近日,北美地区最具影响力之一的信息安全大会 CanSecWest 2016在加拿大温哥华落下帷幕。中国安全技术军团在此次大会中成为最为耀眼的明星,不仅包揽了CanSecWest上的多个重要议题,还在该会议备受瞩目的Pwn2Own破解大赛上取得了最好成绩。来自360公司的Vulcan(伏尔甘)团队用时11秒独家攻破了本次大赛中难度最高的项目谷歌Chrome浏览器,还攻破了基于微软Edge浏览器的Adobe Flash Player,并获得最高权限。来自腾讯的三支队伍也在该比赛中有上佳表现。
业内专家表示,中国互联网安全技术部分领域已经逐渐达到世界领先水平,中国白帽“黑客”正在成为保障国家网络安全的重要力量。
打擂台中国安全军团信心满满
自斯诺登爆出“棱镜门”事件后,各国对网络安全的关注就再也没有停歇过。中国与欧美等发达国家之间的网络安全防护能力差距成为悬在人们头顶的“达摩克利斯之剑”。
此次CanSecWest 2016似乎已经给出了一些答案。谷歌Chrome与刚刚结束的“人机大战”上战胜围棋九段李世石的AlphaGO是“同门兄弟”,一直代表着谷歌安全防御技术的最高水平。除了全球闻名的“黑客天团”Google Project Zero以外,谷歌还拥有上千台服务器以深度挖掘技术对Chrome等产品进行漏洞测试。Chrome也因此在历届Pwn2Own大赛上都成为“黑客”面临的终极挑战,最新版Chrome的安全系数相比往年更是有着飞跃提升。此次360Vulcan Team联合360手机卫士出战,使用四个漏洞组合攻击,仅仅用了11秒就完成破解。中国成为亚洲首次攻破Chrome的国家,也打破了欧美“黑客”团队在破解Chrome方面的垄断地位。
随着互联网的发展,攻防对抗也在不断升级,入选国际安全会议、破解大赛的难度越来越高,只有在该领域具备全球顶尖实力的亚洲选手才能够顺利挑战。通过梳理近几年世界顶尖的国际老牌安全会议Black Hat、Defcon、CansecWest等,我们发现,来自中国的演讲者越来越多。“可以说,没有两把刷子,根本不可能在这类高手云集的国际会议上有露脸的机会。”360公司的年轻演讲者唐青昊表示。
挖漏洞巨头致谢中国白帽“黑客”
对于网络安全行业来说,技术实力是一家公司竞争力的决定因素,这集中体现在对顶级互联网安全公司的漏洞挖掘能力上。白帽“黑客”们将挖掘到的漏洞报告给软件商,帮助厂商打补丁保护用户,提升产品安全性,Adobe、谷歌、微软、苹果等国际巨头也会对这些白帽“黑客”进行公开致谢。
《2015年全球白帽子“黑客”排行榜》就是基于2015年Adobe、Apple(苹果)、Google(谷歌)、Microsoft(微软)四大软件巨头的漏洞致谢数据,对白帽“黑客”团队的贡献值进行的排名。
2015年,共计15家中国公司(团队)入选了这一排行榜,360、百度和腾讯等公司都名列其中。360全年获得微软、谷歌、苹果、Adobe的漏洞致谢数高达105次,仅次于谷歌位列世界第二,中国领先;百度全年获得漏洞致谢27次,位列中国第二;腾讯以全年获得致谢数25次位列排行榜中国团队的第三名。阿里巴巴、绿盟科技、知道创宇、清华大学、北京大学等国内团队均出现在各大软件厂商的漏洞致谢名单中。
随着国内互联网行业的发展,网络安全越来越被各大厂商重视,越来越多的中国白帽“黑客”开始活跃在世界舞台上。
拼技术网络空间安全必须有保障
进入万物互联时代,新技术、新应用层出不穷,网络安全的样式和手段发生巨大的变化。网络安全成为一个关乎国家安全、国家主权和每一个互联网用户权益的重大问题。
近几年来,各国在网络空间的攻防战愈演愈烈, 数据显示,中国是黑客攻击的受害国,中国党政机关、科研机构、重要行业单位网站依然是黑客组织攻击特别是APT(高级持续性威胁)攻击的重点目标。APT28、图拉、方程小组、海莲花等多个具有特殊目的的APT攻击黑客组织不断浮出水面,网络空间的博弈愈演愈烈。
2015年5月29日,一个专门攻击中国政府的境外黑客组织“海莲花”(OceanLotus)被曝光。据360旗下“天眼实验室”发布的研究报告,“海莲花”组织自2012年4月以来,针对中国政府、海事机构、海域建设部门、科研院所和航运企业,展开了长时间的APT攻击。这也是国内首次披露来自境外的国家级黑客组织。
“海莲花”黑客组织的曝光,印证了中国确实正面临着严重的网络空间威胁。境外黑客攻击装备精良、组织严密,背后很可能有国外政府支持。而中国在针对国家级黑客攻击方面尚有提高空间。中国国防部发言人在接受媒体采访时强调:“中国是遭受网络黑客攻击的最大受害国家,当前国家安全和发展利益在网络空间面临的威胁和挑战越来越多。为了维护国家网络空间安全,我们将根据新形势下的使命任务适度建设网络空间力量,发展网络空间防御能力。”