歐洲黑(hēi)客大(dà)會上的(de)中國團隊

發表日期:2016.05.31    訪問人(rén)數:534

5月(yuè)26日至27日,在HITB兩天的(de)會議(yì)上,來(lái)自中國的(de)speaker(演講者)的(de)東方面孔吸引了(le)衆人(rén)的(de)目光(guāng)。據初步統計,這(zhè)兩天,中國的(de)speaker登台演示的(de)議(yì)題達到了(le)7個(gè)。
中國白帽子越來(lái)越活躍
Hack in the box是歐洲地區(qū)最具影(yǐng)響力的(de)安全技術交流大(dà)會,每年都會吸引全球範圍内的(de)衆多(duō)安全“大(dà)咖”出席。議(yì)題要經過申報、評選等程序,最終被選中的(de)黑(hēi)客才能成爲speaker,登台演講與業界大(dà)咖現場(chǎng)切磋。
美(měi)琳是HITB在馬來(lái)西亞的(de)工作人(rén)員(yuán),這(zhè)是她第7次爲HITB大(dà)會做(zuò)服務。她也(yě)注意到中國speaker增加的(de)現象。“這(zhè)是件好事,HITB是個(gè)很好的(de)平台。”美(měi)琳說,通(tōng)過這(zhè)個(gè)平台,可(kě)以讓越來(lái)越多(duō)的(de)人(rén)了(le)解到中國在網絡安全領域的(de)實力與進展。
此次,360入選的(de)議(yì)題達到了(le)5個(gè),有7人(rén)成爲speaker。其中,黃(huáng)琳的(de)議(yì)題在發布之初就收到了(le)蘋果、華爲、高(gāo)通(tōng)等公司的(de)郵件,詢問漏洞細節。而360無線電安全研究團隊成員(yuán)單好奇與鄭玉偉關于網絡時(shí)間協議(yì)(NTP)的(de)議(yì)題也(yě)受到業界的(de)關注。
所謂NTP是使網絡中的(de)各個(gè)計算(suàn)機時(shí)間同步的(de)一種協議(yì),也(yě)是網絡數據交互順利進行的(de)前提。據鄭玉偉介紹,目前全球有不少NTP服務器從無線授時(shí)信号獲取精确時(shí)鐘(zhōng),并将其傳遞給包括工業設備時(shí)鐘(zhōng)在内的(de)各種設備。單好奇與鄭玉偉所在的(de)團隊發現,NTP 服務器也(yě)會被僞造時(shí)鐘(zhōng)信号影(yǐng)響,一旦出現這(zhè)種情況,所有與此NTP 服務器同步的(de)互聯網設備都将陷入紊亂。
“這(zhè)個(gè)想法很有創意。”來(lái)自英國的(de)安全專家丹尼斯表示,能夠把無線電領域的(de)安全技術與網絡時(shí)間協議(yì)結合起來(lái)本身就是一種安全技術的(de)創新。在互聯網世界,幾乎沒有服務不用(yòng)到“時(shí)間”這(zhè)個(gè)要素,電力、金融、通(tōng)信、交通(tōng)、廣電、安防以及IT數據中心等關鍵領域都是如此,如果網絡時(shí)間協議(yì)守護進程被惡意破壞,後果很可(kě)能是災難性的(de)。
因此,越來(lái)越多(duō)的(de)安全研究員(yuán)開始關注包括NTP在内的(de)全球互聯網核心組件安全,5月(yuè)初,360信息安全部的(de)研究員(yuán)向“網絡時(shí)間的(de)維護者”NTP項目組提交了(le)4枚高(gāo)危漏洞,并提出解決方案。
360Unicorn Team負責人(rén)楊卿說,中國白帽子(指正面的(de)黑(hēi)客,他(tā)可(kě)以識别計算(suàn)機系統或網絡系統中的(de)安全漏洞,但不會惡意利用(yòng),而是公布漏洞,從而有利于系統修補防範)在世界頂級黑(hēi)客大(dà)會上越來(lái)越多(duō)地發聲,這(zhè)種現象從前兩年就已經露出端倪。去年中國黑(hēi)客在國際上的(de)兩場(chǎng)頂級黑(hēi)客大(dà)會(DEFCON和(hé)Black Hat)上演講的(de)題目達13個(gè)。這(zhè)也(yě)讓中國網絡安全領域的(de)進步,受到世界認可(kě)。
一次“非正式”聚首背後的(de)深意
更值得(de)關注的(de)是,這(zhè)些白帽子黑(hēi)客背後強大(dà)的(de)團隊陣容。除360公司,百度、阿裏巴巴、華爲也(yě)都派出了(le)自己在安全領域的(de)精兵(bīng)強将。從某種意義上來(lái)說,這(zhè)差不多(duō)是國内互聯網安全領域最重要公司的(de)一次“非正式”聚首。
一些業内人(rén)士表示,近年來(lái),國内IT巨頭紛紛加大(dà)了(le)在互聯網安全領域的(de)投入。這(zhè)是因爲萬物(wù)互聯時(shí)代,網絡風險安全日益凸顯,其所帶來(lái)的(de)危害遠(yuǎn)超傳統意義上的(de)數據洩露範圍,比如,在智能汽車領域,一旦黑(hēi)客攻破了(le)汽車安全系統,駕駛員(yuán)就可(kě)能面臨生命危險。
2015年美(měi)國安全研究員(yuán)查理(lǐ)·米勒通(tōng)過遠(yuǎn)程控制給高(gāo)速行駛中的(de)JEEP車踩刹車的(de)方式,首次讓克萊斯勒因信息系統問題召回了(le)140萬輛汽車,自此全世界對(duì)汽車安全的(de)關注點也(yě)在安全氣囊、安全帶的(de)基礎上,增加了(le)汽車信息系統安全。
“汽車的(de)電子化(huà)已經成爲趨勢,安全公司也(yě)該充分(fēn)關注這(zhè)些‘車輪上的(de)計算(suàn)機’的(de)安全性。”在HITB講台上,360Unicorn Team的(de)研究員(yuán)李均說。他(tā)現場(chǎng)展示了(le)一種汽車入侵檢測系統,這(zhè)個(gè)系統通(tōng)過對(duì)現有汽車網絡攻擊案例和(hé)汽車内部網絡結構的(de)研究,總結出一種普适的(de)防禦方法。根據汽車工作的(de)特性,這(zhè)套安全系統可(kě)以檢測出車輛在行駛中出現的(de)異常反應,并及時(shí)響應,從而保障汽車信息系統的(de)安全。
國内對(duì)互聯網安全問題的(de)不斷重視,也(yě)是互聯網巨頭們舍得(de)在安全領域加大(dà)投入的(de)一個(gè)原因。今年4月(yuè),習(xí)近平總書(shū)記在網絡安全和(hé)信息化(huà)工作座談會上的(de)講話(huà),讓企業進一步意識到互聯網安全工作的(de)趨勢。
而參加黑(hēi)客大(dà)會,一方面可(kě)以幫助中國安全企業在海外樹立品牌,一方面有助于研究人(rén)員(yuán)了(le)解網絡安全的(de)最新趨勢。楊卿說,從大(dà)會上的(de)議(yì)題來(lái)分(fēn)析,虛拟化(huà)安全、雲安全及汽車安全很受重視,這(zhè)也(yě)反映了(le)目前網絡安全工作的(de)核心趨勢。他(tā)在現場(chǎng)交流中發現,一些外國黑(hēi)客思維活躍,他(tā)們的(de)研究方向、領域對(duì)中國黑(hēi)客也(yě)很有啓發。
要不拘一格降人(rén)才
張煜龍認爲,雖然整體來(lái)看美(měi)國的(de)互聯網安全防護水(shuǐ)平仍然是世界上最高(gāo)的(de),但在某些領域,中國有自己的(de)優勢。比如在系統安全方面中國人(rén)是領先的(de),但在密碼學方面中國落後于歐洲。“中國的(de)問題是企業民衆包括政府部門在安全方面的(de)認知上與美(měi)國等國家相比有差距。在整個(gè)市場(chǎng)及安全的(de)重視程度上,中國與美(měi)國比還(hái)有差距”。
美(měi)國重視安全工作,有完備的(de)法律要求。張煜龍說:“有些東西不是說你重不重視,而是法律要求你必須重視。比如,如果Facebook、Google被黑(hēi)客攻擊了(le),數據洩露了(le),這(zhè)不隻是個(gè)名聲問題,而是這(zhè)些公司要負法律責任。”這(zhè)敦促大(dà)公司必須重視網絡安全工作。因此,要提升互聯網安全防禦的(de)整體水(shuǐ)平,中國的(de)法律意識急需跟上。
楊卿很關注網絡安全領域的(de)人(rén)才問題。他(tā)認爲,韓國在互聯網安全領域的(de)實力很強,一個(gè)重要原因是對(duì)人(rén)才的(de)重視,并且有相應的(de)政策。中國在這(zhè)方面亟待加強。今年4月(yuè),習(xí)近平總書(shū)記在網絡安全和(hé)信息化(huà)工作座談會上的(de)講話(huà)裏也(yě)著(zhe)重強調了(le)人(rén)才問題,這(zhè)也(yě)引起了(le)業界的(de)關注。
“互聯網主要是年輕人(rén)的(de)事業,要不拘一格降人(rén)才。”習(xí)近平總書(shū)記在講話(huà)中說,“互聯網領域的(de)人(rén)才,不少是怪才、奇才,他(tā)們往往不走一般套路,有很多(duō)奇思妙想。對(duì)待特殊人(rén)才要有特殊政策,不要求全責備,不要論資排輩,不要都用(yòng)一把尺子衡量。”“要采取特殊政策,建立适應網信特點的(de)人(rén)事制度、薪酬制度,把優秀人(rén)才凝聚到技術部門、研究部門、管理(lǐ)部門中來(lái)。要建立适應網信特點的(de)人(rén)才評價機制,以實際能力爲衡量标準,不唯學曆,不唯論文,不唯資曆,突出專業性、創新性、實用(yòng)性。”
楊卿認爲,這(zhè)些說法有很強的(de)針對(duì)性。一些黑(hēi)客都是怪才,有的(de)可(kě)能隻是初中畢業,如果政府部門以學曆爲指标,可(kě)能很難找到人(rén)才。還(hái)有一些黑(hēi)客可(kě)能會因爲好奇心做(zuò)了(le)壞事,對(duì)這(zhè)些問題如何處理(lǐ)?整個(gè)社會需要有一種更加寬容的(de)氛圍。對(duì)黑(hēi)帽子(利用(yòng)自身技術,在網絡上竊取資源或破解收費軟件獲利的(de)黑(hēi)客)正确引導的(de)話(huà),他(tā)們有可(kě)能成爲安全防護力量。黑(hēi)帽子與白帽子很多(duō)時(shí)候沒有完全界限。從其他(tā)國家的(de)情況來(lái)看,将黑(hēi)帽子收編也(yě)是一種方式。
馳創數碼
緻力打造互動品牌,提供精準營銷服務

立即咨詢

網站建設客服微信

掃一掃,添加微信咨詢

免費咨詢

400-602-8610

  • 地址:成都市高(gāo)新區(qū)錦城(chéng)大(dà)道666号奧克斯廣場(chǎng)B座902
  • 其他(tā)咨詢熱(rè)線:028-86666423 028-8666413
  • 郵箱:service@chichuang.com
  • 傳真:028-86666493