日益崛起的中国“白帽黑客”军团,在加拿大温哥华的“黑客世界杯”上以酣畅淋漓地成绩创造历史。在日前的Pwn2Own 2016黑客大赛上,代表中国出征的腾讯安全Sniper战队拿下4场比赛单项冠军,共获得38分满分夺得世界冠军头衔,成为这一顶级赛事史上第一个“世界破解大师”,也是中国“白帽黑客”军团首登世界之巅!
在科技领域,这是近期继谷歌Alpha Go的围棋“人机大战”后又一业界大事,标志着在“万物互联”的物联网时代,以腾讯为代表的国内安全,终于拥有了世界一流的能力水准,能够比肩苹果、微软、谷歌等世界顶级科技巨头的安全实力越的地位。此外,这也印证了腾讯一直摸索的“白帽黑客”与产业链之间的反哺互动模式的正确性。
光鲜背后是每天工作16小时
在国内“白帽黑客”圈,Sniper战队中的吴石、陈良等均位列圈子金字塔尖之列。在不同情境下,他们拥有多维度的不同身份角色:在挖掘安全漏洞争夺系统控制权上,他们是“黑客”;在对IT和智能产品的应用上,他们是发烧的“极客”;在对整个安全产业链乃至IT生态圈而说,他们是“苦行僧”、和“守护神”,以自己日复一日,年复一年的坚毅和高出常人的智力,不断找出各个系统和产品中的安全漏洞并进行预警,让IT厂商可以第一时间封堵漏洞,保证了整个社会的IT生态安全运行。
在“白帽黑客”多重身份和外界认为酷毙的技术能力背后,是常人难以理解的枯燥生活。在去年在温哥华参赛获胜后,有成员面对媒体围追堵截问其感受时候,他就说了一句“这里附近的那家餐馆的桂林米粉味道不错”,让在场人士目瞪口呆,慨叹这些极客的生活实在非常人所能理解。
更令人难以想象的是他们都有着超乎想象的“道德洁癖”,纵然发现一个漏洞可以在黑市上卖过百万元,但他们绝不允许自己和团队其他成员染指这些不法利益,他们穷其心志在发掘和提交安全漏洞上,更多是为了证明自己有保护整个IT产业链和用户不受黑产业侵害的能力。
让外界非常意外的是,Sniper战队在Pwn2Own 2016大赛完胜夺标后,整个团队做的第一件事不是狂欢庆祝,而是集体回房间补眠十几个小时。对此,他们解释称:“Pwn2Own的比赛就是个演示,核心是说明我们发现掌握了核心漏洞。而要发现漏洞,就必须在比赛之前连续作战,不眠不休去发掘。台上几十秒钟的成功展示,背后是几个月每天工作十五六个小时,甚至在春节期间也没有休息一天,精力透支过于厉害,所以比赛以后需要时间恢复。”
过去几年,这支顶尖团队已经发掘出操作系统、包括浏览器等常用软件的安全漏洞,如今,随着智能产业、车联网、可穿戴设备等新品的发展,他们的目标已经全面扩展到整个智能物联网的安全漏洞发掘上,从人人皆知的特斯拉汽车,到细分专业行业领域的医疗数据库……只要是跟“0”和“1”相关的IT领域,就可以看到他们的发掘尝试。
吴石直言,团队之所以这么拼,是因为他们希望通过他们的努力不断的提醒大家:在移动互联网时代,安全的漏洞可能存在于每一个产品上,他们希望在没有被黑色产业链的恶意者发现之前,将漏洞找到提供给厂商更新补上,最大限度避免对用户产生的危害。
腾讯安全与“白帽黑客”摸索有效互动模式
尽管这群“白帽黑客”在圈内外声名显赫,也为中国安全在世界顶级安全领域赢得了一席之地。然而理想丰满,现实骨感。他们在现实的处境依然困窘尴尬。
此前,他们想举办中国自己的Pwn2Own大赛,却因为海外大厂商迟迟不肯赞助几乎令大赛流产。此外,他们希望从长远角度考虑不断发掘和培养新人,而不少厂商更多的是在意短期利益。
而在腾讯安全团队与其接触后,困窘状况才得以改观。腾讯不仅提供了比赛赞助,还在设备,人力,产业资源上予以了全方位协助。就在今年年初,吴石团队正式加盟腾讯安全,并成立了科恩实验室;腾讯给予实验室充分的空间和资源支持,这样吴石团队可以专注于云计算与移动终端安全的研究工作。
过去,吴石会凭个人的关系和力量,积极把更多新面孔推到Pwn2Own等国际赛事上,如今,腾讯一方面通过自己与全球安全机构和产业伙伴的合作关系,主动为更多的“白帽黑客”提供更多在国际舞台亮相和交流的机会;另一方面,如果“白帽黑客”中有人愿意进入腾讯安全团队工作,腾讯方面也大开绿灯予以欢迎,在福利以及工作资源上均给于厚遇,为的是给于这些“白帽黑客”充分的尊重和理解。
“伴随着移动互联网的浪潮,用户每天都会接触到大量智能产品,一旦其漏洞被攻击者利用,危害远胜于从前,轻则隐私泄露,重则导致财产、人身安全。腾讯给于‘白帽黑客’足够的支持,可以获得更多的反哺帮助,提升产品的安全能力,更大限度保障广大用户的网络安全。”腾讯安全联队负责人陈良直言称。
事实上,围绕安全技术、大数据、安全能力三个支点,腾讯安全团队正在构建一个连接连接政府、金融机构、电子商务、运营商、安全企业等各方的闭环,这与“白帽黑客”所追求的泛安全理念亦不谋而合。
在国内的安全行业中,过去由于各种原因,“白帽黑客”存在着许多零散的团队和派系,论个人的单打独斗技术,都不输海外同行,但长期以来在团队合力上往往让海外同行留下“一盘散沙”的印象。这两年以来,腾讯除了加强跟吴石等前辈级高手合作以外,也不断加强与其他高手的合作,迄今,像yuange、TK教主等殿堂级高手,都已经成为腾讯安全团队中的一员,他们的加盟,不断加厚了腾讯在安全技术上的积累,同时也为原有的“白帽黑客”带来了脑力激荡,取得了事半功倍的效果。
正是由于双方都在对待中国安全产业链的诸多理念想法上高度一致,因此尽管双方尝试合作才两年左右,但已经形成了一个有效的互动模式——“白帽黑客”在日常帮助腾讯发掘产品漏洞,对腾讯的相关产品和服务进行安全反哺,腾讯则以其一直开放安全能力的理念,及时与整个安全产业链的上下游合作伙伴一起堵截安全漏洞。
中国安全实力比肩谷歌苹果微软
除了产业互动反哺外,“白帽黑客”们还会派出高手与腾讯安全团队成员一起组成Sniper战队,参与Pwn2Own大赛,通过与国际顶尖团队的切磋,提升自身能力同时让国际安全届重新认知中国安全能力的大幅提升。
汇集了国内安全届顶尖人才的Sniper战队,已为谷歌、微软、苹果等公司的流行软件提供了数百个严重安全漏洞的挖掘成果,《福布斯》杂志评价“发现的漏洞是苹果整个安全团队的两倍还多”,他们发现的漏洞大多为高危漏洞。
微软曾经一度到处打听这个团队,因为他们发掘漏洞的效率连微软内部负责安全的工程师也汗颜不已。为了表达对战队的重视,特斯拉甚至专门为战队成员颁发了奖章,感谢其对挖掘汽车安全漏洞的贡献。这也在一定程度上印证团队实力已经比肩时间顶尖水准。
这些安全漏洞的影响到底有多大?Sniper战队队员陈良比喻称:“制作一个木马程序相当于打劫了一个收银台,发现一个系统核心漏洞就相当于打开了银行金库的大门。”据悉,Sniper战队所掌握的系统漏洞如果泄漏出去,可能会在黑市中被拍卖出千万元级别的天价,即使是最普通的漏洞,也能有人愿意拿百万元的资金购买。因为,行业内都知道,只要这些漏洞被黑产业利用,就会造成难以估算的行业影响和经济损失。
近年来,腾讯安全除了不断力邀顶尖“白帽黑客”提升核心安全能力外,还在整个安产业链态链上下游不断以开放和合作的理念合纵连横:如腾讯已经联合银行、知道创宇、乌云平台、联想等合作伙伴,成立“移动支付安全联合守护计划”;腾讯手机管家与国内几大商业Wi-Fi服务提供商共同成立“腾讯安全Wi-Fi联盟”,提供安全免费Wi-Fi的服务接入规范;腾讯参与了由警方牵头的“天下无贼反诈骗安全联盟”等。无论是最底层的系统基础架构,还是最上层的云端服务,又或最末端的智能终端应用,腾讯正逐步构建出一个丰富的互联网 安全生态圈,其拥有的核心技术能力已与谷歌、苹果和微软等国际巨头位列同一水平线。