近日,北美地區(qū)最具影響力之一的信息安全大會 CanSecWest 2016在加拿大溫哥華落下帷幕。中國安全技術(shù)軍團在此次大會中成為最為耀眼的明星,不僅包攬了CanSecWest上的多個重要議題,還在該會議備受矚目的Pwn2Own破解大賽上取得了最好成績。來自360公司的Vulcan(伏爾甘)團隊用時11秒獨家攻破了本次大賽中難度最高的項目谷歌Chrome瀏覽器,還攻破了基于微軟Edge瀏覽器的Adobe Flash Player,并獲得最高權(quán)限。來自騰訊的三支隊伍也在該比賽中有上佳表現(xiàn)。
業(yè)內(nèi)專家表示,中國互聯(lián)網(wǎng)安全技術(shù)部分領(lǐng)域已經(jīng)逐漸達到世界領(lǐng)先水平,中國白帽“黑客”正在成為保障國家網(wǎng)絡(luò)安全的重要力量。
打擂臺 中國安全軍團信心滿滿
自斯諾登爆出“棱鏡門”事件后,各國對網(wǎng)絡(luò)安全的關(guān)注就再也沒有停歇過。中國與歐美等發(fā)達國家之間的網(wǎng)絡(luò)安全防護能力差距成為懸在人們頭頂?shù)?ldquo;達摩克利斯之劍”。
此次CanSecWest 2016似乎已經(jīng)給出了一些答案。谷歌Chrome與剛剛結(jié)束的“人機大戰(zhàn)”上戰(zhàn)勝圍棋九段李世石的AlphaGO是“同門兄弟”,一直代表著谷歌安全防御技術(shù)的最高水平。除了全球聞名的“黑客天團”Google Project Zero以外,谷歌還擁有上千臺服務(wù)器以深度挖掘技術(shù)對Chrome等產(chǎn)品進行漏洞測試。Chrome也因此在歷屆Pwn2Own大賽上都成為“黑客”面臨的終極挑戰(zhàn),最新版Chrome的安全系數(shù)相比往年更是有著飛躍提升。此次360Vulcan Team聯(lián)合360手機衛(wèi)士出戰(zhàn),使用四個漏洞組合攻擊,僅僅用了11秒就完成破解。中國成為亞洲首次攻破Chrome的國家,也打破了歐美“黑客”團隊在破解Chrome方面的壟斷地位。
隨著互聯(lián)網(wǎng)的發(fā)展,攻防對抗也在不斷升級,入選國際安全會議、破解大賽的難度越來越高,只有在該領(lǐng)域具備全球頂尖實力的亞洲選手才能夠順利挑戰(zhàn)。通過梳理近幾年世界頂尖的國際老牌安全會議Black Hat、Defcon、CansecWest等,我們發(fā)現(xiàn),來自中國的演講者越來越多。“可以說,沒有兩把刷子,根本不可能在這類高手云集的國際會議上有露臉的機會。”360公司的年輕演講者唐青昊表示。
挖漏洞 巨頭致謝中國白帽“黑客”
對于網(wǎng)絡(luò)安全行業(yè)來說,技術(shù)實力是一家公司競爭力的決定因素,這集中體現(xiàn)在對頂級互聯(lián)網(wǎng)安全公司的漏洞挖掘能力上。白帽“黑客”們將挖掘到的漏洞報告給軟件商,幫助廠商打補丁保護用戶,提升產(chǎn)品安全性,Adobe、谷歌、微軟、蘋果等國際巨頭也會對這些白帽“黑客”進行公開致謝。
《2015年全球白帽子“黑客”排行榜》就是基于2015年Adobe、Apple(蘋果)、Google(谷歌)、Microsoft(微軟)四大軟件巨頭的漏洞致謝數(shù)據(jù),對白帽“黑客”團隊的貢獻值進行的排名。
2015年,共計15家中國公司(團隊)入選了這一排行榜,360、百度和騰訊等公司都名列其中。360全年獲得微軟、谷歌、蘋果、Adobe的漏洞致謝數(shù)高達105次,僅次于谷歌位列世界第二,中國領(lǐng)先;百度全年獲得漏洞致謝27次,位列中國第二;騰訊以全年獲得致謝數(shù)25次位列排行榜中國團隊的第三名。阿里巴巴、綠盟科技、知道創(chuàng)宇、清華大學(xué)、北京大學(xué)等國內(nèi)團隊均出現(xiàn)在各大軟件廠商的漏洞致謝名單中。
隨著國內(nèi)互聯(lián)網(wǎng)行業(yè)的發(fā)展,網(wǎng)絡(luò)安全越來越被各大廠商重視,越來越多的中國白帽“黑客”開始活躍在世界舞臺上。
拼技術(shù) 網(wǎng)絡(luò)空間安全必須有保障
進入萬物互聯(lián)時代,新技術(shù)、新應(yīng)用層出不窮,網(wǎng)絡(luò)安全的樣式和手段發(fā)生巨大的變化。網(wǎng)絡(luò)安全成為一個關(guān)乎國家安全、國家主權(quán)和每一個互聯(lián)網(wǎng)用戶權(quán)益的重大問題。
近幾年來,各國在網(wǎng)絡(luò)空間的攻防戰(zhàn)愈演愈烈, 數(shù)據(jù)顯示,中國是黑客攻擊的受害國,中國黨政機關(guān)、科研機構(gòu)、重要行業(yè)單位網(wǎng)站依然是黑客組織攻擊特別是APT(高級持續(xù)性威脅)攻擊的重點目標(biāo)。APT28、圖拉、方程小組、海蓮花等多個具有特殊目的的APT攻擊黑客組織不斷浮出水面,網(wǎng)絡(luò)空間的博弈愈演愈烈。
2015年5月29日,一個專門攻擊中國政府的境外黑客組織“海蓮花”(OceanLotus)被曝光。據(jù)360旗下“天眼實驗室”發(fā)布的研究報告,“海蓮花”組織自2012年4月以來,針對中國政府、海事機構(gòu)、海域建設(shè)部門、科研院所和航運企業(yè),展開了長時間的APT攻擊。這也是國內(nèi)首次披露來自境外的國家級黑客組織。
“海蓮花”黑客組織的曝光,印證了中國確實正面臨著嚴(yán)重的網(wǎng)絡(luò)空間威脅。境外黑客攻擊裝備精良、組織嚴(yán)密,背后很可能有國外政府支持。而中國在針對國家級黑客攻擊方面尚有提高空間。中國國防部發(fā)言人在接受媒體采訪時強調(diào):“中國是遭受網(wǎng)絡(luò)黑客攻擊的最大受害國家,當(dāng)前國家安全和發(fā)展利益在網(wǎng)絡(luò)空間面臨的威脅和挑戰(zhàn)越來越多。為了維護國家網(wǎng)絡(luò)空間安全,我們將根據(jù)新形勢下的使命任務(wù)適度建設(shè)網(wǎng)絡(luò)空間力量,發(fā)展網(wǎng)絡(luò)空間防御能力。”