开始保卫地球的90后

90后在忙什么?

吃瓜群众普遍认为,今天的中国90后有三大特点:消费降级、认知焦虑、还不起房贷。如果把这三个特点结合成一个字,那么没悬念了,这个字就是“惨”。

被70后嘲笑懒,80后笑话穷,00后觉得土的90后们,似乎正在承担世界最大的diss。然而事实就是如此的丧吗?

在我们难掩90后辛苦的同时,却也会发现,90后这个代际正在强势出现在世界运行的核心领域,甚至不妨变成中国的名片。比如说在网络安全领域。

我们看过各种骇客电影,更知道所有大场面电影里,团队里一定要有个玩电脑的。这些电影角色日常没什么事,喜欢宅着,偶尔抽时间保卫个地球什么的。

现实中,毁灭地球的危机可能不那么常见,但疯狂的网络安全问题却是时刻存在的。有一群人固守在代码背后,用尽各种办法去和漏洞、黑客劫持、安全隐患博弈,他们被称为白帽子。

而90后白帽子,已经开始代表中国走上国际舞台。

今天我们来分享一群白帽的故事。刚刚在拉斯维加斯举行的blackhat和defcon上,来自阿里安全的年轻中国白帽子又一次亮相。

假如他们的故事是一部超级英雄电影,那么我们获悉可以按照这样的套路来发展:发生了什么事件;超级英雄做了什么;他们是谁;他们来自哪里……

刷安全顶会,

我们好像终于找对了姿势

引出故事的神秘事件,是今年的blackhat和defcon——世界最顶级黑客会议。

近几年来,中国科技公司刷黑客顶会已经屡见不鲜,但让人在意的地方在于,以往中国企业的刷会姿势,总是有点怪怪的。

blackhat和defcon是什么样的存在呢?blackhat号称世界最顶级黑客大会,号称掌管安全产业未来走向。而defcon则被称为黑客界的奥斯卡,也被称为顶级黑客间的神秘派对。早年间FBI守着门抓人,每年百万资金池的攻防战等等,都为这两大顶会涂抹了一层足够“酷”的底色。

然而有点尴尬的是,中国企业却迟迟酷不起来。有媒体曾经戏称,defcon这种会,其他国家派来的都是少年天才,我们派的是大叔工程师…….

这里当然不是diss工程师或者大叔,但围观群众显然希望中国也推出自己的少年白帽天才名片——好在这确实正在发生。

近两年,中国安全战团似乎也开始尝试更酷,更年轻的“世界姿势”。比如“阿里安全+蚂蚁安全”组成的阿里安全八大实验室战队,今年共有六名安全专家受邀参会,进行三个主题分享和两个demo演示。其中五达、蒸米、白小龙等阿里安全专家,都是大名鼎鼎的准90后白帽。

让年轻人去破解世界,似乎美好的故事都是这样开头。

白帽之歌:

绕到灯光背后去搞些事情

年轻白帽到底在做什么?这是我们可以借这次顶会回答的另一个问题。我们可以发现,90后白帽不仅在致力于“形而上”的技术探索,以及网络攻防战中的见招拆招。他们已经开始审视网络应用的宏观问题,开始用自己的创造力直接带来价值。

比如,阿里安全猎户座实验室安全专家五达则分享了视频水印的安全问题,分析了视频创作者如何在保证视频观看感受的同时,保护著作权不受侵害。这一技术在今天的视频热潮中显然价值非常。作为安全专家的五达,涉猎方向非常广泛。陀螺仪传感器、GPS、IoT设备、密码学,等等领域的安全新闻上都可以看到他的身影。

再比如阿里安全猎户座实验室安全专家蒸米和白小龙,作为一对“网红白帽搭档”,他们这次继续带来了有关苹果的安全攻防战。

苹果系统并非如公众所想象的那样固若金汤,甚至是其系统的基础——操作系统内核,仍然存在着诸多安全风险。蒸米在defcon的演讲中分析了最新版的iOS中的沙盒机制和以及如何获取沙盒配置文件,讨论了iOS上的IPC机制,并回顾几个经典的沙盒逃逸漏洞。

蒸米在演讲中展示了iOS 11.4上的两个沙箱逃逸0day漏洞,还分享了如何通过OOL msg堆喷和ROP(返回导向编程)来利用系统服务漏洞的经验。

白小龙还将在8月12日defcon的主题分享中介绍一款全新的静态分析工具,自动地处理驱动二进制代码中的不确定因素,简化对设备驱动的安全分析过程。正是这样一款工具,让他们发现了多个安全漏洞,利用这些漏洞,攻击者可以获取系统的最高执行权限,因此白小龙还给出了防御手段。

事实上,这对搭档紧盯苹果不放的研究态度,是他们之所以“网红”的重要原因之一。苹果曾在官网上多次感谢他们的贡献,苹果安全团队这次专门到场听演讲,会后还请两位网红白帽吃了顿大餐,感谢他们又挖出的新漏洞。据不完全统计,近亿用户从他们的安全研究中获益。

值得注意的是,作为阿里安全八大实验室之一,蚂蚁金服安全实验室三位安全专家周宇、曲和、周智也带着重磅研究成果亮相blackhat和defcon。

在BlackHat USA 2018军械库上,安全工程师周宇、高级安全专家曲和和来自默安的王伟,探索的针对于VxWorks系统的高级模糊测试框架ChangWei成功入选,并在现场进行工具演示,创新性地将基于反馈的Fuzzing技术应用到VxWorks系统上,设计出ChangWei框架,利用该框架可以高效地发现系统本身和开发者代码中的潜在漏洞。

在defcon的现场演示中,安全工程师周智也展示了一款专门为 iOS 平台应用做安全测试和动态分析的工具Passionfruit ,提供了跨平台的图形界面,快速完成 iOS 应用安全测试中常见的需求,包括信息收集、URL 测试、存储信息分析、截图、动态插桩等任务。可以帮助开发者和安全研究人员方便快捷地对 iOS 应用暴露的攻击面进行测试分析,更快速定位隐患,提升 iOS 应用的安全性。

白帽子的工作,是一门必须绕道灯光背后的艺术。他们要在暗处审视整个舞台,从破坏的角度去思考建设。这项工作非常特别却至关重要,而中国的90后代际,其实在这门工作中拥有得天独厚的优势。

世界的防线,

和依旧有胶原蛋白的脸

很难有人记住互联网安全专家的样子,即使关注这个领域的读者,大体上也只有这样的印象:都不年轻了。当蒸米、白小龙这些新生代专家,以还带着胶原蛋白的脸出现在公众视野时,我们还是有一点诧异的。

当然,安全专家不是个看脸的行业。但年轻人的某些特质,确实在更加配合这个职业的底层共鸣,让他们更有利于成为这个信息世界的防线。

以上述三位白帽为例,我们可以看到90后的特质,正在某种程度上帮助他们更快走到世界舞台中央。比如说——

电子设备就是家乡

蒸米小时候为了玩电脑,甚至学会了电焊来打开电脑(因为爸妈为了防止他玩电脑,藏起了电源线);在游戏与女朋友之间,更是毅然选择了前者。

电子设备、网络世界,以及这个由数据组成世界的运行原理,在童年时期就成为了这些白帽的玩具与成长伴随品。他们与技术不存在隔膜,甚至技术就是他们的家乡。所以他们不需要进入白帽行业,他们的存在就是白帽本身。

擅长与自己博弈

白帽是必须要假想敌人,假象设计者,再假想自己的“上帝视角”游戏,归根结底是一场与自己的博弈。而显然善于拆除自身存在感,不断自我否定和塑造的90后,在这个有点“精分”的职业中更加如鱼得水。

当然这不是每个90后的特质,但更加独立的人格,确实在催化新的白帽成长。比如蒸米和白小龙,在分析苹果与IOS漏洞的旅行中,必须要不断切换身份,从底层思考一个庞大系统,思考背后的逻辑和理念。从术而道,或许会成为新白帽的标签。

可以冷静地跟常识翻脸

怀疑一切,甚至常识,是好的黑帽白帽都必须遵循的法则。而特立独行,敢于吐槽和diss这个世界的90后们,似乎与这个期许在人设上更加接近。相比较于大部分网络安全专家的低调和存在感缺失,蒸米可谓是一位网红款专家。敢于分享,敢于展示自己的风格,敢于反驳和怀疑,正在让这位少年得志的大V白帽,找到与那些传奇名字的某些共鸣。

中国最终会出现传奇黑客吗?也许会也许不会,但寻找答案的工作,目前已经交棒给90后了。

氪星的辐射奥妙多:

为什么“少侠”更站阿里?

超人为什么强?因为他在老家氪星受过辐射啊。

那么这些少年白帽为什么强呢?这里或许我们可以发现一个有趣的现象:青年科学家总是聚集在阿里。比如不久前刚刚刷屏的95后科学家入职阿里,比如各种顶会上阿里的“少侠”们出头露面。或许这是个可以深究的问题:阿里到底有什么辐射?

至少有三个因素可以作为这个问题的答案:

打破常规,善于直面挑战

中庸之道,长久以来一直被很多人奉为人生圭臬。但显然这样的处世方式,对于十几岁吊炸天属于常规炒作的骇客们来说,是一项并不怎么美好的事情。那么少年白帽们涌入阿里,或许也就跟这家公司足够颠覆传统,善于直面挑战,不断强大有关。

2015年,蒸米是刚刚博士毕业,履历听上去就是那种桀骜不驯少年天才的人设,但顺利加入阿里安全,并成为当年唯二的“阿里星”。为了让这样的人才迅速成长,公司每年都安排他们跟集团高管们吃饭谈心,并在研究上为他们争取尽可能宽松的环境。显然,阿里更重视的是人才本身,以及他们能用技术能力发挥的潜力,战胜的挑战。

信仰白帽

安全问题到底是个多大的问题,这首先是个问题。而在阿里的投入程度来看,显然安全领域是保驾护航阿里产业体系的重中之重。

2005年的时候 “阿里安全”还是集团技术团队下设的一支几个人组成的小队。13年过去,阿里安全已经成为了累积了数千人的专业团队,成立了双子座实验室、猎户座实验室等具备世界顶级研究水准的八大安全实验室,并且可以从容为双11这样的超大流量事件保驾护航。如果说这个快速成长团队有什么特质的话,那么愿意相信人才和技术的创造性,绝对是其中的重要组成部分。这些实力与文化,正在让阿里称为白帽的理想温床。

成为熔炉

阿里的业务,是真金白银的电商体系、支付体系、物流体系,而且直接关联着世界上最大的人机协同群体,数亿用户随时在使用阿里业务。这个体系一步都不能乱,一点都不能错。

与之相伴的是,阿里要每天承受黑客4000万次恶意访问,试图找出安全漏洞,整个2017年承受2015次DDoS攻击。这种情况下,阿里对白帽的要求也最精细和严格,每一步都是不容有失的战争。这些直接尖锐的考验,也是最好的白帽培养皿。

价值平等、文化尊重和技术淬炼,种种因缘种出了“少年可成名”的果。或许阿里与90后白帽的逻辑关系,可以归结出某种公式:把一定的责任与价值交给年轻人,他们努努力说不定就能拯救个地球什么的。

最结实的企业战略投资,也许叫做“莫欺少年穷”。

(0)

相关推荐