让韩商言热血沸腾的“CTF现实版”来了！全球黑客大阅兵，中国军团再创佳绩

　　这个夏天，《亲爱的，热爱的》火了，李现饰演的男主韩商言为之奋斗的CTF也跟着火了起来。只是“现女友们”，你们知道CTF是啥吗？它是真实存在的吗？

　　实际上，CTF全称“Capture the Flag”，俗称“夺旗赛”，是网络安全比赛的形象化语言呈现，指的是网络安全技术人员之间进行的技术竞技。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式。值得骄傲的是，我国在这一领域的赛事中也逐渐显露头角，迈进世界一流水平。所以，电视剧里的热血和竞争激烈是真实存在的！

　　这不，堪称“全球黑客大阅兵”的世界黑帽与黑客大会也火热来袭！

　　近日，在美国拉斯维加斯举行的黑帽与黑客大会上，苹果公司对外宣布，如果有黑客能够远程攻破苹果手机的安全屏障，那么将获得100万美元的赏金！

　　在黑帽与黑客大会这样的场合做这样的声明，自然有着寻找安全漏洞的考虑，但另一方面，也实际上彰显了苹果公司对iPhone安全系统的自信。毕竟，如果系统能被轻易攻破，那苹果可要赔大了。

　　不得不说，巨额的赏金的确大幅刷新了借助黑客力量查找安全漏洞的业界纪录，苹果这一招也的确在“无意间”给市场份额不断下跌的自己打了一波广告。但实际上，这一聪明的公关之举多少也有些无奈。

　　就在本届黑帽与黑客大会开幕的前沿，一位名为娜塔莉亚·希尔瓦诺维奇的“黑客”就找到了苹果手机iOS操作系统iMessage上的一个“无交互漏洞”：仅仅需要向苹果手机发送一条短信，不需要用户进行任何操作，这部手机的控制权就掌握在黑客手中了——iOS系统安全性上的神话再遭惨痛击。

　　更令苹果公司难堪的是，娜塔莉亚不是闲云野鹤般的自由黑客，而是来自苹果直接竞争对手、领导开发安卓系统的谷歌公司的“零计划”团队的安全专家。

　　各方高手汇聚赌城

　　在会议开始前，苹果公司已经发布了修复这些漏洞的部分安全补丁，但是尚无办法完全修复。也就是说，上个月才上线的iOS12.4系统，其实是仍然存在安全漏洞的。

　　不过，安全更新有总比没有强。因为这种不需要手机用户参与的“无交互漏洞”在黑客市场上非常受欢迎。据美媒披露，针对这种漏洞的攻击“武器”在黑市上可能高达 500 万美元一个，远高于苹果公司给出的赏金。

　　不过，这也正是黑帽与黑客大会存在意义的最好说明。

　　黑帽与黑客技术大会其实是两个会议，但都与网络安全紧密相关，可以为世界各地的黑客、企业和政府机构提供安全咨询、培训和报告，堪称全球信息安全领域顶尖峰会。会议汇集了各种对信息安全感兴趣的人，包括业界管理高管、技术人员、黑客和安全专家。

　　今年的两个大会都在“赌城”拉斯维加斯举行，举行了数百场论坛、技术展示及黑客比赛，吸引了超过4万人参加。与会者就网络安全相关的各种议题展开讨论，包括5G网络新漏洞、社交网络信息安全、远程破解智能手机操作系统、大型客机安全等。

　　除了这些专业性非常强的论坛外，会议还因一些黑客的“恶作剧”而闻名。例如，曾有参加者“黑”进了会议所在酒店的无线网络，或者破解了酒店的收费电视频道或自动售货机。2009年，只有少数网络安全研究人员和团队登录的专业网站遭遇黑客入侵，导致大量网站用户的密码、电子邮件、即时通讯聊天和敏感文件失窃，而这些信息又在当年黑帽与黑客大会开始前的几天在网上曝光。

　　但对于多数专业人士来说，最大的看点无疑是会议期间举办的全球最高级别的黑客夺旗赛。这是网络安全专业技术人员之间进行技术竞技的一种比赛形式。今年，共有16支来自世界各国的黑客战队进入决赛圈。在为期3天、总计24小时的比赛中，参赛队需要通过破解不同类型的漏洞、攻击对手、防御自身、达成相应目标来获得积分。

　　值得一提的是，今年共有包括中国台湾HITCON战队和腾讯A*0*E联合战队在内的五支中国战队入围决赛圈，创下数量之最。最后，HITCON和腾讯A*0*E分别夺取第三和第四名，第一名由韩国DEFKOR00T战队夺取。

　　热话题距你我不遥远

　　不过，这些终究只是会议的一些花边。对于业外人士来说，更关心的还是与自身紧密相关的一些网络安全议题。

　　那么，今年的热门话题有哪些呢？

　　· GPS系统

　　在大会现场，有安全专家谈论了GPS，这一全球使用率最高的导航系统面临的安全风险。虽然军方使用的GPS系统可能得到更周全的防护，但是全球范围内的民用系统却面临着扎扎实实的风险。

　　例如，作为人工智能应用热门的自动驾驶技术正在迅速推进，但其高度依赖像GPS这样的导航系统。一旦无人驾驶车辆或其依赖的导航系统被“黑”，那么导致的后果可能就不是恶作剧那么简单，而是实实在在的生命安全风险。更糟的是，这种后果的出现可能始于一次精心谋划的暗杀，也可能只是系统偶然的“中风”。

　　· 5G网络

　　5G是物联网的基础，它不仅在速度和容量上远超4G，而且也能解决不少在现有网络标准中存在的安全漏洞。然而，与会的专业人士承认，5G虽然很棒，但并不完美，因为其还是存在一些漏洞，这些漏洞使得黑客能够识别设备，降低网速，甚至短时间内耗尽物联网设备的电池。

　　来自柏林技术大学的专家展示了黑客可以通过5G网络中的调制解调器发现并识别一些敏感或特定设备，这为针对性的攻击提供了可能；此外，他们还可以把5G网络的速度从惊人的48Mbps降低到2Mbps，继而迫使设备通过安全性较低的3G甚至2G网络进行连接。此外，黑客还可能迫使5G网络设备始终保持活动状态，阻止省电模式的启用——这将使电池寿命缩短5倍。

　　· 波音客机

　　是的，风波不断的波音公司在这次会议上成为问题。去年秋天，一位名为鲁本·桑塔马塔的网络安全专家发现了一个存在安全漏洞的波音公司服务器，而该服务器为制造波音737和787客机所需的硬件提供规格数据。鲁本认为，漏洞可能允许黑客入侵敏感的飞行电子系统，威胁飞行安全。

　　虽然波音公司事后表示试验结果表明其防火墙能够抵御潜在威胁，但其安全隐患再次成为大会的话题。鲁本认为，如果不能使用真实的787飞机进行测试，那么该漏洞对飞行电子系统的最终影响仍不可知。

　　近年来，尽管人为的电信诈骗层出不穷，但在不少人看来，移动设备的安全隐患与造成实际损失之间仍有不小的距离。但事实上，这些漏洞造成的隐患距你我并不遥远。

　　就在上个月，拥有近4000亿美元资产的美国“第一资本”金融公司承认，超过1亿名用户的个人信息、连带近14万名客户的社会保障号码和近8万个相关银行卡账号遭到窃取。而事后调查表明，如此大规模的信息窃取行动竟只是一名黑客的手法——她原先是西雅图一家科技公司的软件工程师。

　　深海区工作室 深海龟