本报记者 马俊
7月5日-7日,来自全球的十支顶级网络安全“特种部队”在北京共同角逐世界级黑客赛事之一——“2019WCTF世界黑客大师赛”。《环球时报》记者在现场得以一窥真实网络战的几分神韵。
据赛事组织者、360集团助理总裁郑文彬介绍,WCTF一直秉持着定向邀请全球TOP10黑客大师来华参赛的模式,参加这次比赛的网络安全战队分别来自波兰、日本、美国、俄罗斯、韩国、法国、瑞士、中国等。随着“万物互联”时代临近,数以百亿计的IoT智能产品、基站、宽带、工控设备、大型硬件系统等网络硬件设备的安全,成为如今网络攻防的重中之重。此外,近年来国际多个APT高级威胁组织利用浏览器漏洞渗透攻击,直接造成大批用户遭遇勒索病毒攻击。因此“2019WCTF世界黑客大师赛”就在赛题设置上,将“破解安全硬件”和“浏览器漏洞”列为主要方向。而且比赛还采取了“交叉互考”的出题模式,不同战队可以自选一道挑战难度极高的题目作为比赛内容。
比赛开始后,只能“外行看热闹”的《环球时报》记者注意到,现场一众网络高手们完全没有好莱坞电影里黑客们“敲击键盘如风”的“疯狂打字员”做派,更多时候是坐在电脑屏幕前陷入沉思,只是偶尔才会埋头敲打一串字符。
360AI安全研究院负责人李康告诉《环球时报》记者,WCTF属于网络安全领域中的“夺旗赛”(CTF),一个重要的特点是快,要更快地分析、更快地发现安全防御中的漏洞,“以快制胜”。但想要快速解题,首先要通过反复试探,找到合适的攻击思路。此外,现场的参赛战队也早已经准备好各自的独门黑客工具,能够自动化地挖掘和利用漏洞,甚至可能通过网络远程调用数千公里外的后台支援,有了这些自动化程序的帮助,因此“埋头狂敲键盘”的场面并不多见。当然这也并非绝对,有些战队会根据需要,现场赶写小型黑客程序。例如现在各国网络安全战队们常用的一个黑客工具Pwntool,就是当年在“夺旗赛”里现场写出来的。
比赛开始约5分钟,第一道题目被两支战队连续破解,现场一片欢呼。这让出题的法国和瑞士联合战队颇为沮丧。郑文彬透露,法瑞联队的出题人告诉他,好几个晚上没有睡觉,才出了这道难度极高的题目,“很不理解为什么这么快就被解掉”。仔细检验才发现,原来题目设置上存在一个小bug,被这两支战队发现并利用了。这就如同一道原本非常坚固的防线,但被攻击者从没有预料到的一个方向突破。郑文彬感叹,人编写的程序总是容易犯错误,这样的情况在现实中相当常见,“你觉得你已经为系统做了完备的防御,软硬件都做好安全防护,但实际上因为一个小的疏忽,黑客就进来了”。
这一点也是黑客赛事的目的所在——通过模拟真实的网络安全环境,比赛中遇到的情况与现实网络攻击非常接近。李康表示,如今黑客技术的更新非常快,全球顶级黑客在比赛中会拿出今年网络攻防的最新技术、启发思路和灵感进行相互交流,让我们得以掌握整个网络安全技术圈的发展潮流和重点方向,进而“取长补短”。▲