原標(biāo)題:開始保衛(wèi)地球的90后
90后在忙什么?
吃瓜群眾普遍認(rèn)為,今天的中國90后有三大特點(diǎn):消費(fèi)降級、認(rèn)知焦慮、還不起房貸。如果把這三個(gè)特點(diǎn)結(jié)合成一個(gè)字,那么沒懸念了,這個(gè)字就是“慘”。
被70后嘲笑懶,80后笑話窮,00后覺得土的90后們,似乎正在承擔(dān)世界最大的diss。然而事實(shí)就是如此的喪嗎?
在我們難掩90后辛苦的同時(shí),卻也會(huì)發(fā)現(xiàn),90后這個(gè)代際正在強(qiáng)勢出現(xiàn)在世界運(yùn)行的核心領(lǐng)域,甚至不妨變成中國的名片。比如說在網(wǎng)絡(luò)安全領(lǐng)域。
我們看過各種駭客電影,更知道所有大場面電影里,團(tuán)隊(duì)里一定要有個(gè)玩電腦的。這些電影角色日常沒什么事,喜歡宅著,偶爾抽時(shí)間保衛(wèi)個(gè)地球什么的。
現(xiàn)實(shí)中,毀滅地球的危機(jī)可能不那么常見,但瘋狂的網(wǎng)絡(luò)安全問題卻是時(shí)刻存在的。有一群人固守在代碼背后,用盡各種辦法去和漏洞、黑客劫持、安全隱患博弈,他們被稱為白帽子。
而90后白帽子,已經(jīng)開始代表中國走上國際舞臺(tái)。
今天我們來分享一群白帽的故事。剛剛在拉斯維加斯舉行的blackhat和defcon上,來自阿里安全的年輕中國白帽子又一次亮相。
假如他們的故事是一部超級英雄電影,那么我們獲悉可以按照這樣的套路來發(fā)展:發(fā)生了什么事件;超級英雄做了什么;他們是誰;他們來自哪里……
刷安全頂會(huì),我們好像終于找對了姿勢引出故事的神秘事件,是今年的blackhat和defcon——世界最頂級黑客會(huì)議。
近幾年來,中國科技公司刷黑客頂會(huì)已經(jīng)屢見不鮮,但讓人在意的地方在于,以往中國企業(yè)的刷會(huì)姿勢,總是有點(diǎn)怪怪的。
blackhat和defcon是什么樣的存在呢?blackhat號稱世界最頂級黑客大會(huì),號稱掌管安全產(chǎn)業(yè)未來走向。而defcon則被稱為黑客界的奧斯卡,也被稱為頂級黑客間的神秘派對。早年間FBI守著門抓人,每年百萬資金池的攻防戰(zhàn)等等,都為這兩大頂會(huì)涂抹了一層足夠“酷”的底色。
然而有點(diǎn)尷尬的是,中國企業(yè)卻遲遲酷不起來。有媒體曾經(jīng)戲稱,defcon這種會(huì),其他國家派來的都是少年天才,我們派的是大叔工程師…….
這里當(dāng)然不是diss工程師或者大叔,但圍觀群眾顯然希望中國也推出自己的少年白帽天才名片——好在這確實(shí)正在發(fā)生。
近兩年,中國安全戰(zhàn)團(tuán)似乎也開始嘗試更酷,更年輕的“世界姿勢”。比如“阿里安全+螞蟻安全”組成的阿里安全八大實(shí)驗(yàn)室戰(zhàn)隊(duì),今年共有六名安全專家受邀參會(huì),進(jìn)行三個(gè)主題分享和兩個(gè)demo演示。其中五達(dá)、蒸米、白小龍等阿里安全專家,都是大名鼎鼎的準(zhǔn)90后白帽。
讓年輕人去破解世界,似乎美好的故事都是這樣開頭。
白帽之歌:繞到燈光背后去搞些事情年輕白帽到底在做什么?這是我們可以借這次頂會(huì)回答的另一個(gè)問題。我們可以發(fā)現(xiàn),90后白帽不僅在致力于“形而上”的技術(shù)探索,以及網(wǎng)絡(luò)攻防戰(zhàn)中的見招拆招。他們已經(jīng)開始審視網(wǎng)絡(luò)應(yīng)用的宏觀問題,開始用自己的創(chuàng)造力直接帶來價(jià)值。
比如,阿里安全獵戶座實(shí)驗(yàn)室安全專家五達(dá)則分享了視頻水印的安全問題,分析了視頻創(chuàng)作者如何在保證視頻觀看感受的同時(shí),保護(hù)著作權(quán)不受侵害。這一技術(shù)在今天的視頻熱潮中顯然價(jià)值非常。作為安全專家的五達(dá),涉獵方向非常廣泛。陀螺儀傳感器、GPS、IoT設(shè)備、密碼學(xué),等等領(lǐng)域的安全新聞上都可以看到他的身影。
再比如阿里安全獵戶座實(shí)驗(yàn)室安全專家蒸米和白小龍,作為一對“網(wǎng)紅白帽搭檔”,他們這次繼續(xù)帶來了有關(guān)蘋果的安全攻防戰(zhàn)。
蘋果系統(tǒng)并非如公眾所想象的那樣固若金湯,甚至是其系統(tǒng)的基礎(chǔ)——操作系統(tǒng)內(nèi)核,仍然存在著諸多安全風(fēng)險(xiǎn)。蒸米在defcon的演講中分析了最新版的iOS中的沙盒機(jī)制和以及如何獲取沙盒配置文件,討論了iOS上的IPC機(jī)制,并回顧幾個(gè)經(jīng)典的沙盒逃逸漏洞。
蒸米在演講中展示了iOS 11.4上的兩個(gè)沙箱逃逸0day漏洞,還分享了如何通過OOL msg堆噴和ROP(返回導(dǎo)向編程)來利用系統(tǒng)服務(wù)漏洞的經(jīng)驗(yàn)。
白小龍還將在8月12日defcon的主題分享中介紹一款全新的靜態(tài)分析工具,自動(dòng)地處理驅(qū)動(dòng)二進(jìn)制代碼中的不確定因素,簡化對設(shè)備驅(qū)動(dòng)的安全分析過程。正是這樣一款工具,讓他們發(fā)現(xiàn)了多個(gè)安全漏洞,利用這些漏洞,攻擊者可以獲取系統(tǒng)的最高執(zhí)行權(quán)限,因此白小龍還給出了防御手段。
事實(shí)上,這對搭檔緊盯蘋果不放的研究態(tài)度,是他們之所以“網(wǎng)紅”的重要原因之一。蘋果曾在官網(wǎng)上多次感謝他們的貢獻(xiàn),蘋果安全團(tuán)隊(duì)這次專門到場聽演講,會(huì)后還請兩位網(wǎng)紅白帽吃了頓大餐,感謝他們又挖出的新漏洞。據(jù)不完全統(tǒng)計(jì),近億用戶從他們的安全研究中獲益。
值得注意的是,作為阿里安全八大實(shí)驗(yàn)室之一,螞蟻金服安全實(shí)驗(yàn)室三位安全專家周宇、曲和、周智也帶著重磅研究成果亮相blackhat和defcon。
在BlackHat USA 2018軍械庫上,安全工程師周宇、高級安全專家曲和和來自默安的王偉,探索的針對于VxWorks系統(tǒng)的高級模糊測試框架ChangWei成功入選,并在現(xiàn)場進(jìn)行工具演示,創(chuàng)新性地將基于反饋的Fuzzing技術(shù)應(yīng)用到VxWorks系統(tǒng)上,設(shè)計(jì)出ChangWei框架,利用該框架可以高效地發(fā)現(xiàn)系統(tǒng)本身和開發(fā)者代碼中的潛在漏洞。
在defcon的現(xiàn)場演示中,安全工程師周智也展示了一款專門為 iOS 平臺(tái)應(yīng)用做安全測試和動(dòng)態(tài)分析的工具Passionfruit ,提供了跨平臺(tái)的圖形界面,快速完成 iOS 應(yīng)用安全測試中常見的需求,包括信息收集、URL 測試、存儲(chǔ)信息分析、截圖、動(dòng)態(tài)插樁等任務(wù)??梢詭椭_發(fā)者和安全研究人員方便快捷地對 iOS 應(yīng)用暴露的攻擊面進(jìn)行測試分析,更快速定位隱患,提升 iOS 應(yīng)用的安全性。
白帽子的工作,是一門必須繞道燈光背后的藝術(shù)。他們要在暗處審視整個(gè)舞臺(tái),從破壞的角度去思考建設(shè)。這項(xiàng)工作非常特別卻至關(guān)重要,而中國的90后代際,其實(shí)在這門工作中擁有得天獨(dú)厚的優(yōu)勢。
世界的防線,和依舊有膠原蛋白的臉很難有人記住互聯(lián)網(wǎng)安全專家的樣子,即使關(guān)注這個(gè)領(lǐng)域的讀者,大體上也只有這樣的印象:都不年輕了。當(dāng)蒸米、白小龍這些新生代專家,以還帶著膠原蛋白的臉出現(xiàn)在公眾視野時(shí),我們還是有一點(diǎn)詫異的。
當(dāng)然,安全專家不是個(gè)看臉的行業(yè)。但年輕人的某些特質(zhì),確實(shí)在更加配合這個(gè)職業(yè)的底層共鳴,讓他們更有利于成為這個(gè)信息世界的防線。
以上述三位白帽為例,我們可以看到90后的特質(zhì),正在某種程度上幫助他們更快走到世界舞臺(tái)中央。比如說——
電子設(shè)備就是家鄉(xiāng)
蒸米小時(shí)候?yàn)榱送骐娔X,甚至學(xué)會(huì)了電焊來打開電腦(因?yàn)榘謰尀榱朔乐顾骐娔X,藏起了電源線);在游戲與女朋友之間,更是毅然選擇了前者。
電子設(shè)備、網(wǎng)絡(luò)世界,以及這個(gè)由數(shù)據(jù)組成世界的運(yùn)行原理,在童年時(shí)期就成為了這些白帽的玩具與成長伴隨品。他們與技術(shù)不存在隔膜,甚至技術(shù)就是他們的家鄉(xiāng)。所以他們不需要進(jìn)入白帽行業(yè),他們的存在就是白帽本身。
擅長與自己博弈
白帽是必須要假想敵人,假象設(shè)計(jì)者,再假想自己的“上帝視角”游戲,歸根結(jié)底是一場與自己的博弈。而顯然善于拆除自身存在感,不斷自我否定和塑造的90后,在這個(gè)有點(diǎn)“精分”的職業(yè)中更加如魚得水。
當(dāng)然這不是每個(gè)90后的特質(zhì),但更加獨(dú)立的人格,確實(shí)在催化新的白帽成長。比如蒸米和白小龍,在分析蘋果與IOS漏洞的旅行中,必須要不斷切換身份,從底層思考一個(gè)龐大系統(tǒng),思考背后的邏輯和理念。從術(shù)而道,或許會(huì)成為新白帽的標(biāo)簽。
可以冷靜地跟常識(shí)翻臉
懷疑一切,甚至常識(shí),是好的黑帽白帽都必須遵循的法則。而特立獨(dú)行,敢于吐槽和diss這個(gè)世界的90后們,似乎與這個(gè)期許在人設(shè)上更加接近。相比較于大部分網(wǎng)絡(luò)安全專家的低調(diào)和存在感缺失,蒸米可謂是一位網(wǎng)紅款專家。敢于分享,敢于展示自己的風(fēng)格,敢于反駁和懷疑,正在讓這位少年得志的大V白帽,找到與那些傳奇名字的某些共鳴。
中國最終會(huì)出現(xiàn)傳奇黑客嗎?也許會(huì)也許不會(huì),但尋找答案的工作,目前已經(jīng)交棒給90后了。
氪星的輻射奧妙多:為什么“少俠”更站阿里?超人為什么強(qiáng)?因?yàn)樗诶霞译葱鞘苓^輻射啊。
那么這些少年白帽為什么強(qiáng)呢?這里或許我們可以發(fā)現(xiàn)一個(gè)有趣的現(xiàn)象:青年科學(xué)家總是聚集在阿里。比如不久前剛剛刷屏的95后科學(xué)家入職阿里,比如各種頂會(huì)上阿里的“少俠”們出頭露面?;蛟S這是個(gè)可以深究的問題:阿里到底有什么輻射?
至少有三個(gè)因素可以作為這個(gè)問題的答案:
打破常規(guī),善于直面挑戰(zhàn)
中庸之道,長久以來一直被很多人奉為人生圭臬。但顯然這樣的處世方式,對于十幾歲吊炸天屬于常規(guī)炒作的駭客們來說,是一項(xiàng)并不怎么美好的事情。那么少年白帽們涌入阿里,或許也就跟這家公司足夠顛覆傳統(tǒng),善于直面挑戰(zhàn),不斷強(qiáng)大有關(guān)。
2015年,蒸米是剛剛博士畢業(yè),履歷聽上去就是那種桀驁不馴少年天才的人設(shè),但順利加入阿里安全,并成為當(dāng)年唯二的“阿里星”。為了讓這樣的人才迅速成長,公司每年都安排他們跟集團(tuán)高管們吃飯談心,并在研究上為他們爭取盡可能寬松的環(huán)境。顯然,阿里更重視的是人才本身,以及他們能用技術(shù)能力發(fā)揮的潛力,戰(zhàn)勝的挑戰(zhàn)。
信仰白帽
安全問題到底是個(gè)多大的問題,這首先是個(gè)問題。而在阿里的投入程度來看,顯然安全領(lǐng)域是保駕護(hù)航阿里產(chǎn)業(yè)體系的重中之重。
2005年的時(shí)候 “阿里安全”還是集團(tuán)技術(shù)團(tuán)隊(duì)下設(shè)的一支幾個(gè)人組成的小隊(duì)。13年過去,阿里安全已經(jīng)成為了累積了數(shù)千人的專業(yè)團(tuán)隊(duì),成立了雙子座實(shí)驗(yàn)室、獵戶座實(shí)驗(yàn)室等具備世界頂級研究水準(zhǔn)的八大安全實(shí)驗(yàn)室,并且可以從容為雙11這樣的超大流量事件保駕護(hù)航。如果說這個(gè)快速成長團(tuán)隊(duì)有什么特質(zhì)的話,那么愿意相信人才和技術(shù)的創(chuàng)造性,絕對是其中的重要組成部分。這些實(shí)力與文化,正在讓阿里稱為白帽的理想溫床。
成為熔爐
阿里的業(yè)務(wù),是真金白銀的電商體系、支付體系、物流體系,而且直接關(guān)聯(lián)著世界上最大的人機(jī)協(xié)同群體,數(shù)億用戶隨時(shí)在使用阿里業(yè)務(wù)。這個(gè)體系一步都不能亂,一點(diǎn)都不能錯(cuò)。
與之相伴的是,阿里要每天承受黑客4000萬次惡意訪問,試圖找出安全漏洞,整個(gè)2017年承受2015次DDoS攻擊。這種情況下,阿里對白帽的要求也最精細(xì)和嚴(yán)格,每一步都是不容有失的戰(zhàn)爭。這些直接尖銳的考驗(yàn),也是最好的白帽培養(yǎng)皿。
價(jià)值平等、文化尊重和技術(shù)淬煉,種種因緣種出了“少年可成名”的果?;蛟S阿里與90后白帽的邏輯關(guān)系,可以歸結(jié)出某種公式:把一定的責(zé)任與價(jià)值交給年輕人,他們努努力說不定就能拯救個(gè)地球什么的。
最結(jié)實(shí)的企業(yè)戰(zhàn)略投資,也許叫做“莫欺少年窮”。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。