这个夏天,《亲爱的,热爱的》火了,李现饰演的男主韩商言为之奋斗的CTF也跟着火了起来。只是“现女友们”,你们知道CTF是啥吗?它是真实存在的吗?
实际上,CTF全称“Capture the Flag”,俗称“夺旗赛”,是网络安全比赛的形象化语言呈现,指的是网络安全技术人员之间进行的技术竞技。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式。值得骄傲的是,我国在这一领域的赛事中也逐渐显露头角,迈进世界一流水平。所以,电视剧里的热血和竞争激烈是真实存在的!
这不,堪称“全球黑客大阅兵”的世界黑帽与黑客大会也火热来袭!
近日,在美国拉斯维加斯举行的黑帽与黑客大会上,苹果公司对外宣布,如果有黑客能够远程攻破苹果手机的安全屏障,那么将获得100万美元的赏金!
在黑帽与黑客大会这样的场合做这样的声明,自然有着寻找安全漏洞的考虑,但另一方面,也实际上彰显了苹果公司对iPhone安全系统的自信。毕竟,如果系统能被轻易攻破,那苹果可要赔大了。
不得不说,巨额的赏金的确大幅刷新了借助黑客力量查找安全漏洞的业界纪录,苹果这一招也的确在“无意间”给市场份额不断下跌的自己打了一波广告。但实际上,这一聪明的公关之举多少也有些无奈。
就在本届黑帽与黑客大会开幕的前沿,一位名为娜塔莉亚·希尔瓦诺维奇的“黑客”就找到了苹果手机iOS操作系统iMessage上的一个“无交互漏洞”:仅仅需要向苹果手机发送一条短信,不需要用户进行任何操作,这部手机的控制权就掌握在黑客手中了——iOS系统安全性上的神话再遭惨痛击。
更令苹果公司难堪的是,娜塔莉亚不是闲云野鹤般的自由黑客,而是来自苹果直接竞争对手、领导开发安卓系统的谷歌公司的“零计划”团队的安全专家。
各方高手汇聚赌城
在会议开始前,苹果公司已经发布了修复这些漏洞的部分安全补丁,但是尚无办法完全修复。也就是说,上个月才上线的iOS12.4系统,其实是仍然存在安全漏洞的。
不过,安全更新有总比没有强。因为这种不需要手机用户参与的“无交互漏洞”在黑客市场上非常受欢迎。据美媒披露,针对这种漏洞的攻击“武器”在黑市上可能高达 500 万美元一个,远高于苹果公司给出的赏金。
不过,这也正是黑帽与黑客大会存在意义的最好说明。
黑帽与黑客技术大会其实是两个会议,但都与网络安全紧密相关,可以为世界各地的黑客、企业和政府机构提供安全咨询、培训和报告,堪称全球信息安全领域顶尖峰会。会议汇集了各种对信息安全感兴趣的人,包括业界管理高管、技术人员、黑客和安全专家。
今年的两个大会都在“赌城”拉斯维加斯举行,举行了数百场论坛、技术展示及黑客比赛,吸引了超过4万人参加。与会者就网络安全相关的各种议题展开讨论,包括5G网络新漏洞、社交网络信息安全、远程破解智能手机操作系统、大型客机安全等。
除了这些专业性非常强的论坛外,会议还因一些黑客的“恶作剧”而闻名。例如,曾有参加者“黑”进了会议所在酒店的无线网络,或者破解了酒店的收费电视频道或自动售货机。2009年,只有少数网络安全研究人员和团队登录的专业网站遭遇黑客入侵,导致大量网站用户的密码、电子邮件、即时通讯聊天和敏感文件失窃,而这些信息又在当年黑帽与黑客大会开始前的几天在网上曝光。
但对于多数专业人士来说,最大的看点无疑是会议期间举办的全球最高级别的黑客夺旗赛。这是网络安全专业技术人员之间进行技术竞技的一种比赛形式。今年,共有16支来自世界各国的黑客战队进入决赛圈。在为期3天、总计24小时的比赛中,参赛队需要通过破解不同类型的漏洞、攻击对手、防御自身、达成相应目标来获得积分。
值得一提的是,今年共有包括中国台湾HITCON战队和腾讯A*0*E联合战队在内的五支中国战队入围决赛圈,创下数量之最。最后,HITCON和腾讯A*0*E分别夺取第三和第四名,第一名由韩国DEFKOR00T战队夺取。
热话题距你我不遥远
不过,这些终究只是会议的一些花边。对于业外人士来说,更关心的还是与自身紧密相关的一些网络安全议题。
那么,今年的热门话题有哪些呢?
· GPS系统