看黑客如何在Black Hat 2016上5秒干掉 macOS 系统，“催吐”ATM机｜ 宅客周刊

1. Black Hat 2016 专题报道

中国黑客5秒干掉 macOS 系统，攻击方法首次全球揭秘

用户在苹果电脑上点击了一条链接，在他眼里，一切都那么平静。然而他并不知道，随着点击的轻响，无数数据在电脑中奔涌激荡。在秒针跳动五次的时间内，苹果公司顶尖程序员们藉由代码构建的层层防御体系毁灭殆尽，赛博世界的上帝悄然易主。电光火石间，黑客夺取了电脑的一切权限。

这件事，真实地发生在“黑客奥运会”——Pwn2Own 2016上。做出这种华丽攻击的，正是来自腾讯科恩实验室的黑客们。令人发指的是，他们还使用了另一种姿势，再次让 macOS 的世界失守崩溃。

正是这种震慑人心的黑客美学，帮助他们成功获得了“世界破解大师”的称号。

从今年3月开始，全世界都在等待这群“大师”揭秘那次神秘攻击的方法。五个月过去了，科恩实验室的黑客们终于决定还原这次攻击的技术细节。他们选择的舞台，是黑客界的最高盛会——BlackHatUSA。

Android 系统的安全性有救了？中国黑客祭出神器

Android 系统很安全。

以上是黑客们眼中最大的笑话。

夸张点说，甚至一个脚本小子都能轻松在网上找到成建制的方案，攻破你的手机防线。造成这种结果的原因，并不是谷歌在系统安全方面不作为，而是大部分存在于人间的Android 手机，大都成了“迷途的羔羊”。由于系统碎片化、厂商更新流程繁琐，这些手机根本找不到升级之门，只能如孤魂野鬼般徘徊在充斥豺狼虎豹的旷野之中。

百度首席安全科学家韦韬称之为：“生态的安全漏洞”、“Android 系统的白血病”。

难以置信，在顶级黑客聚集的盛会 BlackHat USA 之上，这位黑客连续三年为 Android系统安全奔走呼号。就在今天，他再一次登上这个全球黑客的最高舞台。这一次，他祭出了一个“神器”。

演讲结束，对韦韬进行了专访，让我们听他讲述一下，这个“神器”究竟是什么。

画风血腥，黑客让高速行驶的汽车突然转向

想象一下，你开车经过湛蓝的海滩，不禁心中暗想，如果有机会在这里游泳，也是极好的。突然，你的汽车方向盘突然自动旋转，来不及做任何反应，你畅游蓝海的梦想已经和车一起实现了。

这并不是因为你买了一辆会“读心术”的车。你很有可能招惹了一个汽车黑客。

这世界上最著名的汽车黑客，莫过于以上两位：查理·米勒 & 克里斯·瓦拉塞克。

他们曾在2015年的全球顶级黑客聚会 BlackHat USA 上，上演了一场震惊世界的汽车破解秀。在那次演讲中，他们展示了远程侵入 Jeep车载系统，远程控制启动车上的各种功能，包括减速、关闭发动机、制动或让制动失灵。这样劲爆的玩法让全世界陷入了震惊之中。

现场看黑客“催吐”ATM机，十五分钟可以喷出五万美元

在世界顶级黑客聚会 BlackHat 上，从来不缺土豪。每一位站在台上分享的大牛，都可以用自己身上的技术赚来大把的钞票。不过，就在 BlackHat临近落幕的时候，迎来了一位真的壕。因为他可以让任何一台 ATM机吐出五万美元，如果警察叔叔也同意的话。

目测 Weston Hecker（威斯顿·黑客），这个姓“黑客”的人创造了本届 BlackHat上座率最高的一场技术分享。因为有一多半人和编辑一样，是为了见证 ATM 机“喷钞”而来到现场的。

Weston Hecker 告诉“求知若渴”的观众，其实自己并不能凭空“催眠”ATM机器，而是制造了一个小工具，这个工具需要预先被插进银行卡入口。这样，当不明真相的群众使用这台 ATM 机的时候，这个小工具就会记录下他的银行卡和 ATM机之间的交互数据，例如：银行卡号和密码。

2. 世界上最大的黑客 Party，有关“DEFCON”的十个冷知识

如果你对世界上的某些事情并不满意，并且决定用一切可能的方式来达成你的目标。恭喜你，你正在成为一名黑客。

全世界那些敢于对不可能竖中指的黑客，每年都会聚集在罪恶之都拉斯维加斯，参加一个盛大 Party ——DEFCON。

技术、破解、极客、怪咖、酒精，DEFCON 以不羁的形象出现在世人的记忆和媒体的描述中，然而正是这种藐视一切的态度，让 DEFCON成为了很多包括中国黑客在内的精神圣殿。正所谓“生而为人，何不挣脱枷锁”。

美国当地时间2016年8月4日（北京时间8月5日），这个始于1993年的黑客 Party 即将迎来第24次重聚。想要了解这个全球黑客界 №1的聚会，我们不妨来看看有关它的十个冷知识。

从一只不被认可的“丑小鸭”蜕变成为人人艳羡的“白天鹅”，是每个初创型企业的理想。帮这些初创型企业解决安全问题，更好的完成蜕变实现理想，也是白帽汇安徒生平台主要服务目标。赵武说，“以安徒生取名，既契合了创业艰难，但前途美好的寓意，又容易记。”

安徒生平台的LOGO也用了小鸭子的形象。

安徒生平台的全名为，安徒生·企业威胁感知平台。SANS研究院对威胁情报的定义是：针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标、所收集的用于评估的应用的数据集。白帽汇将威胁情报简单的定义为：

谁想搞你，谁搞到你了，想怎么搞，但凡可能对企业安全产生威胁的都是威胁情报。

赵武告诉，通常企业对自己的资产状况并不熟悉，这会导致发现漏洞威胁后，修补效率很低。

曾经有一家巨头企业，打一个补丁用了三天的时间，就是因为对自己的资产状况不够了解。

为及时准确的发现企业安全威胁情报，安徒生平台会先对企业的资产做一个梳理，并打上指纹标签。

4. 揭秘：希拉里如何靠科技 “左右” 大选？

维基解密让美国民主党烦透了。

2016 年 7 月 22 日，维基解密公开了民主党全国委员会（DNC）高层近 2万封往来邮件。此次事件已成为美国历史上除了“水门事件”之外最大的政治丑闻。7 月 28 日，维基解密继续公布 DNC 高层 19 段电话录音。

希拉里的竞选优势因此大打折扣。大部分看客认为这是希拉里的技术团队不得力。然而，被入侵的是 DNC，而并非希拉里团队。希拉里团队只有一个在 DNC系统中运行的程序被侵入，具体问题有多大目前不清楚。“邮件门” 归根结底是 DNC 忽视了网络安全评估警告的恶果。

事实上，很多人，连同共和党的对手在内，并不知道希拉里真正可怕的选举机器——一支来自于硅谷的 “科技天才们”组成的超级团队。他们确实为希拉里的竞选立下了赫赫战功。

这是史上最为科技化、数字化的一届选举。在小布什之前，互联网对于总统竞选团队来说还只是一个 ATM机——他们不知道互联网除了做一个系统来让选民填写支票，提交捐款之外还有什么别的作用。截至 2016 年 7 月，希拉里的科技团队已拥有 50余人，相当于一家小有规模的硅谷科技创业公司。

他们开发的核心产品就是希拉里·克林顿本人。这支科技团队至今给希拉里带来了 2.4 亿美元的募资额。

_本文作者史中（微信：Fungungun），主笔，希望用简单的语言解释科技的一切！_