图说:素有白帽黑客界"奥斯卡"之称的Black Hat和Defcon两大顶会,参会者云集,盛况绝后
8月10日清晨,阿里平安猎户座实验室专家五达完毕在Black Hat长达50分钟的演讲,就被多名参会者在台下围住,"视频水印抵消技术很棒,我们如今正面临这些成绩,能否可以跟我们协作。"
这样的局面,作爲一名三次参与Black Hat的"老兵"来说,曾经有些习气了,"很快乐演讲的技术能取得认可,并真的实在协助很多人去处理成绩。"爲了预备此次演讲,8月5日就抵达美国拉斯维加斯的五达时差还没倒过去,就再接再励地不时修订PPT、调试演讲词,还要抽空承受蜂拥不时的媒体采访。
五达的这场战役暂时告一段落,另一边,阿里平安猎户座实验室的另两名平安专家蒸米和白小龙也在紧锣密鼓排演着8月11日行将到来的Defcon演讲,往年的Defcon议题中国公司只要9个当选,蒸米和白小龙这对"黄金伙伴"一举拿下了两个。
五达、蒸米和白小龙在阿里平安部属于年老一代的白帽群体,但他们在国际顶会上曾经是屡次露脸的老面孔。
据不完全统计,过来三年的工夫里,阿里平安八大实验室曾经有15名平安专家受邀参与Black Hat和Defcon两大顶会,若要加上HITB、RSA、Xcon等其他顶会,这个数字还要再翻倍,这与阿里平安着力提升生态平安水位的速度不约而同。
技术处理社会成绩是阿里平安区别于其他互联网公司平安团队的一大特点。在阿里经济体不时扩展的明天,新批发、云计算、大文娱、智慧物流等在内的庞大而复杂的生态体系,数以亿计的用户量,成爲黑产们时辰在紧盯的贫矿:每天17亿次歹意拜访、仅淘宝就有400万次歹意尝试登录,阿里平安1000多名平安工程师每天都要抵挡这些攻击,不时提升技术才能来处理越来越复杂、顺手的成绩。
技术有落地场景来支撑,研讨、验证、改善、提升,成爲阿里平安年老白帽们迅速生长的重要缘由。与此同时,这些对技术有狂热追求的年老一代们,已经拆电脑、学焊接、组装内存条等只爲揭开奥秘代码世界的一角机密,阿里生态体系不时演化正带给他们越来越多可研讨、打破的范畴,"兴奋极了"他们说。
从第一人到15人
阿里平安潘多拉实验室初级平安专家耀刺还记得2015年在Black Hat演讲时的兴奋。
"这样的顶会关于白帽黑客来说,具有里程碑式的意义,代表着你的才能到达了一定的程度。"耀刺的技术才能无须置疑,当年的顶会演讲中,他成爲提出完好驱动自动化Fuzz方案的第一人,大幅提升Fuzz代码掩盖率,并发现很多0day破绽。随后,他又成爲阿里平安外部有名的"苹果零碎越狱小能手",从iOS 11.2到 iOS 11.2.1,仅几小时,他就轻松拿下。
85后耀刺首开先河,年老白帽们前赴后继。五达、蒸米、团控、刘翔宇等15名平安专家先后在Black Hat Europe、Black Hat Asia、Defcon、Black Hat USA等顶会演出讲,将平安研讨效果向全球展现,从iOS破绽到安卓内核破绽,再到物联网IoT设备破绽等,他们悬殊的思绪和脑洞大开的尝试一次次带给参会人员惊喜。
图说:阿里平安猎户座实验室平安专家蒸米和伙伴白小龙在国际顶会HITB 上做演讲
2015年,BlackHat Europe在荷兰阿姆斯特丹举行,五达以"GPS和WiFi地位工夫攻击及进攻"爲主题演讲,发现基于WiFi的地位诈骗比GPS诈骗更容易被攻击者应用,攻击者甚至都不需求运用任何特殊的硬件设备,只需求一部普通的笔记本电脑,即可对市面上罕见的地图类使用停止攻击。会后,大会主席称誉这篇主题演讲爲印象最深的演讲。
蒸米和白小龙这对最佳拍档,曾经在HITB、Defcon等顶会上相继展露头脚。若细数起来,蒸米和白小龙简直曾经平蹚了国际外等各大顶会,包括行将举行的Xcon、ISC等国际顶会,两人均有效果斩获。
"我的目的是协助阿里在 BlackHat USA、BlackHat Europe、Defcon、HITB 这四大会议下去一个'满贯',"蒸米说,如今这一目的已接近完成,"我还在憋更大的招。"
狂热技术宅们的守护之心
登上顶会只是一个后果,而面前的努力,是超出常人想象的艰苦和付出,但支撑他们的是对技术的狂热之心。
每个零碎破绽和瑕疵,从发现,到地下、到宣布,再到被修复,通常需求半年到一年,"两头这个工夫,你压力很大的,你的满足感在哪里呢?就是你享用这个进程。"91年出生,曾经数次登上顶会的阿里平安潘多拉实验室初级平安工程师团控说,他研讨的"内核空间镜像攻击",从2016年终发现线索,到2018年地下演讲,遭到业界认可,整整花了两年的工夫。
关于那些游弋在浩瀚无垠的二进制大洋中的白帽黑客们来说,兴味,简直是克制寂寞、孤单、高压引诱的独一解药。"一生梦想,就是操作零碎开展历史上,作出有本人奉献的一笔。"白小龙说,"就靠这个撑着了"。
而当本人发掘的破绽真正协助到企业、用户,处理他们的成绩时,是这些白帽们最欣喜的时辰。2017年,五达和伙伴以"超声波如何搅扰物联网设备(IoT)"爲主题在Black Hat USA演出讲,发现无论是AR、VR,还是iPhone手机、均衡车、无人机甚至无人驾驶汽车、家用汽车等物联网设备,实践都有被超声波搅扰的能够,进而对用户的生命财富平安形成损伤,并对设备厂商提供了平安处理方案,协助其处理这一物理平安破绽。
图说:阿里平安与两大顶会的交集
现实证明,随后国际发作的多起物联网设备被搅扰、毁坏事情,都与黑客应用这些破绽有关,若这些前瞻性的研讨及时普及,就能把很多风险扼杀在摇篮里。
这些年老白帽们很清楚,做网络平安这个职业跟医生相似,需求持久的沉淀,技术才能才干抵达金字塔顶端,以一敌百。他们需秉承着来自老一辈阿里平安人的敬畏和守护之心,在没有边界的网络世界里持续踽踽前行:在阿里巴巴如今这个庞大的经济体之下,平安正在变得越来越重要,一代又一代阿里平安人兢兢业业、一砖一瓦去搭建起整个平安体系,维护数亿的消费者。每一天每一刻,不敢抓紧。
此刻,拉斯维加斯的灯火正灿烂,数据维护、人工智能、设备平安等议题也正在Black Hat和Defcon上热烈讨论。阿里年老白帽们的顶会之旅正在停止,他们在网络平安范畴的探究也才刚刚开端。
閱讀更多 聊運營 的文章
