圖說:素有白帽黑客界"奧斯卡"之稱的Black Hat和Defcon兩大頂會,參會者雲集,盛況絕後
8月10日清晨,阿里平安獵戶座實驗室專家五達完畢在Black Hat長達50分鐘的演講,就被多名參會者在臺下圍住,"視頻水印抵消技術很棒,我們如今正面臨這些成績,能否可以跟我們協作。"
這樣的局面,作為一名三次參與Black Hat的"老兵"來說,曾經有些習氣了,"很快樂演講的技術能取得認可,並真的實在協助很多人去處理成績。"為了預備此次演講,8月5日就抵達美國拉斯維加斯的五達時差還沒倒過去,就再接再勵地不時修訂PPT、調試演講詞,還要抽空承受蜂擁不時的媒體採訪。
五達的這場戰役暫時告一段落,另一邊,阿里平安獵戶座實驗室的另兩名平安專家蒸米和白小龍也在緊鑼密鼓排演著8月11日行將到來的Defcon演講,往年的Defcon議題中國公司只要9個當選,蒸米和白小龍這對"黃金夥伴"一舉拿下了兩個。
五達、蒸米和白小龍在阿里平安部屬於年老一代的白帽群體,但他們在國際頂會上曾經是屢次露臉的老面孔。
據不完全統計,過來三年的工夫裡,阿里平安八大實驗室曾經有15名平安專家受邀參與Black Hat和Defcon兩大頂會,若要加上HITB、RSA、Xcon等其他頂會,這個數字還要再翻倍,這與阿里平安著力提升生態平安水位的速度不約而同。
技術處理社會成績是阿里平安區別於其他互聯網公司平安團隊的一大特點。在阿里經濟體不時擴展的明天,新批發、雲計算、大文娛、智慧物流等在內的龐大而複雜的生態體系,數以億計的用戶量,成為黑產們時辰在緊盯的貧礦:每天17億次歹意拜訪、僅淘寶就有400萬次歹意嘗試登錄,阿里平安1000多名平安工程師每天都要抵擋這些攻擊,不時提升技術才能來處理越來越複雜、順手的成績。
技術有落地場景來支撐,研討、驗證、改善、提升,成為阿里平安年老白帽們迅速生長的重要緣由。與此同時,這些對技術有狂熱追求的年老一代們,已經拆電腦、學焊接、組裝內存條等只為揭開奧秘代碼世界的一角機密,阿里生態體系不時演化正帶給他們越來越多可研討、打破的範疇,"興奮極了"他們說。
從第一人到15人
阿里平安潘多拉實驗室初級平安專家耀刺還記得2015年在Black Hat演講時的興奮。
"這樣的頂會關於白帽黑客來說,具有里程碑式的意義,代表著你的才能到達了一定的程度。"耀刺的技術才能無須置疑,當年的頂會演講中,他成為提出完好驅動自動化Fuzz方案的第一人,大幅提升Fuzz代碼掩蓋率,並發現很多0day破綻。隨後,他又成為阿里平安外部有名的"蘋果零碎越獄小能手",從iOS 11.2到 iOS 11.2.1,僅幾小時,他就輕鬆拿下。
85後耀刺首開先河,年老白帽們前赴後繼。五達、蒸米、團控、劉翔宇等15名平安專家先後在Black Hat Europe、Black Hat Asia、Defcon、Black Hat USA等頂會演出講,將平安研討效果向全球展現,從iOS破綻到安卓內核破綻,再到物聯網IoT設備破綻等,他們懸殊的思緒和腦洞大開的嘗試一次次帶給參會人員驚喜。
圖說:阿里平安獵戶座實驗室平安專家蒸米和夥伴白小龍在國際頂會HITB 上做演講
2015年,BlackHat Europe在荷蘭阿姆斯特丹舉行,五達以"GPS和WiFi地位工夫攻擊及進攻"為主題演講,發現基於WiFi的地位詐騙比GPS詐騙更容易被攻擊者應用,攻擊者甚至都不需求運用任何特殊的硬件設備,只需求一部普通的筆記本電腦,即可對市面上罕見的地圖類使用停止攻擊。會後,大會主席稱譽這篇主題演講為印象最深的演講。
蒸米和白小龍這對最佳拍檔,曾經在HITB、Defcon等頂會上相繼展露頭腳。若細數起來,蒸米和白小龍簡直曾經平蹚了國際外等各大頂會,包括行將舉行的Xcon、ISC等國際頂會,兩人均有效果斬獲。
"我的目的是協助阿里在 BlackHat USA、BlackHat Europe、Defcon、HITB 這四大會議下去一個'滿貫',"蒸米說,如今這一目的已接近完成,"我還在憋更大的招。"
狂熱技術宅們的守護之心
登上頂會只是一個後果,而面前的努力,是超出常人想象的艱苦和付出,但支撐他們的是對技術的狂熱之心。
每個零碎破綻和瑕疵,從發現,到地下、到宣佈,再到被修復,通常需求半年到一年,"兩頭這個工夫,你壓力很大的,你的滿足感在哪裡呢?就是你享用這個進程。"91年出生,曾經數次登上頂會的阿里平安潘多拉實驗室初級平安工程師團控說,他研討的"內核空間鏡像攻擊",從2016年終發現線索,到2018年地下演講,遭到業界認可,整整花了兩年的工夫。
關於那些遊弋在浩瀚無垠的二進制大洋中的白帽黑客們來說,興味,簡直是剋制寂寞、孤單、高壓引誘的獨一解藥。"一生夢想,就是操作零碎開展歷史上,作出有本人奉獻的一筆。"白小龍說,"就靠這個撐著了"。
而當本人發掘的破綻真正協助到企業、用戶,處理他們的成績時,是這些白帽們最欣喜的時辰。2017年,五達和夥伴以"超聲波如何攪擾物聯網設備(IoT)"為主題在Black Hat USA演出講,發現無論是AR、VR,還是iPhone手機、均衡車、無人機甚至無人駕駛汽車、家用汽車等物聯網設備,實踐都有被超聲波攪擾的能夠,進而對用戶的生命財富平安形成損傷,並對設備廠商提供了平安處理方案,協助其處理這一物理平安破綻。
圖說:阿里平安與兩大頂會的交集
現實證明,隨後國際發作的多起物聯網設備被攪擾、毀壞事情,都與黑客應用這些破綻有關,若這些前瞻性的研討及時普及,就能把很多風險扼殺在搖籃裡。
這些年老白帽們很清楚,做網絡平安這個職業跟醫生相似,需求持久的沉澱,技術才能才幹抵達金字塔頂端,以一敵百。他們需秉承著來自老一輩阿里平安人的敬畏和守護之心,在沒有邊界的網絡世界裡持續踽踽前行:在阿里巴巴如今這個龐大的經濟體之下,平安正在變得越來越重要,一代又一代阿里平安人兢兢業業、一磚一瓦去搭建起整個平安體系,維護數億的消費者。每一天每一刻,不敢抓緊。
此刻,拉斯維加斯的燈火正燦爛,數據維護、人工智能、設備平安等議題也正在Black Hat和Defcon上熱烈討論。阿里年老白帽們的頂會之旅正在停止,他們在網絡平安範疇的探究也才剛剛開端。
閱讀更多 聊運營 的文章
