最近,国内外知名互联网公司的系统漏洞被频繁曝光,从新浪支付系统曝出安全漏洞再到亚马逊Kindle的账号安全漏洞,号称“世界上最安全的苹果系统”也曝出iCloud漏洞,造成好莱坞明星艳照疯传网络。各种漏洞又开始引发社会大众对安全问题的广泛关注,用户的个人隐私还有人保护吗?
与此同时,最近智能硬件市场发展迅速,各大互联网厂商、硬件厂商纷纷跨界做起“智能设备”的生意。随着特斯拉、谷歌眼镜、无人机、手环等颠覆性智能硬件逐渐被大众所接受,由安全漏洞带来的安全隐患将不再仅限于信息泄露。如果智能设备的漏洞被黑客利用,将会引发全社会安全隐忧。
凡事皆有两面性,一方面,有利用漏洞搞破坏的黑客,另一方面,也有利用黑客技术攻击指定系统进行安全检查的“白帽子”黑客。
在许多黑客团队不断给社会安全带来压力的同时,国内外很多安全团队及赛事都在用不同的方式为“全生活大安全”做着不懈努力。 在白帽子黑客举办的安全赛事中,Defcon CTF、Pwn2own、GeekPwn被业内并称为“世界三大安全赛事”。下面记者就为大家简单介绍一下:
DEFCON CTF:规模最大、参与人数最多、历史最悠久的黑客安全竞赛(人与人的对抗,网络攻防为主)
图1:历史源远的DEFCON CTF
DEFCON CTF是世界上规模最大、历史最悠久的黑客安全竞赛,由来自全球数百支参赛队伍参与选拔和比赛。该赛事的精髓在于,以网络攻防为主,突出人与人的对抗。赛事精心设置了攻防演练的服务器和网络环境,由全球层层选拔出来的顶级CTF战队参与,进行超过50个小时的马拉松攻防对抗,具备很强的竞技性。参赛者的目标是进攻对手的网络和服务器,但同时保护好自己的地盘,比赛情况会实时动态变化,非常考验各参与战队的综合攻防能力和临阵应变能力。能够参与每年DEFCON CTF总决赛的战队,都是通过了在全球各地举行的CTF积分赛和资格赛的考验脱颖而出的,很多战队都是来自全球顶尖高校的安全技术高手组成的。
一个真正的黑客是不可能不知道DEFCON CTF的,它在全球范围内具备很高的影响力。一方面从功利的角度看,进 Defcon CTF 决赛的成员都是全球各大关注安全的互联网和软件厂商心仪的对象,比如Google、Facebook、Microsoft 等,这是一个发现年轻安全人才的舞台。另一方面从技术的角度去看,能和来自全球的选手同场竞技又何尝不是一件有趣的事。
Pwn2own:专攻操作系统的黑客安全竞赛(人与机器的对抗)
图2:安全团队在Pwn2own上破解操作系统
与DEFCON CTF突出“人与人的对抗”不同,Pwn2own的本质是“人与机器的对抗”,参赛队伍进攻的对象为最新的系统、浏览器等。Pwn2own由美国五角大楼入侵防护系统供应商TippingPoint赞助,是全球最著名、技术含量最高的顶级安全赛事,能够进入比赛的团队全世界不过十几支。
在Pwn2own比赛中,黑客们的目标是全球最新的主流桌面和智能终端操作系统、浏览器和应用程序,操作系统如Windows, MacOS, iOS,Android,浏览器如IE、Chrome、Safari、FireFox,应用程序如Flash、Acrobat Reader等。因为有非常高的技术门槛,参赛的团队都是全球在安全研究领域最顶尖的技术团队,比赛形式是在完全“不出题”和“不预设环境”的情况下进行人和系统的对抗,比赛中发现的安全问题都是最新的、会造成世界范围内重大影响的高危问题,代表了世界范围内操作系统、浏览器和应用程序安全领域的最高水平。微软、谷歌、苹果等互联网和软件厂商都是该赛事的赞助商,为选手提供丰厚的奖金。
图3:中国最好的白帽子黑客团队Keen Team称雄Pwn2own
说到这就不得不提到来自国内的全球顶级白帽子黑客团队——Keen Team。Keen Team在2013年和2014年Pwn2Own上,连续两次夺得三项冠军,并同时攻破当时苹果和微软最新桌面操作系统MacOS 10.0.9和Windows 8.1、苹果手机操作系统iOS 7.0.3,成为至今为止全球惟一一支同时在该赛事上攻破桌面和移动操作系统的团队。
GeekPwn:专注智能设备领域的安全挑战赛(人与智能设备的对抗)
图4:全球第一个基于智能硬件设备的安全挑战赛
GeekPwn是全球首个专注于智能设备领域的安全挑战赛。据了解,今年的赛事将于10月24日在北京举行,主办方为全球顶级白帽子黑客团队Keen Team。
该赛事不同于其他两项国际赛事,其目光聚焦在智能家居、智能穿戴、智能终端、智能交通、智能娱乐等五大智能生活安全领域,旨在通过活动吸引一流的安全极客发现智能设备存在的安全问题,推动设备厂商及时修复存在的问题,从而进一步增强产品的安全性,为普通消费者使用安全提供保障。
该赛事评委阵容堪称奢华,不仅包括腾讯“玄武”安全实验室负责人“TK教主”于旸任总评委,还包括第一个在国际最高级安全学术会议IEEE S&P(Oakland)发表研究成果的华人韦韬Keithcool,在国际方面,谷歌Chrome安全保护机制奠基人Chris更是带动整个谷歌公司全力支持GeekPwn。
亚洲唯一连续三次获得世界顶级安全赛事Pwn2Own冠军的Keen Team主攻手陈良,第一个中国人iOS越狱团队盘古主力徐昊Windknown,首个并多次入围全球Defcon CTF总决赛圈的清华大学蓝莲花团队领队诸葛建伟等均为本次赛事评委。
此外,总奖金池达到300万元人民币的GeekPwn允许个人报名参赛,并允诺白帽子黑客现在攻破什么就可以拿走什么,甚至包括价格不菲的特斯拉。
该赛事甫一推出,就引来了黑客界传奇人物GeoHot的关注,成为北美地区第一个报名的黑客。Geohot是全球第一个完成iPhone越狱和PS3破解的顶级黑客,并多次在Pwn2Own比赛中夺冠,被称为天才少年,是业界最有天分的黑客。
