5月26日至27日���,在HITB兩天的會(huì )議上�,來(lái)自中國的speaker(演講者)的東方面孔吸引了眾人的目光���。據初步統計�,這兩天�����,中國的speaker登臺演示的議題達到了7個(gè)���。
中國白帽子越來(lái)越活躍
Hack in the box是歐洲地區最具影響力的安全技術(shù)交流大會(huì )�����,每年都會(huì )吸引全球范圍內的眾多安全“大咖”出席�。議題要經(jīng)過(guò)申報�、評選等程序���,最終被選中的黑客才能成為speaker�����,登臺演講與業(yè)界大咖現場(chǎng)切磋���。
美琳是HITB在馬來(lái)西亞的工作人員�,這是她第7次為HITB大會(huì )做服務(wù)�。她也注意到中國speaker增加的現象���。“這是件好事�,HITB是個(gè)很好的平臺�。”美琳說(shuō)���,通過(guò)這個(gè)平臺���,可以讓越來(lái)越多的人了解到中國在網(wǎng)絡(luò )安全領(lǐng)域的實(shí)力與進(jìn)展�����。
此次�,360入選的議題達到了5個(gè)�����,有7人成為speaker�����。其中�����,黃琳的議題在發(fā)布之初就收到了蘋(píng)果�、華為�����、高通等公司的郵件�,詢(xún)問(wèn)漏洞細節�����。而360無(wú)線(xiàn)電安全研究團隊成員單好奇與鄭玉偉關(guān)于網(wǎng)絡(luò )時(shí)間協(xié)議(NTP)的議題也受到業(yè)界的關(guān)注�。
所謂NTP是使網(wǎng)絡(luò )中的各個(gè)計算機時(shí)間同步的一種協(xié)議�����,也是網(wǎng)絡(luò )數據交互順利進(jìn)行的前提�。據鄭玉偉介紹���,目前全球有不少NTP服務(wù)器從無(wú)線(xiàn)授時(shí)信號獲取精確時(shí)鐘�����,并將其傳遞給包括工業(yè)設備時(shí)鐘在內的各種設備���。單好奇與鄭玉偉所在的團隊發(fā)現�,NTP 服務(wù)器也會(huì )被偽造時(shí)鐘信號影響���,一旦出現這種情況�,所有與此NTP 服務(wù)器同步的互聯(lián)網(wǎng)設備都將陷入紊亂�����。
“這個(gè)想法很有創(chuàng )意�����。”來(lái)自英國的安全專(zhuān)家丹尼斯表示�,能夠把無(wú)線(xiàn)電領(lǐng)域的安全技術(shù)與網(wǎng)絡(luò )時(shí)間協(xié)議結合起來(lái)本身就是一種安全技術(shù)的創(chuàng )新�。在互聯(lián)網(wǎng)世界�,幾乎沒(méi)有服務(wù)不用到“時(shí)間”這個(gè)要素�,電力�、金融�、通信���、交通�、廣電�、安防以及IT數據中心等關(guān)鍵領(lǐng)域都是如此�,如果網(wǎng)絡(luò )時(shí)間協(xié)議守護進(jìn)程被惡意破壞���,后果很可能是災難性的�。
因此�����,越來(lái)越多的安全研究員開(kāi)始關(guān)注包括NTP在內的全球互聯(lián)網(wǎng)核心組件安全���,5月初�����,360信息安全部的研究員向“網(wǎng)絡(luò )時(shí)間的維護者”NTP項目組提交了4枚高危漏洞���,并提出解決方案�����。
360Unicorn Team負責人楊卿說(shuō)�,中國白帽子(指正面的黑客�,他可以識別計算機系統或網(wǎng)絡(luò )系統中的安全漏洞�����,但不會(huì )惡意利用�,而是公布漏洞�����,從而有利于系統修補防范)在世界頂級黑客大會(huì )上越來(lái)越多地發(fā)聲���,這種現象從前兩年就已經(jīng)露出端倪���。去年中國黑客在國際上的兩場(chǎng)頂級黑客大會(huì )(DEFCON和Black Hat)上演講的題目達13個(gè)�。這也讓中國網(wǎng)絡(luò )安全領(lǐng)域的進(jìn)步���,受到世界認可�。
一次“非正式”聚首背后的深意
更值得關(guān)注的是���,這些白帽子黑客背后強大的團隊陣容�。除360公司�,百度�、阿里巴巴���、華為也都派出了自己在安全領(lǐng)域的精兵強將���。從某種意義上來(lái)說(shuō)�����,這差不多是國內互聯(lián)網(wǎng)安全領(lǐng)域最重要公司的一次“非正式”聚首���。
一些業(yè)內人士表示�����,近年來(lái)�����,國內IT巨頭紛紛加大了在互聯(lián)網(wǎng)安全領(lǐng)域的投入���。這是因為萬(wàn)物互聯(lián)時(shí)代�,網(wǎng)絡(luò )風(fēng)險安全日益凸顯���,其所帶來(lái)的危害遠超傳統意義上的數據泄露范圍���,比如�,在智能汽車(chē)領(lǐng)域�����,一旦黑客攻破了汽車(chē)安全系統���,駕駛員就可能面臨生命危險�。
2015年美國安全研究員查理·米勒通過(guò)遠程控制給高速行駛中的JEEP車(chē)踩剎車(chē)的方式�����,首次讓克萊斯勒因信息系統問(wèn)題召回了140萬(wàn)輛汽車(chē)�����,自此全世界對汽車(chē)安全的關(guān)注點(diǎn)也在安全氣囊�����、安全帶的基礎上���,增加了汽車(chē)信息系統安全���。
“汽車(chē)的電子化已經(jīng)成為趨勢�,安全公司也該充分關(guān)注這些‘車(chē)輪上的計算機’的安全性�。”在HITB講臺上���,360Unicorn Team的研究員李均說(shuō)�����。他現場(chǎng)展示了一種汽車(chē)入侵檢測系統�,這個(gè)系統通過(guò)對現有汽車(chē)網(wǎng)絡(luò )攻擊案例和汽車(chē)內部網(wǎng)絡(luò )結構的研究���,總結出一種普適的防御方法���。根據汽車(chē)工作的特性�����,這套安全系統可以檢測出車(chē)輛在行駛中出現的異常反應�,并及時(shí)響應�����,從而保障汽車(chē)信息系統的安全���。
國內對互聯(lián)網(wǎng)安全問(wèn)題的不斷重視�����,也是互聯(lián)網(wǎng)巨頭們舍得在安全領(lǐng)域加大投入的一個(gè)原因�。今年4月�����,習近平總書(shū)記在網(wǎng)絡(luò )安全和信息化工作座談會(huì )上的講話(huà)���,讓企業(yè)進(jìn)一步意識到互聯(lián)網(wǎng)安全工作的趨勢�����。
而參加黑客大會(huì )�����,一方面可以幫助中國安全企業(yè)在海外樹(shù)立品牌���,一方面有助于研究人員了解網(wǎng)絡(luò )安全的最新趨勢�。楊卿說(shuō)�,從大會(huì )上的議題來(lái)分析�,虛擬化安全�、云安全及汽車(chē)安全很受重視�����,這也反映了目前網(wǎng)絡(luò )安全工作的核心趨勢�����。他在現場(chǎng)交流中發(fā)現���,一些外國黑客思維活躍�,他們的研究方向���、領(lǐng)域對中國黑客也很有啟發(fā)���。
要不拘一格降人才
張煜龍認為���,雖然整體來(lái)看美國的互聯(lián)網(wǎng)安全防護水平仍然是世界上最高的���,但在某些領(lǐng)域���,中國有自己的優(yōu)勢�����。比如在系統安全方面中國人是領(lǐng)先的�����,但在密碼學(xué)方面中國落后于歐洲���。“中國的問(wèn)題是企業(yè)民眾包括政府部門(mén)在安全方面的認知上與美國等國家相比有差距�。在整個(gè)市場(chǎng)及安全的重視程度上�,中國與美國比還有差距”�����。
美國重視安全工作�,有完備的法律要求�。張煜龍說(shuō):“有些東西不是說(shuō)你重不重視�����,而是法律要求你必須重視�。比如���,如果Facebook�����、Google被黑客攻擊了���,數據泄露了�,這不只是個(gè)名聲問(wèn)題�����,而是這些公司要負法律責任�。”這敦促大公司必須重視網(wǎng)絡(luò )安全工作�����。因此�����,要提升互聯(lián)網(wǎng)安全防御的整體水平�,中國的法律意識急需跟上�。
楊卿很關(guān)注網(wǎng)絡(luò )安全領(lǐng)域的人才問(wèn)題���。他認為�����,韓國在互聯(lián)網(wǎng)安全領(lǐng)域的實(shí)力很強�����,一個(gè)重要原因是對人才的重視�����,并且有相應的政策�。中國在這方面亟待加強���。今年4月���,習近平總書(shū)記在網(wǎng)絡(luò )安全和信息化工作座談會(huì )上的講話(huà)里也著(zhù)重強調了人才問(wèn)題���,這也引起了業(yè)界的關(guān)注�。
“互聯(lián)網(wǎng)主要是年輕人的事業(yè)�,要不拘一格降人才���。”習近平總書(shū)記在講話(huà)中說(shuō)���,“互聯(lián)網(wǎng)領(lǐng)域的人才�����,不少是怪才�����、奇才�,他們往往不走一般套路�����,有很多奇思妙想���。對待特殊人才要有特殊政策���,不要求全責備�����,不要論資排輩���,不要都用一把尺子衡量�。”“要采取特殊政策�����,建立適應網(wǎng)信特點(diǎn)的人事制度���、薪酬制度���,把優(yōu)秀人才凝聚到技術(shù)部門(mén)�����、研究部門(mén)���、管理部門(mén)中來(lái)�。要建立適應網(wǎng)信特點(diǎn)的人才評價(jià)機制�,以實(shí)際能力為衡量標準���,不唯學(xué)歷�,不唯論文���,不唯資歷�����,突出專(zhuān)業(yè)性���、創(chuàng )新性�、實(shí)用性�����。”
楊卿認為�����,這些說(shuō)法有很強的針對性�����。一些黑客都是怪才�,有的可能只是初中畢業(yè)�,如果政府部門(mén)以學(xué)歷為指標�,可能很難找到人才�。還有一些黑客可能會(huì )因為好奇心做了壞事�����,對這些問(wèn)題如何處理�����?整個(gè)社會(huì )需要有一種更加寬容的氛圍���。對黑帽子(利用自身技術(shù)���,在網(wǎng)絡(luò )上竊取資源或破解收費軟件獲利的黑客)正確引導的話(huà)���,他們有可能成為安全防護力量���。黑帽子與白帽子很多時(shí)候沒(méi)有完全界限�。從其他國家的情況來(lái)看�����,將黑帽子收編也是一種方式�����。
