當前位置:
首頁 > 最新 > 老牌黑客Zoz:一百種銷毀數據的方法,不如一個有安全意識的你自己

老牌黑客Zoz:一百種銷毀數據的方法,不如一個有安全意識的你自己

為期三天的 DEFCON CHINA 已經結束了,現場有很多有趣的人和事。本篇回顧將帶大家了解一下那位留著莫西干髮型、熱情健談,而且想法和行動都很不拘一格的老牌黑客 Zoz 以及他在大會上的演講議題:《爆炸:一分鐘內銷毀存儲設備》。

左邊為 Zoz

乍一看這個議題名稱,還以為是作者或者譯者為了吸引眼球而使用的誇張表達。等到了現場一看,這個題目居然名副其實,演講過程中幾乎都充斥著 boomboomboom。效果如下圖:

這個議題來自 DEFCON 「固定嘉賓」Zoz,他是一名機器人工程師,參加過 11 屆 DEFCON 並且在其中 9 屆上發表過演講。初見 Zoz,就能感覺到他撲面而來的活力。在人群中,他能隨時停下腳步與人們交談;在採訪過程中,他對每個問題都積極回應。在以往的演講中,他的議題總是有趣又好玩,大多都通過實踐驗證,這次的演講也不例外。Zoz 說,「一分鐘銷毀存儲設備」的想法源自於他在第 19 屆以及第 23 屆大會上的議題演講,經過幾年的實施、實驗與完善,他完成了議題過程中動手實驗環節,並最終將結果呈現在本屆參會者面前。

「粉身碎骨」——銷毀硬碟的 N 種方法

暴力銷毀存儲設備的原因在於廢棄數據的高危安全風險。在紙質記錄信息的年代,也許可以通過碎紙機銷毀信息,甚至直接一把火燒得乾乾淨淨,沒有後顧之憂。但是在電子數據風靡的當下,存儲數據已經從當初少量可列印的信息指數倍增長到上 T 位元組。這些數據廢棄後如果得不到妥善處置,就可能泄露企業組織與個人的信息,導致商業競爭、重要工業設施遭破壞以及個人信息被犯罪分子利用等多重風險。在這種情況下,如何處理存儲設備就至關重要。普通人所用的移動硬碟直接採用密碼保護數據或者直接刪除廢棄數據就可以,但印表機的硬碟、企業數據中心的大量存儲設備所存儲的大量數據刪除起來並非那麼容易。何況密碼可能會被破解,刪除掉的數據也可能意外地從物理介質中恢復。因此,應當使用有效的技術手段,在不用破壞整個數據中心,沒有對人類造成傷害的風險的基礎上達成我們的目的,讓硬碟的目標數據變得不可讀取。

Zoz 以常見的硬碟為例,按照熱能、動能和電能三個分類演示了將近 20 中銷毀硬碟的方法。

熱能處理方法包括等離子切割器、充入氧氣,使用鋁熱劑/混合助燃劑等。其中,等離子切割器是利用高溫等離子電弧的熱量使工件切口處的金屬部分或局部熔化(和蒸發),在演示視頻中,可以看到融化的金屬溢出。充入氧氣之後,硬碟也開始燃燒。這兩種方法都可以實現徹底損毀,行之有效。但是,使用預置鋁熱劑、混合助燃劑、銅鋁熱劑以及鋁熱劑+盒子的方法,雖然在燃燒過程中會有氣泡等多種好看的現象,但實際效果並不理想,無法有效損毀設備,刪掉數據。

動能處理方法(物理破壞)的目標是使硬碟變形、損壞主軸,進而減緩機械掃描。這些方法還可以與消磁結合起來使用,更為保險。這類手段中,首選方法是釘槍,其次是各種高能炸藥,包括油井射孔器、 環形聚能炸藥、徑向聚能炸藥以及爆破減弱等。這些高能炸藥都可以使用工業就能效應作為替代,以節省成本。在環形聚能炸藥環節,可以設置好頂角、支座、裝葯高度等參數,並利用 3D 列印炸藥料槽,觸發之後就能導致三個碟片壓縮在一起。而如果使用徑向聚能炸藥,則可以直接把硬碟的所有零件炸成渣。為了讓爆炸更可控,可以使用 shaving cream 這種材料來緩釋一下,實驗之後發現影響比環形聚能炸藥的影響小,但也還是能破壞掉硬碟。

在電能處理方案中,Zoz 介紹了引爆線、高壓電穿刺以及感應變形這三種方法。其中,高壓電穿刺的方法實驗表現最靠譜。總結下來,等離子切割機和氧氣注入這兩個熱力學破壞方法;釘槍和液體炸藥這些物理破壞方法以及高壓電穿刺的動能破壞方法比較有效。當然,為了確保你的硬碟數據絕對不會被別人讀取到,有一種切實可行的方法,那就是將你的磁碟徹底消磁、粉碎成碎片並將它們丟棄在不同的地方。這樣一來,就絕對不用擔心任何問題了。

在演講中,他自我調侃道:

中國人發明了火藥,美國人把火藥變成了一個在自家後院研究的愛好。

現場的演示視頻一次次閃著光,自稱是煙花藝術終身愛好者的 Zoz,大概也從當初的實驗中體會到了煙花綻放的快感。

在演講的最後,鬼馬的 Zoz 還播放了一個在實際場景中毀壞硬碟的視頻。在視頻中,一名身處野外正在電腦前飛快打字的男子突然被背後走來的兩名男子抓走,電腦應聲而落。在落地的瞬間,爆炸聲響起,重要物證瞬間摧毀。

爆炸聲結束之後,現場喝彩聲與掌聲同時響起。這是三天中獲得掌聲最熱烈的幾個議題之一,足以表明這個議題的吸引力和受歡迎程度。

不用 Facebook 的老牌黑客:傳統與腦洞齊飛

在現場的演講嘉賓中,留著金色莫西幹頭的 Zoz 算是比較惹眼的一位。他自己似乎也對這個髮型很滿意,因為很多人會因為髮型而主動找他講話,隨後展開有趣的交流。他表示,自己偏愛線下社交,從來沒用過、未來也不會用 Facebook。因為這些服務其實一直以來都在利用用戶的數據。也許人們在 Facebook 這些社交軟體中能找到一些滿足自己所需的功能,但事實上,使用這些服務都要付出一定的代價,而我們最好評估一下,獲得的服務和需要付出的代價是否對等。他提醒大家,雖然普通人用不到議題中介紹的方法,但是可以提升自己的安全意識。銷毀廢棄數據固然重要,但合理地使用並保護數據更需要關注。日常生活和工作中,一旦數據分享或泄露出去,再想銷毀就非常困難,所以在分享之前最應當小心謹慎。畢竟,自己才最應該對自己的數據負責。

畢業於麻省理工大學的 Zoz 將自己定義為老牌黑客,與人們所熟知的尋找漏洞、入侵系統的黑客不同,他這種黑客更喜歡挖掘未知、搞清楚事物的運作方式,想方設法改進計算機或者其他事物,以達到自己的目標。此次來中國大會參加演講,也讓他有了更進一步的感慨:全球各地的黑客都差不多,都喜歡探索新鮮事物,想辦法解決新問題。現場很多張女性面孔以及幾名少年參會者也引起了他的注意,他覺得這正是 DEFCON 的啟蒙意義所在。傳統教育很容易遏制人們的想像力,會把固定的方法告訴孩子。但 DEFCON 上總有不同的可能性,會鼓勵人們嘗試更加創新的方法、探索不同的路徑。這才是真正意義上的黑客精神。

而他自己,更是將傳統黑客精神與自己的腦洞發揮到了極致。大會現場,除了主會場議題,不同的體驗村落以及極客工坊環節,其實還隱藏了一些彩蛋。走廊兩旁的的自動販售機可以破解,測試力量的拳擊機也暗藏玄機。在其他人都傾盡全力揮拳想要打破前人記錄獲得好成績的時候,Zoz 想到的卻是分析拳擊機的積分機制。他與另一名演講者經過深入的思考和分析,利用拳擊機中信號傳輸的時間差,控制了按鈕,將得分調到了 1790 分。當然,為了保留比賽的樂趣,他們並沒有直接把分數調成滿分 1800 分,依然留了 10 分給真正的拳手去比試。說到這裡,Zoz 再次露出了招牌的狡黠一笑,但你分明也能從他眼神里讀到一絲驕傲和堅定。

*FreeBuf 官方報道,轉載請註明來自 FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

如何利用Struts2漏洞繞過防火牆獲取Root許可權
微軟發布Windows Defender System Guard運行時認證技術

TAG:FreeBuf |