为期三天的DEF CON CHINA 进入大会最后一天。还记得隐私护卫队此前报道里那个“留着莫西干头、金发抢眼的外国男子”吗?在5月12日的大会现场,他又一次吸引了所有人的眼球,这次不光靠外型,还有他“暴力”销毁硬盘的N种方法。
他叫Zoz,是DEF CON的“固定嘉宾”,不但参加过11届,还在其中9届上发表过演讲,只要是有趣、好玩的事情,都可能出现在他的演讲主题中,并付诸实践。在不到1个小时的演讲中,Zoz用图片和视频详细展示了到底用什么方法能更彻底地销毁硬盘,热能、动能,还是电击?想知道结果,请往下看。
Zoz 使用高能炸药的实验结果。图片出处:DEF CON。
销毁硬盘的 N 种方法
钉枪和炸药或许有用,引爆电导线不太靠谱
在演讲中,Zoz 展示了近20种尝试销毁硬盘的方法!他把这些方法归纳为三大类,热能类包括等离子切割机、混合燃烧剂,或是在硬盘中充入氧气(使其燃烧)等。动能类包括使用钉枪、油井射孔器,以及各种不同形态和配比的炸药。电能类则包括引爆电桥导线(bridge wire)、使用高压电穿刺等。
在热能类方法中,Zoz 展示了如何用等离子切割机销毁硬盘。等离子切割是利用高温等离子电弧的热量使工件切口处的金属部分或局部熔化(和蒸发)。你在视频后段可以看到熔化的金属溢出。图片出处:DEF CON。
Zoz 向硬盘充入氧气,硬盘燃烧起来。图片出处:DEF CON。
Zoz 试着用混凝土和气动钉枪销毁硬盘,他认为此方法可行。图片出处:DEF CON。
Zoz 使用环形聚能炸药实验的场景。硬盘碎片飞得到处都是,Zoz 说找碎片花了他们不少功夫。图片出处:DEF CON。
在整个实验中,Zoz 尝试了好几种炸药设计,包括环形聚能炸药、径向聚能炸药等。“中国人发明了火药,美国人把火药变成了一个喜欢在自家后院进行的爱好。”昨天的演讲中,他自我调侃道。
Zoz 还尝试用引爆电桥导演的方法毁掉 U 盘,结果并不理想。图片出处:DEF CON。
虽然这是Zoz第一次在中国会议上演讲,但他对北京并不陌生。他曾经在天安门闲逛了一整天,享受和各式各样的人们交谈的乐趣。“很多人会因为我的发型,主动找我讲话”,不难看出,他对自己的金色莫西干头颇为满意。
外出,到实际生活中结交朋友,这是Zoz一直秉持的交友之道。扎克伯格在哈佛宿舍里创立Facebook的时候,他就在几条街之隔的麻省理工学院,然而他从来没有注册过任何社交账号。“如果我每天要花3个小时在Facebook上面回复朋友的信息,那我就什么事也干不了”,Zoz无法理解人们怎么会有时间在网上社交,也不认为随意公开个人隐私是个明智选择。
https://v.qq.com/txp/iframe/player.html?vid=w0653rpclei&width=500&height=375&auto=0
Zoz实验视频的部分片段,炸药的部分在最后。视频出处:DEF CON。
谈数据保护
你必须清楚知道,你使用的服务是用什么代价换来的
Zoz至今还住在剑桥。一个看上去有些“守旧”的人,却偏偏做着最前沿的机器人研究,而且研究方法往往让人意想不到。凭着惹眼的发型,隐私护卫队在DEF CON CHINA现场成功“捕获”了Zoz,于是有了以下对话。
隐私护卫队采访 Zoz。冯群星 摄。
隐私护卫队:怎么会想到要做这个硬盘销毁的项目?
Zoz:这个想法源于第19届DEF CON上一个销毁硬盘的演讲,听完后我开始思考销毁硬盘的其他方法。经过一两年的筹备,我开始实施这个项目,并在其中加入了自己擅长的元素,利用我积累的资源取得了实验必须的证照和合适的器械。
其实我已经在第23届DEF CON上做过类似的演讲,但在筹备这次中国之行时,主办方认为这个主题会对中国与会者很有吸引力,并帮我把所有材料翻译成了中文,促成了这个绝佳的分享机会。
隐私护卫队:实验结果是否有出乎你意料的地方?
Zoz:有。比如被大家普遍看好的热能测试,取得的销毁效果不如预期。如果能达到更高温度,应该是可以成功的,但受制于机器规模等条件,成功并不容易。
隐私护卫队:实验过程中受过伤吗?
Zoz:看我的手,十个手指头都还在!(笑)轻微的小伤对黑客来说是很正常的。我很注意保护自己,没受过特别严重的伤,毕竟手指头掉了就长不回来了。
隐私护卫队:这些“暴力”销毁方法可能对大多数人并不适用。普通人该如何保护隐私?
Zoz:你无法期望每个普通人都能对每件事追根究底,成为安全专家,这不是他们的兴趣所在。但是,你可以提醒他们要有隐私保护意识。
所以我的建议就是,小心选择共享自己隐私的人,毕竟隐私一旦泄露,你就再也无法控制了。比如现在大家知道最好不要把自己的政治倾向、兴趣爱好公开发表在Facebook上,因为它们可能被Facebook用于一些非公开的政治运作。
隐私护卫队:你怎么看待Facebook用户数据泄露事件?
Zoz:我从来没有用过、未来也不会用Facebook。我认为Facebook一直以来都在利用用户的数据。我理解人们能从Facebook得到一些自己想要的,但我只希望他们更小心一些。所有服务都一样,你必须清楚知道,你使用的服务是用什么代价换来的,并计算这是否值得。
谈黑客文化
“黑客”一词最初是指那些喜欢探究新事物的人
隐私护卫队:DEF CON CHINA和以往的DEF CON有什么不同?
Zoz:DEF CON在美国拉斯维加斯举办,所以其中一大区别就是,美国DEF CON有很多派对,而且每天都有。也许是因为在拉斯维加斯举办的关系吧……
另外我注意到越来越多中国安全团队向DEF CON提交演讲申请。中国现有百度、腾讯、阿里、360等安全团队都贡献了非常好的内容。这让我感觉到,DEF CON 把第一次国际版会议选在中国,是个非常正确的决定。
隐私护卫队:你在DEF CON CHINA上发现了什么有趣的事情?
Zoz:所有的村落我几乎都去过了,有一个令我印象深刻的地方,就是参会者里面居然有这么多女性!因为传统的DEF CON都以充斥着黑客、计算机、书呆子而著称,绝大部分参与者都是男性。如果你去开锁村落看看,男女数量好像还挺平衡。我觉得这非常棒,我希望每个人都觉得自己在DEF CON受到欢迎。
其实我对中国的黑客没有很明确的看法,所以这次来参会希望更多地认识和了解他们。但是我认为中美黑客并没有很大不同,都喜欢探究事物,用技术去做一些新颖有趣的事。
隐私护卫队:你会称自己为“黑客”吗?你们到底怎么定义“黑客”?
Zoz:会。“黑客”的定义确实不太容易解释,不过我应该算老牌 MIT黑客,就是喜欢挖掘未知、搞清楚事物怎么运作的人。
比如很早之前MIT 有个很有名的社团,叫“技术模型铁路俱乐部(Tech Model Railroad Club)”,他们希望用计算机能根据火车的形式路径改变铁轨的走向。但那时的计算机一个时间段只能做一件事,如果它在监控其中一辆火车,就无法兼顾另外几辆。于是他们把时间分割成小块,让计算机在不同时间段监控不同的火车,从而发明了“实时共享计算”。
这就是典型的黑客,会想方设法让计算机做到他们希望的样子。我认为我是这种意义上的黑客,不是那种去寻找漏洞、入侵系统的黑客。
隐私护卫队:在中国,可能很多人认为黑客是不好的角色,美国也是这样吗?
Zoz:概括起来,黑客分为三大阵营:白帽(white hat)黑客、黑帽(black hat)黑客,和灰帽(grey hat)黑客。白帽黑客从不做违法的事,黑帽黑客一直在做违法的事,灰帽黑客则介于两者中间,用违法行为达成好的目的。和中国一样,大多数美国人也认为黑客就是指黑帽黑客,这些根深蒂固的看法很难完全改变。这些年我们一直在努力改变,已经有了一些效果,比如有的公司会从积极的角度对待黑客。
隐私护卫队:美国的黑客文化发展得怎么样?
Zoz:现在出现了一种“黑客马拉松”,在比较短的时间里,比如一天或两天,同好者们聚在一起,紧密合作,共同解决某个问题。比如政府数据工作坊,你知道,堵车是很多城市的困扰,政府却不知道怎么利用收集到的大量数据。所以有些城市和黑客合作,由政府提供数据资源,黑客进行数据挖掘,寻求堵车的解决方案。
另外,美国的“黑客空间”(hacker space)也很流行,现在最出名的一个叫“l0pht”。你可以把它理解为一个公共的社区空间,有同好的人一起租个大房子,一起探讨、交流共同感兴趣的事情。