《文茜的世界周報》
【數位時代網路安全議題已成為國家安全危機 2013年Yahoo遭駭客入侵造成30億用戶資安威脅 2013年南韓遭駭客攻擊及2017年勒索病毒WannaCry肆虐 也造成極大的損失 許多國家與企業更舉辦駭客競賽 並非鼓勵駭客攻擊行為 而是及早發現自身資安的漏洞 並培養發掘資訊安全人才】
「下一次全面毀滅性的攻擊將來自於網路,連接網路的那一刻起,你就沒有主導權,我可以攻擊任何人,任何事物,任何地方,他們正在轉移資金,」電影<黑帽駭客>片段。
這是許多人對駭客的刻板形象。
「毫無痕跡,不留線索,絕不留情,」電影<黑帽駭客>片段。
「這群高手中的高手,從錢到個人身分,甚至是無人車,」電影<玩命關頭8>片段。
沒有什麼是他們得不到的,而那些被視為誇大的虛構情節,其實已經滲透到你我的生活當中。
「我現在是用他的帳戶來騎車,」程序員。
在大陸大受歡迎的共享單車,駭客只要在電腦上簡單操作幾下,不到一分鐘,就能花你的錢輕鬆出行。
「除了你可以花別人的錢以外,這個漏洞最大的危害是什麼,他個人信息的洩漏,我就可以知道可能他家在哪裡,公司在哪裡,常去的地方有哪些,就是推斷出他個人的習慣,生活習慣之類的,」程序員。
「初始密碼121212,開門成功,然後下面就修改一下密碼,」百度安全實驗室安全研究員謝海闊。
充斥在大陸各大飯店的智能安全鎖,方便管理者掌握房源動態,然而卻也可能在瞬間就成了防盜裝飾。
「050102,是你剛才設置的密碼,對,成功了,然後再試原來我那個密碼,121212,就原來密碼已經失效了,」百度安全實驗室安全研究員謝海闊。
當智慧型產品已經深入到你我生活當中,在帶來便捷的同時,隱形的漏洞就更不容忽視。
「隨著未來人類社會使用數字技術越來越多,就會有越來越多的財富,越來越多的榮譽,是由數字技術所承載,那麼也就有越來越多的風險,是信息安全風險 ,安全這塊其實就是你需要在壞人之前,把這些問題找出來,然後把它給封堵住,」騰訊玄武實驗室負責人于暘。
學醫出身的于暘是大陸駭客圈的傳奇,他曾奪得微軟安全挑戰賽最高獎,在業內被稱為TK教主,目前是騰訊玄武實驗室的"掌門人",這個實驗室對外負責發表安全研究成果,對內支持騰訊全系列產品的安全,于暘之所以脫下白袍當起駭客,是因為他從找漏洞的過程當中,獲得前所未有的成就感。
「漏洞披露的意義這個是在10幾年前,其實已經討論清楚了,威脅就在這裡,如果我們不去把它找出來,遲早有一天會有壞人把它找出來,我給你舉一個例子,我在2013年有一個發現,在我發現之後大概6個月左右,一模一樣的技術,在國外的另外一個人就已經也發現了,然後他把它賣給了一個網絡軍火商,大家這個觀念需要更新,這個網絡軍火商,不是說我們隨便去安的這樣一個名詞,你們知道,在很多國際條約裡面,漏洞攻擊武器已經和這個化學武器,核武器是放在一類裡邊,」騰訊玄武實驗室負責人于暘。
2013年12月4號,由41個國家共同簽署的<瓦森納協定>,將具有入侵功能的軟件列入出口管制列表,此後網路攻擊工具也開始享受,同核武器,化學武器一樣的待遇,而從2013年10億的Yahoo用戶的帳號訊息遭駭客盜取,2017年癱瘓全球的勒索病毒WannaCry肆虐,到大陸逐年攀升的網絡安全犯罪數字來看,這樣的現代戰爭,無所不在。
「根本就不是說中國的入侵事件少,是因為大家不說,中國怎麼可能入侵事件少呢,有一個企業安全負責人,他說他們公司去年被人入侵之後弄走了12億,但這個事情外面根本沒有人知道,這只是鳳毛麟角,」騰訊玄武實驗室負責人于暘。
這也是于暘口中比懸壺濟世還有意義的工作,解除潛伏在你我身邊的不安引信。
早在1992年,美國就舉辦了一場,電腦駭客秘密派對DEFCON,採用出題和現場攻防模式,競技,找出隱身在民間的高手,演變至今DEFCON CTF(奪旗賽),已然成為全球駭客的世界盃,此外美國五角大廈的防入侵系統供應商ZDI,2007年也舉辦了Pwn 2 Own比賽,並有微軟,Google,蘋果等知名廠商贊助,號召駭客高手針對它們的產品找出缺失,藉此提升自家產品的安全性,2014年,大陸也舉辦了全球首個,關注智能生活安全的駭客競賽,極棒大賽(GeekPwn),發起人王琦曾是微軟美國總部以外,第一個區域性安全響應中心的負責人,他希望藉著這項賽事,改變中國企業對漏洞披露的態度。
「我們不希望把那個東西弄成,啪啪啪敲幾下搞定了,然後啪啪啪幾下那邊就爆炸了,沒有那個,你看蘋果,或者是Google,或者是微軟,實際上它們都是每年還有很多漏洞的,但是工業界對它們的評價其實是非常好,因為大家看到10幾年它們的產品,其實是越來越安全,要發現它們的漏洞其實越來越困難,外面如果利用這些問題,除非很高級的,非常非常高級的攻擊,才會出現它們漏洞的身影,這些都是進步,要到那一步必須是把中國有一些企業,以它們為榜樣,做到它們那樣,」極棒活動發起和創辦人王琦。
破解共享單車與智能安全鎖,都是2017年極棒香港年中賽上,引人矚目的參賽項目,而賽事舉辦四屆以來,已經有選手陸續攻破了特斯拉汽車,智慧型手機,路由器,保險箱,攝像頭,POS機等等,王琦說,這就是他要提倡的駭客精神,發現問題,讓世界更完美。
當AlphaGo打敗了世界棋王李世乭,人們看到了人工智慧驚人的學習成果,而隨著這項技術成為人們日常生活的一部分,王琦的下一步就是用駭客思維,去驗證人工智慧的安全性。
「當然有人說我可能是杞人憂天,我們之所以現在去做極棒,就是我們都是站在駭客的角度去思考問題,那些危害可能風險來自於哪裡,到未來的時候,如果我們的智能在發展,我們的駭客不發展,那未來的智能時代面臨什麼樣的問題,我們其實是不知道,」極棒活動發起和創辦人王琦。
隨著網路技術對生活無所不在的滲透,對網路安全人才的需求也大大提高,根據大陸網路空間安全協會預估,大陸的網路安全專業人才缺口高達70萬,並以每年1萬5千人的速度遞增,遠遠跟不上網路安全的需要,在這方面南韓顯得很有遠見,南韓政府從2012年起,推出Best Of Best優中選優人才計畫,每年以無上限的經費和資源,培養超過100名的年輕信息安全參賽者,一旦在駭客競賽中獲勝,還可以免試保送進入大學,只要成為信息安全公司的雇員,甚至不用服兵役。
「我主要是做漏洞賞金方面,為軟件尋找漏洞,軟件存在漏洞說明使用用戶,有被駭客攻擊的風險,糾正這些漏洞會有一些成就感,」韓國選手Cixer。
2013年3月20日,南韓爆發了黑暗首爾的網路攻擊事件,包括6家金融機構和3家電視台的系統都因而癱瘓,這讓南韓政府更加重視資安人才的培育,那一年的BOB甄選名額就增加了一倍,並且每年增加10個名額,以產官學合作的模式為國家留住頂尖的資安人才,BOB計畫實施僅4年,就打造出DEFKOR(代夫克勞)這隻駭客團隊,2015年他們在DEFCON CTF比賽上脫穎而出,也讓外界注意到南韓BOB計畫的驚人效率。
「整個人類科技的發展,有一個非常重要的特點,就是他賦予了個人越來越大的力量,這個力量可以是破壞的力量,也可以是創造的力量,今天一個通曉了攻擊技術的人,他能造成多大的破壞,」騰訊玄武實驗室負責人于暘。
透過駭客競賽,育才獵才,將破壞的力量導正為創造的力量,這群駭客顛覆了電影形塑的那個永遠的反派,而是默默守護著千萬人隱私的正義使者。
更多內容,請看影片連結:https://www.youtube.com/channel/UCiwt1aanVMoPYUt_CQYCPQg
Search