本報記者 馬俊
7月5日-7日,來自全球的十支頂級網(wǎng)絡安全“特種部隊”在北京共同角逐世界級黑客賽事之一——“2019WCTF世界黑客大師賽”?!董h(huán)球時報》記者在現(xiàn)場得以一窺真實網(wǎng)絡戰(zhàn)的幾分神韻。
據(jù)賽事組織者、360集團助理總裁鄭文彬介紹,WCTF一直秉持著定向邀請全球TOP10黑客大師來華參賽的模式,參加這次比賽的網(wǎng)絡安全戰(zhàn)隊分別來自波蘭、日本、美國、俄羅斯、韓國、法國、瑞士、中國等。隨著“萬物互聯(lián)”時代臨近,數(shù)以百億計的IoT智能產品、基站、寬帶、工控設備、大型硬件系統(tǒng)等網(wǎng)絡硬件設備的安全,成為如今網(wǎng)絡攻防的重中之重。此外,近年來國際多個APT高級威脅組織利用瀏覽器漏洞滲透攻擊,直接造成大批用戶遭遇勒索病毒攻擊。因此“2019WCTF世界黑客大師賽”就在賽題設置上,將“破解安全硬件”和“瀏覽器漏洞”列為主要方向。而且比賽還采取了“交叉互考”的出題模式,不同戰(zhàn)隊可以自選一道挑戰(zhàn)難度極高的題目作為比賽內容。
比賽開始后,只能“外行看熱鬧”的《環(huán)球時報》記者注意到,現(xiàn)場一眾網(wǎng)絡高手們完全沒有好萊塢電影里黑客們“敲擊鍵盤如風”的“瘋狂打字員”做派,更多時候是坐在電腦屏幕前陷入沉思,只是偶爾才會埋頭敲打一串字符。
360AI安全研究院負責人李康告訴《環(huán)球時報》記者,WCTF屬于網(wǎng)絡安全領域中的“奪旗賽”(CTF),一個重要的特點是快,要更快地分析、更快地發(fā)現(xiàn)安全防御中的漏洞,“以快制勝”。但想要快速解題,首先要通過反復試探,找到合適的攻擊思路。此外,現(xiàn)場的參賽戰(zhàn)隊也早已經(jīng)準備好各自的獨門黑客工具,能夠自動化地挖掘和利用漏洞,甚至可能通過網(wǎng)絡遠程調用數(shù)千公里外的后臺支援,有了這些自動化程序的幫助,因此“埋頭狂敲鍵盤”的場面并不多見。當然這也并非絕對,有些戰(zhàn)隊會根據(jù)需要,現(xiàn)場趕寫小型黑客程序。例如現(xiàn)在各國網(wǎng)絡安全戰(zhàn)隊們常用的一個黑客工具Pwntool,就是當年在“奪旗賽”里現(xiàn)場寫出來的。
比賽開始約5分鐘,第一道題目被兩支戰(zhàn)隊連續(xù)破解,現(xiàn)場一片歡呼。這讓出題的法國和瑞士聯(lián)合戰(zhàn)隊頗為沮喪。鄭文彬透露,法瑞聯(lián)隊的出題人告訴他,好幾個晚上沒有睡覺,才出了這道難度極高的題目,“很不理解為什么這么快就被解掉”。仔細檢驗才發(fā)現(xiàn),原來題目設置上存在一個小bug,被這兩支戰(zhàn)隊發(fā)現(xiàn)并利用了。這就如同一道原本非常堅固的防線,但被攻擊者從沒有預料到的一個方向突破。鄭文彬感嘆,人編寫的程序總是容易犯錯誤,這樣的情況在現(xiàn)實中相當常見,“你覺得你已經(jīng)為系統(tǒng)做了完備的防御,軟硬件都做好安全防護,但實際上因為一個小的疏忽,黑客就進來了”。
這一點也是黑客賽事的目的所在——通過模擬真實的網(wǎng)絡安全環(huán)境,比賽中遇到的情況與現(xiàn)實網(wǎng)絡攻擊非常接近。李康表示,如今黑客技術的更新非常快,全球頂級黑客在比賽中會拿出今年網(wǎng)絡攻防的最新技術、啟發(fā)思路和靈感進行相互交流,讓我們得以掌握整個網(wǎng)絡安全技術圈的發(fā)展潮流和重點方向,進而“取長補短”?!?/p>