中国初代白帽黑客代表现身第二届世界信息安全大会
发表日期:2020-12-03黑客做点坏事不难,
难的是一辈子都做坏事
白帽子做点好事不难,
难的是一辈子都做好事
-佚名
· 时代开启 ·
上世纪末,在中国网民数量还不到200万的时候,中国黑客已经在世界上初露峥嵘。
1998年5月13日至16日,印度尼西亚暴徒发动一系列针对华裔社群的屠杀,亦称为“黑色五月暴动”。在此期间,大批华人受到迫害,华人妇女遭到令人发指的强暴。
直至7月后,事件真相才通过互联网陆续传播开来。中国网民通过互联网陆续获得了相关信息。8月初,全球华人社会形成抗议高潮。印尼暴徒的行为也激怒了中国黑客们,他们不约而同地聚集在IRC聊天室中,讨论并决定通过向印尼网站发起攻击的形式,向印尼政府表示抗议。
8月7日后,印尼有十余个网站的首页被修改,被自称为“中国黑客”的组织贴上各种抗议文字、插上五星红旗图片。
这一历史性事件,是中国黑客首次在互联网上宣示力量,用特殊方式表达民族情感和爱国精神。
从那时起,安全技术由病毒时代进入黑客时代;
中国安全产业由计算机安全时代进入网络安全时代。
20多年过去了,当年年轻的第一代“中国黑客”,他们中的大多数人成为了当今中国网络安全产业的中流砥柱,在各自的企业和各自的岗位有着各自的成就。
· 盛会集结 ·
11月26日,第二届世界信息安全大会在成都举行。
▲第二届世界信息安全大会现场
此次大会主论坛特别邀请到知名信息安全专家彭泉(PP),并由彭泉出面邀请了七位中国初代白帽黑客代表人物,历史性集结于中国“初代白帽Hacker Talk”圆桌会议。他们是:
中国红客联盟创始人Lion(林勇);
0x557创始人la0wang;
中国第一款远程控制软件作者冰河(黄鑫);
Ucloud创始人Benjurry(季昕华)。
· 历史风云 ·
以上人士,都是20年以上的中国信息安全发展史的见证者、亲历者,也是很多史上著名里程碑事件的主角之一。
在上世纪末本世纪初的各次爱国黑客行动中,包括印尼排华事件、北约轰炸我驻南大使馆事件、“两国论”事件、小泉参拜靖国神社事件、中美黑客大战等,他们中不少人是分享漏洞研究成果的带头大哥。
在2001年网易评选的“东邪西毒南帝北丐中神通”-网络安全五大名门正派中:有东邪龚蔚、西毒冰河、南帝Frankie、中神通小榕……
这一次,五绝来了三绝。
在2002年9月,重庆信息安全论坛举行,出席的信息安全人员都是当时的顶尖高手,他们是龚蔚、谢朝霞、袁仁广、黄鑫、彭泉、季昕华……
这一次,来了五位。
2011年9月的COG信息安全论坛(首届中国黑帽子盛会)获奖的四位个人和团队中,Lion(林勇)获得“信息安全社会影响力奖”,龚蔚掌门的绿色兵团获得“最佳技术团队奖”。La0wang带头的0x557团队也获得了“最佳技术团队奖”提名。Xundi获得“信息安全社会影响力奖”提名。龚蔚、谢朝霞(Frankie)获得“信息安全终身成就奖”提名。
在他们的研究、分享和影响下,在21世纪的前十年,中国从事网络安全和攻防研究的专业人士得到快速成长,功力大增,战斗力爆表。
在2010年前后,中国黑客的崛起现象,引起了国际社会高度关注,“中国黑客”品牌威震世界。
· 门派简介 ·
下面,对这几位大咖和其所属门派做分别介绍。
龚蔚

谢朝霞

张迅迪

黄鑫

林勇

王俊卿
王俊卿(la0wang),是当下中国网络安全梦之队0x557的创始人。
老王几乎对世界上所有类型的复杂大型系统都做过渗透测试,他符合人们对一个黑客的所有想象。在他的脑海中,有一万种在大型内网深处穿越游走的姿势。
彭泉

自1995年起从事网络安全攻防和保障体系建设研究至今已20余年,20余年来曾领导众多大型网络安全保障方案的设计和建设,同时作为多家金融机构、互联网公司、大型国企以及政府机构的网络安全顾问参与众多机构的网络安全体系建设工作。
担任中科协、中科院、广东省网络安全通报中心、广东省网络安全协会、深圳市公安局、深圳市科创委、深圳市金融协会、深圳市基金业公会、云安全联盟等多家机构的网络安全专家。并获国家重大活动网络安全保卫先进个人等荣誉。
在谈到如今的安全技术研究环境时,大家都有一个共识,当今国际形势、世界舆论和法律环境都发生了深刻变化,过去第一代黑客在网络空间自由穿行的时代已经一去不复返。
现在的年轻人想要自学成才的难度空前提高了,那些有丰富经验、广博知识和高度自律的黑客前辈们,有责任也有义务,为中国的网络安全事业培养更多职业操守和专业技术都过硬的接班人。
这次来了这么多宗师级的网络安全前辈大咖,在这样一个顶级的圆桌会议上,都有哪些精彩发言呢?
· 安全洞见 ·
1、数据泄露
针对个人数据和隐私信息的安全防范,主动权并不掌握在用户手中。绝大部分防范工作依赖平台的信息安全水平,例如用户信息的采集范围、传输方式、存储方式和处理流程,以及针对数据泄露事件的侦测、预警和追溯。
那么,企业需要具备哪些资质才可以采集、挖掘、输出哪些数据?谁可以拥有哪些数据的使用权限?针对这些关键尺度,如果相关法规和政策不够完善,那么数据量越大、维度越丰富、流动性越强,普通公民所面临的安全威胁就越直接。
2、IoT安全
由于在技术标准的生命周期早期没有充分考虑信息安全问题,加之产品技术和产业的高度碎片化,导致与IoT设备相关的安全问题数量庞大,而且对于已知问题也做不到统一处理。如果技术标准和碎片化的问题得不到解决,随着物联网的普及,安全问题对大家日常生活的影响也将逐渐放大。
3、勒索软件
由于虚拟数字货币的匿名属性,比特币被广泛应用于黑色产业。勒索软件也正是因此打通了整个勒索链条中犯罪风险最高的支付环节,在巨大利益的驱使下构建起完善的生态系统。“勒索软件即服务(RaaS)”的出现,使毫无研发经验的人可以轻易发起勒索攻击,这也是导致勒索事件呈爆炸式发展的原因之一。
4、DDoS攻击
DDoS攻击具有攻击者成本极低而防守方成本高昂的特性,而且历史悠久、花样百出。攻击者不断创新以提高DDoS的攻击效率,由于5G的兴起和IoT设备数量的增加,未来DDoS攻击可能会更加突出。
水、电、金融、军事等关键基础设施的传统边界将进一步扩展到5G世界中的其他领域,同时5G的高速连接也将为对抗洪泛式DDoS攻击带来新的挑战。
5、AI技术
除了上述几类安全问题外,信息安全技术与AI技术的结合也将逐步成为趋势。
一方面,与简单、机械的自动化系统相比,AI技术更适合处理相对抽象的“模糊识别”类问题,攻防双方借助AI技术都可显著提升效率。另一方面,AI系统自身也存在安全问题,会直接影响系统的可用性。
以正在成为研究热点的AI对抗攻击为例,攻击者在目标检测系统中可针对系统模型热点来逃避检测,针对面部识别系统的缺陷可伪造身份,针对自动驾驶、语音控制系统可实施欺骗控制等等。信息安全的战火已经烧到了AI领域,随着AI技术的广泛应用,安全问题会日益凸显。
信息安全的核心是攻防对抗,对抗的核心在于攻防双方对信息系统的理解。
一个顶级的漏洞交给不熟悉系统的攻击者去应用,相当于将漏洞拱手送出;同样一个具备完整安全意识的运维人员就算是不懂任何漏洞挖掘知识,也可以通过系统运行过程中产生的蛛丝马迹准确的识别攻击事件。
所以,无论是攻击还是防御,从业人员的基础技能必须重视。一个能将自己的攻击操作痕迹隐藏于无形的攻击者将是企业的噩梦,希望未来无论是护网还是各种安全比赛能够改变目前僵化的计分规则,对信息安全攻防操作做出合理的评判。这也有助于提升企业信息安全负责人员的地位,并且激发工作的积极性。
所以,我对人才的首先定义,他肯定是为国为民的。再次,他的专业素质肯定要高。所以结合这两点,为国为民的、技术高强的人才能被称为人才。
但是,我们的教育体系,那些高校,80%的名牌大学毕业出来的人都出国去了,在那边拿了绿卡留在那里。这些以全国资源培养出来的大学生们,他们有没有为国为民呢?我觉得没有,他们只是为了自己的工作履历也好,个人对金钱的诉求也好,跑去了国外。我们国家20年的培养付出的努力,就这样付诸东流。
这就是我们对人才的定义问题,即使培养出再高技能、再高学历的人,如果不能为国家所用,不能为人民所用,都是没有用的。
人才的成长主要还是在于自学。要培养自己的自学能力,有很多人都在问我要怎么样去学习网络安全。现在的网络安全环境是很好,但他们学习的途径却相对比较少了。
像大学的话,他一般通过打CTF比赛,如果自学的话一般通过Web渗透这一块入门。但这两块,其实在整个渗透流程里面,是很皮毛的一个方向了。比如现在的CTF,它更多的就是一种烧脑游戏,很难贴近实战,我在公众号里把CTF称之为花拳绣腿,或者叫套路。
我这个人江湖气息比较重一点。比如Web渗透的话,它主要是在渗透流程中去撕开一个口子,但在撕开口子之后,后面还涉及到非常多的东西,比如怎么隐藏自己、怎么提权、怎么横向渗透、怎么找到核心数据或者找到你想要的东西……所以Web渗透只是一个刚刚的入门而已。
像现在的教育也好培训也好,都是比较浅显的。对安全培训,我认为应该鼓励多做一些安全防御类的培训,不能老是靠渗透来吸引眼球。
关于网络攻防演练,我们要多向美国这样攻防演练的鼻祖好好学习,首先在级别上、重视程度上就要向他们看齐。美国、北约等进行的网络安全攻防演练,关键在于通过模拟网络遭到攻击的情况,锻炼和建设情报共享、应急反应处置、协同作战的能力,并重点锻炼的是跨军方、政府、企业之间应对信息战的协作能力。
中国最近两年开始举行的攻防演练还只停留在部级层面,更多的是流于套路形式,没有实质的建设起相关的跨部门协作机制。应马上提高该类活动的等级,并联合军队、政府、企业各方都参与进来,真正去学习到美国网络安全攻防演练的精髓。
3、很高兴的向大家汇报,网络安全专业已经成为了大学应届毕业生的最高薪资专业,且稳居第一。网络安全人才奇缺,我和很多独角兽公司的安全主管一起聊天时,他们最常和我提起的就是:帮我介绍几个技术人才吧。我看在坐的有一些就是大学生,我诚挚邀请同学们加入网络安全行业。
4、我将网络安全人才分为战略、战术、战斗人才三个不同的层次。从全局来看,我国的战略管理人才是非常智慧和强大的,而战斗人才的能力也是全球领先的,无论是漏洞挖掘还是攻防对抗单点技术都非常非常的强大,当然这方面人才的数量也还有待提高。
我觉得最缺的是战术人才。网络安全,特别是攻防技术不是一拳一脚,而是一个长期的具有谋略属性的事情,单项技术或单个漏洞是攻防的基础,但如何组合,如何使用,长期有效,最大化效果就是战术层需要考虑的。我建议大家可以往这个方向多研究多发展。
典型的,在甲方公司,安全的投入和感知取决于公司上层对其的认知,如何利用事件(无论是安全事件还是监管事件)获取资源、资金、人头,如何了解业务,提炼业务风险,让安全为业务部门感受到价值,就是你需要掌握的向上管理能力,是你的安全能否在你公司能做大做强的基础。至于横向推动能力,是安全策略和解决方案能否真正大范围落地的保障,就不展开讲了。
所以,如果年轻人不小心从事了安全行业,告诉你,这将是一个比较辛苦的工作,是一个活到老学到老的行业,要做到极致,要保持一辈子极大的兴趣爱好和坚持。
我记得TK曾在一个视频里提过:“HDmore,一个拥有比特币数量全球第二的有钱人,还保持着一年在 Github 上 contribution 3000多的付出”。想一想,不是爱好,光为钱应是坚持不下去的。
- 提供侵入、非法控制计算机信息系统程序、工具罪;
- 非法利用信息网络罪;
- 帮助信息网络犯罪活动罪。
——深圳市安络科技有限公司