论破解特斯拉的黑客是怎样练成的：从打游戏学起

保卫运营商

媒体：什么原因让你从安全服务人员，转向了前沿安全技术的研究呢？

刘健皓：2012 到 2013 年的时候，我做了很多安全服务。但是我发现做得多了之后，这就沦为重复性的工作了。我更希望能为公司创造一些新的业务领域。于是我开始研究无线 Wi-Fi 安全方面的技术。

那个时候，很多人都在破解 WPA、WEP 的无线密码。但是我觉得，在这个领域一定存在一些更通用，影响范围更广的安全问题。于是我就开始研究商用无线网络的漏洞。

我的研究对象有：

AP：无线访问接入点，功能等同于家用 Wi-Fi 路由器。

AC：无线控制器，用于统一部署和管理大规模 AP 集群。

很多人都使用过运营商提供的 WLAN 服务，这是一套封闭的架构系统。但那时候某运营商是我们的客户，我正好有条件接触到这些网络系统和硬件设备。

媒体：你找到的第一个重大漏洞是什么？

刘健皓：在2013年的时候，我发现了一个 WLAN 的高危漏洞。利用这个漏洞，攻击者只需要连接一个 WLAN 的热点，甚至不用实名登录，就可以对无线设备发起攻击。一旦进攻成功，甚至可以攻击到运营商的核心网络，造成城市大规模断网。

这应该是录入国家漏洞库的全国首例 WLAN 高危漏洞。从那以后，我加入了天融信，主业就变成了"WLAN 系统安全评估"，在业内还是小有名气的。

媒体：运营商的 WLAN，还存在哪些安全问题呢？

刘健皓：由于 AC 和 AP 之间，使用的是无线专有协议，研究的门槛比较高，所以研究的人员也很少。后来，我有了一个重大发现。在 AC 管理 AP 的过程中，使用的 CAPWAP 协议存在致命的漏洞。于是我发现了一种攻击方法：

利用这套协议给 AC 发送畸形数据，只需要几个包，就可以把 AC"打死"。这可以导致 AC 和它管理的上千个 AP 的通信失效。从而实现"拒绝服务攻击"。

一旦攻击成功，将会造成大面积的 WLAN 无法正常工作。

【刘健皓团队桌子上各种的智能硬件】

世上所有的智能硬件

媒体：为什么你最终选择对智能硬件下手了呢？

刘健皓：2014年，智能硬件开始大规模普及。就在这个时候，我加入了 360，进入网络攻防实验室。根据我的安全经验，我觉得物联网会在未来迅速普及，成为互联网的基础设施。

对于网络协议漏洞的挖掘，正是我这些年一直在做的事情。就是在那个时候，我开始关注雷锋网，从评测中发现有趣的智能硬件设备，然后买来研究。在14-15年之间，我研究了大量的智能硬件设备，这几乎包括了市面上所有的产品。

研究之后我发现，中国的智能硬件存在很多安全问题。例如，我们破解了一个摄像头，很有可能直接横向控制这个品牌的所有设备，这个数量是惊人的。所以我们在2014年就发出了报告，预言当这种不安全的智能硬件被大规模使用的时候，一定会危及互联网安全。今年发生的美国大断网事件，就印证了我两年前的担忧。

媒体：研究智能硬件安全，难度在哪呢？

刘健皓：智能硬件涵盖的领域比较广，包括应用、网络、协议和硬件等等。研究起来，需要融合很多方面的技巧。刚开始的时候，并没有现成的研究套路可以借鉴。而智能硬件的种类又非常多，所以我的方法就是：

买来智能硬件，先加载起来自己用。在使用的过程中，根据自己的敏感度来判断哪里有漏洞。

这种方法带有很大的随机性，所以一开始是走了很多的弯路的。

但是，一旦掌握了某类硬件的研究方