Samy Kamka、吴石黑客信息

Samy Kamka

10年前他就曾成功利用AJAX蠕虫攻击了当时最火的社交网站MySpace.com，2009年的Twitter蠕虫事件和2011年新浪微博蠕虫事件都沿袭了他当时的方法。
2005年10月，Samy Kamkar成为全球第一个AJAX蠕虫的作者，当时年仅19岁的Samy Kamkar发起了对MySpace.com的攻击，而他所利用的技术正是Web 2.0网站依赖的AJAX。通过利用MySpace.com中的漏洞，Samy Kamkar的蠕虫在几个小时内就在其作者的好友列表中加入了100万好友，并在每个人的自我简介后边加了一句话：“but most of all, Samy is my hero.”。Samy Kamkar因此遭遇了牢狱之灾，不过从此成为知名黑客，之后还他发现了多家主要信用卡的安全漏洞。

最近几年Samy Kamkar转向了，喜欢开发一些“黑客”工具，破解一些流行的智能设备，而且喜欢将他的成功毫无不留的公开。
2013年Samy Kamkar开发了劫持无人机的“空中黑客”，用自己的程序改装了一架Parrot AR.Drone 2.0，它能够搜寻其它无人机的无线信号并控制它们，整个过程可以在飞行中完成，改装后的无人机叫SkyJack。
SkyJack的软件基于Linux设计，它会依次运行几个支持程序，能够劫持空中的任何无人机。通过笔记本或平板向被劫持的无人机发出Javascript命令，可任意改变它们的路线、速度，甚至是查看现场视频。Samy Kamkar在其博客上贴出了SkyJack的完整教程和源代码，可感兴趣者免费下载。
2014年Samy Kamkar开发了一分钟内可入侵Mac的“USB项链”，这款名叫USBdriveby的项链基本上是一个USB微控制器，通过USB连接至电脑，然后利用USB接口所存在的安全漏洞，让电脑把自己当作是鼠标或键盘，使其可以发送命令来关闭监控应用的所有警告。它还能关闭OS X内置的防火墙，更改DNS设置，从而对电脑所有者所浏览的网页进行随意替换。
这款设备还能在完事之后自动进行清理，关掉可能开启的任意窗口或设置界面。而从插入电脑到攻击结束，整个过程只需30-60秒便可完成。Samy Kamkar同样在网站上用视频的方式对这个”USB项链”的原理和实现方式进行了完整公开。

2015年Samy Kamkar用3D打印了全自动解锁机器人，Samy Kamkar在网站上发布了这个3D打印部件+Arduino开发板制成的开锁机器人的3D打印设计图和软件代码，机器人名为Combo Breaker。

吴石

吴石对数学很感兴趣，但是数学方面的天赋并没有给他带来什么利益。后来由于对游戏的痴迷，他研究出了一种方法，可以黑进游戏的服务器，并且成功修改了自己的游戏数据。计算机开始代替了数学在他生命中的位置。
吴石相信，对于一个拥有数百万行代码的程序来说，没有人可以用穷举的方法来判断它究竟是否存在漏洞。但是使用数学工具把它抽象出来，而且通过经验筛选，只模拟你关心的那一部分。这样就把一个穷举问题，转化成了运算问题.

他的漏洞挖掘方法比较特别：

• 第一、喂给这个程序随即的数据，看它是否会崩溃。
• 然后，会详细学习程序语言，例如 JavaScript，根据程序能听懂的语言，构建一些奇怪的数据。
• 第三步，分析程序的处理过程，把输入数据可能产生的情况分类
• 最后，根据程序的结构对输入的数据做变化，让它尽可能地覆盖奇葩的运行状态

KEEN公司首席科学家、Keen Team技术负责人吴石获Pwnie终生成就奖提名，他是亚洲唯一被提名者。
官方评价吴石称，自“漏洞奖金发放标准”推出以来，来自中国上海的吴石不断刷新最高纪录。他致力于浏览器、电话移动终端等漏洞研究，带领Keen team团队连续三年在Pwn2Own上赢得冠军，同时，他还一直持续在国际会议上分享研究成果。
据统计，自2000年至2014年间，吴石共发现数百个流行系统高危漏洞，并带领团队突破最新WIN8.1和IOS保护机制，连续三年带领团队获得ZDI全球漏洞挖掘白金奖，是目前全球计算机漏洞发现和报告最多的人。

参考资料：

腾讯科恩实验室吴石，站在 0 和 1 之间的人