网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


黑客TK教主:有趣的灵魂终会相遇

2018-07-19 07:50 推荐: 浏览: 1,486 views 字号:

摘要: 五年前,在一次世界顶级的安全技术峰会上,于旸宣布了一个大胆的结论:微软Windows7中使用的一套看似无懈可击的安全防御机制,其实有个简单的办法 “一点就破”。微软安全部门负责人坐在台下大感惊讶。 因为于旸这个发现,微软很快决定设立安全挑战悬赏奖。而他又只花了...

五年前,在一次世界顶级的安全技术峰会上,于旸宣布了一个大胆的结论:微软Windows7中使用的一套看似无懈可击的安全防御机制,其实有个简单的办法 “一点就破”。微软安全部门负责人坐在台下大感惊讶。

因为于旸这个发现,微软很快决定设立安全挑战悬赏奖。而他又只花了一个月时间,就顺理成章将10万元的最高奖收入囊中。

于旸, 网名“tombkeeper”,人称“TK教主”,腾讯安全玄武实验室负责人,国际知名的白帽黑客。从事技术研究16年,于旸有很多这样的发现。2016年,他获得了有安全界奥斯卡之称的Pwnie Awards“最具创新性研究奖”提名,成为该奖设立十年来首个获得提名的亚洲人,而凭借的只是发在博客上的一篇文章。

图为于旸。

于旸曾以为,在安全大会上宣布绕过微软防御机制的时候,已是他人生中最为高光的时刻,事实证明,并非如此。

医科出身,半路出家,知乎重度用户,微博段子手,少年时期的无线电爱好者,资深相声迷、同事口中的情智双高领导……比起极具爆发力的天才型黑客,于旸更像一个颇有天赋的生活长跑选手,擅长不断探索周遭的各式风景并与之迸发出大大小小耀眼的火花,互联网安全或许只是其中较为耀眼的一个。

……微软寄来一张10万美元支票

2013年3月,于旸首次参加世界顶级的安全技术峰会——CanSecWest大会,会上他关于微软系统的重要发现引起了不小轰动,让他闻名国际黑客圈。

从Windows XP SP2到Windows7,微软花了十年时间不断增加系统对漏洞攻击的防护能力。最终当很多人都认为这套防御体系无懈可击时,于旸一语道破:仍然有办法,“只要知道了一个关键点,几行代码就能轻易攻破。”

于旸的研究对微软的触动无疑是巨大的。这让微软最终意识到,单靠自身想一劳永逸解决系统的漏洞防护问题并不可能。几个月后,微软设立了奖金高达10万美元的安全挑战悬赏奖。

一开始,于旸不太相信,“这是不是想忽悠大家帮忙解决问题,但实际不会买单?”直到一个英国的研究者确实拿到了这笔奖金,他才觉得靠谱。跃跃欲试的于旸再次向微软新修复的防御系统发起挑战。

如果把整个系统比喻为一个房子,漏洞比作窗户,你站在屋子里,是黑客计划瞄准的目标。微软使用的防御方法之一是,让你在房子里快速移动,从每个窗口一闪而过,降低被打中的概率。

但于旸最后找到的方法可以做到:“我能够精确地知道你下一刻会出现在哪个窗口,而且一定能打到你。”

在提交了这套技术后,微软通过DHL给于旸寄来了一张10万美金的支票,他也成为全球第二个获得该笔奖金的黑客。

因为于旸而设立的这个奖项,改变了微软坚持多年的不给安全研究者发奖金的规则,并在此后每年公开致谢来自全世界的安全研究者。在2016年8月,微软公布了全球黑客贡献百人榜,tombkeeper排名第二。

于旸曾表示,“这十几年来,微软对于漏洞发现者从敌视对抗到合作尊重,其实也是整个业界对安全研究者态度转变的代表。”

微软发给于旸的感谢信。

早期,不只微软,很多厂商对于白帽黑客提交漏洞往往视而不见,态度冷漠甚至反感。随着越来越多的安全事件发生,企业才逐步明白,如果不重视安全研究者报告的这些问题,想做坏事的人也会积极发现并利用它作恶。此后,一些公司逐步成立了专门跟安全社区沟通的部门。

这是一个正常但缓慢的转变过程。于旸说:“就像我指出某人的缺点,人们正常的第一反应是‘你在挑我毛病’,而‘君子闻过则喜’的道理是需要经过一番修炼后才能明白的。”

……和朋友打赌破解指纹锁 赢了一台手机

曾经,于旸以为2013年在公布的绕过微软防御措施的研究是他“一辈子所能做出最重要的发现”,结果证明并非如此。

2018年初,于旸团队公布了“应用克隆”研究:用户点击一个链接后,随即打开一个新闻页面。全程看似无异常,而其实用户的App账户信息、个人相册等,已经被“克隆”到攻击者的手机中。

这与他2016年发现的另一个微软漏洞一样,具备“多点复合”的特点。通俗地讲,这是以一种特定的方式,把业内已知但并不认为有多大危害的安全问题串联在一起。事实证明,循着于旸这套研究体系发现的漏洞,都是影响广泛且威胁巨大的。

今年4月,在北京卫视的一档节目现场,于旸演示了他2015年发现的“条码阅读器漏洞”的攻击场景:一个小盒子发射出携带攻击信号的激光,指向了超市里常见的扫码器,在主持人按下小盒子上的蓝色按钮后,连接扫码器的笔记本电脑上自动打开了存在硬盘里的照片。这是全世界80%的扫码器普遍存在的安全隐患,一旦被利用,攻击者可远程在你的电脑进行任意操作。

从2016年开始,玄武实验室和微信支付合作,对国内扫码器产品进行检测,并推动厂商修复。“在我们的努力下,现在国产扫码器比国外产品更安全”,于旸自豪地说。

2016年于旸参加黑帽技术大会。

基于种种重大发现,很多人认为于旸是天才黑客。他却说,“我只是擅长从局部把事情的各个角度观察清楚,然后在大脑里建立起整体模型。加上我分析和获取信息的能力比较强,所以适合从事安全研究。如果去做计算机的其他方向,可能我也做不好。”

对于未知的事物,于旸有很强的探索欲,且不满足于理论层面,他喜欢将想法变成现实。大概2013年,苹果手机刚推出指纹解锁功能。当大家都在感叹科技厉害时,于旸却认为这可以破解。

随后,一场好友间的打赌因此展开,赌注即试验品——这款新出的苹果手机。和于旸相识近20年,“知识星球”的创始人吴鲁加记得,“当时群里一个朋友买了一部苹果手机并录入自己指纹锁定,然后寄给于旸,同时提供了一张盖了手印的图片。几天功夫,他自制的指纹模成功解锁了手机。”

就这样,于旸轻松赢走了这台手机。

作为安全研究者,于旸说,他们或许更能理解“山重水复疑无路,柳暗花明又一村”的感受。他形容,发现漏洞就像在一座树林里迷路了,你困了一天、两天甚至一年多,每个走出树林的方向都尝试过了……忽然发现,原来走出去的路就在脚下。

这样的瞬间一闪而过,要紧紧抓住,背后需要长时间的沉淀。尽管已是顶级黑客,于旸坦言,“在追求技术的道路上,可能很难说我们达到了什么高度。因为山也不断在增长,所以我们永远都在半山腰。”

……医院实习期间意外闯入安全圈

十几年前,于旸刚入安全圈时,或许没有人能想到非科班出身的他,能在这条路上走这么远。

今天如果你在教育行业漏洞报告平台查询用户贡献排行榜,你会发现按得分高低,在“路人甲”、“见习白帽子”、“核心白帽子”之后,等级最高的就是“妇科圣手”。

这一跨界的定级与于旸分不开。因为学医的缘故,朋友给他取了个外号叫“妇科圣手”。基于TK的影响力,“妇科圣手”在安全圈也被赋予了一定意义。有人说,“该网站相关负责人可能他的真爱粉”、“这是对TK教主的认可。”

工作中的于旸。

不久前,有同事问于旸,“教主现在还给人看病吗?” 于旸大笑道,“只要你敢,我就豁得出去。”谈起学医的经历,于旸语气轻松欢快起来,高考选专业时,因为家族中有不少人从医,在父母的建议下,他报考了安徽医科大学临床医学专业。

1997年至2002年,于旸在医科大学的5年,适逢中国互联网发展第一次浪潮。这一时期,国内互联网巨头企业BAT刚创立,博客、论坛、个人门户网站也才兴起。而有条件上网的人还是少数。

大二时,于旸的学校开设了计算机课。当时电脑还未在国内大规模普及,课堂里教授的计算机知识也很粗浅,比如开关机、打字等。后来于旸家里买了一台计算机,好奇少年自然地开始了自学。

深入计算机领域,于旸发现,不同于其他自然科学,计算机技术对实验条件的依赖特别简单。只要有一台计算机,便能进行无穷尽的探索。因为计算机可以通过安装软件不断扩展功能,通过网络更是能获取无穷无尽的知识。这无疑是为于旸打开了更宽敞的知识大门。

只是单单念一门医学,本身就不轻松。

2001年,进入大四的于旸开始到医院实习。在医院里,他见识了各种各样的人——半夜耍酒疯殴打护士的病人,因为小孩高烧不退而打医生的家长,医闹也见过不少。

每天6点,他便要起床,在病人吃早餐前赶到医院为其抽血送到化验室。然后跟着科室医生查房、写病历、开处方……直到晚上8点下班后,他才有时间钻研计算机。当时,于旸每天只能睡上四五个小时。

然而,也就是在这段时间里,他误打误撞闯进了安全圈。

2001年7月,“红色代码”网络蠕虫席卷全世界,一度引起恐慌。这款蠕虫如果稍加改造,就可以变成让大量服务器瘫痪的恶性蠕虫,严重威胁网络安全。

为了研究红色代码蠕虫,于旸在自己的电脑上架设了个密罐(一种网络安全技术)。结果竟意外捕捉到一个比“红色代码”影响还大的新型蠕虫——“尼姆达”。当即,于旸写了一份分析报告发给杀毒软件厂商金山毒霸。对方回信表示感谢,还赠送了一套软件给他。

这份报告不仅受到了安全厂商的认可,它的内容框架被业内默认为写其它蠕虫分析报告的格式规范。至此,于旸与这个圈子有了交集。

当时伴随互联网的发展,中国最早的一批黑客开始出现。

1999年,国内第一个专注于信息安全的网站“安全焦点”成立,于旸和吴鲁加最初就相识于这个社区。吴鲁加说,一开始国内网络攻防方面的书籍很少,研究者主要靠硬啃国外网站的资料学习。那时人们上网需要拨号,按分钟计费。为此,他们经常快速打开几十个网页,然后断网,将内容分类整理阅读学习。

在论坛里,一群安全爱好者热情地翻译看到的文章,分享和讨论所理解的技术。“每当大家还在困惑某个问题时,他很容易就抛出作证的例子。”在吴鲁加看来,TK有足够的好奇心,且有快速的学习能力。

……左手医生右手黑客 没有犹豫纠结

很快,大学毕业。在医生和黑客之间,很多人以为于旸徘徊了许久。即便在今天,人们对亦正亦邪的黑客仍有不理解。相比之下,被称为“白衣天使”的医者专职救死扶伤,似乎体面多了。

实际上,于旸并没有犹豫纠结。“有趣的灵魂终会相遇”,他说,“一个人跟一个行业也存在类似的吸引力。当发现一个职业方向跟自己性格相匹配,你便能找到最想做的事情。”

更重要的是,“在安全行业,有了一个想法很容易就能地去验证和尝试,但学医不一样,你必须按照教科书,按照权威的指导原则来。”

医科出身,于旸全凭爱好进入安全圈。

虽说如此,花了5年时间念医科,临毕业前转行,是个性价比并不高的选择,身边的人定会感到不值。

对此,于旸先讲了一个小故事。在他上初中时,一次,于旸的母亲参加家庭聚会,不小心被数斤重的铁熨斗砸中脚趾,大脚趾盖立刻出现黑紫色的淤血。到了医院后,医生建议她做拔指甲盖的处理。

“那我不拔了。”担心伤口因此更疼的于旸妈妈决定回家。回家后,母亲的脚疼痛不已,于旸仔细看了母亲的伤情,判断这是由淤血带来的胀痛。其实不一定要拔出指甲,只需把淤血放出来即可。

为此,当时正迷恋无线电的于旸操起了他制作线路板的工具——一把钻头直径不到一毫米的微型电钻,尝试在母亲的趾甲盖上钻一个小孔。面对着手拿电钻上初中的儿子,母亲居然同意了他的计划。

这并不是简单的“手术”。既要把趾甲盖钻透又不能钻到肉,持电钻的人注意力必须高度集中,尤其手要非常稳。未作迟疑,于旸小心翼翼地将微型电钻置于母亲的趾甲盖处,不一会儿,一个细小的洞口被钻开,淤血呈喷射状“飙”了出来。压力一释放,伤口的剧痛瞬间减轻。

“虽然我那时候还是小孩,但在这些事上父母很信任我。”在于旸的成长过程中,他几乎不需家长操心,靠谱地做好每一件事已经是他的习惯,这种靠谱型孩子获得父母的信任也显得理所应当。因此,对于他毕业时的选择,家人虽然不能完全理解,但也不反对。

于是在喜欢与更喜欢之间,于旸选择了信息安全。尽管在那时,他还不知道自己的水平处于什么位置,究竟能做什么。

……靠谱,遇到难题找TK就对了

毕业后,于旸到了绿盟科技,一呆12年。他的岗位一直没变,但工作内容涉及技术研究、产品开发、工程服务和安全教育,“几乎把安全行业的相关技术工作都接触了一遍。”

曾和于旸一起在绿盟共事的吴鲁加说,他的靠谱在公司内部有口皆碑。一旦有搞不定的问题,同事最先想到的是找TK帮忙。哪怕是他原先不那么擅长的技术,或是面对客户的质疑与不信任,“每次被叫出去,他几乎没有失手过。”

吴鲁加说,每当家里人出现大病或小情,在嘀咕是否需要去医院之前,他习惯向于旸咨询。因为在仔细描述完症状后,于旸会给出清晰的建议,有时就像家庭医生一样。

“遇到搞不明白的难题,请教TK就对了。”于旸现在的同事,来自腾讯安全玄武实验室的宋凯说,“TK是个思维活跃,逻辑性很强,情商又极高的人。跟他讨论问题,你不会感到压力,而且很有收获。”

不同于大多数不善言辞的技术宅,于旸总能把复杂问题深入浅出,说得清楚生动。或许很少人知道,这位技术大拿还曾考过电台主持人,并且打败了一批播音专业的学生。

于旸是知乎的重度用户。

在知乎上,于旸是一名优秀的答主,回答过近600个问题,关注者有9.5万。不久前,有知友提问,知乎里编的故事就没有任何价值吗?

于旸回答,艺术家用胶泥、颜料,可以制作出能以假乱真的红烧肉。这个当然有价值。但你去餐馆吃饭,别人给你端上这么一盘。一咬,牙碜,满嘴泥渣。你表示愤怒,而服务员反问:“难道这么逼真的假红烧肉就没有任何价值吗”?

不难从很多类似的回答中看到,于旸具有良好的语言表达和修辞使用能力。在于旸2007年的一篇博客文章中提到了自己的一个不足,他说,加入安全焦点社区最大的收获是认识了一群人。其中有位朋友谦和仁厚,做事果断,且能快速改正自身的不足,非常值得学习。而他自己偶尔憋不住,总会跳出来说话。

在吴鲁加看来,其实他想少说话,不过似乎没怎么能做到。想说但又知道不该说或可能白说时,他就绕个弯子了。

于旸称,“有些道理不能直说,有些道理不容易讲明白,这时候使用比喻,虽然传递信息也许不够精确,但总比让人看不懂或者抵触好,这也算佛家说的‘方便法门’。所以,佛教有很受欢迎的《百喻经》,《庄子》中也有大量比喻,《圣经》里耶稣甚至说:“若不用比喻,就不对他们说什么。”

生活中的于旸。

翻看这位黑客界大神级人物的微博,也充满了各式段子。比如,做直播要自己化妆,不能请化妆师。理由是:核心技术必须自主可控。对于自己的外形,于旸调侃曾自诩“紫竹桥刘德华”,只是现在变成了“中关村范伟”。

今年6月底,包括于旸、袁仁广在内的5名腾讯安全专家成为北京航空航天大学网络空间安全学院的客座教授。一行人合影,于旸站在边上,他说“即使没有站在 C 位,我也可以凭借巨大的脸部面积吸引一部分注意力。”

尽管在网上发文频繁且段子不断,但私底下于旸的话不多。吴鲁加说,他也不是那种在群体中会滔滔不绝抢话的人。到该他说话的时候,往往又能给出真知灼见。

于旸从小喜欢读书,他将自己的段子手特性归结于爱听相声和受两位作家影响。上初中时,于旸几乎读完了鲁迅和马克·吐温的全部作品,讽刺黑色幽默信手拈来。提起喜欢的相声演员,郭启儒、马三立、田立禾,侯宝林……郭德纲,他罗列了11个人,然后说“还有很多”。

……“我从来没感到过寂寞和孤独”

“TK教主的知识面非常广泛,且大多都不是泛泛了解,而是有所研究。”宋凯说。

在知乎上,有个网友提问,“俗话说技多不压身,但现实生活中学得太杂的人都活成什么样了呢?”于旸回答,各种业余爱好给他带来的好处是巨大的。工作之后,他发现小时候学的东西全都用得上。

一直以来,于旸酷爱各种自然科学,不曾改变。小学春游忙着采集植物标本,放学对着科普读物做化学实验,琢磨手榴弹拉线的原理,回家拆开电视机研究电路板,从初中开始包揽家中的所有电器和家具的维修工作……有朋友评价他是“万事通”。

于旸动手能力很强,2007年自制的电子管放大器。

在上述知乎提问中,于旸还答道,“了解各种各样的知识让我对周围的世界有了更强的掌控感。无论在建筑物里、在道路旁、在公园里,油漆、塑料、水泥、金属、灌木、昆虫、电力、机械、通讯,当你对环境中的万事万物有了更多了解,身处其中的时候,体验是不一样的。”

他描绘这种体验好比来到一个满地锯末碎木,桌上、墙上摆满各种叫不出名字的工具的房间,普通人感到的可能只是杂乱。而一个熟悉且喜爱木工的人在这种环境中,闻着松木混合着铁器的味道,会感到无比亲切。

“更多地了解世界,带来的不只是放松,还有亲切。”

小时候班主任给于旸写评语,总是先肯定“兴趣广泛”,然后建议如果能把精力集中在学习上,成绩一定能更好。他称,确实很少把全副精力放在学业上,除了感兴趣的几门课,“成绩一直处于刚好不挨骂的中上水平。”

于旸是非典型的理科生,在校成绩最好的科目是语文。刚上高中时,于旸参加了全校的语文竞赛,主要考查古今中外文学作品知识。竞赛中于旸拔得头筹,是全校唯一一个分数上90分的人,足足比来自高三的第二名多了十几分。

“我经常说这是我人生取得一个最大的成就。当过物理和化学课代表,但这两科在班上总拿不到第一,倒是语文成绩一直都还不错。”

很多人好奇,于旸为何有这么多的业余爱好,且一直保持探索未知的热情?在前述知乎的回答中,于旸在结尾写道:“而最重要的是,我从来没感到过寂寞和孤独,因为一切都有趣而值得探索。”

……“黑客更像是魔法师”

从医学院的“妇科圣手”到黑客界的“TK教主”,于旸说自己经历很简单,只在两家单位呆过,一个是绿盟科技,一个是腾讯。

2014年,于旸加入腾讯,组建了自己的实验室,并取名为“玄武”,这是中国传统文化的四象之一,由龟蛇两种动物组成。龟象征防御,而蛇象征进攻。这个名字寓意网络攻防的两个方向。

这个团队致力于传统基础网络、智能手机和各种智能硬件相关的研究。目前有20多人,于旸主要负责规划成员的研究方向,把控研究的过程。

于旸在AsiaSecWest现场。

一个多月前,腾讯安全联手CanSecWest共同创办的AsiaSecWest国际安全技术峰会—亚洲站在香港举办。从去年春天开始,于旸团队就在积极推动将这一创办于2000年,被全球黑客视为一年一度的殿堂级活动引入国内。

会上,于旸和CanSecWest的创始人Dragos Ruiu提出了极客“1.0.1”的愿景,希望通过搭建“一”个中西方安全技术交流的平台,以“零”距离的全面沟通,持续通过学术研究与能力提升构建“一”流技术能力,为建设网络强国做好技术储备。

“他是亲力亲为的带头人,为我们营造了很好的研究环境。”腾讯安全玄武实验室成员宋凯说,从事安全工作7年,他见到很多绝顶聪明的人,但TK教主是他最尊重并视为终生目标的人之一。

于旸是家中的独生子,父亲是名警察。对于他不能子承父业,这位父亲多少有些遗憾。而今在某种程度上,于旸也算子承父业,从事“公安”工作,致力于维护网络空间的公共安全。

今年4月,于旸在《中国故事大会》作了主题为《黑客的世界你不懂》的演讲。的确,人们对于黑客存在不理解。手机明明在你手里拿着,为什么会被黑客控制?研究产品的安全漏洞是在做坏事吗?

演讲中,于旸把黑客比喻习武之人,有大内高手,有绿林好汉,当然也有强盗毛贼。即这个群体有黑白之分。与用技术作恶的黑帽黑客有别,白帽子专注技术研究,旨在帮助厂商解决安全问题,维护网络安全。

后来于旸说,其实黑客更像是魔法师。人们可以想象习武之人在锻炼之后达到的境界,但黑客在网络世界里能做到的事情,在普通人看来就像魔法一样不可思议。

“当你的能力处在行业尖端时,什么体验?”于旸在知乎上回了八个字:“艺无止境,诚惶诚恐”。

采写:南都记者李玲(受访者供图)

联系站长租广告位!

中国首席信息安全官


关闭


关闭