安络科技

当前位置: 首页 / 新闻中心 / 最新播报 / 中国初代白帽黑客代表现身第二届世界信息安全大会

中国初代白帽黑客代表现身第二届世界信息安全大会

发表日期:2020-12-03

黑客做点坏事不难,

难的是一辈子都做坏事 

白帽子做点好事不难,

难的是一辈子都做好事 

-佚名

· 时代开启 ·

上世纪末,在中国网民数量还不到200万的时候,中国黑客已经在世界上初露峥嵘。

1998年5月13日至16日,印度尼西亚暴徒发动一系列针对华裔社群的屠杀,亦称为“黑色五月暴动”。在此期间,大批华人受到迫害,华人妇女遭到令人发指的强暴。

直至7月后,事件真相才通过互联网陆续传播开来。中国网民通过互联网陆续获得了相关信息。8月初,全球华人社会形成抗议高潮。印尼暴徒的行为也激怒了中国黑客们,他们不约而同地聚集在IRC聊天室中,讨论并决定通过向印尼网站发起攻击的形式,向印尼政府表示抗议。

8月7日后,印尼有十余个网站的首页被修改,被自称为“中国黑客”的组织贴上各种抗议文字、插上五星红旗图片。

这一历史性事件,是中国黑客首次在互联网上宣示力量,用特殊方式表达民族情感和爱国精神。

从那时起,安全技术由病毒时代进入黑客时代;

中国安全产业由计算机安全时代进入网络安全时代。

20多年过去了,当年年轻的第一代“中国黑客”,他们中的大多数人成为了当今中国网络安全产业的中流砥柱,在各自的企业和各自的岗位有着各自的成就。

 

· 盛会集结 ·

11月26日,第二届世界信息安全大会在成都举行。

▲第二届世界信息安全大会现场

    此次大会主论坛特别邀请到知名信息安全专家彭泉(PP),并由彭泉出面邀请了七位中国初代白帽黑客代表人物,历史性集结于中国“初代白帽Hacker  Talk”圆桌会议。他们是:

绿色兵团创始人goodwell(龚蔚);晨光工作室创始人Frankie(谢朝霞);安全焦点创始人xundi(张迅迪);

中国红客联盟创始人Lion(林勇);

0x557创始人la0wang;

中国第一款远程控制软件作者冰河(黄鑫);

Ucloud创始人Benjurry(季昕华)。

· 历史风云 ·

以上人士,都是20年以上的中国信息安全发展史的见证者、亲历者,也是很多史上著名里程碑事件的主角之一。

在上世纪末本世纪初的各次爱国黑客行动中,包括印尼排华事件、北约轰炸我驻南大使馆事件、“两国论”事件、小泉参拜靖国神社事件、中美黑客大战等,他们中不少人是分享漏洞研究成果的带头大哥。

在2001年网易评选的“东邪西毒南帝北丐中神通”-网络安全五大名门正派中:有东邪龚蔚西毒冰河南帝Frankie、中神通小榕……

这一次,五绝来了三绝。

在2002年9月,重庆信息安全论坛举行,出席的信息安全人员都是当时的顶尖高手,他们是龚蔚谢朝霞、袁仁广、黄鑫彭泉季昕华……

这一次,来了五位。

2011年9月的COG信息安全论坛(首届中国黑帽子盛会)获奖的四位个人和团队中,Lion(林勇)获得“信息安全社会影响力奖”,龚蔚掌门的绿色兵团获得“最佳技术团队奖”。La0wang带头的0x557团队也获得了“最佳技术团队奖”提名。Xundi获得“信息安全社会影响力奖”提名。龚蔚、谢朝霞(Frankie)获得“信息安全终身成就奖”提名。

在他们的研究、分享和影响下,在21世纪的前十年,中国从事网络安全和攻防研究的专业人士得到快速成长,功力大增,战斗力爆表。

在2010年前后,中国黑客的崛起现象,引起了国际社会高度关注,“中国黑客”品牌威震世界。

· 门派简介 ·

下面,对这几位大咖和其所属门派做分别介绍。

龚蔚

龚蔚,国内最早的信息安全组织:“绿色兵团”的创始人,COG发起人,被评为2010年中国影响力人物,是实至名归的“中国黑客教父”。绿色兵团于1997年成立,在鼎盛时期拥有成员近3000人,高手云集,早期的国内信息安全高手几乎无一不受该组织影响。直至今天,活跃在一线的众多黑客高手都曾是它的成员或徒子徒孙。

谢朝霞

谢朝霞(Frankie),于1996年涉足信息安全研究。是国内最早的IRC聊天室:“浪子咖啡屋”站长。1998年建立辰光工作室,注册会员达1万多人,公布了大量技术文档和研究心得。2000年创立安络科技。谢朝霞本人曾获得26届世界大学生运动会组委会颁发的“突出贡献奖”、深圳市科学技术协会颁发的“深圳市信息安全领军人物”奖;中国信息安全测评中心颁发的“首届CISP十大杰出人物”奖,入选国家级期刊《中国信息安全》2018年第八期封面人物。

张迅迪

张迅迪(xundi),安全焦点创始人。安焦是21世纪早期最为专业的顶级信息安全论坛,吸引了大批信息安全专业研究人员的关注,分享和发布了大量当时最新的研究成果和专业文档。2002年,安焦举办了首届XCon安全焦点技术峰会,从那时起,Xcon成为世界顶级的安全技术峰会品牌。

黄鑫

黄鑫(冰河),中国首款专业级远程控制软件的作者,也是安全焦点核心成员之一。现在很多出名的黑客,都是通过冰河软件迈出了渗透生涯的第一步,这个软件是当时当之无愧的黑客软件头把交椅。除安全焦点以外,黄鑫还和quack等人创建了专业的安全企业:大成天下。在后来的工作中,黄鑫还开发了X-scan等非常专业好用的安全检测软件,拥有大量粉丝和用户。

林勇

林勇(Lion),中国红客联盟(HUC)创始人、红盟安全CEO。2001年中美黑客大战组织者。还是COG2011信息安全会议社会影响力奖获得者。林勇拥有20余年网络安全行业从业经验、20余年一线渗透测试对抗经验。中国红客联盟是一个非商业性的民间技术机构和爱国团体。主要由计算机爱好者组成。进行有计划有组织的计算机技术方面的研究、交流、整理和推广工作。

王俊卿

王俊卿(la0wang),是当下中国网络安全梦之队0x557的创始人。

老王几乎对世界上所有类型的复杂大型系统都做过渗透测试,他符合人们对一个黑客的所有想象。在他的脑海中,有一万种在大型内网深处穿越游走的姿势。

彭泉

主持人彭泉(PP),Chinahack组织创始人。在上世纪末,彭泉是整个中国黑客界最为精通各种Unix系统的顶级高手。现在,彭泉仍然是活跃在中国信息安全行业一线的顶级专家。

自1995年起从事网络安全攻防和保障体系建设研究至今已20余年,20余年来曾领导众多大型网络安全保障方案的设计和建设,同时作为多家金融机构、互联网公司、大型国企以及政府机构的网络安全顾问参与众多机构的网络安全体系建设工作。

担任中科协、中科院、广东省网络安全通报中心、广东省网络安全协会、深圳市公安局、深圳市科创委、深圳市金融协会、深圳市基金业公会、云安全联盟等多家机构的网络安全专家。并获国家重大活动网络安全保卫先进个人等荣誉。

    在谈到如今的安全技术研究环境时,大家都有一个共识,当今国际形势、世界舆论和法律环境都发生了深刻变化,过去第一代黑客在网络空间自由穿行的时代已经一去不复返。

现在的年轻人想要自学成才的难度空前提高了,那些有丰富经验、广博知识和高度自律的黑客前辈们,有责任也有义务,为中国的网络安全事业培养更多职业操守和专业技术都过硬的接班人。

这次来了这么多宗师级的网络安全前辈大咖,在这样一个顶级的圆桌会议上,都有哪些精彩发言呢?

· 安全洞见 ·

《信息安全未来发展趋势》
发言人:黄鑫在攻防双方持续多年的对抗和技术迭代过程中,信息安全技术的整体演变趋势是由简单到复杂、由独立到组合、由人工到自动化。随着移动互联网和物联网的兴起,攻击面也由传统的服务器和个人电脑扩大到所有可编程电子设备。从近几年实际发生的信息安全事件来看,安全威胁的发展趋势主要体现在以下几方面:

1、数据泄露

针对个人数据和隐私信息的安全防范,主动权并不掌握在用户手中。绝大部分防范工作依赖平台的信息安全水平,例如用户信息的采集范围、传输方式、存储方式和处理流程,以及针对数据泄露事件的侦测、预警和追溯。

那么,企业需要具备哪些资质才可以采集、挖掘、输出哪些数据?谁可以拥有哪些数据的使用权限?针对这些关键尺度,如果相关法规和政策不够完善,那么数据量越大、维度越丰富、流动性越强,普通公民所面临的安全威胁就越直接。

2、IoT安全

由于在技术标准的生命周期早期没有充分考虑信息安全问题,加之产品技术和产业的高度碎片化,导致与IoT设备相关的安全问题数量庞大,而且对于已知问题也做不到统一处理。如果技术标准和碎片化的问题得不到解决,随着物联网的普及,安全问题对大家日常生活的影响也将逐渐放大。

3、勒索软件

由于虚拟数字货币的匿名属性,比特币被广泛应用于黑色产业。勒索软件也正是因此打通了整个勒索链条中犯罪风险最高的支付环节,在巨大利益的驱使下构建起完善的生态系统。“勒索软件即服务(RaaS)”的出现,使毫无研发经验的人可以轻易发起勒索攻击,这也是导致勒索事件呈爆炸式发展的原因之一。

4、DDoS攻击

DDoS攻击具有攻击者成本极低而防守方成本高昂的特性,而且历史悠久、花样百出。攻击者不断创新以提高DDoS的攻击效率,由于5G的兴起和IoT设备数量的增加,未来DDoS攻击可能会更加突出。

水、电、金融、军事等关键基础设施的传统边界将进一步扩展到5G世界中的其他领域,同时5G的高速连接也将为对抗洪泛式DDoS攻击带来新的挑战。

5、AI技术

除了上述几类安全问题外,信息安全技术与AI技术的结合也将逐步成为趋势。

一方面,与简单、机械的自动化系统相比,AI技术更适合处理相对抽象的“模糊识别”类问题,攻防双方借助AI技术都可显著提升效率。另一方面,AI系统自身也存在安全问题,会直接影响系统的可用性。

以正在成为研究热点的AI对抗攻击为例,攻击者在目标检测系统中可针对系统模型热点来逃避检测,针对面部识别系统的缺陷可伪造身份,针对自动驾驶、语音控制系统可实施欺骗控制等等。信息安全的战火已经烧到了AI领域,随着AI技术的广泛应用,安全问题会日益凸显。

《从攻防视角看行业现状及安全建议》
发言人:王俊卿现阶段信息安全行业处于两个极端状态,一个是顶层战略规划设计过于强调务虚,给了各类所谓“安全专家”钻空子的空间,后果是看上去无懈可击的安全解决方案无法落地;二是各类比赛和SRC重心偏向漏洞挖掘与利用,导致信息安全人才的定义不准确,出现了目前企业招不到合适的人才,具备一定安全技能的人才又无法得到心仪的工作机会的尴尬局面。
信息安全的核心是攻防对抗,对抗的核心在于攻防双方对信息系统的理解。
一个顶级的漏洞交给不熟悉系统的攻击者去应用,相当于将漏洞拱手送出;同样一个具备完整安全意识的运维人员就算是不懂任何漏洞挖掘知识,也可以通过系统运行过程中产生的蛛丝马迹准确的识别攻击事件。
所以,无论是攻击还是防御,从业人员的基础技能必须重视。一个能将自己的攻击操作痕迹隐藏于无形的攻击者将是企业的噩梦,希望未来无论是护网还是各种安全比赛能够改变目前僵化的计分规则,对信息安全攻防操作做出合理的评判。这也有助于提升企业信息安全负责人员的地位,并且激发工作的积极性。
《人才的定义与培养》
发言人:林勇首先我们要怎么定义人才。网络安全人才是一个现代国家的战略资源。人才首先要为国家所用,为人民所用,如果培养出来是为了国外的力量所用,那么我们培养出来有什么意义呢?对国家来说,是没有什么意义的。

所以,我对人才的首先定义,他肯定是为国为民的。再次,他的专业素质肯定要高。所以结合这两点,为国为民的、技术高强的人才能被称为人才。

但是,我们的教育体系,那些高校,80%的名牌大学毕业出来的人都出国去了,在那边拿了绿卡留在那里。这些以全国资源培养出来的大学生们,他们有没有为国为民呢?我觉得没有,他们只是为了自己的工作履历也好,个人对金钱的诉求也好,跑去了国外。我们国家20年的培养付出的努力,就这样付诸东流。

这就是我们对人才的定义问题,即使培养出再高技能、再高学历的人,如果不能为国家所用,不能为人民所用,都是没有用的。

人才的成长主要还是在于自学。要培养自己的自学能力,有很多人都在问我要怎么样去学习网络安全。现在的网络安全环境是很好,但他们学习的途径却相对比较少了。

像大学的话,他一般通过打CTF比赛,如果自学的话一般通过Web渗透这一块入门。但这两块,其实在整个渗透流程里面,是很皮毛的一个方向了。比如现在的CTF,它更多的就是一种烧脑游戏,很难贴近实战,我在公众号里把CTF称之为花拳绣腿,或者叫套路。

我这个人江湖气息比较重一点。比如Web渗透的话,它主要是在渗透流程中去撕开一个口子,但在撕开口子之后,后面还涉及到非常多的东西,比如怎么隐藏自己、怎么提权、怎么横向渗透、怎么找到核心数据或者找到你想要的东西……所以Web渗透只是一个刚刚的入门而已。

像现在的教育也好培训也好,都是比较浅显的。对安全培训,我认为应该鼓励多做一些安全防御类的培训,不能老是靠渗透来吸引眼球。

关于网络攻防演练,我们要多向美国这样攻防演练的鼻祖好好学习,首先在级别上、重视程度上就要向他们看齐。美国、北约等进行的网络安全攻防演练,关键在于通过模拟网络遭到攻击的情况,锻炼和建设情报共享、应急反应处置、协同作战的能力,并重点锻炼的是跨军方、政府、企业之间应对信息战的协作能力。

中国最近两年开始举行的攻防演练还只停留在部级层面,更多的是流于套路形式,没有实质的建设起相关的跨部门协作机制。应马上提高该类活动的等级,并联合军队、政府、企业各方都参与进来,真正去学习到美国网络安全攻防演练的精髓。

《关于人才培养的四点看法》
发言人:彭泉1、习近平主席说:没有网络安全就没有国家安全。但我们需要理解这里的网络安全不仅仅是网络安全攻防技术。中国网络安全经过20多年的发展,国家和业内越来越重视网络安全攻防技术,无论是安全保障体制构建,还是各种比赛和实战演练,都把攻防作为了重要的环节。当下可以说是攻防人才最好的时代。2、要成为一位黑客,我觉得有三个构成要素:一,好奇心。不只是对计算机网络的好奇心,而是对世界乃至宇宙的好奇心,黑客精神的源点就是好奇心,万物皆可黑;二,坚持和努力。在不断失败的过程中坚持不懈地努力,才能走向成功,对技术坚持不懈的研究,才能满足好奇心,完成创新;三,天分。黑客确实是一个特殊群体,是需要一定的天分以及后天养成的。

3、很高兴的向大家汇报,网络安全专业已经成为了大学应届毕业生的最高薪资专业,且稳居第一。网络安全人才奇缺,我和很多独角兽公司的安全主管一起聊天时,他们最常和我提起的就是:帮我介绍几个技术人才吧。我看在坐的有一些就是大学生,我诚挚邀请同学们加入网络安全行业。

4、我将网络安全人才分为战略、战术、战斗人才三个不同的层次。从全局来看,我国的战略管理人才是非常智慧和强大的,而战斗人才的能力也是全球领先的,无论是漏洞挖掘还是攻防对抗单点技术都非常非常的强大,当然这方面人才的数量也还有待提高。

我觉得最缺的是战术人才。网络安全,特别是攻防技术不是一拳一脚,而是一个长期的具有谋略属性的事情,单项技术或单个漏洞是攻防的基础,但如何组合,如何使用,长期有效,最大化效果就是战术层需要考虑的。我建议大家可以往这个方向多研究多发展。

《付出和坚持》
发言人:张迅迪所谓黑客就是对技术长期热爱,并坚持的人。安全打工人需要持续的学习,来对抗内存攻防,架构变迁,业务演变等等带来的新威胁。安全技术的精深能力无容置疑是一个安全打工人的核心基础。如果本身随着环境和工作的改变,我觉得还需要安全打工人陆续掌握大型项目横向推动能力和向上管理的能力。

典型的,在甲方公司,安全的投入和感知取决于公司上层对其的认知,如何利用事件(无论是安全事件还是监管事件)获取资源、资金、人头,如何了解业务,提炼业务风险,让安全为业务部门感受到价值,就是你需要掌握的向上管理能力,是你的安全能否在你公司能做大做强的基础。至于横向推动能力,是安全策略和解决方案能否真正大范围落地的保障,就不展开讲了。

所以,如果年轻人不小心从事了安全行业,告诉你,这将是一个比较辛苦的工作,是一个活到老学到老的行业,要做到极致,要保持一辈子极大的兴趣爱好和坚持。

我记得TK曾在一个视频里提过:“HDmore,一个拥有比特币数量全球第二的有钱人,还保持着一年在 Github 上 contribution 3000多的付出”。想一想,不是爱好,光为钱应是坚持不下去的。

《对从业者的建议:守法爱国,终生学习》
发言人:谢朝霞

首先,要坚持依法研究,依法开展攻防技术活动。
现在的国际形势、国际舆论和法律环境已经发生了深刻变化。当前网络安全从业者在开展技术研究和攻防活动的法律风险,已经大大超过20多年前。
1997年当时我国出台的新刑法里边,与网络安全有关的,只有两个罪名,一个是“非法入侵计算机信息系统罪”,而且,如果你入侵的这个计算机信息系统不涉及到航空航天、军工、关键基础设施、尖端国防科技、尖端科技领域,还不涉及这个罪。
第二个罪是“破坏计算机信息系统罪”。
而更多的罪名,比如:非法获取计算机信息系统、非法控制计算机信息系统罪,第一次出现,是在2009年2月的《刑法修正案七》中。
因此在后面的刑七修正案出来以前,只要不入侵国防和科技尖端领域,不去破坏计算机里面的系统和数据,而仅仅是获取了一般信息系统里面的内部数据,就不构成犯罪。因为法律不溯及既往。
而现在,在我国网警管辖的七个罪名中,就有六个罪名与网络安全活动有关,除了刚才说的三个,还有:
  • 提供侵入、非法控制计算机信息系统程序、工具罪;
  • 非法利用信息网络罪;
  • 帮助信息网络犯罪活动罪。
从事网络安全的白帽黑客都要了解这六个罪名,依法从事技术研究和攻防测试活动。
比如说,你研究了一个漏洞,或者开发了一个远程控制工具,如果你给了一个人,他拿去从事非法入侵活动,那你就构成了“提供侵入计算机信息系统程序工具罪”,也可能构成“帮助信息网络犯罪活动罪”。
还有渗透行为。根据现在的法律,合法开展渗透工作的,只有三种情形,一是我们自己搭建的环境,搭建的靶场,搭建的虚拟机,没有问题,没有毛病。
二是业主客户授权我们对客户名下的计算机网络资产授权内的攻击渗透测试,这也没有毛病,也不违法。
三是执法部门、侦查部门授权的网络技术侦查。
除此三种情况以外,在网络空间开展任何渗透测试,都构成违法,严重的就会构成犯罪。
第二,要有爱国情怀。
借用习总书记的话,企业营销无国家,但企业家有祖国。把这句话用到我们身上,那就是网络安全无国界,但是白帽子也有祖国。
网络安全企业比一般的企业还多了两个东西,将来大家如果创业的话,除了有经济效益以外,还要讲国家安全和社会责任。为什么我强调为国家?虽然今天是世界安全大会,但网络安全是一个世界难题。我们如果说能把中国的网络安全事情办好,已经非常了不起了,就是为人类的网络安全事业做出了巨大的贡献。
我们的网络安全核心技术要优先为中国的国家安全、网络安全服务,除了免费分享和发布漏洞的研究成果外,在收费项目上,建议大家要珍惜核心技术的独有性,特别是网络武器、漏洞,未公布的0Day,不要随意在国际上出售。
最后一个建议,就是终身学习。
不管我们将来创业,还是搞技术研究,我们要强调的是终身学习。因为网络安全黑客技术是一个技术迭代非常快的领域,如果说我们在35、40岁之后停下脚步,可能五年之后就会落后于时代。
此外,终身学习还包括我们要全面发展。网安工作是为了更美好的生活,我认为还是要发展更多的丰富的专业能力和业余爱好,不要再一味地在网络空间自嗨,要拿得起放得下,进得去出得来,要发展更多更健全的爱好,有更完整的人格。要多花时间陪老婆,少打游戏,要养成在女朋友和老婆大人面前那种强烈的安全求生意识。
洞察复杂网络系统,解决棘手安全难题
——深圳市安络科技有限公司