開始保衛(wèi)地球的90后

90后在忙什么？

吃瓜群眾普遍認為，今天的中國90后有三大特點：消費降級、認知焦慮、還不起房貸。如果把這三個特點結合成一個字，那么沒懸念了，這個字就是“慘”。

被70后嘲笑懶，80后笑話窮，00后覺得土的90后們，似乎正在承擔世界最大的diss。然而事實就是如此的喪嗎？

在我們難掩90后辛苦的同時，卻也會發(fā)現，90后這個代際正在強勢出現在世界運行的核心領域，甚至不妨變成中國的名片。比如說在網絡安全領域。

我們看過各種駭客電影，更知道所有大場面電影里，團隊里一定要有個玩電腦的。這些電影角色日常沒什么事，喜歡宅著，偶爾抽時間保衛(wèi)個地球什么的。

現實中，毀滅地球的危機可能不那么常見，但瘋狂的網絡安全問題卻是時刻存在的。有一群人固守在代碼背后，用盡各種辦法去和漏洞、黑客劫持、安全隱患博弈，他們被稱為白帽子。

而90后白帽子，已經開始代表中國走上國際舞臺。

今天我們來分享一群白帽的故事。剛剛在拉斯維加斯舉行的blackhat和defcon上，來自阿里安全的年輕中國白帽子又一次亮相。

假如他們的故事是一部超級英雄電影，那么我們獲悉可以按照這樣的套路來發(fā)展：發(fā)生了什么事件；超級英雄做了什么；他們是誰；他們來自哪里……

刷安全頂會，我們好像終于找對了姿勢引出故事的神秘事件，是今年的blackhat和defcon——世界最頂級黑客會議。

近幾年來，中國科技公司刷黑客頂會已經屢見不鮮，但讓人在意的地方在于，以往中國企業(yè)的刷會姿勢，總是有點怪怪的。

blackhat和defcon是什么樣的存在呢？blackhat號稱世界最頂級黑客大會，號稱掌管安全產業(yè)未來走向。而defcon則被稱為黑客界的奧斯卡，也被稱為頂級黑客間的神秘派對。早年間FBI守著門抓人，每年百萬資金池的攻防戰(zhàn)等等，都為這兩大頂會涂抹了一層足夠“酷”的底色。

然而有點尷尬的是，中國企業(yè)卻遲遲酷不起來。有媒體曾經戲稱，defcon這種會，其他國家派來的都是少年天才，我們派的是大叔工程師…….

這里當然不是diss工程師或者大叔，但圍觀群眾顯然希望中國也推出自己的少年白帽天才名片——好在這確實正在發(fā)生。

近兩年，中國安全戰(zhàn)團似乎也開始嘗試更酷，更年輕的“世界姿勢”。比如“阿里安全+螞蟻安全”組成的阿里安全八大實驗室戰(zhàn)隊，今年共有六名安全專家受邀參會，進行三個主題分享和兩個demo演示。其中五達、蒸米、白小龍等阿里安全專家，都是大名鼎鼎的準90后白帽。

讓年輕人去破解世界，似乎美好的故事都是這樣開頭。

白帽之歌：繞到燈光背后去搞些事情年輕白帽到底在做什么？這是我們可以借這次頂會回答的另一個問題。我們可以發(fā)現，90后白帽不僅在致力于“形而上”的技術探索，以及網絡攻防戰(zhàn)中的見招拆招。他們已經開始審視網絡應用的宏觀問題，開始用自己的創(chuàng)造力直接帶來價值。

比如，阿里安全獵戶座實驗室安全專家五達則分享了視頻水印的安全問題，分析了視頻創(chuàng)作者如何在保證視頻觀看感受的同時，保護著作權不受侵害。這一技術在今天的視頻熱潮中顯然價值非常。作為安全專家的五達，涉獵方向非常廣泛。陀螺儀傳感器、GPS、IoT設備、密碼學，等等領域的安全新聞上都可以看到他的身影。

再比如阿里安全獵戶座實驗室安全專家蒸米和白小龍，作為一對“網紅白帽搭檔”，他們這次繼續(xù)帶來了有關蘋果的安全攻防戰(zhàn)。

蘋果系統(tǒng)并非如公眾所想象的那樣固若金湯，甚至是其系統(tǒng)的基礎——操作系統(tǒng)內核，仍然存在著諸多安全風險。蒸米在defcon的演講中分析了最新版的iOS中的沙盒機制和以及如何獲取沙盒配置文件，討論了iOS上的IPC機制，并回顧幾個經典的沙盒逃逸漏洞。

蒸米在演講中展示了iOS 11.4上的兩個沙箱逃逸0day漏洞，還分享了如何通過OOL msg堆噴和ROP（返回導向編程）來利用系統(tǒng)服務漏洞的經驗。

白小龍還將在8月12日defcon的主題分享中介紹一款全新的靜態(tài)分析工具，自動地處理驅動二進制代碼中的不確定因素，簡化對設備驅動的安全分析過程。正是這樣一款工具，讓他們發(fā)現了多個安全漏洞，利用這些漏洞，攻擊者可以獲取系統(tǒng)的最高執(zhí)行權限，因此白小龍還給出了防御手段。

事實上，這對搭檔緊盯蘋果不放的研究態(tài)度，是他們之所以“網紅”的重要原因之一。蘋果曾在官網上多次感謝他們的貢獻，蘋果安全團隊這次專門到場聽演講，會后還請兩位網紅白帽吃了頓大餐，感謝他們又挖出的新漏洞。據不完全統(tǒng)計，近億用戶從他們的安全研究中獲益。

值得注意的是，作為阿里安全八大實驗室之一，螞蟻金服安全實驗室三位安全專家周宇、曲和、周智也帶著重磅研究成果亮相blackhat和defcon。

在BlackHat USA 2018軍械庫上，安全工程師周宇、高級安全專家曲和和來自默安的王偉，探索的針對于VxWorks系統(tǒng)的高級模糊測試框架ChangWei成功入選，并在現場進行工具演示，創(chuàng)新性地將基于反饋的Fuzzing技術應用到VxWorks系統(tǒng)上，設計出ChangWei框架，利用該框架可以高效地發(fā)現系統(tǒng)本身和開發(fā)者代碼中的潛在漏洞。

在defcon的現場演示中，安全工程師周智也展示了一款專門為 iOS 平臺應用做安全測試和動態(tài)分析的工具Passionfruit ，提供了跨平臺的圖形界面，快速完成 iOS 應用安全測試中常見的需求，包括信息收集、URL 測試、存儲信息分析、截圖、動態(tài)插樁等任務。可以幫助開發(fā)者和安全研究人員方便快捷地對 iOS 應用暴露的攻擊面進行測試分析，更快速定位隱患，提升 iOS 應用的安全性。

白帽子的工作，是一門必須繞道燈光背后的藝術。他們要在暗處審視整個舞臺，從破壞的角度去思考建設。這項工作非常特別卻至關重要，而中國的90后代際，其實在這門工作中擁有得天獨厚的優(yōu)勢。

世界的防線，和依舊有膠原蛋白的臉很難有人記住互聯網安全專家的樣子，即使關注這個領域的讀者，大體上也只有這樣的印象：都不年輕了。當蒸米、白小龍這些新生代專家，以還帶著膠原蛋白的臉出現在公眾視野時，我們還是有一點詫異的。

當然，安全專家不是個看臉的行業(yè)。但年輕人的某些特質，確實在更加配合這個職業(yè)的底層共鳴，讓他們更有利于成為這個信息世界的防線。

以上述三位白帽為例，我們可以看到90后的特質，正在某種程度上幫助他們更快走到世界舞臺中央。比如說——

電子設備就是家鄉(xiāng)

蒸米小時候為了玩電腦，甚至學會了電焊來打開電腦（因為爸媽為了防止他玩電腦，藏起了電源線）；在游戲與女朋友之間，更是毅然選擇了前者。

電子設備、網絡世界，以及這個由數據組成世界的運行原理，在童年時期就成為了這些白帽的玩具與成長伴隨品。他們與技術不存在隔膜，甚至技術就是他們的家鄉(xiāng)。所以他們不需要進入白帽行業(yè)，他們的存在就是白帽本身。

擅長與自己博弈

白帽是必須要假想敵人，假象設計者，再假想自己的“上帝視角”游戲，歸根結底是一場與自己的博弈。而顯然善于拆除自身存在感，不斷自我否定和塑造的90后，在這個有點“精分”的職業(yè)中更加如魚得水。

當然這不是每個90后的特質，但更加獨立的人格，確實在催化新的白帽成長。比如蒸米和白小龍，在分析蘋果與IOS漏洞的旅行中，必須要不斷切換身份，從底層思考一個龐大系統(tǒng)，思考背后的邏輯和理念。從術而道，或許會成為新白帽的標簽。

可以冷靜地跟常識翻臉

懷疑一切，甚至常識，是好的黑帽白帽都必須遵循的法則。而特立獨行，敢于吐槽和diss這個世界的90后們，似乎與這個期許在人設上更加接近。相比較于大部分網絡安全專家的低調和存在感缺失，蒸米可謂是一位網紅款專家。敢于分享，敢于展示自己的風格，敢于反駁和懷疑，正在讓這位少年得志的大V白帽，找到與那些傳奇名字的某些共鳴。

中國最終會出現傳奇黑客嗎？也許會也許不會，但尋找答案的工作，目前已經交棒給90后了。

氪星的輻射奧妙多：為什么“少俠”更站阿里？超人為什么強？因為他在老家氪星受過輻射啊。

那么這些少年白帽為什么強呢？這里或許我們可以發(fā)現一個有趣的現象：青年科學家總是聚集在阿里。比如不久前剛剛刷屏的95后科學家入職阿里，比如各種頂會上阿里的“少俠”們出頭露面。或許這是個可以深究的問題：阿里到底有什么輻射？

至少有三個因素可以作為這個問題的答案：

打破常規(guī)，善于直面挑戰(zhàn)

中庸之道，長久以來一直被很多人奉為人生圭臬。但顯然這樣的處世方式，對于十幾歲吊炸天屬于常規(guī)炒作的駭客們來說，是一項并不怎么美好的事情。那么少年白帽們涌入阿里，或許也就跟這家公司足夠顛覆傳統(tǒng)，善于直面挑戰(zhàn)，不斷強大有關。

2015年，蒸米是剛剛博士畢業(yè)，履歷聽上去就是那種桀驁不馴少年天才的人設，但順利加入阿里安全，并成為當年唯二的“阿里星”。為了讓這樣的人才迅速成長，公司每年都安排他們跟集團高管們吃飯談心，并在研究上為他們爭取盡可能寬松的環(huán)境。顯然，阿里更重視的是人才本身，以及他們能用技術能力發(fā)揮的潛力，戰(zhàn)勝的挑戰(zhàn)。

信仰白帽

安全問題到底是個多大的問題，這首先是個問題。而在阿里的投入程度來看，顯然安全領域是保駕護航阿里產業(yè)體系的重中之重。

2005年的時候 “阿里安全”還是集團技術團隊下設的一支幾個人組成的小隊。13年過去，阿里安全已經成為了累積了數千人的專業(yè)團隊，成立了雙子座實驗室、獵戶座實驗室等具備世界頂級研究水準的八大安全實驗室，并且可以從容為雙11這樣的超大流量事件保駕護航。如果說這個快速成長團隊有什么特質的話，那么愿意相信人才和技術的創(chuàng)造性，絕對是其中的重要組成部分。這些實力與文化，正在讓阿里稱為白帽的理想溫床。

成為熔爐

阿里的業(yè)務，是真金白銀的電商體系、支付體系、物流體系，而且直接關聯著世界上最大的人機協(xié)同群體，數億用戶隨時在使用阿里業(yè)務。這個體系一步都不能亂，一點都不能錯。

與之相伴的是，阿里要每天承受黑客4000萬次惡意訪問，試圖找出安全漏洞，整個2017年承受2015次DDoS攻擊。這種情況下，阿里對白帽的要求也最精細和嚴格，每一步都是不容有失的戰(zhàn)爭。這些直接尖銳的考驗，也是最好的白帽培養(yǎng)皿。

價值平等、文化尊重和技術淬煉，種種因緣種出了“少年可成名”的果。或許阿里與90后白帽的邏輯關系，可以歸結出某種公式：把一定的責任與價值交給年輕人，他們努努力說不定就能拯救個地球什么的。

最結實的企業(yè)戰(zhàn)略投資，也許叫做“莫欺少年窮”。

生成海報

免責聲明：此文內容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權歸作者所有，且僅代表作者個人觀點，與極客網無關。文章僅供讀者參考，并請自行核實相關內容。投訴郵箱：editor@fromgeek.com。

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。