在好莱坞电影中,我们经常能够看到技艺高超的“电脑特工”,分分钟攻破入侵中央情报局,通过网络控制卫星。而在现实生活中,攻破当今最坚固操作系统只需要15秒,而创造这一奇迹的,是来自中国的一支名为“Keen Team”的白帽子安全团队。
中国网络安全的历史在40秒内相继被改写,在温哥华举办的全球顶级安全赛事Pwn2Own中,来自中国的“白帽子”团队Keen Team用时15秒攻破MacOS X Mavericks 10.9.2,20秒攻破了Windows 8.1。其中MacOS,因为大量采用了业内如微软、谷歌等公司最新的高级安全防护技术,在2011年以来连续三年举行的Pwn2Own比赛中从无人攻破。
(Keen Team成为中国唯一一支参加Pwn2Own并且两次均夺冠的专业安全研究队伍)
神秘的白帽子
他们是这样一群人,他们有着神乎其技的技术,他们能够先人一步地识别计算机系统或网络系统中的安全漏洞,然后反馈给漏洞所属的企业并协助制定修补方案,他们被称为“白帽子”,在网络的世界中,哪里有四处攻击的黑客,就有与之搏斗的“白帽子”。
全世界有很多知名“白帽子”团队,例如,法国的安全团队Vupen、荷兰的皮特·维莱格登希尔(Peter Vreugdenhil)、德国的尼尔斯(Nils)等,他们都曾向美国宇航局、北约组织等提供过漏洞信息。
而在中国,漏洞通告平台——乌云的创始人方小顿就是一位知名白帽子,业内也更熟悉他的网名“剑心”。还有著名网络安全企业知道创宇的创始人赵伟也是国内第一批白帽子。
本次创造佳绩的Keen Team则来自上海碁震云计算科技有限公司,他们曾经多次向微软、苹果、谷歌等全球知名厂商提交了数百个严重级别的安全漏洞,曾经被福布斯杂志评价“发现的苹果漏洞是苹果整个安全团队的两倍还多”。
有人说,在白帽子出来以前,中国网络安全是黑暗的,也正是因为这些中国顶尖的白帽子存在,国内网络安全才逐步见到光明。
Keen Team :“学霸”集中营
在本次Pwn2Own攻破苹果、微软最新系统的Keen Team是名副其实的“学霸集中营”。此次大赛的主攻手,同时也是上届Pwn2Own中攻破IOS7系统的重要参与者陈良就是名不折不扣的学霸。
在2002年,高中时的陈良就获得了上海市数学联赛一等奖,上海交大毕业后,又顺利考入复旦大学软件工程硕士专业。还曾先后担任过微软安全响应中心高级安全分析员和摩根斯坦利全球7个计算机犯罪调查专员之一。
Keen Team技术负责人吴石表示:“陈良虽然年轻,但他已经证明了自己是内存攻击领域全球顶尖的专家,而这个领域是黑帽界技术水准最高的领域之一”。作为KeenTeam的高级研究员,陈良在2013年针对各种操作系统,先后发现超过20个高危漏洞,并通知相关企业进行修复。
作为陈良复旦大学师兄的吴石,也是一位不折不扣的数学和计算机天才。他曾经只带着三个人、使用10台电脑、用一个月的时间,完成了Google数十人、数百台服务器、几个月的程序漏洞挖掘成果,更是Apple整个团队成果数量两倍还多。
从业超过15年的吴石,发现过的高危系统漏洞达到200多个,个人成果占微软整个公司发现的总体漏洞数量1/10。多次获得全球计算机漏洞挖掘白金奖,并入选了Google安全名人堂。
从1993年全国奥林匹克数学竞赛的冠军到到成长为中国乃至计算机漏洞挖掘领域当之无愧的第一,吴石证明了数学之美,也带领了整个KeenTeam团队获得了世界漏洞发掘最高荣誉——ZDI全球漏洞挖掘白金奖。
个人荣誉的背后是整个团队辛勤的汗水,江西九江理科状元,曾被誉为“微软亚洲防火墙第一人”的KeenTeam高级研究员王海兵、17岁时成为中国最年轻的系统分析员,获得过微软全球杰出贡献奖的方家弘、上海市物理联赛赢家,只用一天时间写出的自动工具,挖出了近十个新浪微博漏洞的宋宇昊都是KeenTeam团队蝉联全球顶级安全赛事冠军的重要基石。
以网络安全为己任
和人们想象中的科学家不同,Keen Team并不打算将自己的研究成果,搁置在实验室,而是希望用它们保护中国每个网民的上网安全。
Keen Team所在的上海碁震云计算科技有限公司一直致力于将科研成果转化为保护中国网民的坚实力量。公司CEO王琦表示:“碁震云计算一直致力于将尖端的独立安全研究成果和成熟的一线安全服务经验结合,在云计算和移动领域构筑起高端安全防御的保护线。”
据了解,上海碁震在国内长期为巨人网络、快钱等知名企业提供系统安全服务,帮助各大企业及时发现漏洞并补救,为企业安全体系建设提供强有力的技术支持。
在windows XP系统退休倒计时30天时,上海碁震加入了腾讯与联想、微软共同发起的,旨在保护中国2亿XP用户的“扎篱笆计划”。王琦在合作发布会上表示,将更好地配合各安全企业一起,联手打击针对XP用户的黑客攻击行为,为用户营造一个安静、安全的健康使用环境。
目前,针对全球主流的桌面和移动操作系统及应用,上海碁震均已搭建了成熟的高级研究平台,可以持续高效的进行漏洞挖掘和漏洞利用研究,用以最终研制出最安全的保护机制。吴石表示,保障桌面和移动系统的安全性,使得计算机和智能终端的政府和企业用户可以免受高级持续性威胁APT攻击,普通用户也可以享受更安全的移动支付环境。公司也非常重视高级专业安全人才的引进和激励,希望能够培养出更多国际一流的专业人才,提升中国信息安全研究的整体水平。