站長資訊網(wǎng)頭戴耳麥、背靠大牌電競專用椅、帥氣十足地念念有詞,兇起來直接一串代碼刪除自己的服務(wù)器……熱播電視劇《親愛的 熱愛的》里酷炫的CTF(網(wǎng)絡(luò)安全奪旗戰(zhàn)),在現(xiàn)實(shí)中真是這么操作的嗎?
近日,全球白帽黑客頂級會議Black Hat和DEF CON在美國拉斯維加斯落幕。面對數(shù)萬名頂級白帽,來自阿里安全的蒸米、白小龍、五達(dá)代表阿里巴巴經(jīng)濟(jì)體,連續(xù)三年登臺演講,展示在iOS系統(tǒng)安全以及IoT安全領(lǐng)域的最新發(fā)現(xiàn),實(shí)力演繹了現(xiàn)實(shí)版的“韓商言”。
圖說:阿里安全雙子座實(shí)驗室高級安全專家蒸米在Black Hat上受邀演講
帶著iOS系統(tǒng)漏洞議題數(shù)次參加Black Hat的蒸米,曾是著名CTF戰(zhàn)隊藍(lán)蓮花成員,參加過世界頂級黑客大賽 DEF CON CTF,也拿過AliCTF冠軍和國內(nèi)XCTF聯(lián)賽個人排行榜前十的成績。
“真實(shí)的CTF很簡單,做題就是了,沒有舞臺,也沒那么酷炫。”蒸米還記得此前在學(xué)校的時候參加一個線上CTF,做題做到凌晨3點(diǎn),遇到一道移動安全的題目,需要“動態(tài)脫殼”,但宿舍電腦跑不起來脫殼的環(huán)境,他抓起鑰匙就往實(shí)驗室跑,偌大的實(shí)驗室空無一人,只有他在一臺屏幕前眼睛里閃著光,“是孤獨(dú)的,也是幸福的。”
在阿里安全內(nèi)部,像蒸米一樣參加過CTF的白帽很多,但為了更好地保障系統(tǒng)安全、平臺安全,進(jìn)而維護(hù)網(wǎng)絡(luò)安全,讓消費(fèi)者安全購物,他們都舍棄了“攻”的痛快和耀眼,選擇看起來并不容易地“防”,包括挖漏洞也是帶著給出解決方案的視角,堅持用技術(shù)去解決社會問題。
三白帽登頂會累計30余次
阿里安全獵戶座實(shí)驗室安全專家、IoT安全達(dá)人五達(dá)2015年至今已參加四次Black Hat,他的發(fā)現(xiàn)包括超聲波干擾VR、AR等物聯(lián)網(wǎng)設(shè)備,去視頻水印攻擊技術(shù)等,今年帶著IoT傳感器的漏洞以及相關(guān)的解決辦法,五達(dá)在DEF CON上的演講又贏得一片掌聲。
兩年來,五達(dá)已經(jīng)參加國內(nèi)外各類安全頂會十余次,這意味著每次都有重要的IoT漏洞被他提交,這意味著新的攻擊路徑還未被發(fā)現(xiàn),就已被他扼殺,讓物聯(lián)網(wǎng)設(shè)備多了一分安全。從拉斯維加斯到阿姆斯特丹,再到迪拜、慕尼黑,五達(dá)的足跡已經(jīng)快遍布全球,研究成果也曾被福布斯雜志報道,被美國連線雜志評選為當(dāng)年“最佳Hack”之一。
蒸米、白小龍是一對蘋果操作系統(tǒng)安全的黃金搭檔。圍繞著蘋果系統(tǒng)安全這個主題,他們挖到了越來越多的漏洞并探索了全新的方法論,他們的研究不但有攻擊的思路,還為蘋果公司提供了系統(tǒng)防御的思路。蒸米和白小龍的每次演講,均有蘋果公司安全團(tuán)隊成員等在臺下。最近一年,他們被蘋果授予6個CVE(公共漏洞暴露)并獲官網(wǎng)致謝,蘋果公司安全負(fù)責(zé)人更是親自到場,感謝他們的研究讓蘋果的操作系統(tǒng)更加的隱私和安全。
從DEFCON 101演講開始,到最后公認(rèn)的TOP 1的Black Hat USA,蒸米和白小龍已經(jīng)拿下了名副其實(shí)的頂會“大滿貫”,這在行業(yè)里都是極為罕見的。
圖說:阿里安全雙子座實(shí)驗室安全專家白小龍(左一)受邀在DEF CON演講
首獲黑客界“奧斯卡”大獎提名
Black Hat匯聚全球白帽黑客、安全廠商、研究機(jī)構(gòu)等各類安全群體,議題審核最嚴(yán)苛為業(yè)內(nèi)公認(rèn),每年上報的議題最終通過率不足20%。DEF CON作為聚集白帽黑客數(shù)量最多的大會,風(fēng)格更輕松活潑,但入選議題的含金量也相當(dāng)高。
過去三年里,阿里安全八大實(shí)驗室已經(jīng)有15名安全專家受邀參加Black Hat和DEF CON兩大頂會。若要加上HITB、RSA、Xcon等其他頂會,阿里安全白帽參加頂會的人次還要再翻倍。
值得注意的是,創(chuàng)始于2007年,被譽(yù)為“全球白帽黑客奧斯卡”(The Pwnie Awards)大獎今年的榜單上,阿里安全專家王勇獲得最佳提權(quán)漏洞獎提名。雖然抱憾未獲最終大獎,不過這位出生于1991年的白帽依然信心滿滿,“還年輕,明年繼續(xù)試。”
圖說:The Pwnie Awards榜單上,阿里安全專家王勇獲得最佳提權(quán)漏洞獎提名
此外,在今年微軟公布的2019MSRC全球最具價值安全精英榜單中,君故、紫密這兩位來自阿里安全的兩位白帽上榜,位列前二十。“他們使用的就是我們獨(dú)創(chuàng)的內(nèi)核漏洞檢測方法,能在短時間內(nèi)快速挖掘漏洞。”阿里安全雙子座實(shí)驗室負(fù)責(zé)人杭特表示說,這一方法論被學(xué)術(shù)頂會CCS收錄,成為26年來國內(nèi)互聯(lián)網(wǎng)企業(yè)投中的第一篇論文。
阿里安全在安全領(lǐng)域的能力建設(shè)正受到全球矚目,也是近年來阿里巴巴經(jīng)濟(jì)體安全水位持續(xù)提升的實(shí)踐成果。公開數(shù)據(jù)顯示,2018年,阿里安全攔截1310億次惡意攻擊、日均保護(hù)316億次用戶操作。
與電視劇里酷炫的CTF操作相比,現(xiàn)實(shí)中的網(wǎng)絡(luò)安全守衛(wèi)者們更加地簡單、純粹、質(zhì)樸。在這個充滿金錢和利益的時代,更多白帽子要經(jīng)受的考驗是正義感和敬畏之心,而阿里安全十年如一日的風(fēng)險能力建設(shè),“一磚一瓦均需匠心”。
特別提醒:本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾,并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系我們,本站將會在24小時內(nèi)處理完畢。
