深度報道:韓國黑客夢之隊是怎樣煉成的?
韓國政府BOB計劃(Best of the Best)從2012年起,每年以無上限的經費和資源培養(yǎng)超過100名年輕信息安全參賽者。時至今日,依托舉國之力和軍方背景,將近四年時間終于打造出奪下全球黑客競賽第一名的夢幻戰(zhàn)隊。
舉國之力打造夢幻團隊
江湖盛傳韓國對信息安全的重視程度,若是自稱第二,則無國敢稱第一,老美也不例外。
在韓國,黑客競賽獲勝可抵高考成績,信息安全公司的雇員甚至可免服兵役!只有區(qū)區(qū)五千萬人口的韓國,卻有著兩百多家信息安全企業(yè)——原因竟是政府強制要求企業(yè)定期雇人進行滲透測試。韓國軍隊還和韓國三所最著名高校之一的高麗大學簽有協(xié)議:讓最好的學生去學網(wǎng)絡戰(zhàn),給他們全額獎學金,畢業(yè)后為軍隊服務。
國家重視的安全攻防人才,從娃娃就被抓起,一路保送上大學。先是打CTF攻防比賽成為職業(yè)選手,然后逐漸在各種黑客大賽上拔得頭籌。
今年3月,在Pwn2Own黑客大賽上通殺IE、Safari和Chrome三大瀏覽器漏洞的韓國“神童”JungHoon Lee(又名Lokihardt),在剛結束的美國拉斯維加斯DEFCON世界頂級黑客大賽上演絕地反擊,大殺四方助力首度打進決賽的DEFKOR團隊以超強發(fā)現(xiàn)漏洞的能力和寫攻擊Exp的實力,力壓去年冠軍團隊PPP,成為首個贏得DEFCON CTF冠軍的韓國黑客團隊。
專訪韓國DEFKOR成員:IT'S SHOWTIME
盡管團隊成員無法實名受訪,但是據(jù)韓國政府BOB中心經理Kim Jin Seog表示,整個團隊都是韓國政府BOB計劃培養(yǎng)出來的精英,今年奪冠則是計劃執(zhí)行有成的戰(zhàn)果展示。
目前DEFKOR共有13名成員,其中3名大一學生、2名大二學生、1名大三學生、2名大四學生、2名研究生以及3名在信息安全公司工作的人士。而幾乎所有成員都是從大一開始念書就有計劃的受到了網(wǎng)絡攻防、找漏洞以及編寫Exp能力的培訓。其中有一名成員,更是花了5年時間進行準備,從大一開始便有系統(tǒng)的自我培訓和學習,希望有朝一日可以打DEFCON CTF競賽并斬獲佳績。
團隊成員以首爾大學的學生為主,平常有很多時間在一起相處、培養(yǎng)默契。更為重要的是,大家都是韓國政府BOB計劃中的成員,原本就有一起培訓時培養(yǎng)出來的默契。
面對勁敵美國著名戰(zhàn)隊PPP(來自卡耐基梅隆大學,長年霸占Defcon CTF冠軍),他們表示:“PPP是可敬的對手。”
目前雖然沒有清楚的下一步規(guī)劃,但是可以確認的是,BOB計劃仍將會持續(xù)培養(yǎng)這樣年輕的網(wǎng)絡攻防選手。
Kim Jin Seog指出,韓國外部面臨著實力強大的敵人,因此政府從2012年開始每年投入無上限的資源和經費培養(yǎng)超過100名的年輕攻防選手,實際預算和培訓人數(shù)都是政府機密。但可以確定的是,每年的培訓計劃都不曾中斷,迄今第四年的培訓成果就是全球最強的黑客團隊DEFKOR,未來BOB培訓計劃仍將持續(xù)進行下去。
奪冠之路:超強的漏洞挖掘和Exp編寫能力
由于在Defcon預賽中,韓國DEFKOR以極小的差距排在美國PPP之后,便以預賽第二名的成績入圍決賽,而他們原本的世界排名則是第51名。
曾經仔細觀察DEFKOR實力的臺灣HITCON領隊Alan事先便預測,此次DEFKOR將打敗PPP奪冠。
他進一步解釋,打CTF比賽很重要的兩個關鍵在于挖掘漏洞的速度和寫exp(漏洞利用程序)的速度,而在開賽第一天,DEFKOR在開賽4個小時后便寫出了第一個exp更是技壓群芳,并以8000分大幅領先于其他團隊;而這個exp臺灣HITCON戰(zhàn)隊研究到了第二天比賽的凌晨四點還沒有寫出來,更可以證明DEFKOR實力有多強大。
Alan認為越早挖出0day造成的危害越大,隨著時間的推移,后發(fā)現(xiàn)0day的隊伍則會和發(fā)動同一種攻擊的所有隊伍平分分數(shù),而且最后一天每回合由5分鐘減半為2.5分鐘,此舉更讓攻擊力強的隊伍獲得更大優(yōu)勢。
韓國隊靠著0day漏洞和快速寫出exp拼命得分,逐步拉開與各個隊伍之間的分數(shù)差距。盡管他們有具備通殺三大瀏覽器0day漏洞超能力的韓國神童lokihardt,但更為關鍵的是韓國隊有研發(fā)好用的工具,這也是各隊未來會努力的方向。
據(jù)Alan回憶,PPP戰(zhàn)隊第一天排名第五,大幅落后其他團隊,然后便緊急召回原本沒有預計參加此次比賽的天才黑客Geohot以及其他隊友參賽,PPP盡力拼到了最后,并且成功憑借許多漏洞和exp挽回頹勢,并在第二天比賽結束時,追趕上來取得了第二名的好成績。
獲得第三名的0DaySober從第一天比賽到最后決賽結束,不論其他戰(zhàn)隊的攻防姿勢如何變幻,他們都從容地穩(wěn)定在第三名的位置上。
組建最強團隊、購買間諜軟件:如此布局,皆因朝鮮
“車禍、癌癥、治不好”曾被視為韓劇三寶,盡管后來被“長腿、養(yǎng)眼、土豪”取代,但是我們必須要知道真正的高麗民族并非是個只會握著木勺然后輕柔地告訴你“歐巴,慢點吃,小心燙”的廚娘,他們有自己與生俱來的不安全感和十分脆弱的神經組織。
或許,這和朝鮮人民軍隊泰然處在離首爾僅35英里之外的地方有關,而這樣的局面從1953年7月27日朝韓(中美)戰(zhàn)爭停戰(zhàn)協(xié)議簽訂之日一直維持到了今天。
高麗民族將“不安”發(fā)揮得淋漓盡致。“不安”的金正恩在北邊高調地搞著自己的核實驗,盡管出了朝鮮,金正恩的形象并不像在他的朝那樣高大,甚至就是個面目猙獰、頂著奇怪發(fā)型的魔鬼,但是“黑客攻擊索尼事件”則赤裸裸地替他教訓了“愛開玩笑”的美國人,同時也給韓國人敲響了警鐘。
盡管,“不安”的韓國人則心有靈犀般早在一開始,就已經對此有所準備。
上月意大利監(jiān)控軟件銷售商Hacking Team被黑,內部機密外泄,造成與其合作的各國政府瞬間裸奔于世。而韓國國家情報院則被曝出在2012年的時候從Hacking Team購買軟件,用于盜取信息數(shù)據(jù),并遠程控制智能手機和電腦。這本來并不會成為話題,畢竟Hacking Team的大客戶并非韓國政府一家,而一貫低調的韓國政府也能常常在國際輿論環(huán)境中游走得游刃有余。
從傾舉國之力打造最強黑客戰(zhàn)隊,到不惜重金和輿論影響涉險購買黑客武器,縱觀韓國的網(wǎng)絡戰(zhàn)備,無不劍指38線另一側的朝鮮。
朝鮮121局:金正恩精銳黑客
據(jù)BBC報道,朝鮮121局被認為是平壤網(wǎng)絡攻擊的精銳部隊,高手云集,但是具體規(guī)模不詳。而在朝鮮這樣一個與世隔絕、基礎設施極端簡陋的國家,幾乎可以肯定,網(wǎng)絡行動是在國外策劃組織的。據(jù)悉,121局一個重要前哨就在鄰近的中國邊界地區(qū):遼寧省會沈陽。電腦公司HP的調查將攻擊源精確指向(沈陽)一家賓館內地下室的餐館。
朝鮮黑客到底干過什么、到底還能干什么,證據(jù)非常難找。調查人員只能依靠分析數(shù)字文件線索來判斷行為方式。比如,據(jù)說121局經常使用特定的惡意代碼來掩蓋行蹤。
多事之秋:韓國攻擊中國,是刻意而為還是誤傷?
近日,又有新的爆料:Hacking Team泄露數(shù)據(jù)表明韓國曾針對中國發(fā)起網(wǎng)絡攻擊。這些信息包含了Hacking Team的客戶列表,紅色即韓國的5163部隊,根據(jù)5163部隊的信息可以追溯到韓國國情院(NIS),而其聯(lián)系人地址則是devilangel1004@Gmail.com。
雙方往來郵件中多次提到了,在中國的攻擊目標,并且他們在對國內目標實施攻擊時遇到的一些問題,其中就包括立功的360安全衛(wèi)士等防護軟件。
此外,還有一些數(shù)據(jù)記錄了在6月實際發(fā)生的個別攻擊事件,包括6月26日一北京IP訪問了攻擊漏洞鏈接,訪問機型為華為G700;另一起是遼寧IP,6月18日,訪問了攻擊漏洞連接,機型為三星9008。
而根據(jù)一份7月12日韓國軍方發(fā)布的資料,韓國國家情報院確有購買Hacking Team提供的間諜軟件,但是這是為了分析攻擊技術,提高韓國的網(wǎng)絡戰(zhàn)爭能力以抵御朝鮮潛在的威脅。如果此說法屬實,F(xiàn)reeBuf認為,韓國的一系列動作或許并非針對中國本身,目標是“相傳”窩藏在中國境內的朝鮮黑客也并非不可能。
朝韓黑客爭霸歷史由來已久——從60年前真刀真槍的戰(zhàn)場,演變?yōu)槿缃竦能妭涓傎惡途W(wǎng)絡空間戰(zhàn),這注定是一部未落幕的兄弟互撕血淚史。
