韓國(guó)政府BOB計(jì)劃(Best of the Best)從2012年起,每年以無(wú)上限的經(jīng)費(fèi)和資源培養(yǎng)超過(guò)100名年輕信息安全參賽者。時(shí)至今日,依托舉國(guó)之力和軍方背景,將近四年時(shí)間終于打造出奪下全球黑客競(jìng)賽第一名的夢(mèng)幻戰(zhàn)隊(duì)。
舉國(guó)之力打造夢(mèng)幻團(tuán)隊(duì)
江湖盛傳韓國(guó)對(duì)信息安全的重視程度,若是自稱第二,則無(wú)國(guó)敢稱第一,老美也不例外。
在韓國(guó),黑客競(jìng)賽獲勝可抵高考成績(jī),信息安全公司的雇員甚至可免服兵役!只有區(qū)區(qū)五千萬(wàn)人口的韓國(guó),卻有著兩百多家信息安全企業(yè)——原因竟是政府強(qiáng)制要求企業(yè)定期雇人進(jìn)行滲透測(cè)試。韓國(guó)軍隊(duì)還和韓國(guó)三所最著名高校之一的高麗大學(xué)簽有協(xié)議:讓最好的學(xué)生去學(xué)網(wǎng)絡(luò)戰(zhàn),給他們?nèi)~獎(jiǎng)學(xué)金,畢業(yè)后為軍隊(duì)服務(wù)。
國(guó)家重視的安全攻防人才,從娃娃就被抓起,一路保送上大學(xué)。先是打CTF攻防比賽成為職業(yè)選手,然后逐漸在各種黑客大賽上拔得頭籌。
今年3月,在Pwn2Own黑客大賽上通殺IE、Safari和Chrome三大瀏覽器漏洞的韓國(guó)“神童”JungHoon Lee(又名Lokihardt),在剛結(jié)束的美國(guó)拉斯維加斯DEFCON世界頂級(jí)黑客大賽上演絕地反擊,大殺四方助力首度打進(jìn)決賽的DEFKOR團(tuán)隊(duì)以超強(qiáng)發(fā)現(xiàn)漏洞的能力和寫(xiě)攻擊Exp的實(shí)力,力壓去年冠軍團(tuán)隊(duì)PPP,成為首個(gè)贏得DEFCON CTF冠軍的韓國(guó)黑客團(tuán)隊(duì)。
專訪韓國(guó)DEFKOR成員:IT'S SHOWTIME
盡管團(tuán)隊(duì)成員無(wú)法實(shí)名受訪,但是據(jù)韓國(guó)政府BOB中心經(jīng)理Kim Jin Seog表示,整個(gè)團(tuán)隊(duì)都是韓國(guó)政府BOB計(jì)劃培養(yǎng)出來(lái)的精英,今年奪冠則是計(jì)劃執(zhí)行有成的戰(zhàn)果展示。
目前DEFKOR共有13名成員,其中3名大一學(xué)生、2名大二學(xué)生、1名大三學(xué)生、2名大四學(xué)生、2名研究生以及3名在信息安全公司工作的人士。而幾乎所有成員都是從大一開(kāi)始念書(shū)就有計(jì)劃的受到了網(wǎng)絡(luò)攻防、找漏洞以及編寫(xiě)Exp能力的培訓(xùn)。其中有一名成員,更是花了5年時(shí)間進(jìn)行準(zhǔn)備,從大一開(kāi)始便有系統(tǒng)的自我培訓(xùn)和學(xué)習(xí),希望有朝一日可以打DEFCON CTF競(jìng)賽并斬獲佳績(jī)。
團(tuán)隊(duì)成員以首爾大學(xué)的學(xué)生為主,平常有很多時(shí)間在一起相處、培養(yǎng)默契。更為重要的是,大家都是韓國(guó)政府BOB計(jì)劃中的成員,原本就有一起培訓(xùn)時(shí)培養(yǎng)出來(lái)的默契。
面對(duì)勁敵美國(guó)著名戰(zhàn)隊(duì)PPP(來(lái)自卡耐基梅隆大學(xué),長(zhǎng)年霸占Defcon CTF冠軍),他們表示:“PPP是可敬的對(duì)手。”
目前雖然沒(méi)有清楚的下一步規(guī)劃,但是可以確認(rèn)的是,BOB計(jì)劃仍將會(huì)持續(xù)培養(yǎng)這樣年輕的網(wǎng)絡(luò)攻防選手。
Kim Jin Seog指出,韓國(guó)外部面臨著實(shí)力強(qiáng)大的敵人,因此政府從2012年開(kāi)始每年投入無(wú)上限的資源和經(jīng)費(fèi)培養(yǎng)超過(guò)100名的年輕攻防選手,實(shí)際預(yù)算和培訓(xùn)人數(shù)都是政府機(jī)密。但可以確定的是,每年的培訓(xùn)計(jì)劃都不曾中斷,迄今第四年的培訓(xùn)成果就是全球最強(qiáng)的黑客團(tuán)隊(duì)DEFKOR,未來(lái)BOB培訓(xùn)計(jì)劃仍將持續(xù)進(jìn)行下去。
奪冠之路:超強(qiáng)的漏洞挖掘和Exp編寫(xiě)能力
由于在Defcon預(yù)賽中,韓國(guó)DEFKOR以極小的差距排在美國(guó)PPP之后,便以預(yù)賽第二名的成績(jī)?nèi)雵鷽Q賽,而他們?cè)镜氖澜缗琶麆t是第51名。
曾經(jīng)仔細(xì)觀察DEFKOR實(shí)力的臺(tái)灣HITCON領(lǐng)隊(duì)Alan事先便預(yù)測(cè),此次DEFKOR將打敗PPP奪冠。
他進(jìn)一步解釋,打CTF比賽很重要的兩個(gè)關(guān)鍵在于挖掘漏洞的速度和寫(xiě)exp(漏洞利用程序)的速度,而在開(kāi)賽第一天,DEFKOR在開(kāi)賽4個(gè)小時(shí)后便寫(xiě)出了第一個(gè)exp更是技?jí)喝悍?,并?000分大幅領(lǐng)先于其他團(tuán)隊(duì);而這個(gè)exp臺(tái)灣HITCON戰(zhàn)隊(duì)研究到了第二天比賽的凌晨四點(diǎn)還沒(méi)有寫(xiě)出來(lái),更可以證明DEFKOR實(shí)力有多強(qiáng)大。
Alan認(rèn)為越早挖出0day造成的危害越大,隨著時(shí)間的推移,后發(fā)現(xiàn)0day的隊(duì)伍則會(huì)和發(fā)動(dòng)同一種攻擊的所有隊(duì)伍平分分?jǐn)?shù),而且最后一天每回合由5分鐘減半為2.5分鐘,此舉更讓攻擊力強(qiáng)的隊(duì)伍獲得更大優(yōu)勢(shì)。
韓國(guó)隊(duì)靠著0day漏洞和快速寫(xiě)出exp拼命得分,逐步拉開(kāi)與各個(gè)隊(duì)伍之間的分?jǐn)?shù)差距。盡管他們有具備通殺三大瀏覽器0day漏洞超能力的韓國(guó)神童lokihardt,但更為關(guān)鍵的是韓國(guó)隊(duì)有研發(fā)好用的工具,這也是各隊(duì)未來(lái)會(huì)努力的方向。
據(jù)Alan回憶,PPP戰(zhàn)隊(duì)第一天排名第五,大幅落后其他團(tuán)隊(duì),然后便緊急召回原本沒(méi)有預(yù)計(jì)參加此次比賽的天才黑客Geohot以及其他隊(duì)友參賽,PPP盡力拼到了最后,并且成功憑借許多漏洞和exp挽回頹勢(shì),并在第二天比賽結(jié)束時(shí),追趕上來(lái)取得了第二名的好成績(jī)。
獲得第三名的0DaySober從第一天比賽到最后決賽結(jié)束,不論其他戰(zhàn)隊(duì)的攻防姿勢(shì)如何變幻,他們都從容地穩(wěn)定在第三名的位置上。
組建最強(qiáng)團(tuán)隊(duì)、購(gòu)買(mǎi)間諜軟件:如此布局,皆因朝鮮
“車(chē)禍、癌癥、治不好”曾被視為韓劇三寶,盡管后來(lái)被“長(zhǎng)腿、養(yǎng)眼、土豪”取代,但是我們必須要知道真正的高麗民族并非是個(gè)只會(huì)握著木勺然后輕柔地告訴你“歐巴,慢點(diǎn)吃,小心燙”的廚娘,他們有自己與生俱來(lái)的不安全感和十分脆弱的神經(jīng)組織。
或許,這和朝鮮人民軍隊(duì)泰然處在離首爾僅35英里之外的地方有關(guān),而這樣的局面從1953年7月27日朝韓(中美)戰(zhàn)爭(zhēng)停戰(zhàn)協(xié)議簽訂之日一直維持到了今天。
高麗民族將“不安”發(fā)揮得淋漓盡致。“不安”的金正恩在北邊高調(diào)地搞著自己的核實(shí)驗(yàn),盡管出了朝鮮,金正恩的形象并不像在他的朝那樣高大,甚至就是個(gè)面目猙獰、頂著奇怪發(fā)型的魔鬼,但是“黑客攻擊索尼事件”則赤裸裸地替他教訓(xùn)了“愛(ài)開(kāi)玩笑”的美國(guó)人,同時(shí)也給韓國(guó)人敲響了警鐘。
盡管,“不安”的韓國(guó)人則心有靈犀般早在一開(kāi)始,就已經(jīng)對(duì)此有所準(zhǔn)備。
上月意大利監(jiān)控軟件銷(xiāo)售商Hacking Team被黑,內(nèi)部機(jī)密外泄,造成與其合作的各國(guó)政府瞬間裸奔于世。而韓國(guó)國(guó)家情報(bào)院則被曝出在2012年的時(shí)候從Hacking Team購(gòu)買(mǎi)軟件,用于盜取信息數(shù)據(jù),并遠(yuǎn)程控制智能手機(jī)和電腦。這本來(lái)并不會(huì)成為話題,畢竟Hacking Team的大客戶并非韓國(guó)政府一家,而一貫低調(diào)的韓國(guó)政府也能常常在國(guó)際輿論環(huán)境中游走得游刃有余。
從傾舉國(guó)之力打造最強(qiáng)黑客戰(zhàn)隊(duì),到不惜重金和輿論影響涉險(xiǎn)購(gòu)買(mǎi)黑客武器,縱觀韓國(guó)的網(wǎng)絡(luò)戰(zhàn)備,無(wú)不劍指38線另一側(cè)的朝鮮。
朝鮮121局:金正恩精銳黑客
據(jù)BBC報(bào)道,朝鮮121局被認(rèn)為是平壤網(wǎng)絡(luò)攻擊的精銳部隊(duì),高手云集,但是具體規(guī)模不詳。而在朝鮮這樣一個(gè)與世隔絕、基礎(chǔ)設(shè)施極端簡(jiǎn)陋的國(guó)家,幾乎可以肯定,網(wǎng)絡(luò)行動(dòng)是在國(guó)外策劃組織的。據(jù)悉,121局一個(gè)重要前哨就在鄰近的中國(guó)邊界地區(qū):遼寧省會(huì)沈陽(yáng)。電腦公司HP的調(diào)查將攻擊源精確指向(沈陽(yáng))一家賓館內(nèi)地下室的餐館。
朝鮮黑客到底干過(guò)什么、到底還能干什么,證據(jù)非常難找。調(diào)查人員只能依靠分析數(shù)字文件線索來(lái)判斷行為方式。比如,據(jù)說(shuō)121局經(jīng)常使用特定的惡意代碼來(lái)掩蓋行蹤。
多事之秋:韓國(guó)攻擊中國(guó),是刻意而為還是誤傷?
近日,又有新的爆料:Hacking Team泄露數(shù)據(jù)表明韓國(guó)曾針對(duì)中國(guó)發(fā)起網(wǎng)絡(luò)攻擊。這些信息包含了Hacking Team的客戶列表,紅色即韓國(guó)的5163部隊(duì),根據(jù)5163部隊(duì)的信息可以追溯到韓國(guó)國(guó)情院(NIS),而其聯(lián)系人地址則是devilangel1004@Gmail.com。
雙方往來(lái)郵件中多次提到了,在中國(guó)的攻擊目標(biāo),并且他們?cè)趯?duì)國(guó)內(nèi)目標(biāo)實(shí)施攻擊時(shí)遇到的一些問(wèn)題,其中就包括立功的360安全衛(wèi)士等防護(hù)軟件。
此外,還有一些數(shù)據(jù)記錄了在6月實(shí)際發(fā)生的個(gè)別攻擊事件,包括6月26日一北京IP訪問(wèn)了攻擊漏洞鏈接,訪問(wèn)機(jī)型為華為G700;另一起是遼寧IP,6月18日,訪問(wèn)了攻擊漏洞連接,機(jī)型為三星9008。
而根據(jù)一份7月12日韓國(guó)軍方發(fā)布的資料,韓國(guó)國(guó)家情報(bào)院確有購(gòu)買(mǎi)Hacking Team提供的間諜軟件,但是這是為了分析攻擊技術(shù),提高韓國(guó)的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)能力以抵御朝鮮潛在的威脅。如果此說(shuō)法屬實(shí),F(xiàn)reeBuf認(rèn)為,韓國(guó)的一系列動(dòng)作或許并非針對(duì)中國(guó)本身,目標(biāo)是“相傳”窩藏在中國(guó)境內(nèi)的朝鮮黑客也并非不可能。
朝韓黑客爭(zhēng)霸歷史由來(lái)已久——從60年前真刀真槍的戰(zhàn)場(chǎng),演變?yōu)槿缃竦能妭涓?jìng)賽和網(wǎng)絡(luò)空間戰(zhàn),這注定是一部未落幕的兄弟互撕血淚史。