本報記者 馬俊

7月5日-7日，來自全球的十支頂級網(wǎng)絡安全“特種部隊”在北京共同角逐世界級黑客賽事之一——“2019WCTF世界黑客大師賽”?！董h(huán)球時報》記者在現(xiàn)場得以一窺真實網(wǎng)絡戰(zhàn)的幾分神韻。

據(jù)賽事組織者、360集團助理總裁鄭文彬介紹，WCTF一直秉持著定向邀請全球TOP10黑客大師來華參賽的模式，參加這次比賽的網(wǎng)絡安全戰(zhàn)隊分別來自波蘭、日本、美國、俄羅斯、韓國、法國、瑞士、中國等。隨著“萬物互聯(lián)”時代臨近，數(shù)以百億計的IoT智能產品、基站、寬帶、工控設備、大型硬件系統(tǒng)等網(wǎng)絡硬件設備的安全，成為如今網(wǎng)絡攻防的重中之重。此外，近年來國際多個APT高級威脅組織利用瀏覽器漏洞滲透攻擊，直接造成大批用戶遭遇勒索病毒攻擊。因此“2019WCTF世界黑客大師賽”就在賽題設置上，將“破解安全硬件”和“瀏覽器漏洞”列為主要方向。而且比賽還采取了“交叉互考”的出題模式，不同戰(zhàn)隊可以自選一道挑戰(zhàn)難度極高的題目作為比賽內容。

比賽開始后，只能“外行看熱鬧”的《環(huán)球時報》記者注意到，現(xiàn)場一眾網(wǎng)絡高手們完全沒有好萊塢電影里黑客們“敲擊鍵盤如風”的“瘋狂打字員”做派，更多時候是坐在電腦屏幕前陷入沉思，只是偶爾才會埋頭敲打一串字符。

360AI安全研究院負責人李康告訴《環(huán)球時報》記者，WCTF屬于網(wǎng)絡安全領域中的“奪旗賽”（CTF），一個重要的特點是快，要更快地分析、更快地發(fā)現(xiàn)安全防御中的漏洞，“以快制勝”。但想要快速解題，首先要通過反復試探，找到合適的攻擊思路。此外，現(xiàn)場的參賽戰(zhàn)隊也早已經(jīng)準備好各自的獨門黑客工具，能夠自動化地挖掘和利用漏洞，甚至可能通過網(wǎng)絡遠程調用數(shù)千公里外的后臺支援，有了這些自動化程序的幫助，因此“埋頭狂敲鍵盤”的場面并不多見。當然這也并非絕對，有些戰(zhàn)隊會根據(jù)需要，現(xiàn)場趕寫小型黑客程序。例如現(xiàn)在各國網(wǎng)絡安全戰(zhàn)隊們常用的一個黑客工具Pwntool，就是當年在“奪旗賽”里現(xiàn)場寫出來的。

比賽開始約5分鐘，第一道題目被兩支戰(zhàn)隊連續(xù)破解，現(xiàn)場一片歡呼。這讓出題的法國和瑞士聯(lián)合戰(zhàn)隊頗為沮喪。鄭文彬透露，法瑞聯(lián)隊的出題人告訴他，好幾個晚上沒有睡覺，才出了這道難度極高的題目，“很不理解為什么這么快就被解掉”。仔細檢驗才發(fā)現(xiàn)，原來題目設置上存在一個小bug，被這兩支戰(zhàn)隊發(fā)現(xiàn)并利用了。這就如同一道原本非常堅固的防線，但被攻擊者從沒有預料到的一個方向突破。鄭文彬感嘆，人編寫的程序總是容易犯錯誤，這樣的情況在現(xiàn)實中相當常見，“你覺得你已經(jīng)為系統(tǒng)做了完備的防御，軟硬件都做好安全防護，但實際上因為一個小的疏忽，黑客就進來了”。

這一點也是黑客賽事的目的所在——通過模擬真實的網(wǎng)絡安全環(huán)境，比賽中遇到的情況與現(xiàn)實網(wǎng)絡攻擊非常接近。李康表示，如今黑客技術的更新非常快，全球頂級黑客在比賽中會拿出今年網(wǎng)絡攻防的最新技術、啟發(fā)思路和靈感進行相互交流，讓我們得以掌握整個網(wǎng)絡安全技術圈的發(fā)展潮流和重點方向，進而“取長補短”?！?/p>