中国网络卫士亲历国际黑客峰会

　　今年８月，来自中国最大互联网安全公司——３６０公司的网络安全工程师王宇收到一份“极客”范儿十足的邀请——以中国网络卫士身份参加在美国举办的全球顶尖黑客峰会，并就其发现发表主题演讲、见证各国黑客团队“攻坚战”。

　　美国归来，这位“技术男”１９日对新华社记者讲述了自己所亲历的网络安全“华山论剑”。

　　【中国卫士登台“堵漏”】

　　今年８月上旬，一年一度联袂举行的“黑帽子技术大会”（Ｂｌａｃｋ　Ｈａｔ，简称黑帽大会）和名为“防御态势”的国际黑客大会(Ｄｅｆ　Ｃｏｎ) 再度吸引全球成千上万网络卫士和黑客高手聚首“赌城”拉斯韦加斯。从技术培训、专家演讲到黑客大比拼，两场大会从“盾”与“矛”两个角度聚焦当下最前沿的网络安全趋势和黑客技术走向，堪称全球信息安全领域顶尖峰会。

　　今年，中国“网络卫士”也首次登上“黑帽大会”演讲台。王宇介绍说，他８月７日在大会上发表题为《理解Windows内核字体引擎中的时间差问题》的主题演讲，为同业拆解他对此类安全漏洞问题的思考。

　　即便在全球范围内，字体引擎漏洞问题的研究者并不多，而自２０１１年起投入这一研究领域的王宇已算得上这一领域顶尖高手。

　　王宇告诉记者，最早引起业内少数人对这一问题重视的是全球第二代国家级恶意软件——ｄｕｑｕ，其二进制代码与第一代国家级恶意软件“震网”较为相似。

　　美国《华盛顿邮报》等媒体报道，“震网”及其后多个曾肆虐中东地区的网络病毒由美国和以色列联合研发，其中美国情报机构和以色列军方均参与了“震网”针对伊朗铀浓缩设备的攻击。

　　据王宇介绍，尽管研究者不多，从Windows XP到Windows 8.1在内所有Windows操作系统，字体引擎时间差问题可能引发的漏洞风险却普遍存在。

　　今年３月，王宇向微软公司提交了由字体引擎时间差问题可能引发漏洞的详细分析材料，指出该漏洞存在被攻击者远程控制的风险。而就在拉斯韦加斯“华山论剑”落幕前夕，微软公司８月１２日发布了该漏洞的补丁。

　　【漏洞之下，致命威胁】

　　王宇介绍，今年大会期间受关注的安全漏洞热点话题还包括高级持续性威胁（ＡＰＴ）和无线领域信息安全等。其一，ＡＰＴ网络攻击通常是针对高价值目标的定点打击，采取更为高端且难于监测的攻击技术，比如世界５００强企业就很关注如何防范和应对此类攻击。其二，随着移动互联技术的迅速兴起、智能手机迅速普及，针对手机的安全漏洞问题日益凸显。大会期间，就有黑客现场演示如何针对手机“信任区域”内的系统漏洞，仅凭很低权限切入，就能影响最高权限的功能。比如，苹果手机iPhone 5S指纹识别技术的信息就存储于“信任区域”。

　　今年大会期间，顶级黑客在演示活动中再度各自施展破解大法，也更凸显现实世界的网络安全风险之剧。还有专家在会上指出，全球有超过２０亿个移动设备安装了含有漏洞的远端管理程序，而黑客能借此获得权限，在移动设备上安装恶意程序或存取机密信息。

　　风头正劲的美国特斯拉电动汽车公司甚至特意来到大会，求助网络安全工程师和黑客高手查找特斯拉汽车软件漏洞，并借机招聘信息安全研究员。

　　今年７月底，３６０公司曾率先发现特斯拉Ｓ型汽车存在的应用程序漏洞，并第一时间提交特斯拉。

　　王宇说，全球进入互联网及移动互联时代，网络攻击每时每刻都在上演。无论是产业上下游各环节，还是普通消费者，都必须意识到与“网”有关的所有产品和服务都面临安全风险，手机、电视、移动设备等很容易受到攻击，生产者更应保持积极心态，及时修复、主动应对。

　　【黑客攻防，尚有差距】

　　今年两场大会参会规模再破纪录。其中，聚焦信息安全热点话题的“黑帽大会”吸引了近万名参会人员，同比增长２０％。而“黑客大会”的参与者更由去年１．２万人激增至今年近１.６万人。

　　王宇介绍，前者参会人员需缴纳２０００美元报名费，主要吸引的是网络安全领域从业人员、美国政府安全人员等；后者入场费仅为２００美元，不仅黑客高手参与，还有不少美国相关专业的大学生也来参会。

　　他说，“黑客大会”丰富内容中最吸引眼球的莫过于黑客攻防“夺旗大赛”，由闯入总决赛的２０支黑客队伍一边回答“考题”，一边保住自家营盘并互相攻击，持续时间为５２小时。

　　“蓝莲花”队以清华大学学生为基础班底。王宇本人也是“蓝莲花”一员。

　　在这名网络“安全卫士”看来，现代社会中，网络安全攻防犹如没有硝烟的战争，深刻影响着个人安全和国家安全，而“夺旗大赛”就是一场虚拟空间短兵相接的小型演练。

　　据他介绍，今年比赛仍由传统强队、美国卡内基－梅隆大学的队伍ＰＰＰ夺冠，美国谷歌公司派出的参赛队获取第三名。但另两大亮点更值得关注——其一，中国台湾派出的一支队伍获得第二名；其二，今年有５支韩国队伍闯进总决赛。

　　王宇说，他在近两年交流中获悉，韩国之所以在黑客技术领域突飞猛进，离不开韩国从中学、大学开始着力培养和储备黑客技术人才和网络安全人才的部署。反观中国高校学生，虽学习兴趣浓厚、学习热情高涨、个人素质较高，但整体技术水平、育才政策和环境以及受重视程度尚难与之媲美。

　　“我们队伍成员曾在大会期间开玩笑说，要是这也能高考加分，中国队肯定能在黑客攻防比赛中拿下冠军，”王宇说。（孙浩）