中國無人機亮相2016世界黑帽技術(shù)大會和黑客大會

國內(nèi)黑客團隊發(fā)展迅猛 世界黑客大會接受四方膜拜

BlackHat黑帽技術(shù)大會被業(yè)內(nèi)公認為信息安全行業(yè)的最高盛會，具有很強技術(shù)性的信息安全會議。DEFCON世界黑客大會則被譽為全球黑客的 “秘密嘉年華”，同時也被認為最能代表黑客精神和文化。兩場黑客大會將吸引來自各大企業(yè)和政府的研究人員，以及來自世界各地安全廠商和研究組織的優(yōu)秀黑 客，甚至還會吸引到美國國防部、聯(lián)邦調(diào)查局、國家安全局等政府機構(gòu)官員的參與。

近兩年，國內(nèi)黑客也頻繁登上BlackHat的大會講臺。2014年，2組中國黑客的議題登上BlackHat會議；2015年，9組中國議題閃耀 BlackHat。在今年，來自國內(nèi)8支黑客團隊的15位頂級黑客技術(shù)專家，將登上BlackHat講臺，接受四方膜拜。

在BlackHat大會現(xiàn)場，微軟還特別租用了大片場地，以背景墻的形式列出為微軟安全做出巨大貢獻的MSRC Top100黑客貢獻榜，百度安全事業(yè)部的X-lab（百度安全實驗室）的黃正和李克萌入選TOP100黑客貢獻榜，百度維持了微軟漏洞挖掘能力的領(lǐng)先水 平，獲得16次致謝排名全球第三，而黃正和李克萌個人分別位列全球第八和第八十二位，百度安全黃正位列中國第一。

另外，來自百度X-lab的張煜龍和韋韜還入選了Pebble Hall of Fame（榮譽殿堂）。張煜龍和韋韜發(fā)現(xiàn)了一個能夠讓攻擊者完全控制所有（幾百萬）Pebble智能手表、進而對受害者生活工作的隱私數(shù)據(jù)進行竊取和控制 的安全漏洞，并提交了防護方案。除了Pebble智能手表，所有基于ARM Cortex-M的智能設(shè)備、物聯(lián)網(wǎng)設(shè)備都受影響，因此這一安全漏洞的發(fā)現(xiàn)意義重大。張煜龍和韋韜將在10月丹佛的Virus Bulletin會議上報告這個問題。

向世界發(fā)出中國聲音 國內(nèi)安全技術(shù)獲得世界肯定

在互聯(lián)網(wǎng)產(chǎn)生的第一個20年里，中國幾乎沒有在這個虛擬世界中發(fā)出什么聲音。然而，最近20年，互聯(lián)網(wǎng)讓國人的生活方式、思維方式乃至價值觀發(fā)生巨 變。世界既感受到了互聯(lián)網(wǎng)對中國的影響，也看到了中國互聯(lián)網(wǎng)力量的強力延伸。坐擁全球最大的網(wǎng)民群體，中國的互聯(lián)網(wǎng)日益面臨更加復(fù)雜的挑戰(zhàn)。特別是從頂層 設(shè)計和戰(zhàn)略層面而言，國內(nèi)互聯(lián)網(wǎng)行業(yè)正處與十字路口抉擇。正是在這樣的背景下，以BAT為首的國內(nèi)互聯(lián)網(wǎng)企業(yè)，也越來越清晰的意識到網(wǎng)絡(luò)安全的重要性，更 以“中國式崛起”的超高速度，深耕世界網(wǎng)絡(luò)安全領(lǐng)域。

在本次BlackHat會議中，多位來自國內(nèi)的安全團隊成員登上BlackHat演講臺，尤其是百度X-lab團隊的韋韜，就全球安卓平臺的安全問 題，做了精彩演講。韋韜將安卓系統(tǒng)的安全性問題，形象的比喻為“生態(tài)的安全漏洞”、“Android 系統(tǒng)的白血病”。從安卓內(nèi)核漏洞出發(fā)，韋韜系統(tǒng)的闡述了安卓生態(tài)中的安全錯位導(dǎo)致了整個生態(tài)進入了一種長期以來難以治愈的安全重癥。安卓絕大部分的安全機 制依賴于內(nèi)核的完整性。如果有內(nèi)核漏洞，那么基礎(chǔ)性的安全機制就會崩潰。當(dāng)攻擊者獲得內(nèi)核控制權(quán)時，可以輕易繞過App隔離機制以及絕大多數(shù)安卓系統(tǒng)安全 機制。

對于解決辦法，韋韜在大會上展示了百度安全最新研發(fā)的已申請五項專利的自適應(yīng)內(nèi)核熱修復(fù)技術(shù)。這種技術(shù)無需實際內(nèi)核編譯所用的源碼和配置，能夠自動 匹配目標安卓系統(tǒng)的漏洞進行在線熱修復(fù)。這種技術(shù)極大的提升了廠商面對安卓高度碎片化的應(yīng)對能力，而且也大大縮短了廠商推送內(nèi)核安全補丁到最終用戶的過 程。根據(jù)統(tǒng)計，目前采用此技術(shù)可以修復(fù)市場中99.4%的安卓產(chǎn)品的內(nèi)核漏洞。

維護網(wǎng)絡(luò)世界安全 更需專注于安全人才培育

目前，國內(nèi)高校每年輸送的信息安全專業(yè)畢業(yè)生不足1萬人，但是行業(yè)人才缺口至少10萬人。此外，高校教育重理論輕實踐，這與企業(yè)急需的實戰(zhàn)型人才差距懸殊。

百度·藍蓮花組織發(fā)起中國XCTF聯(lián)賽的初衷，正是希望借助比賽的形式，促進中國信息安全專業(yè)學(xué)生的對抗實戰(zhàn)能力，促進實戰(zhàn)人才的培養(yǎng)。CTF奪旗 賽在網(wǎng)絡(luò)安全領(lǐng)域中，是最具實戰(zhàn)與比拼黑客團隊技術(shù)能力的競技比賽形式，而CTF賽制也正起源于1996年DEFCON全球黑客大會。事實上，也正是由百 度·藍蓮花率先將DEFCON的CTF賽制引入國內(nèi)，并最終發(fā)展為國內(nèi)頂級XCTF聯(lián)賽。

以開放之姿舉全社會之力 共同打造全息安全生態(tài)

在“智能+”時代，消費者的網(wǎng)絡(luò)安全逐漸變成了產(chǎn)品的基礎(chǔ)，安全已經(jīng)由單純的用戶側(cè)設(shè)備安全變成了消費全流程生態(tài)安全，安全在用戶體驗中成為不可或缺的基礎(chǔ)。安全將成為所有服務(wù)提供和使用者的內(nèi)在基因，每個網(wǎng)絡(luò)參與者和提供者都是安全的受益者。

尤其是在萬物互聯(lián)的今天，傳統(tǒng)行業(yè)接入互聯(lián)網(wǎng)是大勢所趨，但所面臨的第一難題就是如何做好安全防范。百度安全充分利用云計算、大數(shù)據(jù)、人工智能等諸 多先進技術(shù)，解決眾多行業(yè)安全難題，迎合安全行業(yè)由產(chǎn)品向能力升級，功能向服務(wù)升級，可為不同行業(yè)、不同企業(yè)，甚至不同應(yīng)用場景，提供基于人工智能、云計 算、大數(shù)據(jù)等安全技術(shù)的個性化全息、立體安全解決方案，滿足“智能+”時代互聯(lián)網(wǎng)需求升級的新變化。 

通過多年技術(shù)與多行業(yè)用戶積累，百度安全正致力于構(gòu)建智能化、全球化、開放的全息安全生態(tài)系統(tǒng)的?；谠擉w系，百度安全將實現(xiàn)為 3600行提供高等級的安全防御能力和個性化的安全解決方案。面對數(shù)量日漸龐大的設(shè)備基數(shù)及日益嚴謹?shù)陌踩{(diào)整，絕非一家安全廠商或一個安全行業(yè)，通過自 身努力即可實現(xiàn)，百度安全正以開放性的姿態(tài)，聯(lián)合工信部、公安部、終端廠商、運營商等多方領(lǐng)域，通過規(guī)范行業(yè)標準、加強犯罪打擊、直連用戶需求及更多數(shù)據(jù) 共享等機制，進一步完善全息安全生態(tài)的建設(shè)，為社會構(gòu)建安全可靠的高等級防御體系。