頭戴耳麥、背靠大牌電競專用椅、帥氣十足地念念有詞，兇起來直接一串代碼刪除自己的服務器……熱播電視劇《親愛的 熱愛的》里酷炫的CTF(網絡安全奪旗戰(zhàn))，在現實中真是這么操作的嗎?

　　近日，全球白帽黑客頂級會議Black Hat和DEF CON在美國拉斯維加斯落幕。面對數萬名頂級白帽，來自阿里安全的蒸米、白小龍、五達代表阿里巴巴經濟體，連續(xù)三年登臺演講，展示在iOS系統(tǒng)安全以及IoT安全領域的最新發(fā)現，實力演繹了現實版的“韓商言”。

　　圖說：阿里安全雙子座實驗室高級安全專家蒸米在Black Hat上受邀演講

　　帶著iOS系統(tǒng)漏洞議題數次參加Black Hat的蒸米，曾是著名CTF戰(zhàn)隊藍蓮花成員，參加過世界頂級黑客大賽 DEF CON CTF，也拿過AliCTF冠軍和國內XCTF聯賽個人排行榜前十的成績。

　　“真實的CTF很簡單，做題就是了，沒有舞臺，也沒那么酷炫。”蒸米還記得此前在學校的時候參加一個線上CTF，做題做到凌晨3點，遇到一道移動安全的題目，需要“動態(tài)脫殼”，但宿舍電腦跑不起來脫殼的環(huán)境，他抓起鑰匙就往實驗室跑，偌大的實驗室空無一人，只有他在一臺屏幕前眼睛里閃著光，“是孤獨的，也是幸福的。”

　　在阿里安全內部，像蒸米一樣參加過CTF的白帽很多，但為了更好地保障系統(tǒng)安全、平臺安全，進而維護網絡安全，讓消費者安全購物，他們都舍棄了“攻”的痛快和耀眼，選擇看起來并不容易地“防”，包括挖漏洞也是帶著給出解決方案的視角，堅持用技術去解決社會問題。

　　三白帽登頂會累計30余次

　　阿里安全獵戶座實驗室安全專家、IoT安全達人五達2015年至今已參加四次Black Hat，他的發(fā)現包括超聲波干擾VR、AR等物聯網設備，去視頻水印攻擊技術等，今年帶著IoT傳感器的漏洞以及相關的解決辦法，五達在DEF CON上的演講又贏得一片掌聲。

　　兩年來，五達已經參加國內外各類安全頂會十余次，這意味著每次都有重要的IoT漏洞被他提交，這意味著新的攻擊路徑還未被發(fā)現，就已被他扼殺，讓物聯網設備多了一分安全。從拉斯維加斯到阿姆斯特丹，再到迪拜、慕尼黑，五達的足跡已經快遍布全球，研究成果也曾被福布斯雜志報道，被美國連線雜志評選為當年“最佳Hack”之一。

　　蒸米、白小龍是一對蘋果操作系統(tǒng)安全的黃金搭檔。圍繞著蘋果系統(tǒng)安全這個主題，他們挖到了越來越多的漏洞并探索了全新的方法論，他們的研究不但有攻擊的思路，還為蘋果公司提供了系統(tǒng)防御的思路。蒸米和白小龍的每次演講，均有蘋果公司安全團隊成員等在臺下。最近一年，他們被蘋果授予6個CVE(公共漏洞暴露)并獲官網致謝，蘋果公司安全負責人更是親自到場，感謝他們的研究讓蘋果的操作系統(tǒng)更加的隱私和安全。

　　從DEFCON 101演講開始，到最后公認的TOP 1的Black Hat USA，蒸米和白小龍已經拿下了名副其實的頂會“大滿貫”，這在行業(yè)里都是極為罕見的。

　　圖說：阿里安全雙子座實驗室安全專家白小龍(左一)受邀在DEF CON演講

　　首獲黑客界“奧斯卡”大獎提名

　　Black Hat匯聚全球白帽黑客、安全廠商、研究機構等各類安全群體，議題審核最嚴苛為業(yè)內公認，每年上報的議題最終通過率不足20%。DEF CON作為聚集白帽黑客數量最多的大會，風格更輕松活潑，但入選議題的含金量也相當高。

　　過去三年里，阿里安全八大實驗室已經有15名安全專家受邀參加Black Hat和DEF CON兩大頂會。若要加上HITB、RSA、Xcon等其他頂會，阿里安全白帽參加頂會的人次還要再翻倍。

　　值得注意的是，創(chuàng)始于2007年，被譽為“全球白帽黑客奧斯卡”(The Pwnie Awards)大獎今年的榜單上，阿里安全專家王勇獲得最佳提權漏洞獎提名。雖然抱憾未獲最終大獎，不過這位出生于1991年的白帽依然信心滿滿，“還年輕，明年繼續(xù)試。”

　　圖說：The Pwnie Awards榜單上，阿里安全專家王勇獲得最佳提權漏洞獎提名

　　此外，在今年微軟公布的2019MSRC全球最具價值安全精英榜單中，君故、紫密這兩位來自阿里安全的兩位白帽上榜，位列前二十。“他們使用的就是我們獨創(chuàng)的內核漏洞檢測方法，能在短時間內快速挖掘漏洞。”阿里安全雙子座實驗室負責人杭特表示說，這一方法論被學術頂會CCS收錄，成為26年來國內互聯網企業(yè)投中的第一篇論文。

　　阿里安全在安全領域的能力建設正受到全球矚目，也是近年來阿里巴巴經濟體安全水位持續(xù)提升的實踐成果。公開數據顯示，2018年，阿里安全攔截1310億次惡意攻擊、日均保護316億次用戶操作。

　　與電視劇里酷炫的CTF操作相比，現實中的網絡安全守衛(wèi)者們更加地簡單、純粹、質樸。在這個充滿金錢和利益的時代，更多白帽子要經受的考驗是正義感和敬畏之心，而阿里安全十年如一日的風險能力建設，“一磚一瓦均需匠心”。

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創(chuàng)性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。