栏目分类
您当前的位置:网站首页>新闻详情
GeekPwn清华大学研究实验站办技术沙龙
作者:金沙城娱乐-金沙城中心官网-金沙城娱乐场官方网站    发布时间:2020-06-08 18:02:14    来源:金沙城娱乐-金沙城中心官网-金沙城娱乐场官方网站    浏览:8
  

  北京时间2014年7月30日下午,在清华大学FIT信息科技大楼,GeekPwn清华大学智能设备安全研究实验站举办了第一次技术沙龙活动,沙龙讨论的主题是“我们就是在寻找这样的你”。众多来自清华大学和其他高校的同学、以及媒体共同参加此次沙龙。

  本次技术沙龙活动的主持人,清华大学网络研究院,网络与信息安全实验室担任副研究员,同时也是蓝莲花站队的领队诸葛建伟,介绍了今天请到出席沙龙讨论的两位重量级嘉宾,一位是于旸,腾讯玄武安全研究实验室负责人,可能大家对他的网名Tombkeeper或者是TK教主更熟悉一些,他得到的微软10万美金的漏洞利用缓解技术绕过的挑战,全球只有两个,他是其中一位,做过很多非常有趣的研究,包括独立破解iPhone指纹识别,包括破解无线RFID的通讯,在CanSecWest、HITCon等等很多国内外安全会议上有演讲。第二位是吴石,KeenTeam的技术负责人,碁震上海计算科技有限公司首席科学家,在2000年到2014年带领这个团队发现数百个流行系统的高危漏洞,带领团队突破了最新的Windows8.1、iOS的保护机制,连续三年带领整个团队获得CDI的全球漏洞挖掘的白金奖,是目前全球发现和挖掘报告计算机漏洞最多的人。

  于旸(网名Tombkeeper)表示,大家对国外的一些Geek社区比较感兴趣的话,实际上可以看到今天这种Geek社区的活动他们做的事情是非常多、非常丰富的。我既然说到Geek,大家可能也要问一下,Geek和Hacker他们之间有一个什么样的关系?其实我觉得这两者之间应该是有一部分重合。我们其实提到从精神上说,从钻研精神,对技术的追求这些方面来说,两者基本上是一样的。但是只不过我们在大众的语意当中,我们认为Hacker可能更偏重于和网络入侵防御相关的,和漏洞相关的东西。Geek的外延可能更大一些,比如说和无线电技术、电子技术等等相关的东西,可能不一定是和漏洞相关的这些知识,喜欢这些东西的人,可能他们也会在Geek的范畴里。

  之所以我们取了GeekPwn这样一个名字,并且我们把这个活动的内容设定为现在的这个样子,其实我们不仅仅希望它是一个纯信息安全的活动,希望把Geek作为更大的外延,有更多的Geek精神的人能够参与进来。比如我们说Geek在做什么,创办了Facebook的人在硅谷大家也是公认的是一个Geek,这是没错的。其实有很多硅谷IT公司的创始人其实都是公认的Geek,包括比尔·盖茨,大家也公认他是一个Geek。我们在这里并不想去提这些商业领袖,实际上还有很多人在做一些简单、更小,但是同样有趣的事情。有的人在家里的厨房用吃过的罐头来制作Wi-Fi的天线,这个事情大家听说过吗?用这样的天线,可以把Wi-Fi的连接距离扩展到大概几百米,可能本来连接几十米,现在可以扩展到几百米。还有一些人他们会制造更强大的设备,去挑战Wi-Fi的连接极限。

  于旸指出,实际上就是基于我前面说的种种情况,我们希望办这样一个活动。在这个活动里面,可能我们不会设定具体的规则,也不设定具体的目标,如果有的人觉得这是一个比赛的话,可能你没有见过这种比赛。任何比赛都会有一个目标,智力竞赛也好,或者物理竞赛也好,肯定有题目,比赛方会出一些题目,然后你来解答这些题目。GeekPwn是没有设定好题目的,这个题目由参加者自己来提。就是你认为什么样的事情是一个Geek的挑战,是符合GeekPwn的精神的,是符合Geek精神的。那么OK,你可以把这个事情提出来,到GeekPwn的网站上下载报名表,然后填写,我认为这件事情是一个非常值得挑战的事情,我希望挑战这件事情。GeekPwn组委会看的之后认可的这件事情,可能会和你就这个挑战奖金具体的数额进行一个商讨。如果大家意见一致的话,你所提出来的这一条就可以正式的成为GeekPwn的一个项目,GeekPwn最大的特点就是规则和目标由你们自己来定。

  KeenTeam的技术负责人,碁震上海计算科技有限公司首席科学家吴石表示,大家听TK说了GeekPwn,可能对规则还不是太了解,我简单再介绍一下。有一部分像TK所说的那样,是完全没有规则的。就是你只要能想到的,你觉得有意思的,都可以来参加。但是另外有一部分,比如说Google和微软的规则是已经定好的,跟Pwn2Own是一模一样的,他们提供的奖金也是很高的。我再简单补充几点参加GeekPwn的好处:

  第一是如果你们能够做好的话能够拿到奖金。一共有五大类,其中一大类叫智能交通,这个最高奖项是50万,最低的分类里面的奖项至少也是有10万。

  第二通过参加这个活动,你能够得到我们评委会或者裁判组的一些帮助,大家可以通过网站或者其他途径知道我们目前的评委会和顾问组目前是国内空前强大的,基本上国内的高手都在这个评委会的顾问组里面。我们还有海外顾问团,创联的屈波,是非常知名的。如果大家来报名参加这个比赛的话,他们也愿意跟大家一起来分析和分享这个过程。

  第三我不知道大家有多少人知道ProjectZero?是Google最近招募全球最顶级黑客的一个计划。昨天上午他们还在让我们KeenTeam帮他们推荐人。我想通过这个活动,让这些赞助商更了解你,以后可能有机会进入Google和腾讯去工作。

  于旸(网名Tombkeeper,腾讯玄武安全研究实验室负责人,从事信息安全研究工作超过十年。曾发现并报告了Microsoft、Cisco等公司产品的多个安全漏洞);

  吴石(KeenTeam的技术负责人,碁震上海计算科技有限公司首席科学家);

  诸葛建伟(本次技术沙龙活动的主持人,清华大学网络研究院,网络与信息安全实验室担任副研究员,同时也是蓝莲花站队的领队);

  中关村在线:我们知道,GeekPwn是一项比赛活动,那么在运作的过程包括比赛设备的采购、赛事的启动等过程都需要到赞助商的支持(资金、设备等),目前我们有几家赞助商?

  中关村在线:刚才说到腾讯,腾讯作为赞助商同时也是合作方,那腾讯在后续有什么具体的合作吗?会是哪些?

  Tombkeeper:可以说是比较全面的合作,提供设备和场地等,更重要的是对Geekpwn活动理念的认可,不只是腾讯,其他赞助厂商对安全也是非常的重视,他们希望通过这个平台大家一起发现新人才,发现新思路,做安全。

  Tombkeeper:应该是跟其他的赞助商没有太大的区别。主要是通过这个活动,希望能够和社区能够建立一个比较好的这样一个互动,主要就是发现人才。其实其他赞助商,有一些像Google这种有自己产品的,他有一个角度是希望解决产品的一些问题。其他的赞助商,包括Google在内,大家有一个共同的目标,就是希望能够和社区建立更紧密的联系,发现一些人才。

  Tombkeeper:我们并不是主动的说我们为了要给谁输送人才,因为我刚才一直提的是给人才一个展现的舞台。很多人都跳出来说我是人才,你怎么证明你是人才?或者说你甚至连跳出来的机会都没有,你在那个地方嚷嚷,没有人听得见,那么这个活动本身可能提供一个平台,你可以去展现自己。具体有了这样一个展现的平台之后,可能你可以被人发现,可能别人觉得你是OK的,你是不错的,可能你就有这样一个机会。

  中关村在线:现在,GeekPwn清华大学研究实验站已经成立,Geek班级也已经建立,那么除了参加一些相关赛事能获得一些比赛证书以外,还会不会有其他相关的证书?

  诸葛建伟:但是这个并不代表什么,只是这样一次挑战他完成了,也只能证明他在他所擅长的领域有一个成就,但是对于用人单位来讲,他如果需要这方面的人才,那就是一个很好的证明。

  中关村在线:国外厂商会比较乐意让Geek们发现他们产品上的安全漏洞问题,以便于他们能及时去进行产品的修复更新。但国内厂商在这件事情上并不一定是这种意识,那是不是意味着GeekPwn活动在国外比较好做一点?

  Tombkeeper:国外的企业,这种活动其实在国外相对好办,有好多厂商不是以线下实体活动为主,就是在网上搞。就是办一个网站,可能很多厂商去参加,然后提供奖金,国外其实这种就不少,各种各样形式的,在线的这种比较多,而且大家都积极主动的参加。主要因为就是通过这种形式解决安全问题,其实对于厂商来说他是非常合算的。

  Tombkeeper:没错,以前我说微软这种厂商,以前国外的厂商也是这样,但是这么多年过来之后观念转变了,他们发现安全到底是怎么回事,应该怎么做,他们已经很清晰了。我相信办这个活动,其实我们也是为了展现给国内的厂商看,希望能够促进国内的安全厂商在安全观念上的一个转变。我们这个活动其实倡导了一些东西,其中有一点很重要的,就是我们认为安全是产品质量的一部分。福特汽车当年制造出来的时候没有保险带,没有气囊,那个时候人们买汽车根本不会想这个汽车安全性如何,安全性不是汽车质量的一部分。50年前、60年代的汽车安全性,没有任何人会去想这个车是否安全。但是今天买汽车我们会说,这个汽车不光要开得快,安全性也要好,某某牌子的车安全性好,我们把安全性作为质量的一部分。在智能设备,包括软件上面,可能10年前大家用一个软件,他们也不会想这个软件的安全性。在今天逐渐大家接受了这个观念,我们觉得在未来,可能更多的厂商会接受,安全性是产品质量的一部分。今天我们说国家质量监督局,比如说路由器,他管那些传统的电器指标是不是达标,也许将来安全性会成为纸面上公认的质量的一部分,这个我们觉得是有可能,但是现在我们希望能够在国内帮助厂商们接触这种思想。

  中关村在线:通常在GeekPwn赛事中所发现的相关安全漏洞上的问题,我们这边攻破了之后,对发现的这些安全漏洞是怎么处理的?

  Tombkeeper:这边的活动,我们在规则里面会要求,就是如果你发现漏洞的问题,发现了一定要现场交给厂商,如果你不方便的话由我们转交,一定会给到厂商。这个时候厂商会进入他的修复过程,他会解决这个问题,具体的细节我们不会对社会公开。后续如果厂商解决完了,他想公开这些都是他的事,我们不会涉及到这些。活动本身就是搭建一个桥梁,帮助厂商和这些技术社区的人建立一个联系。

  Tombkeeper:有汽车厂商找到,但是现在还在双方沟通中,具体合作要到正式确认合作关系后在向外界公布。

  中关村在线:车联网这一块是一个趋势,是一个非常热的话题,也是我很关心的话题。今天沙龙活动所涉及到这一块的内容真的不太多,后期会考虑这方面吗?

  Tombkeeper:会考虑,这是当中一个内容。但是看有没有人提。首先就是说,如果有厂家主动想合作那OK,还有就是看有没有参与者,他们报名想搞这一方面。