開始保衛(wèi)地球的90后

原標(biāo)題：開始保衛(wèi)地球的90后

90后在忙什么？

吃瓜群眾普遍認(rèn)為，今天的中國(guó)90后有三大特點(diǎn)：消費(fèi)降級(jí)、認(rèn)知焦慮、還不起房貸。如果把這三個(gè)特點(diǎn)結(jié)合成一個(gè)字，那么沒懸念了，這個(gè)字就是“慘”。

被70后嘲笑懶，80后笑話窮，00后覺得土的90后們，似乎正在承擔(dān)世界最大的diss。然而事實(shí)就是如此的喪嗎？

在我們難掩90后辛苦的同時(shí)，卻也會(huì)發(fā)現(xiàn)，90后這個(gè)代際正在強(qiáng)勢(shì)出現(xiàn)在世界運(yùn)行的核心領(lǐng)域，甚至不妨變成中國(guó)的名片。比如說在網(wǎng)絡(luò)安全領(lǐng)域。

我們看過各種駭客電影，更知道所有大場(chǎng)面電影里，團(tuán)隊(duì)里一定要有個(gè)玩電腦的。這些電影角色日常沒什么事，喜歡宅著，偶爾抽時(shí)間保衛(wèi)個(gè)地球什么的。

現(xiàn)實(shí)中，毀滅地球的危機(jī)可能不那么常見，但瘋狂的網(wǎng)絡(luò)安全問題卻是時(shí)刻存在的。有一群人固守在代碼背后，用盡各種辦法去和漏洞、黑客劫持、安全隱患博弈，他們被稱為白帽子。

而90后白帽子，已經(jīng)開始代表中國(guó)走上國(guó)際舞臺(tái)。

今天我們來分享一群白帽的故事。剛剛在拉斯維加斯舉行的blackhat和defcon上，來自阿里安全的年輕中國(guó)白帽子又一次亮相。

假如他們的故事是一部超級(jí)英雄電影，那么我們獲悉可以按照這樣的套路來發(fā)展：發(fā)生了什么事件；超級(jí)英雄做了什么；他們是誰(shuí)；他們來自哪里……

刷安全頂會(huì)，我們好像終于找對(duì)了姿勢(shì)引出故事的神秘事件，是今年的blackhat和defcon——世界最頂級(jí)黑客會(huì)議。

近幾年來，中國(guó)科技公司刷黑客頂會(huì)已經(jīng)屢見不鮮，但讓人在意的地方在于，以往中國(guó)企業(yè)的刷會(huì)姿勢(shì)，總是有點(diǎn)怪怪的。

blackhat和defcon是什么樣的存在呢？blackhat號(hào)稱世界最頂級(jí)黑客大會(huì)，號(hào)稱掌管安全產(chǎn)業(yè)未來走向。而defcon則被稱為黑客界的奧斯卡，也被稱為頂級(jí)黑客間的神秘派對(duì)。早年間FBI守著門抓人，每年百萬資金池的攻防戰(zhàn)等等，都為這兩大頂會(huì)涂抹了一層足夠“酷”的底色。

然而有點(diǎn)尷尬的是，中國(guó)企業(yè)卻遲遲酷不起來。有媒體曾經(jīng)戲稱，defcon這種會(huì)，其他國(guó)家派來的都是少年天才，我們派的是大叔工程師…….

這里當(dāng)然不是diss工程師或者大叔，但圍觀群眾顯然希望中國(guó)也推出自己的少年白帽天才名片——好在這確實(shí)正在發(fā)生。

近兩年，中國(guó)安全戰(zhàn)團(tuán)似乎也開始嘗試更酷，更年輕的“世界姿勢(shì)”。比如“阿里安全+螞蟻安全”組成的阿里安全八大實(shí)驗(yàn)室戰(zhàn)隊(duì)，今年共有六名安全專家受邀參會(huì)，進(jìn)行三個(gè)主題分享和兩個(gè)demo演示。其中五達(dá)、蒸米、白小龍等阿里安全專家，都是大名鼎鼎的準(zhǔn)90后白帽。

讓年輕人去破解世界，似乎美好的故事都是這樣開頭。

白帽之歌：繞到燈光背后去搞些事情年輕白帽到底在做什么？這是我們可以借這次頂會(huì)回答的另一個(gè)問題。我們可以發(fā)現(xiàn)，90后白帽不僅在致力于“形而上”的技術(shù)探索，以及網(wǎng)絡(luò)攻防戰(zhàn)中的見招拆招。他們已經(jīng)開始審視網(wǎng)絡(luò)應(yīng)用的宏觀問題，開始用自己的創(chuàng)造力直接帶來價(jià)值。

比如，阿里安全獵戶座實(shí)驗(yàn)室安全專家五達(dá)則分享了視頻水印的安全問題，分析了視頻創(chuàng)作者如何在保證視頻觀看感受的同時(shí)，保護(hù)著作權(quán)不受侵害。這一技術(shù)在今天的視頻熱潮中顯然價(jià)值非常。作為安全專家的五達(dá)，涉獵方向非常廣泛。陀螺儀傳感器、GPS、IoT設(shè)備、密碼學(xué)，等等領(lǐng)域的安全新聞上都可以看到他的身影。

再比如阿里安全獵戶座實(shí)驗(yàn)室安全專家蒸米和白小龍，作為一對(duì)“網(wǎng)紅白帽搭檔”，他們這次繼續(xù)帶來了有關(guān)蘋果的安全攻防戰(zhàn)。

蘋果系統(tǒng)并非如公眾所想象的那樣固若金湯，甚至是其系統(tǒng)的基礎(chǔ)——操作系統(tǒng)內(nèi)核，仍然存在著諸多安全風(fēng)險(xiǎn)。蒸米在defcon的演講中分析了最新版的iOS中的沙盒機(jī)制和以及如何獲取沙盒配置文件，討論了iOS上的IPC機(jī)制，并回顧幾個(gè)經(jīng)典的沙盒逃逸漏洞。

蒸米在演講中展示了iOS 11.4上的兩個(gè)沙箱逃逸0day漏洞，還分享了如何通過OOL msg堆噴和ROP（返回導(dǎo)向編程）來利用系統(tǒng)服務(wù)漏洞的經(jīng)驗(yàn)。

白小龍還將在8月12日defcon的主題分享中介紹一款全新的靜態(tài)分析工具，自動(dòng)地處理驅(qū)動(dòng)二進(jìn)制代碼中的不確定因素，簡(jiǎn)化對(duì)設(shè)備驅(qū)動(dòng)的安全分析過程。正是這樣一款工具，讓他們發(fā)現(xiàn)了多個(gè)安全漏洞，利用這些漏洞，攻擊者可以獲取系統(tǒng)的最高執(zhí)行權(quán)限，因此白小龍還給出了防御手段。

事實(shí)上，這對(duì)搭檔緊盯蘋果不放的研究態(tài)度，是他們之所以“網(wǎng)紅”的重要原因之一。蘋果曾在官網(wǎng)上多次感謝他們的貢獻(xiàn)，蘋果安全團(tuán)隊(duì)這次專門到場(chǎng)聽演講，會(huì)后還請(qǐng)兩位網(wǎng)紅白帽吃了頓大餐，感謝他們又挖出的新漏洞。據(jù)不完全統(tǒng)計(jì)，近億用戶從他們的安全研究中獲益。

值得注意的是，作為阿里安全八大實(shí)驗(yàn)室之一，螞蟻金服安全實(shí)驗(yàn)室三位安全專家周宇、曲和、周智也帶著重磅研究成果亮相blackhat和defcon。

在BlackHat USA 2018軍械庫(kù)上，安全工程師周宇、高級(jí)安全專家曲和和來自默安的王偉，探索的針對(duì)于VxWorks系統(tǒng)的高級(jí)模糊測(cè)試框架ChangWei成功入選，并在現(xiàn)場(chǎng)進(jìn)行工具演示，創(chuàng)新性地將基于反饋的Fuzzing技術(shù)應(yīng)用到VxWorks系統(tǒng)上，設(shè)計(jì)出ChangWei框架，利用該框架可以高效地發(fā)現(xiàn)系統(tǒng)本身和開發(fā)者代碼中的潛在漏洞。

在defcon的現(xiàn)場(chǎng)演示中，安全工程師周智也展示了一款專門為 iOS 平臺(tái)應(yīng)用做安全測(cè)試和動(dòng)態(tài)分析的工具Passionfruit ，提供了跨平臺(tái)的圖形界面，快速完成 iOS 應(yīng)用安全測(cè)試中常見的需求，包括信息收集、URL 測(cè)試、存儲(chǔ)信息分析、截圖、動(dòng)態(tài)插樁等任務(wù)。可以幫助開發(fā)者和安全研究人員方便快捷地對(duì) iOS 應(yīng)用暴露的攻擊面進(jìn)行測(cè)試分析，更快速定位隱患，提升 iOS 應(yīng)用的安全性。

白帽子的工作，是一門必須繞道燈光背后的藝術(shù)。他們要在暗處審視整個(gè)舞臺(tái)，從破壞的角度去思考建設(shè)。這項(xiàng)工作非常特別卻至關(guān)重要，而中國(guó)的90后代際，其實(shí)在這門工作中擁有得天獨(dú)厚的優(yōu)勢(shì)。

世界的防線，和依舊有膠原蛋白的臉很難有人記住互聯(lián)網(wǎng)安全專家的樣子，即使關(guān)注這個(gè)領(lǐng)域的讀者，大體上也只有這樣的印象：都不年輕了。當(dāng)蒸米、白小龍這些新生代專家，以還帶著膠原蛋白的臉出現(xiàn)在公眾視野時(shí)，我們還是有一點(diǎn)詫異的。

當(dāng)然，安全專家不是個(gè)看臉的行業(yè)。但年輕人的某些特質(zhì)，確實(shí)在更加配合這個(gè)職業(yè)的底層共鳴，讓他們更有利于成為這個(gè)信息世界的防線。

以上述三位白帽為例，我們可以看到90后的特質(zhì)，正在某種程度上幫助他們更快走到世界舞臺(tái)中央。比如說——

電子設(shè)備就是家鄉(xiāng)

蒸米小時(shí)候?yàn)榱送骐娔X，甚至學(xué)會(huì)了電焊來打開電腦（因?yàn)榘謰尀榱朔乐顾骐娔X，藏起了電源線）；在游戲與女朋友之間，更是毅然選擇了前者。

電子設(shè)備、網(wǎng)絡(luò)世界，以及這個(gè)由數(shù)據(jù)組成世界的運(yùn)行原理，在童年時(shí)期就成為了這些白帽的玩具與成長(zhǎng)伴隨品。他們與技術(shù)不存在隔膜，甚至技術(shù)就是他們的家鄉(xiāng)。所以他們不需要進(jìn)入白帽行業(yè)，他們的存在就是白帽本身。

擅長(zhǎng)與自己博弈

白帽是必須要假想敵人，假象設(shè)計(jì)者，再假想自己的“上帝視角”游戲，歸根結(jié)底是一場(chǎng)與自己的博弈。而顯然善于拆除自身存在感，不斷自我否定和塑造的90后，在這個(gè)有點(diǎn)“精分”的職業(yè)中更加如魚得水。

當(dāng)然這不是每個(gè)90后的特質(zhì)，但更加獨(dú)立的人格，確實(shí)在催化新的白帽成長(zhǎng)。比如蒸米和白小龍，在分析蘋果與IOS漏洞的旅行中，必須要不斷切換身份，從底層思考一個(gè)龐大系統(tǒng)，思考背后的邏輯和理念。從術(shù)而道，或許會(huì)成為新白帽的標(biāo)簽。

可以冷靜地跟常識(shí)翻臉

懷疑一切，甚至常識(shí)，是好的黑帽白帽都必須遵循的法則。而特立獨(dú)行，敢于吐槽和diss這個(gè)世界的90后們，似乎與這個(gè)期許在人設(shè)上更加接近。相比較于大部分網(wǎng)絡(luò)安全專家的低調(diào)和存在感缺失，蒸米可謂是一位網(wǎng)紅款專家。敢于分享，敢于展示自己的風(fēng)格，敢于反駁和懷疑，正在讓這位少年得志的大V白帽，找到與那些傳奇名字的某些共鳴。

中國(guó)最終會(huì)出現(xiàn)傳奇黑客嗎？也許會(huì)也許不會(huì)，但尋找答案的工作，目前已經(jīng)交棒給90后了。

氪星的輻射奧妙多：為什么“少俠”更站阿里？超人為什么強(qiáng)？因?yàn)樗诶霞译葱鞘苓^輻射啊。

那么這些少年白帽為什么強(qiáng)呢？這里或許我們可以發(fā)現(xiàn)一個(gè)有趣的現(xiàn)象：青年科學(xué)家總是聚集在阿里。比如不久前剛剛刷屏的95后科學(xué)家入職阿里，比如各種頂會(huì)上阿里的“少俠”們出頭露面?；蛟S這是個(gè)可以深究的問題：阿里到底有什么輻射？

至少有三個(gè)因素可以作為這個(gè)問題的答案：

打破常規(guī)，善于直面挑戰(zhàn)

中庸之道，長(zhǎng)久以來一直被很多人奉為人生圭臬。但顯然這樣的處世方式，對(duì)于十幾歲吊炸天屬于常規(guī)炒作的駭客們來說，是一項(xiàng)并不怎么美好的事情。那么少年白帽們涌入阿里，或許也就跟這家公司足夠顛覆傳統(tǒng)，善于直面挑戰(zhàn)，不斷強(qiáng)大有關(guān)。

2015年，蒸米是剛剛博士畢業(yè)，履歷聽上去就是那種桀驁不馴少年天才的人設(shè)，但順利加入阿里安全，并成為當(dāng)年唯二的“阿里星”。為了讓這樣的人才迅速成長(zhǎng)，公司每年都安排他們跟集團(tuán)高管們吃飯談心，并在研究上為他們爭(zhēng)取盡可能寬松的環(huán)境。顯然，阿里更重視的是人才本身，以及他們能用技術(shù)能力發(fā)揮的潛力，戰(zhàn)勝的挑戰(zhàn)。

信仰白帽

安全問題到底是個(gè)多大的問題，這首先是個(gè)問題。而在阿里的投入程度來看，顯然安全領(lǐng)域是保駕護(hù)航阿里產(chǎn)業(yè)體系的重中之重。

2005年的時(shí)候 “阿里安全”還是集團(tuán)技術(shù)團(tuán)隊(duì)下設(shè)的一支幾個(gè)人組成的小隊(duì)。13年過去，阿里安全已經(jīng)成為了累積了數(shù)千人的專業(yè)團(tuán)隊(duì)，成立了雙子座實(shí)驗(yàn)室、獵戶座實(shí)驗(yàn)室等具備世界頂級(jí)研究水準(zhǔn)的八大安全實(shí)驗(yàn)室，并且可以從容為雙11這樣的超大流量事件保駕護(hù)航。如果說這個(gè)快速成長(zhǎng)團(tuán)隊(duì)有什么特質(zhì)的話，那么愿意相信人才和技術(shù)的創(chuàng)造性，絕對(duì)是其中的重要組成部分。這些實(shí)力與文化，正在讓阿里稱為白帽的理想溫床。

成為熔爐

阿里的業(yè)務(wù)，是真金白銀的電商體系、支付體系、物流體系，而且直接關(guān)聯(lián)著世界上最大的人機(jī)協(xié)同群體，數(shù)億用戶隨時(shí)在使用阿里業(yè)務(wù)。這個(gè)體系一步都不能亂，一點(diǎn)都不能錯(cuò)。

與之相伴的是，阿里要每天承受黑客4000萬次惡意訪問，試圖找出安全漏洞，整個(gè)2017年承受2015次DDoS攻擊。這種情況下，阿里對(duì)白帽的要求也最精細(xì)和嚴(yán)格，每一步都是不容有失的戰(zhàn)爭(zhēng)。這些直接尖銳的考驗(yàn)，也是最好的白帽培養(yǎng)皿。

價(jià)值平等、文化尊重和技術(shù)淬煉，種種因緣種出了“少年可成名”的果。或許阿里與90后白帽的邏輯關(guān)系，可以歸結(jié)出某種公式：把一定的責(zé)任與價(jià)值交給年輕人，他們努努力說不定就能拯救個(gè)地球什么的。

最結(jié)實(shí)的企業(yè)戰(zhàn)略投資，也許叫做“莫欺少年窮”。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。