圖說(shuō)：阿里安全雙子座實(shí)驗(yàn)室高級(jí)安全專家蒸米在Black Hat上受邀演講

　　帶著iOS系統(tǒng)漏洞議題數(shù)次參加Black Hat的蒸米，曾是著名CTF戰(zhàn)隊(duì)藍(lán)蓮花成員，參加過(guò)世界頂級(jí)黑客大賽 DEF CON CTF，也拿過(guò)AliCTF冠軍和國(guó)內(nèi)XCTF聯(lián)賽個(gè)人排行榜前十的成績(jī)。

　　“真實(shí)的CTF很簡(jiǎn)單，做題就是了，沒(méi)有舞臺(tái)，也沒(méi)那么酷炫?！闭裘走€記得此前在學(xué)校的時(shí)候參加一個(gè)線上CTF，做題做到凌晨3點(diǎn)，遇到一道移動(dòng)安全的題目，需要“動(dòng)態(tài)脫殼”，但宿舍電腦跑不起來(lái)脫殼的環(huán)境，他抓起鑰匙就往實(shí)驗(yàn)室跑，偌大的實(shí)驗(yàn)室空無(wú)一人，只有他在一臺(tái)屏幕前眼睛里閃著光，“是孤獨(dú)的，也是幸福的?！?/p>

　　在阿里安全內(nèi)部，像蒸米一樣參加過(guò)CTF的白帽很多，但為了更好地保障系統(tǒng)安全、平臺(tái)安全，進(jìn)而維護(hù)網(wǎng)絡(luò)安全，讓消費(fèi)者安全購(gòu)物，他們都舍棄了“攻”的痛快和耀眼，選擇看起來(lái)并不容易地“防”，包括挖漏洞也是帶著給出解決方案的視角，堅(jiān)持用技術(shù)去解決社會(huì)問(wèn)題。

　　三白帽登頂會(huì)累計(jì)30余次

　　阿里安全獵戶座實(shí)驗(yàn)室安全專家、IoT安全達(dá)人五達(dá)2015年至今已參加四次Black Hat，他的發(fā)現(xiàn)包括超聲波干擾VR、AR等物聯(lián)網(wǎng)設(shè)備，去視頻水印攻擊技術(shù)等，今年帶著IoT傳感器的漏洞以及相關(guān)的解決辦法，五達(dá)在DEF CON上的演講又贏得一片掌聲。

　　兩年來(lái)，五達(dá)已經(jīng)參加國(guó)內(nèi)外各類安全頂會(huì)十余次，這意味著每次都有重要的IoT漏洞被他提交，這意味著新的攻擊路徑還未被發(fā)現(xiàn)，就已被他扼殺，讓物聯(lián)網(wǎng)設(shè)備多了一分安全。從拉斯維加斯到阿姆斯特丹，再到迪拜、慕尼黑，五達(dá)的足跡已經(jīng)快遍布全球，研究成果也曾被福布斯雜志報(bào)道，被美國(guó)連線雜志評(píng)選為當(dāng)年“最佳Hack”之一。

　　蒸米、白小龍是一對(duì)蘋(píng)果操作系統(tǒng)安全的黃金搭檔。圍繞著蘋(píng)果系統(tǒng)安全這個(gè)主題，他們挖到了越來(lái)越多的漏洞并探索了全新的方法論，他們的研究不但有攻擊的思路，還為蘋(píng)果公司提供了系統(tǒng)防御的思路。蒸米和白小龍的每次演講，均有蘋(píng)果公司安全團(tuán)隊(duì)成員等在臺(tái)下。最近一年，他們被蘋(píng)果授予6個(gè)CVE(公共漏洞暴露)并獲官網(wǎng)致謝，蘋(píng)果公司安全負(fù)責(zé)人更是親自到場(chǎng)，感謝他們的研究讓蘋(píng)果的操作系統(tǒng)更加的隱私和安全。

　　從DEFCON 101演講開(kāi)始，到最后公認(rèn)的TOP 1的Black Hat USA，蒸米和白小龍已經(jīng)拿下了名副其實(shí)的頂會(huì)“大滿貫”，這在行業(yè)里都是極為罕見(jiàn)的。

　　圖說(shuō)：阿里安全雙子座實(shí)驗(yàn)室安全專家白小龍(左一)受邀在DEF CON演講

　　首獲黑客界“奧斯卡”大獎(jiǎng)提名

　　Black Hat匯聚全球白帽黑客、安全廠商、研究機(jī)構(gòu)等各類安全群體，議題審核最嚴(yán)苛為業(yè)內(nèi)公認(rèn)，每年上報(bào)的議題最終通過(guò)率不足20%。DEF CON作為聚集白帽黑客數(shù)量最多的大會(huì)，風(fēng)格更輕松活潑，但入選議題的含金量也相當(dāng)高。

　　過(guò)去三年里，阿里安全八大實(shí)驗(yàn)室已經(jīng)有15名安全專家受邀參加Black Hat和DEF CON兩大頂會(huì)。若要加上HITB、RSA、Xcon等其他頂會(huì)，阿里安全白帽參加頂會(huì)的人次還要再翻倍。

　　值得注意的是，創(chuàng)始于2007年，被譽(yù)為“全球白帽黑客奧斯卡”(The Pwnie Awards)大獎(jiǎng)今年的榜單上，阿里安全專家王勇獲得最佳提權(quán)漏洞獎(jiǎng)提名。雖然抱憾未獲最終大獎(jiǎng)，不過(guò)這位出生于1991年的白帽依然信心滿滿，“還年輕，明年繼續(xù)試?！?/p>

　　圖說(shuō)：The Pwnie Awards榜單上，阿里安全專家王勇獲得最佳提權(quán)漏洞獎(jiǎng)提名

　　此外，在今年微軟公布的2019MSRC全球最具價(jià)值安全精英榜單中，君故、紫密這兩位來(lái)自阿里安全的兩位白帽上榜，位列前二十?！八麄兪褂玫木褪俏覀儶?dú)創(chuàng)的內(nèi)核漏洞檢測(cè)方法，能在短時(shí)間內(nèi)快速挖掘漏洞。”阿里安全雙子座實(shí)驗(yàn)室負(fù)責(zé)人杭特表示說(shuō)，這一方法論被學(xué)術(shù)頂會(huì)CCS收錄，成為26年來(lái)國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)投中的第一篇論文。

　　阿里安全在安全領(lǐng)域的能力建設(shè)正受到全球矚目，也是近年來(lái)阿里巴巴經(jīng)濟(jì)體安全水位持續(xù)提升的實(shí)踐成果。公開(kāi)數(shù)據(jù)顯示，2018年，阿里安全攔截1310億次惡意攻擊、日均保護(hù)316億次用戶操作。

　　與電視劇里酷炫的CTF操作相比，現(xiàn)實(shí)中的網(wǎng)絡(luò)安全守衛(wèi)者們更加地簡(jiǎn)單、純粹、質(zhì)樸。在這個(gè)充滿金錢和利益的時(shí)代，更多白帽子要經(jīng)受的考驗(yàn)是正義感和敬畏之心，而阿里安全十年如一日的風(fēng)險(xiǎn)能力建設(shè)，“一磚一瓦均需匠心”。

zhangnn