5月26日,當(dāng)?shù)貢r間17時30分,荷蘭阿姆斯特丹。歐洲最大的黑客大會——Hack in the box(HITB)上,一名中國女性在發(fā)言,題目是《4G LTE偽基站攻防研究》。發(fā)言者是360Unicorn Team的研究員黃琳,她曾在去年登上DEFCON(美國的頂級黑客大會)講臺,被稱為中國第一個登上世界安全大會演講的女黑客。同一時間,在大會二樓的 Track2會場,百度安全實驗室的夏良釗和張煜龍在演示安卓系統(tǒng)的安全問題。
5月26日至27日,在HITB兩天的會議上,來自中國的speaker(演講者)的東方面孔吸引了眾人的目光。據(jù)初步統(tǒng)計,這兩天,中國的speaker登臺演示的議題達(dá)到了7個。
中國白帽子越來越活躍
Hack in the box是歐洲地區(qū)最具影響力的安全技術(shù)交流大會,每年都會吸引全球范圍內(nèi)的眾多安全“大咖”出席。議題要經(jīng)過申報、評選等程序,最終被選中的黑客才能成為speaker,登臺演講與業(yè)界大咖現(xiàn)場切磋。
美琳是HITB在馬來西亞的工作人員,這是她第7次為HITB大會做服務(wù)。她也注意到中國speaker增加的現(xiàn)象。“這是件好事,HITB是個很好的平臺。”美琳說,通過這個平臺,可以讓越來越多的人了解到中國在網(wǎng)絡(luò)安全領(lǐng)域的實力與進(jìn)展。
此次,360入選的議題達(dá)到了5個,有7人成為speaker。其中,黃琳的議題在發(fā)布之初就收到了蘋果、華為、高通等公司的郵件,詢問漏洞細(xì)節(jié)。而360無線電安全研究團(tuán)隊成員單好奇與鄭玉偉關(guān)于網(wǎng)絡(luò)時間協(xié)議(NTP)的議題也受到業(yè)界的關(guān)注。
所謂NTP是使網(wǎng)絡(luò)中的各個計算機(jī)時間同步的一種協(xié)議,也是網(wǎng)絡(luò)數(shù)據(jù)交互順利進(jìn)行的前提。據(jù)鄭玉偉介紹,目前全球有不少NTP服務(wù)器從無線授時信號獲取精確時鐘,并將其傳遞給包括工業(yè)設(shè)備時鐘在內(nèi)的各種設(shè)備。單好奇與鄭玉偉所在的團(tuán)隊發(fā)現(xiàn),NTP 服務(wù)器也會被偽造時鐘信號影響,一旦出現(xiàn)這種情況,所有與此NTP 服務(wù)器同步的互聯(lián)網(wǎng)設(shè)備都將陷入紊亂。
“這個想法很有創(chuàng)意。”來自英國的安全專家丹尼斯表示,能夠把無線電領(lǐng)域的安全技術(shù)與網(wǎng)絡(luò)時間協(xié)議結(jié)合起來本身就是一種安全技術(shù)的創(chuàng)新。在互聯(lián)網(wǎng)世界,幾乎沒有服務(wù)不用到“時間”這個要素,電力、金融、通信、交通、廣電、安防以及IT數(shù)據(jù)中心等關(guān)鍵領(lǐng)域都是如此,如果網(wǎng)絡(luò)時間協(xié)議守護(hù)進(jìn)程被惡意破壞,后果很可能是災(zāi)難性的。
因此,越來越多的安全研究員開始關(guān)注包括NTP在內(nèi)的全球互聯(lián)網(wǎng)核心組件安全,5月初,360信息安全部的研究員向“網(wǎng)絡(luò)時間的維護(hù)者”NTP項目組提交了4枚高危漏洞,并提出解決方案。
360Unicorn Team負(fù)責(zé)人楊卿說,中國白帽子(指正面的黑客,他可以識別計算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,但不會惡意利用,而是公布漏洞,從而有利于系統(tǒng)修補(bǔ)防范)在世界頂級黑客大會上越來越多地發(fā)聲,這種現(xiàn)象從前兩年就已經(jīng)露出端倪。去年中國黑客在國際上的兩場頂級黑客大會(DEFCON和Black Hat)上演講的題目達(dá)13個。這也讓中國網(wǎng)絡(luò)安全領(lǐng)域的進(jìn)步,受到世界認(rèn)可。
一次“非正式”聚首背后的深意
更值得關(guān)注的是,這些白帽子黑客背后強(qiáng)大的團(tuán)隊陣容。除360公司,百度、阿里巴巴、華為也都派出了自己在安全領(lǐng)域的精兵強(qiáng)將。從某種意義上來說,這差不多是國內(nèi)互聯(lián)網(wǎng)安全領(lǐng)域最重要公司的一次“非正式”聚首。
一些業(yè)內(nèi)人士表示,近年來,國內(nèi)IT巨頭紛紛加大了在互聯(lián)網(wǎng)安全領(lǐng)域的投入。這是因為萬物互聯(lián)時代,網(wǎng)絡(luò)風(fēng)險安全日益凸顯,其所帶來的危害遠(yuǎn)超傳統(tǒng)意義上的數(shù)據(jù)泄露范圍,比如,在智能汽車領(lǐng)域,一旦黑客攻破了汽車安全系統(tǒng),駕駛員就可能面臨生命危險。
2015年美國安全研究員查理·米勒通過遠(yuǎn)程控制給高速行駛中的JEEP車踩剎車的方式,首次讓克萊斯勒因信息系統(tǒng)問題召回了140萬輛汽車,自此全世界對汽車安全的關(guān)注點(diǎn)也在安全氣囊、安全帶的基礎(chǔ)上,增加了汽車信息系統(tǒng)安全。
“汽車的電子化已經(jīng)成為趨勢,安全公司也該充分關(guān)注這些‘車輪上的計算機(jī)’的安全性。”在HITB講臺上,360Unicorn Team的研究員李均說。他現(xiàn)場展示了一種汽車入侵檢測系統(tǒng),這個系統(tǒng)通過對現(xiàn)有汽車網(wǎng)絡(luò)攻擊案例和汽車內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的研究,總結(jié)出一種普適的防御方法。根據(jù)汽車工作的特性,這套安全系統(tǒng)可以檢測出車輛在行駛中出現(xiàn)的異常反應(yīng),并及時響應(yīng),從而保障汽車信息系統(tǒng)的安全。
國內(nèi)對互聯(lián)網(wǎng)安全問題的不斷重視,也是互聯(lián)網(wǎng)巨頭們舍得在安全領(lǐng)域加大投入的一個原因。今年4月,習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上的講話,讓企業(yè)進(jìn)一步意識到互聯(lián)網(wǎng)安全工作的趨勢。
而參加黑客大會,一方面可以幫助中國安全企業(yè)在海外樹立品牌,一方面有助于研究人員了解網(wǎng)絡(luò)安全的最新趨勢。楊卿說,從大會上的議題來分析,虛擬化安全、云安全及汽車安全很受重視,這也反映了目前網(wǎng)絡(luò)安全工作的核心趨勢。他在現(xiàn)場交流中發(fā)現(xiàn),一些外國黑客思維活躍,他們的研究方向、領(lǐng)域?qū)χ袊诳鸵埠苡袉l(fā)。
要不拘一格降人才
張煜龍認(rèn)為,雖然整體來看美國的互聯(lián)網(wǎng)安全防護(hù)水平仍然是世界上最高的,但在某些領(lǐng)域,中國有自己的優(yōu)勢。比如在系統(tǒng)安全方面中國人是領(lǐng)先的,但在密碼學(xué)方面中國落后于歐洲。“中國的問題是企業(yè)民眾包括政府部門在安全方面的認(rèn)知上與美國等國家相比有差距。在整個市場及安全的重視程度上,中國與美國比還有差距”。
美國重視安全工作,有完備的法律要求。張煜龍說:“有些東西不是說你重不重視,而是法律要求你必須重視。比如,如果Facebook、Google被黑客攻擊了,數(shù)據(jù)泄露了,這不只是個名聲問題,而是這些公司要負(fù)法律責(zé)任。”這敦促大公司必須重視網(wǎng)絡(luò)安全工作。因此,要提升互聯(lián)網(wǎng)安全防御的整體水平,中國的法律意識急需跟上。
楊卿很關(guān)注網(wǎng)絡(luò)安全領(lǐng)域的人才問題。他認(rèn)為,韓國在互聯(lián)網(wǎng)安全領(lǐng)域的實力很強(qiáng),一個重要原因是對人才的重視,并且有相應(yīng)的政策。中國在這方面亟待加強(qiáng)。今年4月,習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上的講話里也著重強(qiáng)調(diào)了人才問題,這也引起了業(yè)界的關(guān)注。
“互聯(lián)網(wǎng)主要是年輕人的事業(yè),要不拘一格降人才。”習(xí)近平總書記在講話中說,“互聯(lián)網(wǎng)領(lǐng)域的人才,不少是怪才、奇才,他們往往不走一般套路,有很多奇思妙想。對待特殊人才要有特殊政策,不要求全責(zé)備,不要論資排輩,不要都用一把尺子衡量。”“要采取特殊政策,建立適應(yīng)網(wǎng)信特點(diǎn)的人事制度、薪酬制度,把優(yōu)秀人才凝聚到技術(shù)部門、研究部門、管理部門中來。要建立適應(yīng)網(wǎng)信特點(diǎn)的人才評價機(jī)制,以實際能力為衡量標(biāo)準(zhǔn),不唯學(xué)歷,不唯論文,不唯資歷,突出專業(yè)性、創(chuàng)新性、實用性。”
楊卿認(rèn)為,這些說法有很強(qiáng)的針對性。一些黑客都是怪才,有的可能只是初中畢業(yè),如果政府部門以學(xué)歷為指標(biāo),可能很難找到人才。還有一些黑客可能會因為好奇心做了壞事,對這些問題如何處理?整個社會需要有一種更加寬容的氛圍。對黑帽子(利用自身技術(shù),在網(wǎng)絡(luò)上竊取資源或破解收費(fèi)軟件獲利的黑客)正確引導(dǎo)的話,他們有可能成為安全防護(hù)力量。黑帽子與白帽子很多時候沒有完全界限。從其他國家的情況來看,將黑帽子收編也是一種方式。
京公網(wǎng)安備 11010502049343號