>>>  技術話題—商業文明的嶄新時代  >>>

簡體     傳統

黑客界教父級人物于旸，網名“Tombkeeper”。

范淵帶領的團隊，每天要負責維護約 20 萬個國內網站的運行安全。

清華大學藍蓮花戰隊是唯一參與 CTF 奪旗大賽的中國大陸戰隊

　　晨報特派記者張源金文婕(美國拉斯維加斯攝影報道)

　　于旸

　　國內黑客界尊稱其為“TK 教主”，黑客界教父級人物，全球最為知名的幾位白帽子黑客之一。

　　范淵

　　第一個登上全球頂級黑客盛會 Black Hat 舞臺的中國人。

　　在中國，我們也有像杰夫·莫斯一樣的黑客教父。

　　“感謝各位愿意來忍受我‘可怕’的英語！”因為時差問題一夜沒睡的于旸，8 月 7 日上午出現在 Black Hat 一個分會場的主講臺上。“于旸”這個名字，遠不及他的網名“Tombkeeper”知名，在國內黑客界被尊稱為“TK 教主”的于旸，稱得上是黑客界的教父級人物，也是全球最為知名的幾位白帽子黑客之一。于旸是國內目前身價最高的白帽子黑客之一，盡管他本人不愿對此多言，但“TK 教主年薪千萬”的說法早已在業內流傳。

　　于旸當天的演講，臺下聚集了很多來自阿里巴巴、華為等國內企業的技術人員，以及美國、印度等國的信息安全人員。于旸的演講才剛剛開始，坐在我旁邊的一位來自國內某 IT 巨頭的技術高管，就已經惦記著找人等會兒幫他拍一張跟于旸的合影。

　　于旸并非科班出身，但他是全球奪得微軟安全挑戰賽最高獎的兩人之一，目前任職騰訊“玄武”安全實驗室總監。于旸的諸多研究在業內都極具影響力，包括獨立破解 iPhone 指紋識別，破解無線 RFID 通訊等。于旸畢業于安徽醫科大學臨床醫學系，全憑自己的愛好由一名醫生變身成一位頂尖的黑客。在 Black Hat 的首秀中，于旸在自我介紹時先放出了一張很具“高富帥”意味的醫生照片，隨后又給出一張猩猩玩電腦的照片，并自嘲“這就是現在的我”。于旸的演講主題，是他針對微軟最新的 Windows 版本所做的一項漏洞研究成果。

　　演講結束后，于旸被一群聽眾包圍提問，很多人都想借此機會向他請教一些難題。于旸在黑客技術領域的涉獵面極廣，人們拋給他的問題也是分門別類五花八門。在等待許久后，我才有機會單獨對于旸進行了一次專訪。盡管一夜未睡，于旸對于整場演講的效果還是比較滿意的。曾在 CanSecWest、HITCon 等很多國內外安全會議上有過演講經歷的于旸，依然很看重 Black Hat 這個平臺。“這是全球最頂級的會議了，無論是技術演講部分還是展會部分。如果你想了解全球的安全行業，Black Hat 是一個很好的渠道。”

　　黑客到底是一個怎樣的群體？于旸的看法很是簡單。“對于網絡入侵和防御的相關技術，以及漏洞的相關技術極具鉆研精神的一群人。”于旸說，黑客所涉及的知識領域絕非是入侵系統那么簡單，整個安全行業是圍繞著漏洞和其它攻擊手段，以及相應的防御手段展開的一個領域。“這一行要做好，還要了解其它的領域。你做攻擊，你就需要懂防御，你做防御，你也要了解攻擊。”

　　黑客的世界里也有黑白之分，原本并不帶褒貶含義的“黑客”一詞，近年來卻被增添了不少貶義的色彩，于是才有了“白帽子黑客”這樣特有的稱謂。以 DEF CON 為例，參與的上萬名黑客中，就有不少在從事見不得光的工作。對于這一點，于旸也有自己的評價。“網絡世界其實和現實世界一樣，有一個白社會，也有一個黑社會。現實里的黑社會有多大，網絡世界里的黑社會也就有多大。”

　　從醫生變身黑客，于旸對于“如何成為一名黑客”這個話題很有發言權。“有學校里教的，也有自學成才的。現在的互聯網十分發達，只要有心總能在網上學到東西。”于旸是典型的自學成才，他說圈子里不少黑客好友也都是自學而成。目前國內開辦信息安全技術相關專業的大學院校有上百家，但學生抱怨找不到工作、企業抱怨招不到人的現實，卻是于旸等業內大咖們的共識。“打個比方，一個家電維修學校，如果現在還在教學生怎么修黑白電視機，你覺得學生畢業后找得到合適的工作么？”于旸說，其實國內早就有了類似 Black Hat 和 DEF CON 的會議，以提供一個黑客人才展示的平臺，只是規模還無法與之相比。“包括 xcon 這樣的會議也辦了十幾屆了，現在大大小小的加起來有二三十個吧。沒有這樣的平臺，那些自認為是人才的黑客就只能在那里瞎嚷嚷，沒人會聽得見。”

　　“黑客的確是需要一定天賦的，但也一定需要時間的積累。國內也有一些很不錯的黑客新人，但他們給我的感覺就是太急了，沉不下心來。”包括于旸在內，我所知道的一大批黑客界的大牛，基本都是在這個圈子里摸爬滾打十幾年的。在于旸看來，時間的積累也是黑客所必須經歷的過程，只想走捷徑反倒容易步入歧途。

　　于旸在拉斯維加斯的行程只有短短三天，除了發表演講，他還會借機跟很多國內外的圈內好友聚聚。因為這場黑客盛會在美國舉辦，我和于旸也就聊起了黑客以及信息安全領域的中美差異。“如果僅僅從攻擊的角度而言，并不能說因為包括微軟、iOS 系統這些都是美國人做的，那他們就在這方面占據絕對優勢。但從另一個方面說，這些系統本身里面有沒有留東西，留了多少東西，這些東西做什么用途，的確是我們很難去發現的。”于旸說，以蘋果的后門程序為例，除了蘋果公司本身，沒有人能更清楚這些數據到底會被賦予怎樣的用途。

　　“但就信息安全的產業發展而言，全球肯定是美國占據主導地位的，我們國內整體要比美國晚個兩三年。”于旸說，目前全球最主要的信息安全企業基本都在美國，而美國的 IT 企業在信息安全上的投入，要比中國國內大若干倍。“隨著人類社會和網絡結合的緊密性的加大，人類的一切活動都會在網絡里留下痕跡，會有越來越多的數據進入信息系統。信息產業有多發達，直接決定了信息安全產業有多發達。”

　　“就信息安全領域而言，國內總是要比美國慢一步。”

　　范淵帶領著一個三人團隊，再一次來到他非常熟悉的拉斯維加斯，參加 2014 年的 Black Hat 和 DEF CON 的會議。跟于旸一樣，范淵也是國內頂尖的白帽子黑客，他創辦的杭州安恒信息技術有限公司，在短短的六七年間就發展到 500 人的規模，承接過北京奧運會、上海世博會以及不久前上海亞信峰會等重大活動的信息安全保障工作。就中國黑客而言，范淵是第一個登上 Black Hat 這一全球頂級黑客盛會舞臺的中國人，早在 2006 年他就曾受邀在會議上向全球的黑客分享自己的研究成果。

　　在赴拉斯維加斯之前，我就曾去探訪過范淵設在杭州的公司總部。安恒每天要負責維護約 20 萬個國內網站的運行安全，他們創立的風暴中心實驗室，能實時監測到這些網站所遭受的黑客攻擊。看著實驗室屏幕上不斷刷新的監控信息，我在赴拉斯維加斯之前就意識到黑客離我們的生活竟如此之近。

　　從 2002 年開始參加 Black Hat 和 DEF CON 的會議至今，范淵幾乎一場都沒落下過。即便是他 2007 年從美國硅谷回國創業后，每年都還是會飛抵拉斯維加斯參會。“每一次都有收獲。我可以通過這個會議了解各種最新的黑客攻擊手段，再研究解決應對的防御方法。”在拉斯維加斯期間，我也曾隨范淵一起聽過幾場黑客演講，盡管有些展示在他看來并不具有太高的技術難度，但各種新的想法和角度依然讓他覺得這一趟來得很值。他與自己的兩名下屬，每天都要分散在各個不同的分會場里，選取他們最感興趣的演講去聽，之后再彼此交流各自的收獲與體會。

　　在我看來，范淵和他的團隊在拉斯維加斯的一周更像是一次取經之旅，是一次“知彼知己”之旅，他們透過這一盛會來了解黑客帝國的未來走向，以及提前謀劃應對的方法。“客觀地說，就信息安全領域而言，國內總是要比美國慢一步。有一年在 DEF CON 上展示過的一款黑客工具，在美國這邊很快就研究出相應的對策，但是第二年這個東西才開始在中國國內的網吧大肆流行。”

　　作為一個門外漢，很多大會上講解的黑客技術我很難理解，經過范淵的解讀，我才逐一明白了這些技術如果被人利用會帶來怎樣的嚴重后果。范淵說，他要先從“黑帽子黑客”的角度去思考他們會怎么做，然后再用“白帽子黑客”的手段去加以防御。“在黑客的世界里，這種攻防的較量定然會無止境地繼續下去。”

　　范淵個子不高，但一雙眼睛卻精光四射。作為 Black Hat 和 DEF CON 的常客，他也能從大會上捕捉到很多人看不出的門道。“這家美國公司看起來好像很普通，但其實背后有很深厚的政府背景”、“這個演講者所在的公司可不簡單，在業內絕對是占據主導地位的”……諸如此類的分析，范淵不止一次向我提起。

　　包括兩個大會的創建者杰夫·莫斯在內，范淵的很多圈內好友都是 Black Hat 和 DEF CON 的常客。趁大會的間隙，他也會抽空與老友們一聚，或去參加一些小型的聚會結交新的朋友。范淵說，很多人來拉斯維加斯參會，除了能了解很多業內最前沿的技術及行業前景外，這里也是黑客大牛們最為重要的社交平臺之一。不過范淵也坦言，近年來在大會遇到的中國人基本都是那幾個老熟人，對于國內后繼人才的培養，他跟于旸也有著同樣的担憂。

　　頂尖黑客人才流失海外

　　在拉斯維加斯舉辦的這場黑客盛會上，上萬人的參會者，我看到的中國人可能都不到 50 人，而其中在海外尤其是在美國工作和生活的要占一半以上。但令我頗感意外的是，包括全球最頂級的信息安全公司 FireEye 在內，很多行業內尖端企業的核心技術人員中，都有中國人的身影。

　　“美國的信息安全企業基本都集中在硅谷。可以這么說，這些企業離了中國人，技術根本就搞不起來。”在硅谷創辦了一家信息安全企業的中國人王林(化名)告訴我，硅谷的很多 IT 企業都呈現如此的架構：美國人當老板，印度人做中層，而最核心的技術人員則大多是中國人。“毫不夸張地說，很多安全系統都是我們中國人做出來的。”

　　此次 Black Hat 的諸多演講者中，一共有五六個中國人，但他們大多是供職于美國的信息安全企業，或者還正在美國求學。盡管國內目前仍然聚集著一大批頂尖的黑客人才，但與國外信息安全企業所能提供的崗位和待遇而言，差距依然不小。“國內愿意花大價錢請這些人去做安全的企業，屈指算算也就那幾家互聯網巨頭，畢竟崗位有限。”上海信息安全協會副秘書長王懷賓接觸黑客圈子已經十多年，他認識的幾位黑客界大牛如今都在海外發展。不過，王懷賓也表示，業內為了留住人才也做出了不小的努力，“ISG (信息安全技能競賽)已經辦到第五屆，今年我們還增設了人才‘相親會’環節，目的就是給在比賽上脫穎而出的選手和用人單位之間搭建一個橋梁。打造這個中國版‘DEF CON’的意義也正在此。”

　　“的確有些地方值得我們反思。”范淵也曾有過海外求學、供職的經歷，但他而后選擇了回國創業。范淵說，無論是對人才的重視程度，還是大多數企業對于安全產品的投入，乃至后續的人才培養上，國內外都存有很大的差距。“我們也在不斷努力去縮小這種差距，但這個過程需要時間。”

　　在拉斯維加斯 Black Hat 的會場上，我問過很多在國外的中國人一個同樣的問題：“將來會不會考慮回國工作？”這些人大多都是業內頂尖的技術人才，他們給我的答案不盡相同，但“如果有合適的崗位會考慮”這句話卻多次出現。然而在很多業內人士看來，國內目前極為欠缺的，恰恰是能提供給這些頂尖人才的一個合適的崗位。

　　黑客武林的門派紛爭

　　如果把黑客世界看成一個武俠江湖，這里既有師承名門的絕頂高手，也有天賦異稟、自學成才的一代大俠。在諸多成名的黑客當中，有些是擅長漏洞挖掘的高手，也有人專精于木馬病毒的研究，同樣也有博采眾長的集大成者橫空出世。他們當中的絕大多數人在自己的黑客之路上都有著廣為人知的經典戰役，或者足以震懾武林的獨門絕技。

　　在國內的黑客界，就曾有媒體按照金庸武俠的稱謂，將知名黑客萬濤、黃鑫、龔蔚等人稱為中國黑客界的“東邪、西毒、南帝、北丐、中神通”。這樣的稱呼絕非是簡單的娛樂，而是參照他們每個人不同的經歷，去與金庸筆下的這些絕頂高手一一對照。一位黑客圈內的朋友也曾告訴我，業內一度也曾有過“四大惡人”的戲稱，其中有“黑產教父”、“流氓(軟件)教父”。盡管這些知名黑客如萬濤、肖新光等人，如今大多都在從事白帽子黑客的工作，有些也早已退隱江湖，但他們的“徒子徒孫”至今仍活躍在中國的互聯網上，延續著他們在木馬或者病毒等單項領域的統領地位。　　

　　黑客的江湖也有門派之分。在中國的黑客界，由龔蔚在上海創立的“綠色兵團”被稱為黑客界的“黃埔軍校”，其中聚集了國內最早的一批頂尖黑客高手。伴隨著綠色兵團的分化演變，一大批個中高手自此開山立派，安全焦點、小榕科技等門派紛紛崛起，其中安全焦點更是擁有冰河等一大批武林高手，穩坐黑客江湖第一大門派的地位。也正是在隨著綠色兵團的逐漸分化演變，中國黑客組織迎向商業化浪潮的大幕也就此揭開，很多最初的黑客高手如今都在信息安全行業身居要職。這一大批在江湖上成名已久的黑客高手，很多都是憑借自身的愛好投身其中，在互聯網摸爬滾打十余年終成大器。

　　清華大學網絡與信息安全實驗室主任段海新，中科院軟件所系統安全研究室主任丁麗萍等安全專家，則肩負著培養學院派安全人才的重任。包括清華、北大、上海交大、復旦等名校在內，國內目前有上百家大專院校都開設有與信息安全相關的專業，在業內的影響力也與日俱增。在這次 DEF CON 的會場上，來自清華大學的藍蓮花戰隊是唯一一支參與 CTF 奪旗大賽的中國大陸戰隊，這項賽事也被視為世界黑客大會的壓軸項目。由清華大學諸葛建偉老師帶領的藍蓮花共有 8 名成員，他們在 DEF CON 召開的當天進入核心競賽 CTF 的大廳，此后兩天都要連續十多個小時不間斷與其余 19 支戰隊展開角逐，直至第三天下午兩點比賽結束。藍蓮花最終在 20 支參賽隊伍中排名第五，比他們之前一次的排名提高了 6 位。

新聞晨報 2015-05-19 00:34:22