阿里安全構(gòu)筑“正義聯(lián)盟”：要在系統(tǒng)安全里找到上帝視角

蒸米希望在系統(tǒng)安全研究里獲得上帝視角。

這個(gè)角色很像

《頭號(hào)玩家》里的綠洲創(chuàng)始人阿諾克，

他不參與游戲闖關(guān)，

卻是整個(gè)游戲真正的主宰者。

“這不僅僅是一個(gè)游戲，我說的是現(xiàn)實(shí)世界中的生死”。

《頭號(hào)玩家》的這句經(jīng)典臺(tái)詞，或許能夠闡釋白帽黑客的價(jià)值，當(dāng)越來越多的數(shù)據(jù)、隱私、財(cái)富留存在比特世界里，黑客軍團(tuán)的每一次得手，都是對(duì)現(xiàn)實(shí)世界的入侵、傷害、摧毀。

在0、1字節(jié)組成的比特世界里，來勢(shì)洶洶的黑產(chǎn)和黑客軍團(tuán)，從未停止過進(jìn)攻之手，這些“小偷”、“強(qiáng)盜”們已經(jīng)構(gòu)筑了年產(chǎn)值千億級(jí)別的中國黑灰產(chǎn)業(yè)。

阿里巴巴旗下的各電商平臺(tái)，正是黑客們覬覦已久的富礦，每天，黑客們會(huì)發(fā)起4000萬惡意訪問來阿里尋找安全漏洞，黑產(chǎn)軍團(tuán)通過爬蟲發(fā)起17億次的惡意訪問。

今天，我們故事的主角，就是阿里安全實(shí)驗(yàn)室的幾位年輕白帽子———過去，他們隱身于0、1世界，以“化名”行走江湖，但他們才是虛擬世界里的超人、蝙蝠俠、正義聯(lián)盟。

一

作為一個(gè)技術(shù)小白，黑客過去存在于我的想象之中，他們是類似電影《黑客軍團(tuán)》里男主那樣的人物：身懷絕技，智商爆棚，但情商很低，神經(jīng)質(zhì)、沉默寡言、社交障礙。。。。

不過，當(dāng)我采訪了阿里安全實(shí)驗(yàn)室的三位90后（以及準(zhǔn)90后）安全專家后，我的猜想被打臉了，他們性格各異，但都具有兩個(gè)共性：興趣和質(zhì)疑精神。

蒸米，阿里安全獵戶座實(shí)驗(yàn)室研究專家，曾是2015年校招中在上萬應(yīng)聘者中唯二的超級(jí)明星“阿里星”，F(xiàn)IT 2016評(píng)選的”年度最佳安全研究員” (全國僅一位)。

他對(duì)安全研究的興趣，非常類似于《頭號(hào)玩家》里的男主。住在貧民窟的男主帕西瓦爾沉迷在綠洲游戲里闖關(guān)，因?yàn)殛J關(guān)成功，就能成為綠洲世界的主宰者，獲得財(cái)富自由————始于個(gè)人欲望，機(jī)緣巧合之下，才成為綠洲世界的拯救者。

蒸米小時(shí)候沉迷于游戲，遭到父母阻撓，設(shè)了系統(tǒng)密碼，藏起電源，蒸米因此學(xué)會(huì)了破解密碼，然后把老風(fēng)扇的電源焊接到電腦上，“要是中電死了都有可能”。在被憤怒的父母強(qiáng)制轉(zhuǎn)學(xué)后，為了去網(wǎng)吧免費(fèi)打游戲，蒸米甚至想方設(shè)法破解了電腦上的網(wǎng)管程序。

如果說黑產(chǎn)軍團(tuán)的第一原動(dòng)力是每年高達(dá)千億的利益，那么，非此不可的興趣和熱愛，就是支撐所有白帽黑客安身于此的第一原動(dòng)力。

“如果你沒興趣，你干不了這個(gè)。”蒸米的同事，91年的安全專家團(tuán)控說。團(tuán)控是阿里安全很年輕也成長比較快的一個(gè)白帽子。基于名為“內(nèi)核空間鏡像攻擊”的重大發(fā)現(xiàn)，他連續(xù)受邀在全球頂級(jí)安全大會(huì)BlackHat、HITB上演講。通俗來說，他發(fā)現(xiàn)了ARM的一個(gè)瑕疵，而ARM處理器的市場(chǎng)份額超過90%，一旦這個(gè)瑕疵被黑客利用，幾乎所有的手機(jī)用戶都會(huì)遭遇影響。

上圖：團(tuán)控在2018年3月的blackhat上演講

之所以能發(fā)現(xiàn)這個(gè)漏洞，是因?yàn)閳F(tuán)控在2016年時(shí)，研究了ARM的芯片手冊(cè)，“普通開發(fā)者，不會(huì)有人看這個(gè)東西?！?/p>

而奠定蒸米江湖地位的，是其發(fā)現(xiàn)并命名了影響上億設(shè)備的iOS病毒XcodeGhost和影響上億設(shè)備的Android app漏洞WormHole 。

專注于iOS系統(tǒng)多年，蒸米每次都會(huì)第一時(shí)間進(jìn)行分析，“運(yùn)氣只在一時(shí)，我們這個(gè)行業(yè)很像醫(yī)生，你要慢慢熬，要看積累的。”

并非所有黑客都是科班出身，比如團(tuán)控和蒸米多次提及的TK，過去曾是婦科醫(yī)生，“學(xué)醫(yī)已經(jīng)很累了，要是沒有興趣，還能有時(shí)間去看這個(gè)代碼嗎？”

蒸米、團(tuán)控、白小龍等人研究的領(lǐng)域，聚焦于底層的系統(tǒng)安全層面，這些研究難度系數(shù)極高，具有極大的不確定性。

每個(gè)系統(tǒng)漏洞和瑕疵，從發(fā)現(xiàn)，到公開、到發(fā)表，再到被修復(fù)，通常需要半年到一年，“中間這個(gè)時(shí)間，你壓力很大的，你的滿足感在哪里呢？就是你享受這個(gè)過程。”團(tuán)控說。

團(tuán)控的“內(nèi)核空間鏡像攻擊”，從2016年初發(fā)現(xiàn)線索，到2018年公開演講，受到業(yè)界承認(rèn)，整整耗費(fèi)了兩年。

被業(yè)界公認(rèn)為“大神”的蒸米，依然處于高壓當(dāng)中，“可能你一個(gè)月發(fā)現(xiàn)好幾個(gè)漏洞，也可能好幾年發(fā)現(xiàn)不了一個(gè)，然后你為啥還要一直做這個(gè)，沒有興趣撐不下去?！?/p>

對(duì)于那些游弋在浩瀚無垠的二進(jìn)制大洋中的白帽黑客們來說，興趣，幾乎是克服寂寞、孤獨(dú)、高壓誘惑的唯一解藥。

“畢生夢(mèng)想，就是操作系統(tǒng)發(fā)展歷史上，作出有自己貢獻(xiàn)的一筆?！卑仔↓堈f，“就靠這個(gè)撐著了”。

二

蒸米并不是那種看起來很乖巧的員工，采訪中，他負(fù)責(zé)DISS，搭檔白小龍負(fù)責(zé)點(diǎn)贊。

上圖：蒸米（右一）和白小龍（左一）在2018年4月的歐洲信息安全會(huì)議HACK IN THE BOX（HITB）上演講之后合影

但無論是挑剔的蒸米、還是穩(wěn)重的白小龍、溫和的團(tuán)控，質(zhì)疑、批判和對(duì)抗、逆向思維，才是他們性格的底色。

從2015年入職至今，蒸米的研究領(lǐng)域一直聚焦在iOS領(lǐng)域———軟硬一體化、高度自控的iOS,已經(jīng)是現(xiàn)存最完美的操作系統(tǒng)，看似無懈可擊，但持續(xù)奠定蒸米業(yè)內(nèi)大神地位的，就是其能夠持續(xù)的發(fā)現(xiàn)iOS系統(tǒng)的瑕疵和漏洞?！癷OS系統(tǒng)公認(rèn)最安全，你能發(fā)現(xiàn)漏洞，成就感就更強(qiáng)?！?/p>

iOS最新發(fā)布的11.3版本，蒸米發(fā)現(xiàn)了一個(gè)用戶態(tài)的漏洞，白小龍發(fā)現(xiàn)了一個(gè)內(nèi)核層面的漏洞，“控制了用戶層的東西，才可以去攻擊內(nèi)核，把整個(gè)內(nèi)核攻陷了之后，就能夠占領(lǐng)整個(gè)系統(tǒng)。”

隨著iOS、安卓系統(tǒng)的安全系數(shù)逐漸提高，發(fā)現(xiàn)漏洞的難度正在指數(shù)化增加，這就要求白帽黑客們必須對(duì)操作系統(tǒng)具有自上而下的全局把控能力。

“安全是沒有邊界的，非常深?yuàn)W?！闭裘渍f，把系統(tǒng)的一個(gè)模塊搞懂，可能就需要半年，“很多開發(fā)人員，把功能實(shí)現(xiàn)了，但是他可能不知道這個(gè)函數(shù)還有其他用法?！?/p>

換句話說，搞系統(tǒng)安全的人，一定要超越開發(fā)人員，才能發(fā)現(xiàn)這個(gè)看似完美程序中的瑕疵、弱點(diǎn)和漏洞。

“你覺得你像那個(gè)殺人游戲里的法官角色嗎？你能看到誰在睜眼，誰在閉眼？知道誰是殺手，誰是警察，誰是貧民？”我問蒸米。

“我們希望是這樣，上帝視角，但還正在努力吧?！闭裘渍f。這個(gè)角色很像《頭號(hào)玩家》里的綠洲創(chuàng)始人阿諾克，他不參與游戲闖關(guān)，卻是整個(gè)游戲真正的主宰者。

但這些安全大神們的“英雄之舉”，難以被公眾感知，因?yàn)?，最佳的安全防護(hù)，其實(shí)是在漏洞被利用、影響用戶之前，就被發(fā)現(xiàn)和修補(bǔ)，這是所謂的無感知安全。

甚至連開發(fā)人員都不理解他們?cè)诟墒裁?。普通公眾?huì)把盜QQ等行為等同于黑客，“我們都不愿意說自己做安全的，我們把自己定義為做操作系統(tǒng)的?！闭裘渍f。

白帽黑客和黑產(chǎn)黑客們最大的區(qū)別在于，黑產(chǎn)黑客只要抓住一個(gè)漏洞，針對(duì)性攻擊，就能斬獲頗豐。但維護(hù)安全的白帽黑客們，其攻防則符合木桶理論，“系統(tǒng)安全性的整體水位與最脆弱的組件水位相同”，換句話說，在通往羅馬的路徑上，黑產(chǎn)黑客們只需找到一條道路，但蒸米等維護(hù)安全的正義聯(lián)盟，則需要窮盡所有的路徑，然后才能嚴(yán)防死守，堵住所有漏洞。

在踐行“正義聯(lián)盟”職責(zé)的同時(shí)，誘惑卻無處不在。團(tuán)控的重大發(fā)現(xiàn)，從著手研究，再到業(yè)界承認(rèn)，至少要花上兩年時(shí)間。兩年間，一個(gè)個(gè)的獨(dú)角獸企業(yè)同期崛起，比如以27億美金售賣給美團(tuán)的摩拜單車，創(chuàng)始團(tuán)隊(duì)因此實(shí)現(xiàn)了財(cái)務(wù)自由。

蒸米感嘆這個(gè)時(shí)代的所有東西都在變快，“大學(xué)時(shí)我一個(gè)刀塔游戲能玩四年，去年王者榮耀20分鐘一局，然后跳一跳幾分鐘，現(xiàn)在刷抖音，一個(gè)視頻才幾秒”。

蒸米等人也并非不食人間煙火?！斑@個(gè)環(huán)境，就讓你越來越浮躁了，我也要關(guān)心房子、關(guān)心車子，關(guān)心孩子，我自己做基礎(chǔ)研究我覺得特別好，但這個(gè)掣肘實(shí)在太多了?！卑仔↓堈f。

風(fēng)口很多很快，除了阿里等巨頭，幾乎很少有公司愿意投入類似系統(tǒng)安全這樣的基礎(chǔ)研究層面。

但慢歸慢，基礎(chǔ)研究薄弱的致命缺陷，在中美貿(mào)易戰(zhàn)中暴露無疑，遭受美國芯片斷供威脅的電信巨頭中興，幾乎立刻進(jìn)入了休克狀態(tài)。

4月25日，心有戚戚的蒸米發(fā)了一條微博，“感謝美國毛衣（貿(mào)易）戰(zhàn)讓很多人醒悟，也許下一個(gè)風(fēng)口就是基礎(chǔ)科學(xué)/系統(tǒng)安全～”，然后又點(diǎn)贊了聲稱要自主研發(fā)空調(diào)芯片的格力。

在芯片大戰(zhàn)爆發(fā)后，阿里全資收購中國大陸唯一的自主嵌入式CPU IP Core公司中天微，過去四年間，阿里已經(jīng)投資了5家芯片企業(yè)。

過上更為富裕的生活并非難事。在黑市上，一套蘋果越獄的漏洞價(jià)值五六十萬，而遠(yuǎn)程越獄的漏洞甚至價(jià)值百萬。不少基礎(chǔ)安全研究者跳槽去剛剛起風(fēng)的區(qū)塊鏈公司，動(dòng)輒年薪數(shù)百萬。

從這個(gè)意義上來說，那些繼續(xù)堅(jiān)守系統(tǒng)安全和基礎(chǔ)研究的蒸米等人，就變得更為可貴了。但蒸米保持了長期的樂觀，“現(xiàn)在，就必須做好完全的準(zhǔn)備，站在風(fēng)口上，等風(fēng)來，然后抓住這個(gè)風(fēng)?！?/p>

三

盡管橫向來看，中國多數(shù)公司對(duì)系統(tǒng)安全的重視程度，可能與美國巨頭還有差距。但從縱向來看，包括阿里在內(nèi)的中國公司，對(duì)安全的重視程度正在提升。

在阿里等公司，安全可以分為兩類，第一類是服務(wù)于集團(tuán)內(nèi)部的業(yè)務(wù)安全，第二類則是產(chǎn)業(yè)鏈上下游的全行業(yè)安全。

阿里對(duì)安全的重視，起源于黑產(chǎn)軍團(tuán)的一次次進(jìn)攻，隨后，安全部門才不斷壯大。

上圖：4月27日，阿里巴巴集團(tuán)首席風(fēng)險(xiǎn)官鄭俊芳（左一）在北京展覽館阿里展區(qū)向公安部網(wǎng)絡(luò)安全保衛(wèi)局副局長鐘忠（左二）、北京市公安局副局長張?。ㄓ乙唬┙榻B阿里安全八大實(shí)驗(yàn)室的核心技術(shù)能力

阿里巴巴集團(tuán)首席風(fēng)險(xiǎn)官鄭俊芳介紹，2005年前后，“阿里安全”還是集團(tuán)技術(shù)團(tuán)隊(duì)下設(shè)的一支幾個(gè)人組成的小隊(duì)，那時(shí)候，抵御攻擊的手段靠得是頭疼醫(yī)頭、腳疼醫(yī)腳的被動(dòng)攻防。

彼時(shí)，阿里平臺(tái)上商家的競爭極為激烈，A商家看到B商家銷量大好，會(huì)買通黑客對(duì)B發(fā)動(dòng)DDOS攻擊，消耗平臺(tái)的帶寬和服務(wù)器資源，導(dǎo)致服務(wù)器運(yùn)轉(zhuǎn)遲滯。

阿里當(dāng)時(shí)的解決方案就是把受到攻擊的B店鋪采取屏蔽處理，讓攻擊者失去目標(biāo)，以恢復(fù)服務(wù)器正常運(yùn)轉(zhuǎn)。

雖然危機(jī)暫時(shí)解除，但作為受害者的商家B，卻再次成為了犧牲品。

于是，2009年，阿里正式設(shè)立安全部，如今，阿里生態(tài)體系的網(wǎng)絡(luò)安全部門，已經(jīng)積累了高達(dá)數(shù)千人的專業(yè)團(tuán)隊(duì)。

而黑產(chǎn)軍團(tuán)對(duì)阿里的攻擊，也成指數(shù)倍增加。過去的一年里，阿里巴巴集團(tuán)共受到2015次DDOS攻擊，最大攻擊流量777Gbps。

“這個(gè)數(shù)字意味著什么？打個(gè)比方，整個(gè)杭州城的網(wǎng)民同時(shí)在線所使用的帶寬，都遠(yuǎn)不及此。”鄭俊芳解釋。

但這些貪婪的黑客們，最終失望而歸。12年間，阿里安全從被動(dòng)應(yīng)對(duì)升級(jí)到主動(dòng)防御，從人肉防守，到技術(shù)、算法主導(dǎo)，在今天，對(duì)抗DDOS攻擊的任務(wù)早已交給了“無人值守”的自動(dòng)化防控產(chǎn)品。

攻防的根本目的在于讓攻擊方成本上升而放棄攻擊－－防控能力越高，黑客付出的成本就越高。舉個(gè)例子，過去，黑客發(fā)動(dòng)一次攻擊要花費(fèi)1元錢，如今，黑客打開一個(gè)保險(xiǎn)箱的成本就要100元，而保險(xiǎn)箱里可能只有50元，“得不償失”之后，黑客們幾乎喪失了所有可乘之機(jī)。

蒸米曾親歷了去年雙11的那場(chǎng)攻防戰(zhàn)，“沒出任何不可控的風(fēng)險(xiǎn)”，松了一口氣的蒸米，還輕輕松松跑去和逍遙子合影一張。

但作為全球最大的電商平臺(tái)，深處整個(gè)比特世界的核心位置，阿里安全的要義，不僅僅局限于集團(tuán)內(nèi)部，還必須對(duì)外開放。

“比如說，安卓和iOS有漏洞的話，我們的淘寶、支付APP根植在這個(gè)操作系統(tǒng)上，也有風(fēng)險(xiǎn)的?！眻F(tuán)控解釋說。

因此，阿里安全在滿足了集團(tuán)業(yè)務(wù)的需要外，還走上了對(duì)外開放的路徑。早在2012年，阿里就集合外部力量，建立ASRC（阿里安全應(yīng)急響應(yīng)中心）。去年12月30日，阿里又正式加入First(事件應(yīng)急響應(yīng)與安全小組)國際組織，與85個(gè)國家的414個(gè)應(yīng)急響應(yīng)相關(guān)組織建立聯(lián)系，其他組織成員包括谷哥、微軟、亞馬遜等國際互聯(lián)網(wǎng)巨頭。

在這些宏大的集團(tuán)戰(zhàn)略之外，對(duì)蒸米等人產(chǎn)生直接影響的，可能是阿里安全剛剛成立的八大安全實(shí)驗(yàn)室，由雙子座實(shí)驗(yàn)室、獵戶座實(shí)驗(yàn)室、潘多拉實(shí)驗(yàn)室、歸零實(shí)驗(yàn)室和錢盾反詐實(shí)驗(yàn)室、米諾斯實(shí)驗(yàn)室、圖靈實(shí)驗(yàn)室以及螞蟻金服光年實(shí)驗(yàn)室組成。每個(gè)實(shí)驗(yàn)室都有明確的研究領(lǐng)域，可以讓研究員們長期聚焦于自己的專業(yè)領(lǐng)域，而阿里也借此構(gòu)建一個(gè)全面、縱深的安全技術(shù)矩陣。

蒸米復(fù)盤阿里三年，對(duì)自己的進(jìn)步還算滿意，“從簡單的發(fā)現(xiàn)漏洞，到知道漏洞為什么會(huì)產(chǎn)生，如何能夠利用漏洞，然后能夠控制整個(gè)操作系統(tǒng)?！?/p>

三位白帽黑客，沒有一個(gè)冒出過離開行業(yè)的念頭。蒸米在朋友圈轉(zhuǎn)發(fā)了超級(jí)黑客HD Moore的故事，他擁有大約價(jià)值270億人民幣的比特幣，但依然在寫代碼，“你們?cè)谧械娜讼胍幌胗辛诉@么多的錢，是不是還會(huì)做現(xiàn)在的事情。”

這個(gè)問題，蒸米也許在問自己，而且他已經(jīng)有了答案。

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。