雜，特別是幾年前破解汽車很簡單，因為大部分廠商都使用固定碼——車和車鑰匙都存儲一串不改變的密碼，兩者一致時車門就會打開。只要用無線電設(shè)備抓取車鑰匙的信號再重放，就像新配了一把門鑰匙，車門就能反復開關(guān)。經(jīng)歷了白帽子的不斷挑刺和算法的演進，現(xiàn)在的汽車鑰匙往往使用滾動碼，一個周期很長的偽隨機碼。每開一次車門鑰匙和車存儲的密碼都會一同向前滾動一格，兩者一致時車門才會打開——即便如此仍有取巧的方式。比如離車在較遠的地方按下車鑰匙，同時用設(shè)備接收信號，走到尚未收到過密碼的車輛前重放這段信號就能打開車門。只能打開一次不算真正的破解？想要多次打開車門？最快的辦法是分析解碼控制器的功耗，結(jié)合 KeeLoq算法推導出控制器中的密鑰以及算法，只要幾秒鐘就能破解車門密碼。但接觸并拆解車鑰匙、測量控制器功耗、調(diào)整算法，每一件都不是容易事。

　　現(xiàn)在楊卿專注的是無人機GPS信號的偽造和欺騙。

　　GPS 通過同時出現(xiàn)在空中的 4 顆衛(wèi)星確定設(shè)備位置

　　2011年12月4日，美國一架RQ-170無人機飛行至伊朗領(lǐng)空，伊朗軍方通過GPS欺騙讓這架飛機降落在伊朗東北部的Kashmar，這架完好的無人機使得伊朗軍方獲取了不少技術(shù)和軍事機密?？?GPS不是天上24顆衛(wèi)星來回運轉(zhuǎn)，怎么會被欺騙？通過測量與空中同時出現(xiàn)的4顆衛(wèi)星的距離，GPS就能確定接收設(shè)備的位置。但GPS衛(wèi)星的廣播信號從太空抵達地面時已變得非常微弱，如果接收設(shè)備旁有一個模擬器發(fā)出和GPS一樣的信號假裝自己是衛(wèi)星，強度更高的信號就會被當成真的GPS信號。原本攻擊者想要擁有偽造GPS信號的設(shè)備非常困難，信號發(fā)射器的成本往往在千萬元、使用范圍也僅是用于科研、生產(chǎn)等測試。近幾年軟件無線電技術(shù)的興起加上安全聯(lián)盟研究的代碼和算法，使得幾百美元的設(shè)備也能制造出GPS信號。不僅如此，GPS技術(shù)的廣泛使用使得偽造GPS信號帶來更廣泛的威脅。讓一輛在海淀區(qū)行駛的汽車以為自己正在西藏、跟蹤車輛不斷向其發(fā)射偽GPS信號引導它開向預先設(shè)置好的地點，或者在某一路段制造大量GPS信號，讓數(shù)據(jù)中心誤以為此處擁堵將車流疏導到更擁堵的路段從而制造混亂都有可能。擾亂空間只是偽造GPS信號帶來的危害之一。寫有時間信息的GPS還是一個對時系統(tǒng)，使用GPS信號作為時間源的網(wǎng)絡(luò)對時服務(wù)器廣泛應用于電力電網(wǎng)、通信網(wǎng)絡(luò)、金融交易系統(tǒng)等基礎(chǔ)設(shè)施。讓設(shè)備接收帶有錯誤時間的偽造GPS信號——比如1900年，沒有考慮過時間異常情況的水位傳感器就會作出異常反應，以精確時間完成金融交易系統(tǒng)同樣會輕易崩潰。

　　在無線電頻譜上穿梭

　　GPS欺騙的研究結(jié)果是Defcon大會（每年舉辦于拉斯維加斯的黑客盛會）的議題之一，其所能帶來的危害暫時不必擔心——為防止信號泄漏，Unicorn團隊的偽造信號實驗一直在一個金屬立方體的暗箱中進行。

　　從無線網(wǎng)絡(luò)、公交卡、到GPS信號、劫持無人機、開汽車車門，這些看上去毫不相關(guān)的東西怎么成為他的研究課題？如果你仔細觀察過無線電頻譜，就會發(fā)現(xiàn)導航、通信、廣播、雷達、電視、電話、近乎人類全部的信息傳輸都基于無線電，100多年前人類發(fā)現(xiàn)所發(fā)現(xiàn)的能承載信息的電磁波如今已經(jīng)滲透到每個人生活的方方面面。Wi-Fi和手機是最常見的應用，GPS、NFC只是間接存在于種種設(shè)備之中而很少被被人們注意到，飛機遙控器、電腦上的網(wǎng)卡、手機上的蜂窩、車鑰匙的射頻等通信全部包含在這龐大的頻譜中。

　　無線電頻譜

　　Wi-Fi是2.4GHz，做的多了就覺得 Wi-Fi 沒什么可研究的，看向其他頻譜的協(xié)議是很自然的事。飛機ADS-B的1080MHz、常用的射頻433MHz、315MHz、868MHz，一個頻段搞清楚了，自然會去研究其他頻段。

　　無線安全是一個大課題，但這個領(lǐng)域很多公司都不太重視。因為大多涉及基礎(chǔ)公共設(shè)施又很難商品化，無線安全研究一直不是安全類公司的重點。

　　使用計算機以及所有有助于了解這個世界本質(zhì)的事物都不應受到任何限制。任何事情都應該親手嘗試?！诳蛡惱恚╤acker ethic) 第一條，《黑客與畫家》

　　成立于2009年的Unicorn團隊一度只有楊卿和生于92年的Wi-Fi小黑客柴坤哲兩人。直到2014年精通硬件安全的孤獨小白、簡云定的加入，一個月后在又在軟件無線電安全會議上遇見志同道合的黃琳博士，團隊才開始逐漸擴大。在此之前，黃琳已經(jīng)在法國電信工作了7年。在通信領(lǐng)域鉆研多年的她將與楊卿以GPS欺騙攻擊為演講主題一同前往Defcon，同時她也是第一位現(xiàn)身Defcon的中國女黑客。

　　黃琳博士近照

　　一同前往Defcon的還有生1995年的單好奇。剛剛畢業(yè)的好奇一直有寫技術(shù)博客的習慣。從Unicorn的微博上得知招聘信息、投遞簡歷到加入，楊卿欣賞他的熱情——自己寫代碼、在Github做項目，博客的字里行間透露著鉆研技術(shù)潛力。想成為一名出色的數(shù)據(jù)鏈安全人員，學校很難提供有效的知識和攻防實踐經(jīng)驗。聰明專注、不斷學習、對技術(shù)的絕對熱愛，只有這些品質(zhì)才能讓他們抵擋現(xiàn)實的誘惑和寂寞。好奇也將與團隊的另外一名安全老將鄭玉偉以另外一個題目前往Defcon演講——Hack飛蜂窩設(shè)備劫持GPRS。一部分負責鉆研安全攻防技術(shù)、一部分負責將技術(shù)轉(zhuǎn)變?yōu)檐浻布漠a(chǎn)品，已經(jīng)有15個人的Unicorn團隊有條不紊的忙碌著。以《高達》中擁有精神骨架甚至能終結(jié)戰(zhàn)爭的Unicorn機甲之名命名的這個團隊，正在以自己的熱情不斷鉆研存在于空氣中的無線電和看得見摸得著的硬件，守護一個更安全的無人機世界。

　　長按識別圖中二維碼關(guān)注我們！

　　內(nèi)容轉(zhuǎn)載自公眾號

　　極客公園

　　了解更多

　　加載中