爱华网黑客广义的黑客目前分为两种,黑帽和白帽。
黑帽中的人一般都不会抛头露面,所以要说谁是中国最厉害的黑帽我还真不了解。黑帽就是利用自己的技术来攻击别人的系统为自己获利。这种人就是一般人所说的“黑客“。而白帽就是指目前一些利用黑客技术帮助完善和改进计算机系统安全的人,像寻找计算机漏洞,帮助厂商修补漏洞,改善计算机系统安全性的都属于白帽的范畴。这种人就是我们常说的安全专家。
黑帽就好比梁山好汉,而白帽就好比武林高手。
我经常用的一个比方,供参考:黑客是一个中性词,指对安全技术有热情、有能力的技术极客。但是媒体报道,影视作品经常把黑客描绘成攻击破坏计算机系统,窃取机密信息的人。其实黑客分为黑帽和白帽。黑帽就像哈利波特里的伏地魔,白帽就像魔戒里的甘道夫。他们都具备超强的魔法,但是使用能力的目的不同,所以就有了邪恶和正义的区分,关键在于做的事情是否符合道德规范。
KEEN Team是中国最好的白帽(安全团队)
目前中国在做安全的白帽团队里,应该就属Keen Team最厉害了。他们在白帽里应该算是《天龙八卦》里的萧峰吧,公认的无敌状态。当然要是有扫地僧隐藏民间也未可知。
我不知道能“干掉”苹果的中国“黑客”算不算很厉害,至少在我大天朝还是凤毛麟角的。这个团队多厉害,真的不是大家想象的那样。
主要成就,全球冠军+查找漏洞能力7倍于360
1.Keen Team在Pwn2Own的两次夺的三项冠军,这在整个亚洲范围内都是第一的。我想很能说明一些问题了,这可不是什么中国某某大学举行的黑客Wargame比赛。(关于Pwn2Own到底在安全行业是怎样重量级的比赛,我稍后给大家普及),
2.如果这还不是很清楚,我再举一个例子,KEEN TEAM找到了300多个CVE漏洞,这么说好像听着不是很牛逼,但是要知道像360这种专做系统安全的团队一共也才发现了40多个CVE漏洞,
要知道CVE漏洞的发现可不仅仅是数量叠加的问题,
所以,KEEN TEAM可不仅仅是比360安全团队厉害7倍多这么简单的。
Keen Team 的成员结构:
成员主要来自微软、阿里、360等公司的安全漏洞研究、安全攻击和防御技术研究和安全应急响应团队。
团队领头人王琦:在2007年创建了微软中国安全研究中心MSRC,负责发现包括Windows、Office等在内的微软全线产品的安全漏洞并设计修补方案。
首席科学家吴石:这个人到底多厉害,我举个例子,奇虎360在7年间发现微软漏洞14个,而吴石发现的漏洞超过200个。吴石之所以能挖这么多漏洞,与他自己发展出的一套Fuzzing方法有关。
Fuzzing技术应该是安全行业 里非常重要的一个里程碑,它用构造大量样本并执行测试、捕获异常的思路,代替了直接逆向看反汇编代码挖漏洞的思路。而吴石在这方面的造诣是独步全球的。
攻击利用技术负责人,Pwn2Own比赛的主攻手陈良:先在微软中国安全响应中心工作过,近些年多次在国际黑客大赛中表现优异。为了准备这两次Pwn2Own比赛,陈良每次都要在赛前“闭关”两个月。所谓闭关,
就是把自己关在一个出租屋的小房间里,基本和外界断绝联系,吃饭全靠外卖,每天足不出户,除了6小时睡眠外,其他时间都在电脑前研究如何找到目标系统的漏洞。
除了介绍的这几位大家可能在新闻报道里看到过的大牛,Keen Team还有来自国内和东欧的安全研究员一起组成的豪华阵容。
Keen team 获得过的成就
● 历史上中国唯一一支两次参加Pwn2Own并且三夺冠军的专业安全研究队伍。
先普及一下这个比赛,Pwn2Own,全球最著名的黑客大赛之一,名气堪比Black Hat。赛事由Zero Day Initiative主办,微软、谷歌、苹果等全球知名软件厂商和安全解决方案提供商赞助,提供最新版本最安全的主流桌面操作系统、移动设备操作系统、浏览器和应用程序作为攻击对象,各参赛队所使用安全漏洞和攻击手段的技术细节只会被反馈给相应的厂商,供其第一时间进行漏洞修补并发布补丁。为鼓励技术创新,赞助商还会为所有项目的获胜队准备丰厚的奖金。
2014年3月,在加拿大温哥华举行的全球顶级安全赛事比赛中, 连续攻破苹果最新64位桌面操作系统(MacOS X Mavericks 10.9.2)和微软最新64位桌面操作系统(Windows 8.1),获得Pwn2Own比赛双料冠军。其中MacOS,因为大量采用了业内如微软、谷歌等公司最新的高级安全防护技术,在2011年以来连续三年举行的Pwn2Own比赛中从无人攻破,在业内被专业人士喻为“珠峰”。
2013年11月,在Pwn2Own东京比赛中,Keen Team仅用时30秒便攻破了当时苹果最新的iOS 7.0.3系统,成就了中国在信息安全领域的首个世界冠军。因为苹果一直认为增加了大量最先进保护技术的封闭操作系统是最安全的。
● 在过去5年的时间内,该团队向微软、苹果、谷歌等全球知名厂商提交了数百个“严重”级别的安全漏洞,连续三年获得ZDI全球漏洞计算机挖掘白金贡献奖,也是有黑客奥斯卡之称的Pwnies奖中国区唯一提名,被福布斯杂志评价“发现的漏洞是苹果整个安全团队的两倍还多”。
● 处理过超过2000起国内外信息安全应急响应事件,包括马来西亚总理府、台湾“行政院”、澳门银行网络恶意入侵事件的调查与处理等。
..
..
..
说了这么多,只是在国内不是很出名而已,国际影响力绝对是中国第一了。他们下个月还会在北京举行GeekPwn (极棒)安全极客嘉年华,会有一场奖金很高的攻破智能设备的比赛,奖金已经超过300万人民币了。既然说到这个GeekPwn,那也顺便介绍一下豪华阵容。
GeekPwn评委组:
于旸:腾讯“玄武”安全实验室负责人
韦韬Keithcool:第一个在国际最高级安全学术会议IEEE S&P(Oakland)发表研究成果的华人
Chris Evans:谷歌安全研究团队负责人,Chrome安全保护机制奠基人,谷歌Project Zero项目发起人
陈良:亚洲唯一连续三次获得世界顶级安全赛事Pwn2Own冠军的KEEN团队主攻手
徐昊Windknown:第一个中国人iOS越狱团队盘古主力
诸葛建伟:首个并多次入围全球Defcon CTF总决赛圈的清华大学蓝莲花团队领队
肖新光Seak:多次夺得全球最权威防病毒测试AVTest第一名的安天实验室的创始人
营智敏:无线安全研究团队Radiowar创始人等。
GeekPwn顾问团:
吴石Rock509:连续四次获得全球计算机漏洞挖掘年度白金获得奖得主的唯一华人
潘柱廷:中国最大专业信息安全公司启明星辰首席战略官
吴瀚清:“幻影旅团”创始人、《白帽子讲Web安全》和“道哥的黑板报”的作者和创办者
方小顿:中国最具影响力的漏洞报告平台乌云创始人
屈波:国际计算机漏洞挖掘领域领军人物、近年微软漏洞贡献榜排名第一
季昕华:中国云计算和安全行业领军人物等。
这个活动出发点很有超前意识,现在智能手机越来越多了,已经成为主要的攻击目标,今后智能设备将越来越多,什么智能家居、智能交通、智能通讯等等,无一不成为黑客的攻击对象,如果能提前进行攻击演练,了解漏洞,对厂商和用户来说都是好事。仔细想想,被发现的漏洞越多,产品才能越安全。其实用户才是最终的受益者。
国内的黑客基本成为了网络强盗的代言词,因为黑色产业链的赚钱方式多种多样,木马制作环节的人为木马作者,他们制作网游盗号木马、远程控制木马、木马下载器等各类木马产品和黑客工具。随便一个IE漏洞,把攻击代码写好,少则几十万,多则几百万。这个诱惑不是谁都能抵抗的住的。
我想起来之前看过一篇采访文章:问的是:如何抵御来自正邪两派的夹击?
王琦给出的答案是“道德”。“到今天为止,我们的理想是什么?国内已经没有我们这样专心做研究的团队了,那我们就做个唯一的吧。”
1/2 1 2 下一页 尾页
