原标题:开始保卫地球的90后
90后在忙什么?
吃瓜群众普遍认为,今天的中国90后有三大特点:消费降级、认知焦虑、还不起房贷。如果把这三个特点结合成一个字,那么没悬念了,这个字就是“惨”。
被70后嘲笑懒,80后笑话穷,00后觉得土的90后们,似乎正在承担世界最大的diss。然而事实就是如此的丧吗?
在我们难掩90后辛苦的同时,却也会发现,90后这个代际正在强势出现在世界运行的核心领域,甚至不妨变成中国的名片。比如说在网络安全领域。
我们看过各种骇客电影,更知道所有大场面电影里,团队里一定要有个玩电脑的。这些电影角色日常没什么事,喜欢宅着,偶尔抽时间保卫个地球什么的。
现实中,毁灭地球的危机可能不那么常见,但疯狂的网络安全问题却是时刻存在的。有一群人固守在代码背后,用尽各种办法去和漏洞、黑客劫持、安全隐患博弈,他们被称为白帽子。
而90后白帽子,已经开始代表中国走上国际舞台。
今天我们来分享一群白帽的故事。刚刚在拉斯维加斯举行的blackhat和defcon上,来自阿里安全的年轻中国白帽子又一次亮相。
假如他们的故事是一部超级英雄电影,那么我们获悉可以按照这样的套路来发展:发生了什么事件;超级英雄做了什么;他们是谁;他们来自哪里……
刷安全顶会,我们好像终于找对了姿势引出故事的神秘事件,是今年的blackhat和defcon——世界最顶级黑客会议。
近几年来,中国科技公司刷黑客顶会已经屡见不鲜,但让人在意的地方在于,以往中国企业的刷会姿势,总是有点怪怪的。
blackhat和defcon是什么样的存在呢?blackhat号称世界最顶级黑客大会,号称掌管安全产业未来走向。而defcon则被称为黑客界的奥斯卡,也被称为顶级黑客间的神秘派对。早年间FBI守着门抓人,每年百万资金池的攻防战等等,都为这两大顶会涂抹了一层足够“酷”的底色。
然而有点尴尬的是,中国企业却迟迟酷不起来。有媒体曾经戏称,defcon这种会,其他国家派来的都是少年天才,我们派的是大叔工程师…….
这里当然不是diss工程师或者大叔,但围观群众显然希望中国也推出自己的少年白帽天才名片——好在这确实正在发生。
近两年,中国安全战团似乎也开始尝试更酷,更年轻的“世界姿势”。比如“阿里安全+蚂蚁安全”组成的阿里安全八大实验室战队,今年共有六名安全专家受邀参会,进行三个主题分享和两个demo演示。其中五达、蒸米、白小龙等阿里安全专家,都是大名鼎鼎的准90后白帽。
让年轻人去破解世界,似乎美好的故事都是这样开头。
白帽之歌:绕到灯光背后去搞些事情年轻白帽到底在做什么?这是我们可以借这次顶会回答的另一个问题。我们可以发现,90后白帽不仅在致力于“形而上”的技术探索,以及网络攻防战中的见招拆招。他们已经开始审视网络应用的宏观问题,开始用自己的创造力直接带来价值。
比如,阿里安全猎户座实验室安全专家五达则分享了视频水印的安全问题,分析了视频创作者如何在保证视频观看感受的同时,保护著作权不受侵害。这一技术在今天的视频热潮中显然价值非常。作为安全专家的五达,涉猎方向非常广泛。陀螺仪传感器、GPS、IoT设备、密码学,等等领域的安全新闻上都可以看到他的身影。
再比如阿里安全猎户座实验室安全专家蒸米和白小龙,作为一对“网红白帽搭档”,他们这次继续带来了有关苹果的安全攻防战。
苹果系统并非如公众所想象的那样固若金汤,甚至是其系统的基础——操作系统内核,仍然存在着诸多安全风险。蒸米在defcon的演讲中分析了最新版的iOS中的沙盒机制和以及如何获取沙盒配置文件,讨论了iOS上的IPC机制,并回顾几个经典的沙盒逃逸漏洞。
蒸米在演讲中展示了iOS 11.4上的两个沙箱逃逸0day漏洞,还分享了如何通过OOL msg堆喷和ROP(返回导向编程)来利用系统服务漏洞的经验。
白小龙还将在8月12日defcon的主题分享中介绍一款全新的静态分析工具,自动地处理驱动二进制代码中的不确定因素,简化对设备驱动的安全分析过程。正是这样一款工具,让他们发现了多个安全漏洞,利用这些漏洞,攻击者可以获取系统的最高执行权限,因此白小龙还给出了防御手段。
事实上,这对搭档紧盯苹果不放的研究态度,是他们之所以“网红”的重要原因之一。苹果曾在官网上多次感谢他们的贡献,苹果安全团队这次专门到场听演讲,会后还请两位网红白帽吃了顿大餐,感谢他们又挖出的新漏洞。据不完全统计,近亿用户从他们的安全研究中获益。
值得注意的是,作为阿里安全八大实验室之一,蚂蚁金服安全实验室三位安全专家周宇、曲和、周智也带着重磅研究成果亮相blackhat和defcon。
在BlackHat USA 2018军械库上,安全工程师周宇、高级安全专家曲和和来自默安的王伟,探索的针对于VxWorks系统的高级模糊测试框架ChangWei成功入选,并在现场进行工具演示,创新性地将基于反馈的Fuzzing技术应用到VxWorks系统上,设计出ChangWei框架,利用该框架可以高效地发现系统本身和开发者代码中的潜在漏洞。
在defcon的现场演示中,安全工程师周智也展示了一款专门为 iOS 平台应用做安全测试和动态分析的工具Passionfruit ,提供了跨平台的图形界面,快速完成 iOS 应用安全测试中常见的需求,包括信息收集、URL 测试、存储信息分析、截图、动态插桩等任务。可以帮助开发者和安全研究人员方便快捷地对 iOS 应用暴露的攻击面进行测试分析,更快速定位隐患,提升 iOS 应用的安全性。
白帽子的工作,是一门必须绕道灯光背后的艺术。他们要在暗处审视整个舞台,从破坏的角度去思考建设。这项工作非常特别却至关重要,而中国的90后代际,其实在这门工作中拥有得天独厚的优势。
世界的防线,和依旧有胶原蛋白的脸很难有人记住互联网安全专家的样子,即使关注这个领域的读者,大体上也只有这样的印象:都不年轻了。当蒸米、白小龙这些新生代专家,以还带着胶原蛋白的脸出现在公众视野时,我们还是有一点诧异的。
当然,安全专家不是个看脸的行业。但年轻人的某些特质,确实在更加配合这个职业的底层共鸣,让他们更有利于成为这个信息世界的防线。
以上述三位白帽为例,我们可以看到90后的特质,正在某种程度上帮助他们更快走到世界舞台中央。比如说——
电子设备就是家乡
蒸米小时候为了玩电脑,甚至学会了电焊来打开电脑(因为爸妈为了防止他玩电脑,藏起了电源线);在游戏与女朋友之间,更是毅然选择了前者。
电子设备、网络世界,以及这个由数据组成世界的运行原理,在童年时期就成为了这些白帽的玩具与成长伴随品。他们与技术不存在隔膜,甚至技术就是他们的家乡。所以他们不需要进入白帽行业,他们的存在就是白帽本身。
擅长与自己博弈
白帽是必须要假想敌人,假象设计者,再假想自己的“上帝视角”游戏,归根结底是一场与自己的博弈。而显然善于拆除自身存在感,不断自我否定和塑造的90后,在这个有点“精分”的职业中更加如鱼得水。
当然这不是每个90后的特质,但更加独立的人格,确实在催化新的白帽成长。比如蒸米和白小龙,在分析苹果与IOS漏洞的旅行中,必须要不断切换身份,从底层思考一个庞大系统,思考背后的逻辑和理念。从术而道,或许会成为新白帽的标签。
可以冷静地跟常识翻脸
怀疑一切,甚至常识,是好的黑帽白帽都必须遵循的法则。而特立独行,敢于吐槽和diss这个世界的90后们,似乎与这个期许在人设上更加接近。相比较于大部分网络安全专家的低调和存在感缺失,蒸米可谓是一位网红款专家。敢于分享,敢于展示自己的风格,敢于反驳和怀疑,正在让这位少年得志的大V白帽,找到与那些传奇名字的某些共鸣。
中国最终会出现传奇黑客吗?也许会也许不会,但寻找答案的工作,目前已经交棒给90后了。
氪星的辐射奥妙多:为什么“少侠”更站阿里?超人为什么强?因为他在老家氪星受过辐射啊。
那么这些少年白帽为什么强呢?这里或许我们可以发现一个有趣的现象:青年科学家总是聚集在阿里。比如不久前刚刚刷屏的95后科学家入职阿里,比如各种顶会上阿里的“少侠”们出头露面。或许这是个可以深究的问题:阿里到底有什么辐射?
至少有三个因素可以作为这个问题的答案:
打破常规,善于直面挑战
中庸之道,长久以来一直被很多人奉为人生圭臬。但显然这样的处世方式,对于十几岁吊炸天属于常规炒作的骇客们来说,是一项并不怎么美好的事情。那么少年白帽们涌入阿里,或许也就跟这家公司足够颠覆传统,善于直面挑战,不断强大有关。
2015年,蒸米是刚刚博士毕业,履历听上去就是那种桀骜不驯少年天才的人设,但顺利加入阿里安全,并成为当年唯二的“阿里星”。为了让这样的人才迅速成长,公司每年都安排他们跟集团高管们吃饭谈心,并在研究上为他们争取尽可能宽松的环境。显然,阿里更重视的是人才本身,以及他们能用技术能力发挥的潜力,战胜的挑战。
信仰白帽
安全问题到底是个多大的问题,这首先是个问题。而在阿里的投入程度来看,显然安全领域是保驾护航阿里产业体系的重中之重。
2005年的时候 “阿里安全”还是集团技术团队下设的一支几个人组成的小队。13年过去,阿里安全已经成为了累积了数千人的专业团队,成立了双子座实验室、猎户座实验室等具备世界顶级研究水准的八大安全实验室,并且可以从容为双11这样的超大流量事件保驾护航。如果说这个快速成长团队有什么特质的话,那么愿意相信人才和技术的创造性,绝对是其中的重要组成部分。这些实力与文化,正在让阿里称为白帽的理想温床。
成为熔炉
阿里的业务,是真金白银的电商体系、支付体系、物流体系,而且直接关联着世界上最大的人机协同群体,数亿用户随时在使用阿里业务。这个体系一步都不能乱,一点都不能错。
与之相伴的是,阿里要每天承受黑客4000万次恶意访问,试图找出安全漏洞,整个2017年承受2015次DDoS攻击。这种情况下,阿里对白帽的要求也最精细和严格,每一步都是不容有失的战争。这些直接尖锐的考验,也是最好的白帽培养皿。
价值平等、文化尊重和技术淬炼,种种因缘种出了“少年可成名”的果。或许阿里与90后白帽的逻辑关系,可以归结出某种公式:把一定的责任与价值交给年轻人,他们努努力说不定就能拯救个地球什么的。
最结实的企业战略投资,也许叫做“莫欺少年穷”。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。