2016年7月30日至8月8日,一年一度的BlackHat世界黑帽技术大会和DEFCON黑客大会在拉斯维加斯如期举行。来自全球的数万名顶级黑客汇聚于此,共同参与这场黑客界的年度大趴。
在DEFCON大会标志性的CTF多起赛事中,百度总裁张亚勤博士与百度·蓝莲花战队队员共进晚餐,并亲临DEFCON CTF夺旗现场,为队员加油助威。众所周知,百度·蓝莲花是迄今为止在全球顶级黑客大赛DEFCON夺旗赛中国大陆战队中唯一决赛入围,并且排名进入前五的战队,是中国黑客届高水平、自由和分享精神的代表。尤其是此次百度·蓝莲花和0ops组成的联队b1o0p,更是在总决赛中战胜去年冠军队韩国DefKor,以微弱的分差排在老牌强队美国PPP战队之后,最终获得DEFCON CTF总决赛第二名,刷新中国黑客战队在DEFCON CTF总决赛中的排名,成就历史新高。
展开全文
当地时间8月3日夜晚,在这场世界黑客的饕餮盛宴中,来自中国安全厂商百度安全带来炫酷的空中无人机编队表演。45架无人机组成“HACK FUN”和“BAIDU”字样,向BlackHat/DEFCON大会致敬。这45架无人机在拉斯维加斯璀璨的夜空中尽情翱翔,获得了前来围观黑客的拍手称赞。在历届BlackHat大会上,无人机表演尚属首次,而更由来自国内的安全企业百度安全做表演执行,足以表达BlackHat对中国黑客技术及安全团队的认可与重视。
国内黑客团队发展迅猛 世界黑客大会接受四方膜拜
BlackHat黑帽技术大会被业内公认为信息安全行业的最高盛会,具有很强技术性的信息安全会议。DEFCON世界黑客大会则被誉为全球黑客的“秘密嘉年华”,同时也被认为最能代表黑客精神和文化。两场黑客大会将吸引来自各大企业和政府的研究人员,以及来自世界各地安全厂商和研究组织的优秀黑客,甚至还会吸引到美国国防部、联邦调查局、国家安全局等政府机构官员的参与。
近两年,国内黑客也频繁登上BlackHat的大会讲台。2014年,2组中国黑客的议题登上BlackHat会议;2015年,9组中国议题闪耀 BlackHat。在今年,来自国内8支黑客团队的15位顶级黑客技术专家,将登上BlackHat讲台,接受四方膜拜。
在BlackHat大会现场,微软还特别租用了大片场地,以背景墙的形式列出为微软安全做出巨大贡献的MSRC Top100黑客贡献榜,百度安全事业部的X-lab(百度安全实验室)的黄正和李克萌入选TOP100黑客贡献榜,百度维持了微软漏洞挖掘能力的领先水平,获得16次致谢排名全球第三,而黄正和李克萌个人分别位列全球第八和第八十二位,百度安全黄正位列中国第一。
另外,来自百度X-lab的张煜龙和韦韬还入选了Pebble Hall of Fame(荣誉殿堂)。张煜龙和韦韬发现了一个能够让攻击者完全控制所有(几百万)Pebble智能手表、进而对受害者生活工作的隐私数据进行窃取和控制的安全漏洞,并提交了防护方案。除了Pebble智能手表,所有基于ARM Cortex-M的智能设备、物联网设备都受影响,因此这一安全漏洞的发现意义重大。张煜龙和韦韬将在10月丹佛的Virus Bulletin会议上报告这个问题。
向世界发出中国声音 国内安全技术获得世界肯定
在互联网产生的第一个20年里,中国几乎没有在这个虚拟世界中发出什么声音。然而,最近20年,互联网让国人的生活方式、思维方式乃至价值观发生巨变。世界既感受到了互联网对中国的影响,也看到了中国互联网力量的强力延伸。坐拥全球最大的网民群体,中国的互联网日益面临更加复杂的挑战。特别是从顶层设计和战略层面而言,国内互联网行业正处与十字路口抉择。正是在这样的背景下,以BAT为首的国内互联网企业,也越来越清晰的意识到网络安全的重要性,更以“中国式崛起”的超高速度,深耕世界网络安全领域。
在本次BlackHat会议中,多位来自国内的安全团队成员登上BlackHat演讲台,尤其是百度X-lab团队的韦韬,就全球安卓平台的安全问题,做了精彩演讲。韦韬将安卓系统的安全性问题,形象的比喻为“生态的安全漏洞”、“Android 系统的白血病”。从安卓内核漏洞出发,韦韬系统的阐述了安卓生态中的安全错位导致了整个生态进入了一种长期以来难以治愈的安全重症。安卓绝大部分的安全机制依赖于内核的完整性。如果有内核漏洞,那么基础性的安全机制就会崩溃。当攻击者获得内核控制权时,可以轻易绕过App隔离机制以及绝大多数安卓系统安全机制。
对于解决办法,韦韬在大会上展示了百度安全最新研发的已申请五项专利的自适应内核热修复技术。这种技术无需实际内核编译所用的源码和配置,能够自动匹配目标安卓系统的漏洞进行在线热修复。这种技术极大的提升了厂商面对安卓高度碎片化的应对能力,而且也大大缩短了厂商推送内核安全补丁到最终用户的过程。根据统计,目前采用此技术可以修复市场中99.4%的安卓产品的内核漏洞。
维护网络世界安全 更需专注于安全人才培育
目前,国内高校每年输送的信息安全专业毕业生不足1万人,但是行业人才缺口至少10万人。此外,高校教育重理论轻实践,这与企业急需的实战型人才差距悬殊。
百度·蓝莲花组织发起中国XCTF联赛的初衷,正是希望借助比赛的形式,促进中国信息安全专业学生的对抗实战能力,促进实战人才的培养。CTF夺旗赛在网络安全领域中,是最具实战与比拼黑客团队技术能力的竞技比赛形式,而CTF赛制也正起源于1996年DEFCON全球黑客大会。事实上,也正是由百度·蓝莲花率先将DEFCON的CTF赛制引入国内,并最终发展为国内顶级XCTF联赛
以开放之姿举全社会之力 共同打造全息安全生态
在“智能+”时代,消费者的网络安全逐渐变成了产品的基础,安全已经由单纯的用户侧设备安全变成了消费全流程生态安全,安全在用户体验中成为不可或缺的基础。安全将成为所有服务提供和使用者的内在基因,每个网络参与者和提供者都是安全的受益者。
尤其是在万物互联的今天,传统行业接入互联网是大势所趋,但所面临的第一难题就是如何做好安全防范。百度安全充分利用云计算、大数据、人工智能等诸多先进技术,解决众多行业安全难题,迎合安全行业由产品向能力升级,功能向服务升级,可为不同行业、不同企业,甚至不同应用场景,提供基于人工智能、云计算、大数据等安全技术的个性化全息、立体安全解决方案,满足“智能+”时代互联网需求升级的新变化。
通过多年技术与多行业用户积累,百度安全正致力于构建智能化、全球化、开放的全息安全生态系统的。基于该体系,百度安全将实现为3600行提供高等级的安全防御能力和个性化的安全解决方案。面对数量日渐庞大的设备基数及日益严谨的安全调整,绝非一家安全厂商或一个安全行业,通过自身努力即可实现,百度安全正以开放性的姿态,联合工信部、公安部、终端厂商、运营商等多方领域,通过规范行业标准、加强犯罪打击、直连用户需求及更多数据共享等机制,进一步完善全息安全生态的建设,为社会构建安全可靠的高等级防御体系。