頭戴耳麥、背靠大牌電競(jìng)專(zhuān)用椅、帥氣十足地念念有詞，兇起來(lái)直接一串代碼刪除自己的服務(wù)器……熱播電視劇《親愛(ài)的 熱愛(ài)的》里酷炫的CTF(網(wǎng)絡(luò)安全奪旗戰(zhàn))，在現(xiàn)實(shí)中真是這么操作的嗎?

　　近日，全球白帽黑客頂級(jí)會(huì)議Black Hat和DEF CON在美國(guó)拉斯維加斯落幕。面對(duì)數(shù)萬(wàn)名頂級(jí)白帽，來(lái)自阿里安全的蒸米、白小龍、五達(dá)代表阿里巴巴經(jīng)濟(jì)體，連續(xù)三年登臺(tái)演講，展示在iOS系統(tǒng)安全以及IoT安全領(lǐng)域的最新發(fā)現(xiàn)，實(shí)力演繹了現(xiàn)實(shí)版的“韓商言”。

　　圖說(shuō)：阿里安全雙子座實(shí)驗(yàn)室高級(jí)安全專(zhuān)家蒸米在Black Hat上受邀演講

　　帶著iOS系統(tǒng)漏洞議題數(shù)次參加Black Hat的蒸米，曾是著名CTF戰(zhàn)隊(duì)藍(lán)蓮花成員，參加過(guò)世界頂級(jí)黑客大賽 DEF CON CTF，也拿過(guò)AliCTF冠軍和國(guó)內(nèi)XCTF聯(lián)賽個(gè)人排行榜前十的成績(jī)。

　　“真實(shí)的CTF很簡(jiǎn)單，做題就是了，沒(méi)有舞臺(tái)，也沒(méi)那么酷炫。”蒸米還記得此前在學(xué)校的時(shí)候參加一個(gè)線上CTF，做題做到凌晨3點(diǎn)，遇到一道移動(dòng)安全的題目，需要“動(dòng)態(tài)脫殼”，但宿舍電腦跑不起來(lái)脫殼的環(huán)境，他抓起鑰匙就往實(shí)驗(yàn)室跑，偌大的實(shí)驗(yàn)室空無(wú)一人，只有他在一臺(tái)屏幕前眼睛里閃著光，“是孤獨(dú)的，也是幸福的。”

　　在阿里安全內(nèi)部，像蒸米一樣參加過(guò)CTF的白帽很多，但為了更好地保障系統(tǒng)安全、平臺(tái)安全，進(jìn)而維護(hù)網(wǎng)絡(luò)安全，讓消費(fèi)者安全購(gòu)物，他們都舍棄了“攻”的痛快和耀眼，選擇看起來(lái)并不容易地“防”，包括挖漏洞也是帶著給出解決方案的視角，堅(jiān)持用技術(shù)去解決社會(huì)問(wèn)題。

　　三白帽登頂會(huì)累計(jì)30余次

　　阿里安全獵戶座實(shí)驗(yàn)室安全專(zhuān)家、IoT安全達(dá)人五達(dá)2015年至今已參加四次Black Hat，他的發(fā)現(xiàn)包括超聲波干擾VR、AR等物聯(lián)網(wǎng)設(shè)備，去視頻水印攻擊技術(shù)等，今年帶著IoT傳感器的漏洞以及相關(guān)的解決辦法，五達(dá)在DEF CON上的演講又贏得一片掌聲。

　　兩年來(lái)，五達(dá)已經(jīng)參加國(guó)內(nèi)外各類(lèi)安全頂會(huì)十余次，這意味著每次都有重要的IoT漏洞被他提交，這意味著新的攻擊路徑還未被發(fā)現(xiàn)，就已被他扼殺，讓物聯(lián)網(wǎng)設(shè)備多了一分安全。從拉斯維加斯到阿姆斯特丹，再到迪拜、慕尼黑，五達(dá)的足跡已經(jīng)快遍布全球，研究成果也曾被福布斯雜志報(bào)道，被美國(guó)連線雜志評(píng)選為當(dāng)年“最佳Hack”之一。

　　蒸米、白小龍是一對(duì)蘋(píng)果操作系統(tǒng)安全的黃金搭檔。圍繞著蘋(píng)果系統(tǒng)安全這個(gè)主題，他們挖到了越來(lái)越多的漏洞并探索了全新的方法論，他們的研究不但有攻擊的思路，還為蘋(píng)果公司提供了系統(tǒng)防御的思路。蒸米和白小龍的每次演講，均有蘋(píng)果公司安全團(tuán)隊(duì)成員等在臺(tái)下。最近一年，他們被蘋(píng)果授予6個(gè)CVE(公共漏洞暴露)并獲官網(wǎng)致謝，蘋(píng)果公司安全負(fù)責(zé)人更是親自到場(chǎng)，感謝他們的研究讓蘋(píng)果的操作系統(tǒng)更加的隱私和安全。

　　從DEFCON 101演講開(kāi)始，到最后公認(rèn)的TOP 1的Black Hat USA，蒸米和白小龍已經(jīng)拿下了名副其實(shí)的頂會(huì)“大滿貫”，這在行業(yè)里都是極為罕見(jiàn)的。

　　圖說(shuō)：阿里安全雙子座實(shí)驗(yàn)室安全專(zhuān)家白小龍(左一)受邀在DEF CON演講

　　首獲黑客界“奧斯卡”大獎(jiǎng)提名

　　Black Hat匯聚全球白帽黑客、安全廠商、研究機(jī)構(gòu)等各類(lèi)安全群體，議題審核最嚴(yán)苛為業(yè)內(nèi)公認(rèn)，每年上報(bào)的議題最終通過(guò)率不足20%。DEF CON作為聚集白帽黑客數(shù)量最多的大會(huì)，風(fēng)格更輕松活潑，但入選議題的含金量也相當(dāng)高。

　　過(guò)去三年里，阿里安全八大實(shí)驗(yàn)室已經(jīng)有15名安全專(zhuān)家受邀參加Black Hat和DEF CON兩大頂會(huì)。若要加上HITB、RSA、Xcon等其他頂會(huì)，阿里安全白帽參加頂會(huì)的人次還要再翻倍。

　　值得注意的是，創(chuàng)始于2007年，被譽(yù)為“全球白帽黑客奧斯卡”(The Pwnie Awards)大獎(jiǎng)今年的榜單上，阿里安全專(zhuān)家王勇獲得最佳提權(quán)漏洞獎(jiǎng)提名。雖然抱憾未獲最終大獎(jiǎng)，不過(guò)這位出生于1991年的白帽依然信心滿滿，“還年輕，明年繼續(xù)試。”

　　圖說(shuō)：The Pwnie Awards榜單上，阿里安全專(zhuān)家王勇獲得最佳提權(quán)漏洞獎(jiǎng)提名

　　此外，在今年微軟公布的2019MSRC全球最具價(jià)值安全精英榜單中，君故、紫密這兩位來(lái)自阿里安全的兩位白帽上榜，位列前二十。“他們使用的就是我們獨(dú)創(chuàng)的內(nèi)核漏洞檢測(cè)方法，能在短時(shí)間內(nèi)快速挖掘漏洞。”阿里安全雙子座實(shí)驗(yàn)室負(fù)責(zé)人杭特表示說(shuō)，這一方法論被學(xué)術(shù)頂會(huì)CCS收錄，成為26年來(lái)國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)投中的第一篇論文。

　　阿里安全在安全領(lǐng)域的能力建設(shè)正受到全球矚目，也是近年來(lái)阿里巴巴經(jīng)濟(jì)體安全水位持續(xù)提升的實(shí)踐成果。公開(kāi)數(shù)據(jù)顯示，2018年，阿里安全攔截1310億次惡意攻擊、日均保護(hù)316億次用戶操作。

　　與電視劇里酷炫的CTF操作相比，現(xiàn)實(shí)中的網(wǎng)絡(luò)安全守衛(wèi)者們更加地簡(jiǎn)單、純粹、質(zhì)樸。在這個(gè)充滿金錢(qián)和利益的時(shí)代，更多白帽子要經(jīng)受的考驗(yàn)是正義感和敬畏之心，而阿里安全十年如一日的風(fēng)險(xiǎn)能力建設(shè)，“一磚一瓦均需匠心”。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。