要说这些天来最振奋人心的消息,必定是上海信息安全团队全球摘冠的事。如果大家关注世界顶级信息安全比赛Pwn2Own的话就一定知道,来自上海的Keen黑客团队花了不到30秒,就率先破解了苹果最新的iOS7.0.3系统,成为了国内安全领域的第一个世界冠军。毫不夸张地说,中国信息安全领域的历史就在这一分钟内被改写。
这是iOS7.0.3第一次被远程破解。根据规则,此破解法将被主办方——惠普公司,以及苹果、谷歌等公开,用于弥补漏洞。在国内信息安全圈,这个消息引来众人发帖“奔走相告”。世界知名的安全企业法国Vupen也通过推特公开祝贺。说了这么多,大家一定很好奇,这究竟是怎样的一个精英团队?究竟是什么让他们在如此顶级信息安全大赛中称雄?下面就让信息安全领域方面的专家山丽网安来带您去瞧一瞧吧。
团队核心具备世界水平
一周之前,记者和这个团队的领军人物王琦面对面。那天,王琦显得很疲惫——前一天晚上,苹果刚在开发者平台上发布了新版iOS7,修补了200多个缺陷。
根据Pwn2Own的规则,比赛开始后,最快破解者为胜。实际上,参赛者事前要做大量准备,很少是靠“临场发挥”取胜。但由于比赛所用的iPhone会被临时更新到最新版软件系统,这等于说,所有准备,都可能因为不可预知的补丁而前功尽弃。
经过彻夜研究,王琦他们确认,苹果的补丁并不涉及自己事先找到的漏洞。
《福布斯》杂志曾在一篇报道中说:“或许苹果公司该请吴石来帮忙,因为他发现的漏洞是整个苹果安全团队的两倍多……”这位吴石现在是碁震团队的一员。但更难得的是,团队中的高手不止这一位。
曾任微软亚太区技术支持中心信息安全负责人的吕一平强调,也许其他团队能有一两个高手,但这个团队的核心全都是世界水平。
Pwn2Own是一项“不出题”的挑战赛,组织者不会刻意搭个环境,“卖个破绽”;用最新iOS系统作为目标,比赛完全是“真刀真枪”。团队领军人物王琦说,在信息安全的技术金字塔上,漏洞搜寻处于塔尖。但即便找到漏洞,并不意味着就能自由出入。还要一一绕过系统设计者布置的一系列防范措施。这个上海团队用了不到30秒,就通过Wi-Fi连接,拿到了iPhone里的Facebook账户文件。
王琦告诉记者,他的团队全都出自微软、谷歌、摩根斯丹利、华为、英特尔等公司的骨干专家组,处理过的应急事件超过2000起,帮助了一大批企业和机构,其中包括为马来西亚总理府对抗黑客。但绝大部分经历他无法详谈,因为“被救者”都不愿意展示脆弱的一面。
王琦本人是微软在信息安全方面的第一个中国籍专家工程师,但安全不是微软、谷歌等公司的主业。2011年,他说服大家辞职自己创业时,理由之一就是:“能治艾滋病的医生,为什么要每天都看感冒?”
拥有国际化视野是关键
13日上午,碁震团队到达赛场后突然发现,原以为比赛是下午,可实际上,马上就开始。这也难怪。这是中国第一次有人参与Pwn2Own比赛,完全没经验。赛前一周,记者问起王琦一些比赛细节,他也说不太清楚。
为了比赛,团队准备了很多漏洞。吕一平说,他们已经形成了一套挖掘漏洞的理论体系。许多世界高手,只靠找到一个漏洞就会成名,但之后再无进展,因为他们缺乏方法论,而方法需要高超的数学和计算机技巧,加上奇思妙想。参加过团队内部研讨的人士告诉记者,安全研究的话题竟是从分析原子结构开始。原来,在他们看来,信息的构建和物质构成是相通的,而数学可以解释一切。
但大部分情况下,安全研究一点都不浪漫。吕一平说,这异常枯燥,需要连续很多天,每天在电脑前坐20个小时。没有兴趣和追求,根本无法坚持。
王琦承认,团队中许多人都是标准的“技术宅”,除了电脑,还要看遍顶级学术刊物的最新论文。王怀宾说,这个团队的最大特点,就是国际化视野。
信息安全备受瞩目
上海信息安全团队在黑客大赛上称雄无疑是值得自豪的。但是在替他们高兴的时候也需要想到,这个比赛不仅仅是为了证明黑客拥有高超的技术和突出的能力,更多的其实是想说明一个问题——无论系统被认为有多么完美的安全架构,都存在着弱点和漏洞。黑客破解系统的行动越是容易,那么操作系统和服务器的安全性也就越脆弱。这样的黑客大赛虽然激励了人们对漏洞的关心与发现解决漏洞的能力,但是基于目前无法彻底消灭漏洞的存在,我们需要使用最有效的武器加以防御,坚持做到对网络信息安全进行全面有效的保护,不让不法分子有可趁之机。这时候,利用加密技术及其软件对数据本源进行针对性防护就是一种极其明智的决策。
同时,为了应对现代多样的加密需求和安全环境,使用灵活且具有针对性的多模加密技术又是其中最好的选择。
多模加密技术采用对称加密算法与非对称加密算法相结合的技术,在不同的工作环境之下为用户提供多种加密模式,灵活且有针对性。以多模加密技术为核心,山丽网安打造了山丽防水墙数据防泄漏系统。该系统通过山丽网安“双核双升”技术更新,不仅具有文件加密的功能,针对企业内部机密文件、企业外发文件、还有文件权限控制的特性。并用其独有的AUF监控内核为核心和国际先进的加密算法,纳入了成熟的计算机终端管理模式,在系统实施后可以达到技术手段的管理效果。
这次比赛无不展现中国信息安全研究者的风貌,充满正能量。这正是比赛的初衷:“攻”到极致,才能尽量“防”得完美。正是因为这些黑客的出色表现,才更能让我们好好擦亮眼睛,更好地完善操作系统,修复漏洞。为了确保系统及个人的信息安全,坚持使用对于数据本源有针对性防护效果的加密软件将永远是您的第一选择!