安全路透社
当前位置:安全路透社 > 网络转载 > 正文

如何远程操控一场“物理入侵”:FreeBuf专访机器人安全研究者烧鸡

机器人无疑是2016年科技界最火热的话题。就在刚刚过去的2017 FreeBuf互联网安全创新大会HACK DEMO环节上,数千名现场观众目睹了一场令人脑洞大开的机器人“物理入侵”案。

薛恩鹏网名烧鸡,是一名来自哈尔滨理工大学的大三学生。谈及这次演示的创意,就来自每个人学生时代都萌生过的一个美好愿望:要是我能在考试之前看到卷子就好了。

DSC_2606.jpg

如何实现“密室入侵”

最开始的设想

当一个派送错误的快递箱静静的躺在老师办公室的某个角落…

夜幕降临,老师陆续下班,在夜深人静的办公室,纸箱自己打开,出来一个机器人,靠近老师的电脑主机,开始入侵。

但考虑了实际情况之后,觉得以现在暴力的快递方式,送到了不知道机器人都成什么样子了。所以就想通过某个学生,提前将机器人藏在办公室的某个角落,等半夜的时候再控制它出来,入侵计算机。

机器人执行任务流程

1.如果藏有机器人的纸箱在桌面上,可以用悬吊线缆的方式将机器人从桌面运送到地面上,然后机器人与挂钩分离,再去寻找到目标主机;如果纸箱本来就在地上,机器人直接从地面移动过去寻找入侵目标。

就他所言,就是因为平时喜欢看电影,尤其是喜欢看科幻片,才给了他很多灵感。像是这种使用悬索“垂降地面”的灵感就来源于电影《速度与激情5》中的类似片段。

2.因为USB插口在机箱上的位置可能存在差异,所以机器人可以利用自身的升降装置将USB设备提升到合适的位置,还可以利用位置调整装置来对准USB插口,再利用磁铁将其插入指定插口。

829570896315328986.jpg

烧鸡自己设计的可旋转的USB设备:前面的USB可以进行旋转,以适应不同的插口。

3.机器人与USB设备分离,机械臂打开电源开关,进入到USB的系统中来窃取数据。

Action!

首先,在机器人的最上面和中间分别安装了两个摄像头,烧鸡就是通过这两个机载摄像头传输回来的实时画面来控制机器人移动的。这两个视角一方面可以保证机器人稳步前进,另一方面可以保证机器人在靠近主机时可以看清USB口的位置,让远程操作人员能够进行相应的调整。

在演示过程中,可能机器人的移动看起来有些缓慢,但设想一下,烧鸡只能通过两个摄像头传来的画面来控制机器人移动,并不能完全看清周围的环境,能做到这样已经十分不易。这个小机器人的前进方式看起来像是借鉴了坦克,其实是使用了扫地机器人的底盘,据烧鸡所说,这种底盘的稳定性比较好一些。

DSC_2644.jpg

在机器人靠近主机之后,如果主机箱的位置过高,那么机器人自带的升降平台就可以发挥作用了。这个平台可以让机器人升高到机箱以上的部分,就是为了保证机器人所携带的优盘能够成功的插入主机的USB接口。

最后,经过调整,U盘成功的插入了接口,而这时已经成功了一半。然后机器人重新打开电源开关,进入U盘的系统,入侵成功!

如何HomeMade机器人

这次HACK DEMO中所用的小机器人在之前GeekPwn的机器特工挑战赛中成功夺冠。

但是在上次的比赛中也不是一帆风顺,出现了现场手机磁场信号干扰的情况,据烧鸡说是因为现场的wifi频段有限,不断的调频会产生很大的延迟,还有机器人图像传输模块损坏的问题,重启之后问题就解决了。但是现场他是很紧张的,计划不如变化,不知道因为什么机器人就不工作了。

这个机器人是通过3D打印机做出来的,而这个3D打印机也是烧鸡自己组装的。在制作过程中也遇到了很多棘手的问题,像是编程以及机器人每个零件之间的配合问题,他一般都是通过Google寻找答案的。虽说最后比赛时使用的成品价值也就2000多,但要算上之前报废的零件和3D打印机的费用也有六七千了。在获得奖金之后,烧鸡同学又马上投入了新的机器人制造业,将钱都用来买机床什么的了,他觉得网上加工很慢,还是要自己设计图纸加工比较高效。

可能带来的危害

办公室的台式机的物理入侵

无人值守的机房

监控设备

入侵可以毁坏计算机上的数据,或者删除某些特定文件。

除了计算机还可能有一些智能家居,扫地机器人或者说有一些自己做的机器人,可以进行指定入侵机器人还可以将窃听或者偷拍装置放在应急灯上。因为应急灯是24小时不间断供电的,所以窃听装置也可以远距离的、长时间的进行监控。

专访年轻的机器人黑客:爱好才是前进的源动力

烧鸡本名叫薛恩鹏,据他讲被称为烧鸡已经有些年头了,就是因为小时候在骑车后,最喜欢去和小伙伴一起喝啤酒吃烧鸡,所以得了这么个外号。而且在网络实名制实施之前,还常年以薛绍基的别名混迹网络,这个别名的使用率一度让身边熟人忘记了他的本名。

骑行也一直是他最喜欢的运动,在高考之后烧鸡还专门去了西藏骑行。说起原因,他就是喜欢骑行的速度,比开车更慢更悠闲,又比步行能看到更多的风景。虽然过程很辛苦,但痛并快乐着。骑行之外的另一个爱好,就是木工,他喜欢自己动手做或者加工一些东西。像是这次演示中所用的机器人,就是因为他从小对机械感兴趣,从一开始会自己写程序做一些比较简单的东西,到高中开始接触机器人,动手能力越来越强,对电和机械的理解越来越深,才有了今天这个能够成功实现“入室抢劫”机器人。

DSC_2658.jpg

烧鸡一直都是在自己爱好的驱动下向前发展和努力的——做机器人的出发点只是因为喜欢。而就是这份喜欢,才会给他足够的动力与激情去研究这种在他人看来或许过于枯燥和困难的事情。而且,只有这种从自己内心出发的驱动力,才能在遇到坎坷之后不轻易放弃。

像是他现在大学里学习的是光电专业,听起来跟机器人或者信息安全的关系并不大,据烧鸡所说,其实他本来报的是机械和自动化专业,而目前的专业是学校调剂所致,在一开始他也有一些新鲜感,但随着专业学习的更加深入,他意识到,自己真正喜欢做的还是机械,还是自己动手去做机器人。所以他在学校也一直利用学校有的机床自己加工一些零件,做一些自己感兴趣的东西,在因为个人因素在大三休学之后,去打工也做过机械臂什么的,说来说去,他从未停止对机械的喜爱和制作。

其实以他现在的年龄就取得的这些小成就,就算是不复学,也依然可以靠自己取得很好的发展,不过既是出于自己理性的考虑,还有对父母意见的尊重,他还是决定在今年重返校园,完成学业。不过除了专业内容之外,他目前最想要学的就是机器人编程,即ROS(Robot Operating System),学会如何更好的去控制机器人的运动和功能。在毕业之后,烧鸡也是希望可以从事机器人制造相关的工作,在之后自己制造机器人的过程中,也会更多的考虑将机器人和信息安全相结合。

robot-operating-system-ros-1170x444.jpg

在烧鸡看来在自己制作机器人的过程中,只考虑了功能上的实现,并没考虑过多信息安全的问题。他觉得目前国内的IoT安全形势严峻,就想他自己制作机器人一样,首要目的都是为了实现功能,并未考虑信息安全,所以其中存在很多隐患,容易被人利用。

在最后他也表达了对我们FIT大会的认可和看好,还说一直在关注FreeBuf上的文章,尤其对Geek方面的内容比较感兴趣。因为机器人的种类多样,除了利用工具来实现远程入侵这种方式,还希望看到更多其他方面的内容,也能给自己在制作机器人的过程中更多启发。

* FreeBuf官方报道,作者:孙毛毛,转载请注明来自FreeBuf.COM

未经允许不得转载:安全路透社 » 如何远程操控一场“物理入侵”:FreeBuf专访机器人安全研究者烧鸡

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册