揭秘顶级黑客界的中国人:从医生变身黑客
□晨报特派记者 张源 金文婕(美国拉斯维加斯摄影报道)
[关键词]
于旸
国内黑客界尊称其为“TK 教主”,黑客界教父级人物,全球最为知名的几位白帽子黑客之一。
范渊
第一个登上全球顶级黑客盛会Black Hat舞台的中国人。
在中国,我们也有像杰夫·莫斯一样的黑客教父。
“感谢各位愿意来忍受我‘可怕’的英语!”因为时差问题一夜没睡的于旸,8月7日上午出现在Black Hat一个分会场的主讲台上。“于旸”这个名字,远不及他的网名“Tombkeeper”知名,在国内黑客界被尊称为“TK教主”的于旸,称得上是黑客界的教父级人物,也是全球最为知名的几位白帽子黑客之一。于旸是国内目前身价最高的白帽子黑客之一,尽管他本人不愿对此多言,但“TK教主年薪千万”的说法早已在业内流传。
于旸当天的演讲,台下聚集了很多来自阿里巴巴、华为等国内企业的技术人员,以及美国、印度等国的信息安全人员。于旸的演讲才刚刚开始,坐在我旁边的一位来自国内某IT巨头的技术高管,就已经惦记着找人等会儿帮他拍一张跟于旸的合影。
于旸并非科班出身,但他是全球夺得微软安全挑战赛最高奖的两人之一,目前任职腾讯“玄武”安全实验室总监。于旸的诸多研究在业内都极具影响力,包括独立破解 iPhone 指纹识别,破解无线RFID通讯等。于旸毕业于安徽医科大学临床医学系,全凭自己的爱好由一名医生变身成一位顶尖的黑客。在Black Hat的首秀中,于旸在自我介绍时先放出了一张很具“高富帅”意味的医生照片,随后又给出一张猩猩玩电脑的照片,并自嘲“这就是现在的我”。于旸的演讲主题,是他针对微软最新的Windows版本所做的一项漏洞研究成果。
演讲结束后,于旸被一群听众包围提问,很多人都想借此机会向他请教一些难题。于旸在黑客技术领域的涉猎面极广,人们抛给他的问题也是分门别类五花八门。在等待许久后,我才有机会单独对于旸进行了一次专访。尽管一夜未睡,于旸对于整场演讲的效果还是比较满意的。曾在CanSecWest、HITCon等很多国内外安全会议上有过演讲经历的于旸,依然很看重Black Hat这个平台。“这是全球最顶级的会议了,无论是技术演讲部分还是展会部分。如果你想了解全球的安全行业,Black Hat是一个很好的渠道。”
黑客到底是一个怎样的群体?于旸的看法很是简单。“对于网络入侵和防御的相关技术,以及漏洞的相关技术极具钻研精神的一群人。”于旸说,黑客所涉及的知识领域绝非是入侵系统那么简单,整个安全行业是围绕着漏洞和其它攻击手段,以及相应的防御手段展开的一个领域。“这一行要做好,还要了解其它的领域。你做攻击,你就需要懂防御,你做防御,你也要了解攻击。”
黑客的世界里也有黑白之分,原本并不带褒贬含义的“黑客”一词,近年来却被增添了不少贬义的色彩,于是才有了“白帽子黑客”这样特有的称谓。以DEF CON为例,参与的上万名黑客中,就有不少在从事见不得光的工作。对于这一点,于旸也有自己的评价。“网络世界其实和现实世界一样,有一个白社会,也有一个黑社会。现实里的黑社会有多大,网络世界里的黑社会也就有多大。”
从医生变身黑客,于旸对于“如何成为一名黑客”这个话题很有发言权。“有学校里教的,也有自学成才的。现在的互联网十分发达,只要有心总能在网上学到东西。”于旸是典型的自学成才,他说圈子里不少黑客好友也都是自学而成。目前国内开办信息安全技术相关专业的大学院校有上百家,但学生抱怨找不到工作、企业抱怨招不到人的现实,却是于旸等业内大咖们的共识。“打个比方,一个家电维修学校,如果现在还在教学生怎么修黑白电视机,你觉得学生毕业后找得到合适的工作么?”于旸说,其实国内早就有了类似 Black Hat 和DEF CON的会议,以提供一个黑客人才展示的平台,只是规模还无法与之相比。“包括xcon这样的会议也办了十几届了,现在大大小小的加起来有二三十个吧。没有这样的平台,那些自认为是人才的黑客就只能在那里瞎嚷嚷,没人会听得见。”
“黑客的确是需要一定天赋的,但也一定需要时间的积累。国内也有一些很不错的黑客新人,但他们给我的感觉就是太急了,沉不下心来。”包括于旸在内,我所知道的一大批黑客界的大牛,基本都是在这个圈子里摸爬滚打十几年的。在于旸看来,时间的积累也是黑客所必须经历的过程,只想走捷径反倒容易步入歧途。
于旸在拉斯维加斯的行程只有短短三天,除了发表演讲,他还会借机跟很多国内外的圈内好友聚聚。因为这场黑客盛会在美国举办,我和于旸也就聊起了黑客以及信息安全领域的中美差异。“如果仅仅从攻击的角度而言,并不能说因为包括微软、iOS系统这些都是美国人做的,那他们就在这方面占据绝对优势。但从另一个方面说,这些系统本身里面有没有留东西,留了多少东西,这些东西做什么用途,的确是我们很难去发现的。”于旸说,以苹果的后门程序为例,除了苹果公司本身,没有人能更清楚这些数据到底会被赋予怎样的用途。
“但就信息安全的产业发展而言,全球肯定是美国占据主导地位的,我们国内整体要比美国晚个两三年。”于旸说,目前全球最主要的信息安全企业基本都在美国,而美国的IT企业在信息安全上的投入,要比中国国内大若干倍。“随着人类社会和网络结合的紧密性的加大,人类的一切活动都会在网络里留下痕迹,会有越来越多的数据进入信息系统。信息产业有多发达,直接决定了信息安全产业有多发达。”
“就信息安全领域而言,国内总是要比美国慢一步。”
范渊带领着一个三人团队,再一次来到他非常熟悉的拉斯维加斯,参加2014年的Black Hat和DEF CON的会议。跟于旸一样,范渊也是国内顶尖的白帽子黑客,他创办的杭州安恒信息技术有限公司,在短短的六七年间就发展到500人的规模,承接过北京奥运会、上海世博会以及不久前上海亚信峰会等重大活动的信息安全保障工作。就中国黑客而言,范渊是第一个登上Black Hat这一全球顶级黑客盛会舞台的中国人,早在2006年他就曾受邀在会议上向全球的黑客分享自己的研究成果。
在赴拉斯维加斯之前,我就曾去探访过范渊设在杭州的公司总部。安恒每天要负责维护约20万个国内网站的运行安全,他们创立的风暴中心实验室,能实时监测到这些网站所遭受的黑客攻击。看着实验室屏幕上不断刷新的监控信息,我在赴拉斯维加斯之前就意识到黑客离我们的生活竟如此之近。
从2002年开始参加 Black Hat和DEF CON的会议至今,范渊几乎一场都没落下过。即便是他2007年从美国硅谷回国创业后,每年都还是会飞抵拉斯维加斯参会。“每一次都有收获。我可以通过这个会议了解各种最新的黑客攻击手段,再研究解决应对的防御方法。”在拉斯维加斯期间,我也曾随范渊一起听过几场黑客演讲,尽管有些展示在他看来并不具有太高的技术难度,但各种新的想法和角度依然让他觉得这一趟来得很值。他与自己的两名下属,每天都要分散在各个不同的分会场里,选取他们最感兴趣的演讲去听,之后再彼此交流各自的收获与体会。
在我看来,范渊和他的团队在拉斯维加斯的一周更像是一次取经之旅,是一次“知彼知己”之旅,他们透过这一盛会来了解黑客帝国的未来走向,以及提前谋划应对的方法。“客观地说,就信息安全领域而言,国内总是要比美国慢一步。有一年在DEF CON上展示过的一款黑客工具,在美国这边很快就研究出相应的对策,但是第二年这个东西才开始在中国国内的网吧大肆流行。”
作为一个门外汉,很多大会上讲解的黑客技术我很难理解,经过范渊的解读,我才逐一明白了这些技术如果被人利用会带来怎样的严重后果。范渊说,他要先从“黑帽子黑客”的角度去思考他们会怎么做,然后再用“白帽子黑客”的手段去加以防御。“在黑客的世界里,这种攻防的较量定然会无止境地继续下去。”
范渊个子不高,但一双眼睛却精光四射。作为 Black Hat 和DEF CON的常客,他也能从大会上捕捉到很多人看不出的门道。“这家美国公司看起来好像很普通,但其实背后有很深厚的政府背景”、“这个演讲者所在的公司可不简单,在业内绝对是占据主导地位的”……诸如此类的分析,范渊不止一次向我提起。
包括两个大会的创建者杰夫·莫斯在内,范渊的很多圈内好友都是Black Hat和DEF CON的常客。趁大会的间隙,他也会抽空与老友们一聚,或去参加一些小型的聚会结交新的朋友。范渊说,很多人来拉斯维加斯参会,除了能了解很多业内最前沿的技术及行业前景外,这里也是黑客大牛们最为重要的社交平台之一。不过范渊也坦言,近年来在大会遇到的中国人基本都是那几个老熟人,对于国内后继人才的培养,他跟于旸也有着同样的担忧。
顶尖黑客人才流失海外
在拉斯维加斯举办的这场黑客盛会上,上万人的参会者,我看到的中国人可能都不到50人,而其中在海外尤其是在美国工作和生活的要占一半以上。但令我颇感意外的是,包括全球最顶级的信息安全公司Fire Eye 在内,很多行业内尖端企业的核心技术人员中,都有中国人的身影。
“美国的信息安全企业基本都集中在硅谷。可以这么说,这些企业离了中国人,技术根本就搞不起来。”在硅谷创办了一家信息安全企业的中国人王林(化名)告诉我,硅谷的很多IT企业都呈现如此的架构:美国人当老板,印度人做中层,而最核心的技术人员则大多是中国人。“毫不夸张地说,很多安全系统都是我们中国人做出来的。”
此次Black Hat的诸多演讲者中,一共有五六个中国人,但他们大多是供职于美国的信息安全企业,或者还正在美国求学。尽管国内目前仍然聚集着一大批顶尖的黑客人才,但与国外信息安全企业所能提供的岗位和待遇而言,差距依然不小。“国内愿意花大价钱请这些人去做安全的企业,屈指算算也就那几家互联网巨头,毕竟岗位有限。”上海信息安全协会副秘书长王怀宾接触黑客圈子已经十多年,他认识的几位黑客界大牛如今都在海外发展。不过,王怀宾也表示,业内为了留住人才也做出了不小的努力,“ISG(信息安全技能竞赛)已经办到第五届,今年我们还增设了人才‘相亲会’环节,目的就是给在比赛上脱颖而出的选手和用人单位之间搭建一个桥梁。打造这个中国版‘DEF CON’的意义也正在此。”
“的确有些地方值得我们反思。”范渊也曾有过海外求学、供职的经历,但他而后选择了回国创业。范渊说,无论是对人才的重视程度,还是大多数企业对于安全产品的投入,乃至后续的人才培养上,国内外都存有很大的差距。“我们也在不断努力去缩小这种差距,但这个过程需要时间。”
在拉斯维加斯Black Hat 的会场上,我问过很多在国外的中国人一个同样的问题:“将来会不会考虑回国工作?”这些人大多都是业内顶尖的技术人才,他们给我的答案不尽相同,但“如果有合适的岗位会考虑”这句话却多次出现。然而在很多业内人士看来,国内目前极为欠缺的,恰恰是能提供给这些顶尖人才的一个合适的岗位。
黑客武林的门派纷争
如果把黑客世界看成一个武侠江湖,这里既有师承名门的绝顶高手,也有天赋异禀、自学成才的一代大侠。在诸多成名的黑客当中,有些是擅长漏洞挖掘的高手,也有人专精于木马病毒的研究,同样也有博采众长的集大成者横空出世。他们当中的绝大多数人在自己的黑客之路上都有着广为人知的经典战役,或者足以震慑武林的独门绝技。
在国内的黑客界,就曾有媒体按照金庸武侠的称谓,将知名黑客万涛、黄鑫、龚蔚等人称为中国黑客界的“东邪、西毒、南帝、北丐、中神通”。这样的称呼绝非是简单的娱乐,而是参照他们每个人不同的经历,去与金庸笔下的这些绝顶高手一一对照。一位黑客圈内的朋友也曾告诉我,业内一度也曾有过“四大恶人”的戏称,其中有“黑产教父”、“流氓(软件)教父”。尽管这些知名黑客如万涛、肖新光等人,如今大多都在从事白帽子黑客的工作,有些也早已退隐江湖,但他们的“徒子徒孙”至今仍活跃在中国的互联网上,延续着他们在木马或者病毒等单项领域的统领地位。
黑客的江湖也有门派之分。在中国的黑客界,由龚蔚在上海创立的“绿色兵团”被称为黑客界的“黄埔军校”,其中聚集了国内最早的一批顶尖黑客高手。伴随着绿色兵团的分化演变,一大批个中高手自此开山立派,安全焦点、小榕科技等门派纷纷崛起,其中安全焦点更是拥有冰河等一大批武林高手,稳坐黑客江湖第一大门派的地位。也正是在随着绿色兵团的逐渐分化演变,中国黑客组织迎向商业化浪潮的大幕也就此揭开,很多最初的黑客高手如今都在信息安全行业身居要职。这一大批在江湖上成名已久的黑客高手,很多都是凭借自身的爱好投身其中,在互联网摸爬滚打十余年终成大器。
清华大学网络与信息安全实验室主任段海新,中科院软件所系统安全研究室主任丁丽萍等安全专家,则肩负着培养学院派安全人才的重任。包括清华、北大、上海交大、复旦等名校在内,国内目前有上百家大专院校都开设有与信息安全相关的专业,在业内的影响力也与日俱增。在这次DEF CON的会场上,来自清华大学的蓝莲花战队是唯一一支参与CTF夺旗大赛的中国大陆战队,这项赛事也被视为世界黑客大会的压轴项目。由清华大学诸葛建伟老师带领的蓝莲花共有8名成员,他们在DEF CON召开的当天进入核心竞赛CTF的大厅,此后两天都要连续十多个小时不间断与其余19支战队展开角逐,直至第三天下午两点比赛结束。蓝莲花最终在20支参赛队伍中排名第五,比他们之前一次的排名提高了6位。