52小时！揭秘中国队斩获黑客奥运亚军背后的故事

在放肆不羁的拉斯维加斯，全世界黑客的精神精神圣殿DEFCON黑客大赛，迎来了2016年的巅峰对决。

在一场历时三天两夜长达52个小时“黑客马拉松”式的残酷比赛中，来自中国的百度蓝莲花与0ops组建的联合战队b1o0p，最终斩获世界亚军。这是中国的黑客，在被誉为黑客奥运会的DEFCON上取得的历史最佳战绩。

这体现了中国黑客在近几年的技术成长，已经达到了世界级的水平，而作为中国黑客的坚实后盾，以BET为代表的中国互联网公司，和中国高校在网络安全技术上的影响力，得到了进一步的认可。

黑客马拉松上的中国逆袭！

这个世界上没有顺理成章的成功故事，只有跌宕起伏的剧情，和背后的逆袭神话，就像这次DEFCON大赛上的中国之队。

实际上，赢得今年的DEFCON大赛的亚军，具有非同一般的意义。因为，第一，这是第一次采用人机大战的黑客竞赛，由一支机器人队伍单挑14支精英黑客团队，人类与人工智能的PK赛，这是历史上前所未有的；第二，总决赛一共历时三天两夜长达52个小时，是一场对参赛队伍的智力、体力和集中力都进行严峻考验的“黑客马拉松”。

要知道，在这样的一场艰苦的竞赛中，b1o0p是中国大陆唯一的一支参赛队，他们背负的是中国黑客全部的希望。

据了解，百度-蓝莲花和上交大0ops联合组队的中国b1o0p战队在刚开赛不久排名并不理想，仅排在十名之外，而上届冠军得主DEFKOR凭借队内黑客神童lokihardt的强大实力获得先发优势。

到第一天结束时，卫冕冠军DEFKOR依然排名第一，由全球著名黑客Geohot助阵来自美国名校CMU的PPP战队排名第二，b1o0p的排名艰难的爬升到第6位。在第一夜的连夜分析中，队员们突破了所有放出的题目。在攻击方面，编写了漏洞攻击利用代码PoV，其中在两个服务上具备全场的攻击能力。在防御方面，充分利用规则通过diff分析强队的修补服务版本，移除潜在后门逻辑定位安全漏洞并复用对方修补漏洞方法，基本保证本队不失分。

于是，b1o0p在第二天开始大幅度追赶比分。并在一个多小时后超越DEFKOR紧随排名第一的PPP。第二天, b1o0p与机器人的对战尤为精彩，b1o0p对机器人系统和CGC规则有充分的了解，通过扬长避短轻松地击败了机器人队伍。例如，蓝莲花队伍针对其中两道服务编写了特别定制的高级攻击，这两个攻击可以在不使目标服务崩溃的情况下夺旗，因而很难被检测到。这种高级攻击不仅对机器人队伍有效，对人类队伍也非常有效。在第二天的比赛中，b1o0p战队通过这两道题实现“吊打全场”，逐步追赶比分，超越韩国DEFKOR，并最终锁定第二名。

尽管，最后的b1o0p仅以微弱的劣势，惜败于美国老牌战队PPP，屈居亚军，但是这已经创造了中国战队在DEF CON CTF世界杯上的历史最好成绩。面对一支人工智能战队，和其他13支全球最顶级的黑客队伍，b1o0p从排名十名开外，稳打稳扎，实现了对卫冕冠军DEFKOR的逆袭。而来自百度公司的张亚勤和百度安全的技术专家，也在DEFCON大赛现场见证了这一历史性的时刻。

DEFCON在接受中国黑客的致敬

在DEFCON上展现中国黑客的影响力，这意味着什么？

相比于大名鼎鼎的BlackHat，DEFCON就是黑客世界的奥运会。实际上，BlackHat和 DEFCON这两个黑客大会，都是大名鼎鼎的黑客 Jeff Moss创立的，所不同的是：BlackHat“黑帽”安全技术大会是一个具有很强技术性的信息安全会议，会议将引领安全思想和技术的走向；而诞生于1992年DEFCON则是电脑黑客秘密大派对，也是很多全球黑客的精神圣殿。

毫不夸张的说，DEFCON上的每一次竞赛都是足以颠覆世界的壮举。以本次大赛中入选荣誉殿堂的百度X-lab团队的韦韬与张煜龙为例，他们发现了一个能够让攻击者完全控制几百万台Pebble智能手表、进而进行隐私窃取和控制的安全漏洞，这个惊人的发现，对所有基于ARM Cortex-M的智能设备、物联网设备都意义深远。

BlackHat和DEFCON这些黑客大会上，每一次的发现，都足以颠覆世界。这些默默无闻的黑客，攻破了很多个企业看似固若金汤的防线，为许多新兴的产品找到了致命的安全漏洞，他们的贡献让数以亿记的财产安全可以保障，甚至提前挽救了一些用户的生命。

在本届DEFCON上，来自百度安全的技术专家韦韬与张煜龙贡献的智能手表安全漏洞，阻止了上百万的Pebble智能手表发生隐私泄露，长远看这将是对整个物联网硬件生态链的一次突出的贡献。而韦韬本人，也是全球最有名的Android 系统安全专家，连续多年为安卓生态中的安全错位振臂呼喊。

在今年另一个世界顶级黑客聚会 BlackHat上，黑客Weston Hecker表现力如何让任意一台ATM机，在15分钟内喷出5万美金的奇迹。世界上最难攻破的就是金融系统，但在顶级黑客面前，ATM却变成了“任意取款机”。这让足以让银行业提高安全的警惕。在去年的同一赛事中，著名的汽车黑客，查理·米勒和克里斯·瓦拉塞克，远程侵入Jeep车载系统，远程控制启动车上的各种功能，包括减速、关闭发动机、制动或让制动失灵。此举，导致了克莱斯勒公司在全球召回140万JEEP辆汽车，但却挽救了无数可能发生的恶性事件。

所以，在DEFCON夺取世界亚军，无疑是中国黑客向黑客精神的一次致敬。

创造历史新高 中国黑客在何种土壤中崛起？

b1o0p联合战队，由百度蓝莲花与0ops组建而成。这是一支典型的，结合了中国互联网的安全技术，与中国高校最顶尖安全专家的组合。

据了解，蓝莲花战队于2010年组建，最早只限于清华大学信息与网络安全实验室的学生参加，后来吸引到越来越多的黑客技术爱好者加入进来。自成立后，该战队每年都参加了DEFCON黑客技术比赛，但是在创立后的前两年未拿到过总决赛的入场券。

直到2013年，这支由清华大学的网络安全技术竞赛和研究团队为班底的“百度-蓝莲花”战队获得了百度安全的全力支持，随之成绩也突飞猛进，成为华人世界历史上首支成功闯入DEF CON CTF全球总决赛的队伍。之后的2014和2015年，又连续两年入围DEFCON CTF全球总决赛。百度总裁张亚勤博士曾多次亲临蓝莲花战队在世界各地的CTF赛事现场助威指导，而今年也同样亲临DEFCONG大会现场，并在大赛前夕前往蓝莲花团队驻地，了解队员们的备战情况，并鼓励他们放松心态，全力以赴。总决赛现场，张亚勤更在场边为队员们摇旗呐喊，打气助阵。从2010年蓝莲花在清华诞生，到2016年联合组队夺取DEFCON世界亚军，整整走过了6年的时间。显然这种时间周期已经超过了普通高校能够承载的人才培养周期，如果没有百度这样的互联网公司在背后的支持，也就没有b1o0p今天的成绩。

（编辑：宁德站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!