老牌黑客Zoz:一百种销毁数据的方法,不如一个有安全意识的你自己

2018-05-21 199407人围观 ,发现 3 个不明物体 人物志

为期三天的 DEFCON CHINA 已经结束了,现场有很多有趣的人和事。本篇回顾将带大家了解一下那位留着莫西干发型、热情健谈,而且想法和行动都很不拘一格的老牌黑客 Zoz 以及他在大会上的演讲议题:《爆炸:一分钟内销毁存储设备》。

拳击机破解.jpg

左边为 Zoz

乍一看这个议题名称,还以为是作者或者译者为了吸引眼球而使用的夸张表达。等到了现场一看,这个题目居然名副其实,演讲过程中几乎都充斥着 boomboomboom。效果如下图:

boom

这个议题来自 DEFCON “固定嘉宾”Zoz,他是一名机器人工程师,参加过 11 届 DEFCON 并且在其中 9 届上发表过演讲。初见 Zoz,就能感觉到他扑面而来的活力。在人群中,他能随时停下脚步与人们交谈;在采访过程中,他对每个问题都积极回应。在以往的演讲中,他的议题总是有趣又好玩,大多都通过实践验证,这次的演讲也不例外。Zoz 说,“一分钟销毁存储设备”的想法源自于他在第 19 届以及第 23 届大会上的议题演讲,经过几年的实施、实验与完善,他完成了议题过程中动手实验环节,并最终将结果呈现在本届参会者面前。

“粉身碎骨”——销毁硬盘的 N 种方法

暴力销毁存储设备的原因在于废弃数据的高危安全风险。在纸质记录信息的年代,也许可以通过碎纸机销毁信息,甚至直接一把火烧得干干净净,没有后顾之忧。但是在电子数据风靡的当下,存储数据已经从当初少量可打印的信息指数倍增长到上 T 字节。这些数据废弃后如果得不到妥善处置,就可能泄露企业组织与个人的信息,导致商业竞争、重要工业设施遭破坏以及个人信息被犯罪分子利用等多重风险。在这种情况下,如何处理存储设备就至关重要。普通人所用的移动硬盘直接采用密码保护数据或者直接删除废弃数据就可以,但打印机的硬盘、企业数据中心的大量存储设备所存储的大量数据删除起来并非那么容易。何况密码可能会被破解,删除掉的数据也可能意外地从物理介质中恢复。因此,应当使用有效的技术手段,在不用破坏整个数据中心,没有对人类造成伤害的风险的基础上达成我们的目的,让硬盘的目标数据变得不可读取。

Zoz 以常见的硬盘为例,按照热能、动能和电能三个分类演示了将近 20 中销毁硬盘的方法。

微信图片_20180516182700.jpg

热能处理方法包括等离子切割器、充入氧气,使用铝热剂/混合助燃剂等。其中,等离子切割器是利用高温等离子电弧的热量使工件切口处的金属部分或局部熔化(和蒸发),在演示视频中,可以看到融化的金属溢出。充入氧气之后,硬盘也开始燃烧。这两种方法都可以实现彻底损毁,行之有效。但是,使用预置铝热剂、混合助燃剂、铜铝热剂以及铝热剂+盒子的方法,虽然在燃烧过程中会有气泡等多种好看的现象,但实际效果并不理想,无法有效损毁设备,删掉数据。

动能处理方法(物理破坏)的目标是使硬盘变形、损坏主轴,进而减缓机械扫描。这些方法还可以与消磁结合起来使用,更为保险。这类手段中,首选方法是钉枪,其次是各种高能炸药,包括油井射孔器、  环形聚能炸药、径向聚能炸药以及爆破减弱等。这些高能炸药都可以使用工业就能效应作为替代,以节省成本。在环形聚能炸药环节,可以设置好顶角、支座、装药高度等参数,并利用 3D 打印炸药料槽,触发之后就能导致三个碟片压缩在一起。而如果使用径向聚能炸药,则可以直接把硬盘的所有零件炸成渣。为了让爆炸更可控,可以使用 shaving cream 这种材料来缓释一下,实验之后发现影响比环形聚能炸药的影响小,但也还是能破坏掉硬盘。

在电能处理方案中,Zoz 介绍了引爆线、高压电穿刺以及感应变形这三种方法。其中,高压电穿刺的方法实验表现最靠谱。总结下来,等离子切割机和氧气注入这两个热力学破坏方法;钉枪和液体炸药这些物理破坏方法以及高压电穿刺的动能破坏方法比较有效。当然,为了确保你的硬盘数据绝对不会被别人读取到,有一种切实可行的方法,那就是将你的磁盘彻底消磁、粉碎成碎片并将它们丢弃在不同的地方。这样一来,就绝对不用担心任何问题了。

5.jpg

在演讲中,他自我调侃道:

中国人发明了火药,美国人把火药变成了一个在自家后院研究的爱好。

现场的演示视频一次次闪着光,自称是烟花艺术终身爱好者的 Zoz,大概也从当初的实验中体会到了烟花绽放的快感。

在演讲的最后,鬼马的 Zoz 还播放了一个在实际场景中毁坏硬盘的视频。在视频中,一名身处野外正在电脑前飞快打字的男子突然被背后走来的两名男子抓走,电脑应声而落。在落地的瞬间,爆炸声响起,重要物证瞬间摧毁。

爆炸声结束之后,现场喝彩声与掌声同时响起。这是三天中获得掌声最热烈的几个议题之一,足以表明这个议题的吸引力和受欢迎程度。

不用 Facebook 的老牌黑客:传统与脑洞齐飞

在现场的演讲嘉宾中,留着金色莫西干头的 Zoz 算是比较惹眼的一位。他自己似乎也对这个发型很满意,因为很多人会因为发型而主动找他讲话,随后展开有趣的交流。他表示,自己偏爱线下社交,从来没用过、未来也不会用 Facebook。因为这些服务其实一直以来都在利用用户的数据。也许人们在 Facebook 这些社交软件中能找到一些满足自己所需的功能,但事实上,使用这些服务都要付出一定的代价,而我们最好评估一下,获得的服务和需要付出的代价是否对等。他提醒大家,虽然普通人用不到议题中介绍的方法,但是可以提升自己的安全意识。销毁废弃数据固然重要,但合理地使用并保护数据更需要关注。日常生活和工作中,一旦数据分享或泄露出去,再想销毁就非常困难,所以在分享之前最应当小心谨慎。毕竟,自己才最应该对自己的数据负责。

毕业于麻省理工大学的 Zoz 将自己定义为老牌黑客,与人们所熟知的寻找漏洞、入侵系统的黑客不同,他这种黑客更喜欢挖掘未知、搞清楚事物的运作方式,想方设法改进计算机或者其他事物,以达到自己的目标。此次来中国大会参加演讲,也让他有了更进一步的感慨:全球各地的黑客都差不多,都喜欢探索新鲜事物,想办法解决新问题。现场很多张女性面孔以及几名少年参会者也引起了他的注意,他觉得这正是 DEFCON 的启蒙意义所在。传统教育很容易遏制人们的想象力,会把固定的方法告诉孩子。但 DEFCON 上总有不同的可能性,会鼓励人们尝试更加创新的方法、探索不同的路径。这才是真正意义上的黑客精神。

破解 2.jpg

而他自己,更是将传统黑客精神与自己的脑洞发挥到了极致。大会现场,除了主会场议题,不同的体验村落以及极客工坊环节,其实还隐藏了一些彩蛋。走廊两旁的的自动贩售机可以破解,测试力量的拳击机也暗藏玄机。在其他人都倾尽全力挥拳想要打破前人记录获得好成绩的时候,Zoz 想到的却是分析拳击机的积分机制。他与另一名演讲者经过深入的思考和分析,利用拳击机中信号传输的时间差,控制了按钮,将得分调到了 1790 分。当然,为了保留比赛的乐趣,他们并没有直接把分数调成满分 1800 分,依然留了 10 分给真正的拳手去比试。说到这里,Zoz 再次露出了招牌的狡黠一笑,但你分明也能从他眼神里读到一丝骄傲和坚定。

*FreeBuf 官方报道,转载请注明来自 FreeBuf.COM

发表评论

已有 3 条评论

取消
Loading...
css.php