他叫郝经利,360安全研究院研究员、独角兽团队成员,但他的故事绝对不是这一个身份就能概括的。他的艺术人生,应该可以用传奇来形容。
故事开始前说句:正在学习python的小伙伴或者打算学习的,可以私信小编“01”领取资料!
(一)追星人
郝经利的文凭是——高中肄业。
据他的描述,大概是因为当年几分之差没有考上市区最重点的高中,于是愤而“废号重练”。
他的重练方法不是“复读”,而是“自学”。
十六岁郝经利就加入了青岛一家轮胎厂,成为轮胎工厂的工人。然而,他只把每天的八小时卖给工厂,剩下的十六个小时,他就开始了飙车一般的“暗夜网上冲浪”。
他自学编程和网络安全,成为了江湖上小有名气的黑客。依靠自己本来就很强的英语天赋,和全世界的黑客们谈笑风生。
不过,偶然的机会,他从网上看到了一个“电视棒”。这东西很简单,可以接收卫星信号,免费看电视,效果和我们在屋顶上放个“大锅”类似。
“实际上,这东西的本质是软件无线电。”他挑挑眉毛,对我说。
这里出现了一个重要的“生词”——软件无线电。
在中国,专门有一个圈子,就是玩儿软件无线电的。简单来说。过去你想收发无线电,得有一个电影里地下党的那种“发报机”,要么就得有《英雄儿女》里那种背在背上的步话机,他们的频率和功能都是写死在硬件里的。总之那些玩意儿又笨重又昂贵又单调,要想玩出花,比摄影烧钱一百倍。。。
后来美国人搞出了一种叫做“软件定义无线电”的设备,可以通过编程的方式,自动调节这个设备收发无线电的姿势,这玩意儿就跟“我的世界”一样,想拼哪里拼哪里,各路极客有了它,就可以瞬间发挥百分之一万的创造力。
这就是一些最近比较火的软件无线电设备。
软件无线电的圈子中哥不熟悉,不过中哥熟悉一个更偏门的圈子:“无线电安全圈儿”。中国境内,这个圈儿的大牛人数超不过两位数。而且很多大牛,都聚集在同一个神秘组织,那就是——“360独角兽安全研究团队”。
这些人的日常就是:通过网络安全技术,找到我们生活中正在使用的各种无线电设备的漏洞,然后想办法修复这些 Bug。
说出来你可能不信,他们的能力能够无钥匙解锁汽车、干掉无人机、爆破智能门锁、平趟各种门禁、欺骗GPS定位 、手撕4G网络。
他们简直就是现实中的“复联”。
当然,和复联一样,他们也绝对不会用手中的技术做破坏世界的事情。这是一个网络安全守护者的底线。(想了解独角兽的辉煌战绩,可以看看中哥以前写的文章《三秒钟干掉一把智能门锁的骚操作是怎样做到的?》《讲讲在 3GPP 修复重定向漏洞的故事》)
说远了,我们说回郝经利。
郝经利真的是好精力,被无线电吸引之后,他白天在工厂里上班,晚上就鼓捣各种自己买来的软件无线电设备。
无线电圈子也分好多“门派”,有入海的,有走地的,有上天的。“要干我就干最NB的,卫星。”郝经利说。
于是,他在论坛上开始跟着老哥们学习“基本操作”——接收卫星的气象云图。
科普一下,我们国家的气象卫星叫“风云气象卫星”,它们会同时向地面发射好几种不同精度的云图,里有一种最入门级别的,叫做“APT云图”,这种图清晰度不高,但好处在于信号波长比较长,接收装置不用那么精确地对准信号源,用简单天线就能接收。
大概就是下图这样:
玩了几次之后,郝经利就觉得没意思了。他决定“打怪升级”,接收高清晰度的 HRPT 云图。
“由于高清云图的频段在 L 波段,这个频段的频率很高,必须用天线对准卫星才能接收到。”他说。(波长和频率成反比,这种初中知识中哥就不多赘述了。)
大概就是下图这样
气象卫星大多都是低轨道卫星,也就是说在天上飞行的速度很快,要想对准它,必须要一个能够自己“转脑袋”的天线。郝经利上网一查,这样的天线大多都是轮船或者军舰上才有的设备,一套没个百八十万下不来。
这相当于青岛半套房了。
“新的买不起,我去旧船厂淘一淘,总可以吧?”他暗自下决心。
2016年,每天下班,他就开着自己的小车,在各个旧船厂之间穿梭,询问他们有没有船上拆下来的报废天线。
这里面有技巧的,你不能上去就跟人家问天线,要先和这些船厂的老板搞好关系,让他们知道我不会用那些旧天线做坏事。你看我这面相,也不像坏人是吧?实际上他们还挺爱和我聊天的。
郝经利笑着说。
为了告诉船厂老板自己在做什么,郝经利登上自己的网站,把两万多颗卫星的实时模拟图给老板看。
“你看,这旧天线在你这是真·废铁,在我这能收到卫星信号!”他说。
老板惊为天人,当场表态将全力以赴帮他收这种“废品”。。。
那天早上,郝经利突然接到船厂老板电话,你要的这个东西有啦!
郝经利赶快用开F1赛车的架势飙过去,用600块的天价买来这块儿“废铁”,像宝贝一样捧回家,一晚上没睡着觉。
郝经利明白,自己造一个天线总共分两步:
1、淘一个旧天线;
2、让这玩意动起来。
第一步已经搞定,但说实话,第二步才要命。。。
要让天线动起来,需要对控制芯片进行编程,然后芯片控制数控马达驱动步进电机,带动大锅像向日葵似的,精确地把天线实时对准卫星。
“数控马达知识、步进电机知识、轴承知识、单片机编程、轨道追踪算法。”他掐指头数了数,自己需要用到的只是大概有四五门。。。
“你懂这么多??”我问。
“其实我当时连单片机是什么都不知道。”他说。
那天开始,郝经利就拜师了一位外教,名叫“Google”。他在网上翻遍了有关单片机编程、步进电机、天线控制的英文论文,一点点地在自己这个退役天线上实验。发现缺什么零件,就赶快上网淘。
“那么多专业知识的英文资料,你有没有科班底子,怎么能捏着鼻子看下去?”我问。
“我是真的喜欢。”郝经利说。
就这样,三个月以后的一天,他第一万次敲动回车。身边的天线马达嘶嘶作响,稳定地转了起来。
成了!
这是郝经利拍摄的天线。
他坐在自家楼顶上,准备把真实的卫星参数输入进去。
然而,他突然发现一个大问题。自己“找不到北”。是真的找不到北。而天线的初始位置必须对准地球的北极点,一度都不能错,否则就会把卫星“追丢”。。。
他拿出指南针,但指南针只能找到磁北极,而且受到附近的干扰,这个定位会极其不精确,他试了一下午,愣是没找到北,眼看太阳落山了。。。
半夜,四寂无声。这家伙突然从床上弹了起来,像个神经病一样喊:太阳!太阳!
第二天一早,太阳刚升起来,他就跑到屋顶,把天线对准太阳,对准到让天线的影子完全消失的程度。这意味着此刻雷达正对太阳,误差小于0.5度。他赶快用天体物理学数据算出此刻太阳和地球的角度,然后把这个角度输入天线。
依靠太阳,他终于精准地找到了正北0度。
天线缓缓转动,电脑屏幕上的波浪开始跳动,他终于找到了卫星信号。
他看到地平线外,霞光万丈。
当然,郝经利要克服的困难远不止这一个。
随便举个栗子你感受下:当时天线跟着卫星,本应该从0°反转1°到359°。结果这货却正转了359°,几秒以后它才对准位置,卫星早就回家了。。。
郝经利就是这样,一点点地调整代码 Bug,把系统做到稳定。
2016年,GitHub 上出现了一个名为 OpenATS 的项目,郝经利把自己对于天线的一整套控制程序都开源了出来。
此举震动了无线电圈儿。人们才发现,这个入坑不到一年的小白,段位已经超越了很多玩了十年的老炮儿了。甚至还有人出价十万,就要买他改装好的天线,被他一口拒绝了。
郝经利仍旧每天在工厂上班,他兴奋地跟工友们讲自己追踪卫星的故事。
工友们听完他的慷慨陈词,冷冷地回应:“这玩意儿有啥用?”
“。。。确实没啥用。。。”他悻悻地说。
然而,从那时起,郝经利已经在网络上声名鹊起,开始受邀到无线电行业各个大会上参会,分享。而托各家船厂老板的支持,他已经收来了三套旧天线,每一套都被他改造成了无敌卫星追踪器。。。
2018年,郝经利报名参加了360独角兽团队的一个夏令营,想试着找找有没有志同道合的朋友,结果独角兽团队的负责人听说他就是 OpenATS 的发起人,直接力邀他加入独角兽团队。
其实,当时另一家中国知名的巨头公司也通过种种渠道联系上了郝经利,然而听到郝经利的学历只有高中时,他们表示,按照规章制度,需要向人事部门的领导申请“绿色通道”,郝经利思来想去,心里总觉得有个疙瘩,最后决定还是“不要麻烦人家”。。。
他试探性地问独角兽负责人,我要是加入 360,需要学历什么的吗?
得到了丝毫没犹豫的回答:什么都不要。
(二)惊天漏洞
在360大厦第17层,郝经利和他的“天线宝宝”们,独享一个超大的办公室,开始了他的无线电安全研究生涯。
“360 对你的研究有要求吗?”我问。
“如果我一年都没有研究出成果。。。”他说。
“怎么样?”
“应该也没什么问题。”他笑。
360给了他极大的自主研究权限,而习惯了自学的他,每天就这么安静地坐在屋子里自己鼓捣,偶尔有同事进来和他讨论技术。
然而,他并不是一年都没研究出成果。
就在2018年底,郝经利的天线偶然接收到了一丝“神秘信号”。
这个信号来自 1544.5MHZ。
你还记得吗,之前中哥说过这个数字要考,现在考你的时候到了。没错,当时郝经利也 Google 了一下 1544.5这个频段,信息显示,这个信号应该就是来自“全球卫星搜救系统”的67颗卫星之一。
“哦,搜救系统发出信号,这很正常。”郝经利想。
“等等,这不正常!!!”下一秒,他就喊了出来。
搜救系统的卫星,无论接受信号还是转发信号,都应该是数字信号,但眼前这段显然是
模拟信号。他试着解析了一下,惊人的秘密被他揭开了——这居然是一段民用对讲机发出的声音。
绿框里是数字信号,比较规整;红框里是模拟信号,比较零散。
为神马搜救卫星会发出民用对讲机的声音???串台了???搜救卫星也能串台的吗???
郝经利一脸黑人问号。
细节里有魔鬼。他赶快找来“全球卫星搜救系统”的白皮书,没日没夜地看了起来。这套卫星的工作机制在他心中渐渐清晰了起来。他告诉我,当时发现“全球卫星搜救系统”的“呼救器”有两个工作方式:
方式一、SARP
这是我们第一段讲过的,一旦触发呼救(接触水、剧烈震动或者手动开启),信标就会不断发射信号,间隔为50秒左右。(注意,我用了“左右”,因为很多船只为了保险会携带两三个“呼救器”,为了防止同船呼救器的信号“打架”,每个呼救器两次发出信号的间隔时间都是在50秒左右随机浮动的。当初科学家的设计真的是很精巧。)
刚才我已经划过重点,这个呼救信号制式是数字的,而且为了防止加解密带来的错误风险,信号是完全不加密的。
示意图大概是酱:
呼救器信号传给卫星,卫星信号传给地面接收天线,天线把信号传给指挥站。
方式二、SARR
这是一个更为有趣的设计。
之前说到,呼救器发出的信号很弱,跟手机差不多。就像一个人小声在你旁边说话,虽然是纯金或其他珍贵材料的部件打造,百万米之遥的卫星也难免有时听不清。一旦听不清,卫星自然就会判定这是个无效的呼救信号。然而,这样未免太草率了,万一呼救器发出的信号正确,只是因为卫星没听清而错失了救援黄金时机,那谁付得起责任呢?
SARR 就是为了防止这种情况出现而设计的。
它的机制简单粗暴:只要卫星听到了 406MHz 传来的信号,即使判定不是呼救信号,也不直接扔到垃圾桶,而是同样用1544.5MHz 频段广播出去,让地面接收站用更强大计算机“超强纠错”一下,如果是呼救信号,那还是要赶快救人;如果真不是呼救信号,那就算了。
示意图大概是酱:
无论是谁,在地球哪一个角落使用 406MHz 发射信号“A”,都会被67颗卫星之一(或之几)听到,也一定会被卫星转发。然而卫星转发是没有具体方向的,任何人只要用能追踪卫星的天线调到1544.5MHz 对准卫星,都能接收到那个信号“A”。
这个漏洞能干嘛?
如果你想不到这个漏洞的四个用法或更多,那你还不是个合格的浅友!(其实在郝经利给我科普之前,中哥也没有把这个漏洞的用法想全,我也不是合格的浅友。。。)
不卖关子了,下面中哥图文讲解开始:
1、伪造求救信号
这个大家应该都想到了,因为求救信号都是不加密的,所以只要用天线追踪卫星,就能接收到全球正在发出的真正求救信号,这里面是包含呼救船只的真实编号的。
其实,郝经利已经成功接受到了很多真实呼救信号,发现里面呼救器编号都是有规律的,例如“001”和“004”号呼救器曾经发过呼救信号,那么“002”和“003”这两个编号多半也是真实存在的。
而之前提到,发射这种信号,只用手机大小的功率就能做到,这个门槛是很低很低的。
用软件无线电去发射这样的信号,搜救指挥中心一定会认为自己收到了真实的呼救信号,直接派出直升机赶往你随便填写的经纬度。。。。
(我再提醒一句,这些都是假想攻击,如果你看了文章就跟着学,警察叔叔就离你不远了。)
2、堵塞卫星
卫星还是个宝宝。虽然灵敏度和处理能力已经在力所能及范围内做到最好,但是同一颗卫星同时能接收的求救信号也只有100个左右。 超过这个数字,卫星就忙不过来了。。。这意味着,这个卫星覆盖范围内的的生命通道就被堵死了。而做到这一点,只需要一个手持无线电设备。。。
你可能说,卫星只能同时接收100个信号,也太弱鸡了吧,我想说,接收100个信号,意味着地面部队要派出100支搜救队伍,能不能有这么大的救援力量都是个未知数,所以卫星其实已经很努力了。
你可能还会说,谁这么无聊,要去堵塞这么珍贵的生命通道呢?君不见,像拉登大叔那样仇视人类社会的口爆份子在角落里弱弱地举起手。
3、免费上网
这个操作是最骚的。
还记得郝经利听到了卫星转发的对讲机信号吗?没错,只要把对讲机调整到 406MHz,信号就会全部上卫星,这时,只要在卫星覆盖的范围内,用 OpenATS 这样的天线对准卫星,即使在北京也可以毫无鸭力地听到远在广东朋友的消息了。
进一步想,不一定是语音信号呀,完全可以把卫星作为一个宽带网使用,这边传输任何一个文件,那边都能用同样的方式接收。郝经利在心里测算了一下,它的传输带宽能达到将近1M每秒,这速度简直杠杠的。
用郝经利的专业名词说,这叫做“偷卫星链路”。当然你要知道,小偷偷的是全人类生命通道的链路。有人可能会因此而死。
4、不可告人的勾当
我猜,普通人一般只会想到用卫星做免费宽带这一步。
然而深想一步,才是让人冒冷汗的。
卫星覆盖的范围,是超越国界的。也就是说,从一个国家发射信号,在另一个国家接收信号,这太容易了。
如果一个间谍从A国发射加密信号到卫星,他的同伙在B国总部对准卫星接收情报,没有人能知道这些人在搞间谍活动。
这可能是一条被人忽视了的秘密信息通道。。。
这个大方块就是一颗地球同步卫星覆盖的范围,在此之中,ABCD四点可以毫无阻碍地通讯,不会被任何一国发现。
郝经利发现这个问题,赶紧汇报给360的领导们,同时马不停蹄地给“全球卫星搜救系统”组织发去电子邮件,告诉他们这个惊天秘密。
然而,这封邮件石沉大海。。。
这种事情在网络安全界经常发生,对方也许认为我们在小题大做。觉得真实世界里并没有人发起这样的攻击,他们也就不用采取措施。
郝经利无奈地说。
然而事实可能并非这么简单。郝经利知道,如果真的有高手在偷偷利用卫星链路传输加密信息,它是可以把这些信息隐藏在看似无用的信号之中的。
也就是说,即使真的有人正在利用“全球卫星搜救系统”,官方也很可能没有能力发现
好人被蒙在鼓里睡大觉,坏人在秘密通道里暗夜穿行。 我们的世界从来都是这么魔幻。
在斯诺登曝光棱镜计划之前,全世界人民想破脑袋也想不出来,自己已经被美国用各种骚姿势偷偷监控了那么多年,居然海底光缆都能被美国插上一根支线进行监听。。。
在美国 NSA 网战武器曝光之前,人们根本不知道,很多负责骨干信息传输的华为、思科交换机早就被美国入侵了。
权衡再三,360决定,不能沉默,他们要把这件事情的危害向世界讲出来。
于是,从2018年底开始,郝经利穿行全球,在各大会议上做演讲,希望大家认识到“全球卫星搜救系统”漏洞的危害性和民用无线电无意识地对这一系统的巨大干扰。
这是郝经利在荷兰HITB 黑客大会上做演讲
郝经利在我面前滔滔不绝说了三个多小时,同样也是为了让我能够告诉更多人:
1、406MHz 是全人类生命通道,我们绝对不能把对讲机和任何设备调到这个频率。
2、“全球卫星搜救系统”的卫星链路是不安全的,国家机构应该注意到这个漏洞对国家安全造成危害的可能性。
郝经利摊摊手,像是把自己的一切都坦白出来
我一直认为自己是一名黑客。从第一天开始,我就是被黑客精神所感召的。
真正的黑客精神,从来不是为了破坏,而是为了找到这个世界的真相。
这些年我也认识一些人,听说他们用自己的技术做了黑产,现在财务自由,活得很潇洒。如果是为了钱,我大可以和他们一样。如果为了成名,我也可以黑掉某个大网站,然后挂上自己的名字。但我觉得,这是对于黑客精神的侮辱。
做出追踪天线之后,有人要用高价购买,我也拒绝了,因为我没办法知道他究竟要用天线来做什么事情。
我从来都坚信,我有自己的使命。我要告诉所有善良的人们,这个世界并不像你们想象得那么美好,那么安全。
因为我能亲眼看到无数丑恶,它们此时此刻就在发生。
(四)“蛋壳时代”
回到文章最开始的比喻。我们生活在“蛋壳时代”。
你、我,善良的人们就像还未出世的小鸡,我们总以为太阳东升西落,岁月一直静好。殊不知,我们的穹顶之上,只有那一层薄薄的蛋壳。
当某一天网络攻击全面爆发,我们才知道原来我们的网络安全是那么脆弱。我们的蛋壳在之前十几年都没有被对手的铁锤无情砸碎,唯一的原因就是“对手觉得时机还没到”。就如同火鸡一直以为人类是它们的铲屎官,直到感恩节那天。
如果真的到了“感恩节”,我们再意识到自己的无助和愚蠢,已经太晚了。
而这个世界上真正的黑客们,他们能看到蛋壳外面的病菌,他们每天都在默默地想办法对抗那个力量。然而他们的力量毕竟单薄,他们不仅承担着寻找漏洞,研究网络安全技术的责任,还要承担着旁人的误解、冷漠和中伤。
我们能活到下一集,
从不是因为知道世界现在发生什么,
而是因为知道世界未来会发生什么。
从这个角度来讲,郝经利发现的那颗“纯金”卫星,像一颗子弹,正在撞向蒙蔽我们所有人眼睛的“蛋壳时代”。
故事就讲到这里,感谢粉丝的一路支持!
结尾
最后多说一句,小编是一名python开发工程师,这里有我自己整理了一套最新的python系统学习教程,包括从基础的python脚本到web开发、爬虫、数据分析、数据可视化、机器学习等。想要这些资料的可以关注小编,并在后台私信小编:“01”即可领取。
閱讀更多 Python之眼 的文章
