5月26日至27日�,在HITB兩天的會議上���,來自中國的speaker(演講者)的東方面孔吸引了眾人的目光���。據初步統計����,這兩天����,中國的speaker登臺演示的議題達到了7個。
中國白帽子越來越活躍
Hack in the box是歐洲地區最具影響力的安全技術交流大會�,每年都會吸引全球范圍內的眾多安全“大咖”出席��。議題要經過申報、評選等程序���,最終被選中的黑客才能成為speaker,登臺演講與業界大咖現場切磋����。
美琳是HITB在馬來西亞的工作人員�,這是她第7次為HITB大會做服務�����。她也注意到中國speaker增加的現象��。“這是件好事,HITB是個很好的平臺���。”美琳說,通過這個平臺����,可以讓越來越多的人了解到中國在網絡安全領域的實力與進展。
此次����,360入選的議題達到了5個���,有7人成為speaker���。其中����,黃琳的議題在發布之初就收到了蘋果����、華為、高通等公司的郵件,詢問漏洞細節。而360無線電安全研究團隊成員單好奇與鄭玉偉關于網絡時間協議(NTP)的議題也受到業界的關注����。
所謂NTP是使網絡中的各個計算機時間同步的一種協議����,也是網絡數據交互順利進行的前提���。據鄭玉偉介紹���,目前全球有不少NTP服務器從無線授時信號獲取精確時鐘,并將其傳遞給包括工業設備時鐘在內的各種設備。單好奇與鄭玉偉所在的團隊發現�����,NTP 服務器也會被偽造時鐘信號影響����,一旦出現這種情況�,所有與此NTP 服務器同步的互聯網設備都將陷入紊亂。
“這個想法很有創意��。”來自英國的安全專家丹尼斯表示����,能夠把無線電領域的安全技術與網絡時間協議結合起來本身就是一種安全技術的創新。在互聯網世界,幾乎沒有服務不用到“時間”這個要素��,電力���、金融�、通信、交通、廣電��、安防以及IT數據中心等關鍵領域都是如此����,如果網絡時間協議守護進程被惡意破壞,后果很可能是災難性的�。
因此���,越來越多的安全研究員開始關注包括NTP在內的全球互聯網核心組件安全��,5月初,360信息安全部的研究員向“網絡時間的維護者”NTP項目組提交了4枚高危漏洞�,并提出解決方案��。
360Unicorn Team負責人楊卿說,中國白帽子(指正面的黑客�����,他可以識別計算機系統或網絡系統中的安全漏洞���,但不會惡意利用����,而是公布漏洞�����,從而有利于系統修補防范)在世界頂級黑客大會上越來越多地發聲�����,這種現象從前兩年就已經露出端倪。去年中國黑客在國際上的兩場頂級黑客大會(DEFCON和Black Hat)上演講的題目達13個��。這也讓中國網絡安全領域的進步�����,受到世界認可�����。
一次“非正式”聚首背后的深意
更值得關注的是,這些白帽子黑客背后強大的團隊陣容�。除360公司�,百度��、阿里巴巴����、華為也都派出了自己在安全領域的精兵強將�����。從某種意義上來說,這差不多是國內互聯網安全領域最重要公司的一次“非正式”聚首。
一些業內人士表示,近年來����,國內IT巨頭紛紛加大了在互聯網安全領域的投入����。這是因為萬物互聯時代,網絡風險安全日益凸顯���,其所帶來的危害遠超傳統意義上的數據泄露范圍,比如�����,在智能汽車領域�����,一旦黑客攻破了汽車安全系統�,駕駛員就可能面臨生命危險���。
2015年美國安全研究員查理·米勒通過遠程控制給高速行駛中的JEEP車踩剎車的方式�,首次讓克萊斯勒因信息系統問題召回了140萬輛汽車,自此全世界對汽車安全的關注點也在安全氣囊�����、安全帶的基礎上���,增加了汽車信息系統安全�����。
“汽車的電子化已經成為趨勢,安全公司也該充分關注這些‘車輪上的計算機’的安全性。”在HITB講臺上,360Unicorn Team的研究員李均說。他現場展示了一種汽車入侵檢測系統,這個系統通過對現有汽車網絡攻擊案例和汽車內部網絡結構的研究��,總結出一種普適的防御方法��。根據汽車工作的特性����,這套安全系統可以檢測出車輛在行駛中出現的異常反應��,并及時響應��,從而保障汽車信息系統的安全。
國內對互聯網安全問題的不斷重視,也是互聯網巨頭們舍得在安全領域加大投入的一個原因。今年4月���,習近平總書記在網絡安全和信息化工作座談會上的講話,讓企業進一步意識到互聯網安全工作的趨勢。
而參加黑客大會�,一方面可以幫助中國安全企業在海外樹立品牌�,一方面有助于研究人員了解網絡安全的最新趨勢���。楊卿說�����,從大會上的議題來分析����,虛擬化安全���、云安全及汽車安全很受重視�,這也反映了目前網絡安全工作的核心趨勢。他在現場交流中發現,一些外國黑客思維活躍�,他們的研究方向����、領域對中國黑客也很有啟發���。
要不拘一格降人才
張煜龍認為�����,雖然整體來看美國的互聯網安全防護水平仍然是世界上最高的,但在某些領域�����,中國有自己的優勢。比如在系統安全方面中國人是領先的�����,但在密碼學方面中國落后于歐洲����。“中國的問題是企業民眾包括政府部門在安全方面的認知上與美國等國家相比有差距。在整個市場及安全的重視程度上����,中國與美國比還有差距”��。
美國重視安全工作,有完備的法律要求�����。張煜龍說:“有些東西不是說你重不重視�����,而是法律要求你必須重視�。比如�,如果Facebook�����、Google被黑客攻擊了�,數據泄露了���,這不只是個名聲問題����,而是這些公司要負法律責任。”這敦促大公司必須重視網絡安全工作�。因此���,要提升互聯網安全防御的整體水平�����,中國的法律意識急需跟上。
楊卿很關注網絡安全領域的人才問題����。他認為����,韓國在互聯網安全領域的實力很強��,一個重要原因是對人才的重視��,并且有相應的政策。中國在這方面亟待加強����。今年4月���,習近平總書記在網絡安全和信息化工作座談會上的講話里也著重強調了人才問題,這也引起了業界的關注。
“互聯網主要是年輕人的事業,要不拘一格降人才����。”習近平總書記在講話中說��,“互聯網領域的人才,不少是怪才、奇才���,他們往往不走一般套路,有很多奇思妙想。對待特殊人才要有特殊政策�����,不要求全責備,不要論資排輩,不要都用一把尺子衡量。”“要采取特殊政策�,建立適應網信特點的人事制度���、薪酬制度��,把優秀人才凝聚到技術部門、研究部門�、管理部門中來�����。要建立適應網信特點的人才評價機制,以實際能力為衡量標準����,不唯學歷���,不唯論文�,不唯資歷�,突出專業性、創新性����、實用性。”
楊卿認為���,這些說法有很強的針對性。一些黑客都是怪才��,有的可能只是初中畢業�,如果政府部門以學歷為指標,可能很難找到人才����。還有一些黑客可能會因為好奇心做了壞事����,對這些問題如何處理��?整個社會需要有一種更加寬容的氛圍����。對黑帽子(利用自身技術�����,在網絡上竊取資源或破解收費軟件獲利的黑客)正確引導的話�,他們有可能成為安全防護力量��。黑帽子與白帽子很多時候沒有完全界限�����。從其他國家的情況來看,將黑帽子收編也是一種方式�。
