如何「黑」掉一架飞机？

在传统黑客画像中，沉默、不修边幅、独来独往常常是出现其中的词汇。这些在电脑面前「工作」的人们，靠红牛和奥利奥没日没夜调试屏幕上的各色代码、以极大的热情和专注力探索热衷的领域、又在现实世界人与人的沟通中扮演或木讷或敏感的角色。

或者这只是存在于电影世界中的刻板印象？

世上没有相同的人，黑客也是如此。他们中有些谈到《EVA》便会滔滔不绝，有些喜欢拿小技巧毫无恶意的捉弄你的手机，还有些善于和人沟通且爱笑——比如杨卿。

「315 晚会上的蒙面黑客」、「安全圈颜值最高的男神」，关于杨卿的种种称号流传于社交网络上。然而初见杨卿就毫无生疏的对坐聊天、快过常人近一倍的语速和缜密的思维、将研究内容深入浅出的讲述，你很难将他同「黑客」挂上钩。

连帽衫？我行我素？无政府主义？真正走近他们你会发现，这些与「黑客」相连的符号只是用以塑造角色的表象，不受束缚、崇尚技术、不断向上探索事物才是「黑客」的核心所在。

从地铁和一张公交卡开始

在 2007 年的 T00ls(又名土司) 安全技术论坛曾形成过一个核心圈子，每个人钻研的领域各不相同，有人擅长 Web 渗透、有人擅长病毒木马。当时刚刚从网络安全专业毕业的杨卿，最感兴趣的是无线局域网安全。

「电影里黑客在大街上或马路上直接用笔记本嗒嗒嗒就把某个东西黑掉了，都是通过无线」，此前的采访中杨卿曾以此解释自己踏入无线安全领域的原因。然而与Web 渗透等技能相比，无线网络安全的职业发展要窄得多——对 Wi-Fi的熟知能提供什么商业价值呢？但其能产生的影响不可衡量，比如——黑掉地铁。

地铁上已出现新型钓鱼，记得关闭无线网络

适逢 60 周年国庆，北京拥有了第一条带有Wi-Fi网络的地铁线路。并非提供给乘客、而是列车通信使用的无线局域网，会不会存在安全漏洞？乘坐地铁的杨卿尝试用笔记本电脑破解，结果成功进入了地铁线路无线内网。如果在内网中进行进一步的网络扫描、渗透攻击，地铁的正常通信将被扰乱甚至连列车运行都会被恶意控制。意识到问题严重性的杨卿立刻写下漏洞报告转交相关的通报渠道，很快漏洞就被修复。

无线网络研究了好几年，公交卡成了他新兴趣。与地铁相比，公交卡实在微不足道，但同属无线通信研究范围之一的 NFC（近场通信）技术最广泛的应用方式正是这张卡片。薄薄的公交卡虽没有电源，但其自身就是一个能够处理、计算、存储并能交换数据的终端设备。

如果你将 IC卡一层一层地剥开，会发现几条互不相交的金属细线围成的矩形线圈，它既是传送信息的天线，也是接触读卡器发射的电磁波时产生电能的装置。一块大约10平方毫米的矩形芯片是卡片的核心所在，封装其中的 MPU 负责将接收到的信号进行解密、分析、加密，FLASH ROM 则负责存储加密数据。

一卡通的新片位于卡片右上角，图片来自网络

通过破解加密算法找到密钥、不断测试找到不同存储区中数据的含义、再修改其中的数据，杨卿和他的同事们最终能将过期的公交卡变成正常使用的卡片、普通卡能变为学生卡或工作人员卡，甚至金额也能被随意修改。

漏洞被找到，可已经发放的几千万张公交卡怎么办？和硬件迭代类似，新卡片不再有漏洞，旧卡片也会慢慢退出自己的舞台。

接下来是汽车、飞机和 GPS

在国内的大型安全会议上，杨卿的 Unicorn 团队成员常常会现场演示用一台电脑打开 BBA（宝马、奔驰、奥迪）及 Smart 等车的车门。

其实也没有多复杂，特别是几年前破解汽车很简单，因为大部分厂商都使用固定码——车和车钥匙都存储一串不改变的密码，两者一致时车门就会打开。只要用无线电设备抓取车钥匙的信号再重放，就像新配了一把门钥匙，车门就能反复开关。

相关视频：杨卿演示如何用手机打开奥迪车门

http://v.youku.com/v_show/id_XNzU4MzU3ODMy.html?firsttime=0

杨卿演示如何用手机打开奥迪车门

经历了白帽子的不断挑刺和算法的演进，现在的汽车钥匙往往使用滚动码——一个周期很长的伪随机码。每开一次车门钥匙和车存储的密码都会一同向前滚动一格，两者一致时车门才会打开——即便如此仍有取巧的方式。比如离车在较远的地方按下车钥匙，同时用设备接收信号，走到尚未收到过密码的车辆前重放这段信号就能打开车门。

只能打开一次不算真正的破解？想要多次打开车门？最快的办法是分析解码控制器的功耗，结合 KeeLoq 算法推导出控制器中的密钥以及算法，只要几秒钟就能破解车门密码。但接触并拆解车钥匙、测量控制器功耗、调整算法，每一件都不是容易事。

或者在空中制造一架不存在的飞机？

ADS-B 是一个集通信与监视于一体的信息系统，飞机正是依靠这一通讯协议实现自动巡航。如果在自动巡航的飞机前方伪造出只有飞机或塔台才能发出信号，这架飞机就会误以为周围有另一架飞机（事实上不存在）从而改变自己的飞行判断，下降高度或做出其他紧急处理。

现在杨卿专注的是 GPS 信号的伪造和欺骗。

GPS 通过同时出现在空中的 4 颗卫星确定设备位置，来自网络

2011 年 12 月 4 日，美国一架 RQ-170 无人机飞行至伊朗领空，伊朗军方通过 GPS 欺骗让这架飞机降落在伊朗东北部的 Kashmar，这架完好的无人机使得伊朗军方获取了不少技术和军事机密。

可 GPS 不是天上 24 颗卫星来回运转，怎么会被欺骗？

通过测量与空中同时出现的 4 颗卫星的距离，GPS 就能确定接收设备的位置。但 GPS 卫星的广播信号从太空抵达地面时已变得非常微弱，如果接收设备旁有一个模拟器发出和 GPS 一样的信号假装自己是卫星，强度更高的信号就会被当成「真的」GPS 信号。

原本攻击者想要拥有伪造 GPS 信号的设备非常困难，信号发射器的成本往往在千万元、使用范围也仅是用于科研、生产等测试。近几年软件无线电技术的兴起加上安全联盟研究的代码和算法，使得几百美元的设备也能制造出 GPS 信号。

不仅如此，GPS 技术的广泛使用使得伪造GPS信号带来更广泛的威胁。让一辆在海淀区行驶的汽车以为自己正在西藏、跟踪车辆不断向其发射伪 GPS信号引导它开向预先设置好的地点，或者在某一路段制造大量GPS 信号，让数据中心误以为此处拥堵将车流疏导到更拥堵的路段从而制造混乱都有可能。

「要毁灭一个超级大国无需枪炮，你需要的只是想象力。百万分之一秒的改变就会造成混乱。」——《与摩根弗里曼一起穿越虫洞》第五季第四集：如何摧毁一个超级大国

扰乱空间只是伪造 GPS 信号带来的危害之一。写有时间信息的 GPS 还是一个对时系统，使用GPS信号作为时间源的网络对时服务器广泛应用于电力电网、通信网络、金融交易系统等基础设施。让设备接收带有错误时间的伪造 GPS 信号——比如1900年，没有考虑过时间异常情况的水位传感器就会作出异常反应，以精确时间完成金融交易系统同样会轻易崩溃。

在无线电频谱上穿梭

GPS 欺骗的研究结果将是杨卿 8 月登上 Defcon 大会（每年举办于拉斯维加斯的黑客盛会）的议题之一，其所能带来的危害暂时不必担心——为防止信号泄漏，杨卿和 Unicorn 团队的伪造信号实验一直在一个金属立方体中进行。

从无线网络、公交卡、到 GPS 信号、开汽车车门，这些看上去毫不相关的东西怎么成为他的研究课题？

如果你仔细观察过无线电频谱，就会发现导航、通信、广播、雷达、电视、电话、近乎人类全部的信息传输都基于无线电，100多年前人类发现所发现的能承载信息的电磁波如今已经渗透到每个人生活的方方面面。Wi-Fi 和手机是最常见的应用，GPS、NFC只是间接存在于种种设备之中而很少被被人们注意到，电脑上的网卡、手机上的蜂窝、车钥匙的射频等通信全部包含在这庞大的频谱中。

无线电频谱，来自网络

「Wi-Fi 是 2.4GHz，做的多了就觉得 Wi-Fi 没什么可研究的，看向其他频谱的协议是很自然的事。」飞机 ADS-B 的 1080MHz、常用的射频 433MHz、315MHz、868MHz，一个频段搞清楚了，自然会去研究其他频段。

「无线安全是一个大课题，但这个领域很多公司都不太重视。」因为大多涉及基础公共设施又很难商品化，无线安全研究一直不是安全类公司的重点。

薄薄一片放进钱包里的卡防，可以防止信用卡信息被恶意盗刷，一个月充电一次即可

从 Unicorn 团队成立以来，商品化的设备只有三种：最初只是为 360内部安全部署研发，后面向企业的无线热点安全管理平台天巡；防止信用卡公交卡被恶意刷取数据的 SecRFID安全卡套；仅允许电信号通过、防止恶意读取信息的 SecUSB安全充电接口。HackID、HackIC、HackSubGhz、Unicorn_TTL、IOS_Debugger、Unicorn_BUS 等等用来破解、克隆射频卡、嗅探射频信号、分析硬件总线等仅用做安全演示和研究的硬件，并不会公开售卖。

最新 HackID Pro，图片来自杨卿本人微博

早在 2007 年，杨卿就想成立一个与无线安全相关的资讯站，取名 Air-Storm（空气风暴）。通过空气传播、看不见摸不着、充满魅力的无线电所能提供的广阔研究范围，加上热情与专注的钻研和相对自由的研究条件，或许才是杨卿能够坚持至今的原因。

没有动手能力的程序员不是好黑客

大部分看过爱因斯坦那张在自己杂乱办公桌前「著名」照片的人，都会得出「桌面不整洁的人一定很聪明」的结论。

在 Unicorn 团队的办公区，你很难找到一张「整洁」的办公桌。电路板、工具、放大镜……错综复杂堆在每个人的面前，成员之一正紧盯屏幕对桌上架着的最新飞行器做借口测试，一旁的瘦男生正在用电烙铁在电路板焊元器件。

图为一种新型的能伪装成皮塔饼的无线电窃听装置（Radio Bug）结构，能通过无线窃走附近的电脑中的安全密钥信息。

为什么国内很少有人研究无线领域？杨卿认为很大原因是国内教育方式及国人动手能力。以最基础的 Wi-Fi破解为例，即便拥有软件工具仍需要特定芯片的无线网卡的配合。并不是所有的无线网卡都能支持工具，甚至有时还需要对网卡进行硬件改装，所以必要的硬件知识也必不可少——当然还要「烧钱」，信号越好的无线网卡价格也就越贵，更专业的设备价格自不必说。

使用计算机以及所有有助于了解这个世界本质的事物都不应受到任何限制。任何事情都应该亲手尝试。——黑客伦理（hacker ethic) 第一条，《黑客与画家》

成立于 2009 年的 Unicorn 团队一度只有杨卿和生于 92 年的「Wi-Fi 小黑客」柴坤哲两人。直到 2014 年精通硬件安全的「孤独小白」简云定的加入，一个月后在又在软件无线电安全会议上遇见志同道合的黄琳博士，团队才开始逐渐扩大。

在此之前，黄琳已经在法国电信工作了 7 年。在通信领域钻研多年的她将与杨卿以 GPS 欺骗攻击为演讲主题一同前往 Defcon，同时她也是第一位现身 Defcon 的中国女黑客。

黄琳博士近照，图片来自 360UnicornTeam 微博

一同前往 Defcon 的还有生于 1995 年的单好奇。刚刚毕业的好奇一直有写技术博客的习惯。从Unicorn的微博上得知招聘信息、投递简历到加入，杨卿欣赏他的热情——自己写代码、在 Github 做项目，博客的字里行间透露着钻研技术潜力。想成为一名出色的安全人员，学校很难提供有效的知识和攻防实践经验。聪明专注、不断学习、对技术的绝对热爱，只有这些品质才能让他们抵挡现实的诱惑和寂寞。好奇也将与团队的另外一名「安全老将」郑玉伟以另外一个题目前往 Defcon 演讲——Hack飞蜂窝设备劫持 GPRS。

一部分负责钻研安全攻防技术、一部分负责将技术转变为软硬件的产品，已经有 15 个人的Unicorn团队有条不紊的忙碌着。以《高达》中拥有精神骨架甚至能终结战争的Unicorn机甲之名命名的这个团队，正在以自己的热情不断钻研存在于空气中的无线电和看得见摸得着的硬件，守护一个更安全的现实世界。

7月10日，360 Unicorn Team 负责人杨卿将出席 极客公园奇点·创新者峰会 「新中国制造」闭门论坛，分享《物联网时代的硬件防护术》。如果你感兴趣，可以通过极客公园官方微博、微信等关注此次盛会。

本文始发于微信公众号（T00ls）：如何「黑」掉一架飞机？