蒸米希望在系统安全研究里获得上帝视角。
这个角色很像
《头号玩家》里的绿洲创始人阿诺克,
他不参与游戏闯关,
却是整个游戏真正的主宰者。
“这不仅仅是一个游戏,我说的是现实世界中的生死”。
《头号玩家》的这句经典台词,或许能够阐释白帽黑客的价值,当越来越多的数据、隐私、财富留存在比特世界里,黑客军团的每一次得手,都是对现实世界的入侵、伤害、摧毁。
在0、1字节组成的比特世界里,来势汹汹的黑产和黑客军团,从未停止过进攻之手,这些“小偷”、“强盗”们已经构筑了年产值千亿级别的中国黑灰产业。
阿里巴巴旗下的各电商平台,正是黑客们觊觎已久的富矿,每天,黑客们会发起4000万恶意访问来阿里寻找安全漏洞,黑产军团通过爬虫发起17亿次的恶意访问。
今天,我们故事的主角,就是阿里安全实验室的几位年轻白帽子———过去,他们隐身于0、1世界,以“化名”行走江湖,但他们才是虚拟世界里的超人、蝙蝠侠、正义联盟。
一
作为一个技术小白,黑客过去存在于我的想象之中,他们是类似电影《黑客军团》里男主那样的人物:身怀绝技,智商爆棚,但情商很低,神经质、沉默寡言、社交障碍。。。。
不过,当我采访了阿里安全实验室的三位90后(以及准90后)安全专家后,我的猜想被打脸了,他们性格各异,但都具有两个共性:兴趣和质疑精神。
蒸米,阿里安全猎户座实验室研究专家,曾是2015年校招中在上万应聘者中唯二的超级明星“阿里星”,FIT 2016评选的”年度最佳安全研究员” (全国仅一位)。
他对安全研究的兴趣,非常类似于《头号玩家》里的男主。住在贫民窟的男主帕西瓦尔沉迷在绿洲游戏里闯关,因为闯关成功,就能成为绿洲世界的主宰者,获得财富自由————始于个人欲望,机缘巧合之下,才成为绿洲世界的拯救者。
蒸米小时候沉迷于游戏,遭到父母阻挠,设了系统密码,藏起电源,蒸米因此学会了破解密码,然后把老风扇的电源焊接到电脑上,“要是中电死了都有可能”。在被愤怒的父母强制转学后,为了去网吧免费打游戏,蒸米甚至想方设法破解了电脑上的网管程序。
如果说黑产军团的第一原动力是每年高达千亿的利益,那么,非此不可的兴趣和热爱,就是支撑所有白帽黑客安身于此的第一原动力。
“如果你没兴趣,你干不了这个。”蒸米的同事,91年的安全专家团控说。团控是阿里安全很年轻也成长比较快的一个白帽子。基于名为“内核空间镜像攻击”的重大发现,他连续受邀在全球顶级安全大会BlackHat、HITB上演讲。通俗来说,他发现了ARM的一个瑕疵,而ARM处理器的市场份额超过90%,一旦这个瑕疵被黑客利用,几乎所有的手机用户都会遭遇影响。
上图:团控在2018年3月的blackhat上演讲
之所以能发现这个漏洞,是因为团控在2016年时,研究了ARM的芯片手册,“普通开发者,不会有人看这个东西。”
而奠定蒸米江湖地位的,是其发现并命名了影响上亿设备的iOS病毒XcodeGhost和影响上亿设备的Android app漏洞WormHole 。
专注于iOS系统多年,蒸米每次都会第一时间进行分析,“运气只在一时,我们这个行业很像医生,你要慢慢熬,要看积累的。”
并非所有黑客都是科班出身,比如团控和蒸米多次提及的TK,过去曾是妇科医生,“学医已经很累了,要是没有兴趣,还能有时间去看这个代码吗?”
蒸米、团控、白小龙等人研究的领域,聚焦于底层的系统安全层面,这些研究难度系数极高,具有极大的不确定性。
每个系统漏洞和瑕疵,从发现,到公开、到发表,再到被修复,通常需要半年到一年,“中间这个时间,你压力很大的,你的满足感在哪里呢?就是你享受这个过程。”团控说。
团控的“内核空间镜像攻击”,从2016年初发现线索,到2018年公开演讲,受到业界承认,整整耗费了两年。
被业界公认为“大神”的蒸米,依然处于高压当中,“可能你一个月发现好几个漏洞,也可能好几年发现不了一个,然后你为啥还要一直做这个,没有兴趣撑不下去。”
对于那些游弋在浩瀚无垠的二进制大洋中的白帽黑客们来说,兴趣,几乎是克服寂寞、孤独、高压诱惑的唯一解药。
“毕生梦想,就是操作系统发展历史上,作出有自己贡献的一笔。”白小龙说,“就靠这个撑着了”。
二
蒸米并不是那种看起来很乖巧的员工,采访中,他负责DISS,搭档白小龙负责点赞。上图:蒸米(右一)和白小龙(左一)在2018年4月的欧洲信息安全会议HACK IN THE BOX(HITB)上演讲之后合影
但无论是挑剔的蒸米、还是稳重的白小龙、温和的团控,质疑、批判和对抗、逆向思维,才是他们性格的底色。
从2015年入职至今,蒸米的研究领域一直聚焦在iOS领域———软硬一体化、高度自控的iOS,已经是现存最完美的操作系统,看似无懈可击,但持续奠定蒸米业内大神地位的,就是其能够持续的发现iOS系统的瑕疵和漏洞。“iOS系统公认最安全,你能发现漏洞,成就感就更强。”
iOS最新发布的11.3版本,蒸米发现了一个用户态的漏洞,白小龙发现了一个内核层面的漏洞,“控制了用户层的东西,才可以去攻击内核,把整个内核攻陷了之后,就能够占领整个系统。”
随着iOS、安卓系统的安全系数逐渐提高,发现漏洞的难度正在指数化增加,这就要求白帽黑客们必须对操作系统具有自上而下的全局把控能力。
“安全是没有边界的,非常深奥。”蒸米说,把系统的一个模块搞懂,可能就需要半年,“很多开发人员,把功能实现了,但是他可能不知道这个函数还有其他用法。”
换句话说,搞系统安全的人,一定要超越开发人员,才能发现这个看似完美程序中的瑕疵、弱点和漏洞。
“你觉得你像那个杀人游戏里的法官角色吗?你能看到谁在睁眼,谁在闭眼?知道谁是杀手,谁是警察,谁是贫民?”我问蒸米。
“我们希望是这样,上帝视角,但还正在努力吧。”蒸米说。这个角色很像《头号玩家》里的绿洲创始人阿诺克,他不参与游戏闯关,却是整个游戏真正的主宰者。
但这些安全大神们的“英雄之举”,难以被公众感知,因为,最佳的安全防护,其实是在漏洞被利用、影响用户之前,就被发现和修补,这是所谓的无感知安全。
甚至连开发人员都不理解他们在干什么。普通公众会把盗QQ等行为等同于黑客,“我们都不愿意说自己做安全的,我们把自己定义为做操作系统的。”蒸米说。
白帽黑客和黑产黑客们最大的区别在于,黑产黑客只要抓住一个漏洞,针对性攻击,就能斩获颇丰。但维护安全的白帽黑客们,其攻防则符合木桶理论,“系统安全性的整体水位与最脆弱的组件水位相同”,换句话说,在通往罗马的路径上,黑产黑客们只需找到一条道路,但蒸米等维护安全的正义联盟,则需要穷尽所有的路径,然后才能严防死守,堵住所有漏洞。
在践行“正义联盟”职责的同时,诱惑却无处不在。团控的重大发现,从着手研究,再到业界承认,至少要花上两年时间。两年间,一个个的独角兽企业同期崛起,比如以27亿美金售卖给美团的摩拜单车,创始团队因此实现了财务自由。
蒸米感叹这个时代的所有东西都在变快,“大学时我一个刀塔游戏能玩四年,去年王者荣耀20分钟一局,然后跳一跳几分钟,现在刷抖音,一个视频才几秒”。
蒸米等人也并非不食人间烟火。“这个环境,就让你越来越浮躁了,我也要关心房子、关心车子,关心孩子,我自己做基础研究我觉得特别好,但这个掣肘实在太多了。”白小龙说。
风口很多很快,除了阿里等巨头,几乎很少有公司愿意投入类似系统安全这样的基础研究层面。
但慢归慢,基础研究薄弱的致命缺陷,在中美贸易战中暴露无疑,遭受美国芯片断供威胁的电信巨头中兴,几乎立刻进入了休克状态。
4月25日,心有戚戚的蒸米发了一条微博,“感谢美国毛衣(贸易)战让很多人醒悟,也许下一个风口就是基础科学/系统安全~”,然后又点赞了声称要自主研发空调芯片的格力。
在芯片大战爆发后,阿里全资收购中国大陆唯一的自主嵌入式CPU IP Core公司中天微,过去四年间,阿里已经投资了5家芯片企业。
过上更为富裕的生活并非难事。在黑市上,一套苹果越狱的漏洞价值五六十万,而远程越狱的漏洞甚至价值百万。不少基础安全研究者跳槽去刚刚起风的区块链公司,动辄年薪数百万。
从这个意义上来说,那些继续坚守系统安全和基础研究的蒸米等人,就变得更为可贵了。但蒸米保持了长期的乐观,“现在,就必须做好完全的准备,站在风口上,等风来,然后抓住这个风。”
三
尽管横向来看,中国多数公司对系统安全的重视程度,可能与美国巨头还有差距。但从纵向来看,包括阿里在内的中国公司,对安全的重视程度正在提升。
在阿里等公司,安全可以分为两类,第一类是服务于集团内部的业务安全,第二类则是产业链上下游的全行业安全。
阿里对安全的重视,起源于黑产军团的一次次进攻,随后,安全部门才不断壮大。
上图:4月27日,阿里巴巴集团首席风险官郑俊芳(左一)在北京展览馆阿里展区向公安部网络安全保卫局副局长钟忠(左二)、北京市公安局副局长张健(右一)介绍阿里安全八大实验室的核心技术能力
阿里巴巴集团首席风险官郑俊芳介绍,2005年前后,“阿里安全”还是集团技术团队下设的一支几个人组成的小队,那时候,抵御攻击的手段靠得是头疼医头、脚疼医脚的被动攻防。
彼时,阿里平台上商家的竞争极为激烈,A商家看到B商家销量大好,会买通黑客对B发动DDOS攻击,消耗平台的带宽和服务器资源,导致服务器运转迟滞。
阿里当时的解决方案就是把受到攻击的B店铺采取屏蔽处理,让攻击者失去目标,以恢复服务器正常运转。
虽然危机暂时解除,但作为受害者的商家B,却再次成为了牺牲品。
于是,2009年,阿里正式设立安全部,如今,阿里生态体系的网络安全部门,已经积累了高达数千人的专业团队。
而黑产军团对阿里的攻击,也成指数倍增加。过去的一年里,阿里巴巴集团共受到2015次DDOS攻击,最大攻击流量777Gbps。
“这个数字意味着什么?打个比方,整个杭州城的网民同时在线所使用的带宽,都远不及此。”郑俊芳解释。
但这些贪婪的黑客们,最终失望而归。12年间,阿里安全从被动应对升级到主动防御,从人肉防守,到技术、算法主导,在今天,对抗DDOS攻击的任务早已交给了“无人值守”的自动化防控产品。
攻防的根本目的在于让攻击方成本上升而放弃攻击--防控能力越高,黑客付出的成本就越高。举个例子,过去,黑客发动一次攻击要花费1元钱,如今,黑客打开一个保险箱的成本就要100元,而保险箱里可能只有50元,“得不偿失”之后,黑客们几乎丧失了所有可乘之机。
蒸米曾亲历了去年双11的那场攻防战,“没出任何不可控的风险”,松了一口气的蒸米,还轻轻松松跑去和逍遥子合影一张。
但作为全球最大的电商平台,深处整个比特世界的核心位置,阿里安全的要义,不仅仅局限于集团内部,还必须对外开放。
“比如说,安卓和iOS有漏洞的话,我们的淘宝、支付APP根植在这个操作系统上,也有风险的。”团控解释说。
因此,阿里安全在满足了集团业务的需要外,还走上了对外开放的路径。早在2012年,阿里就集合外部力量,建立ASRC(阿里安全应急响应中心)。去年12月30日,阿里又正式加入First(事件应急响应与安全小组)国际组织,与85个国家的414个应急响应相关组织建立联系,其他组织成员包括谷哥、微软、亚马逊等国际互联网巨头。
在这些宏大的集团战略之外,对蒸米等人产生直接影响的,可能是阿里安全刚刚成立的八大安全实验室,由双子座实验室、猎户座实验室、潘多拉实验室、归零实验室和钱盾反诈实验室、米诺斯实验室、图灵实验室以及蚂蚁金服光年实验室组成。每个实验室都有明确的研究领域,可以让研究员们长期聚焦于自己的专业领域,而阿里也借此构建一个全面、纵深的安全技术矩阵。
蒸米复盘阿里三年,对自己的进步还算满意,“从简单的发现漏洞,到知道漏洞为什么会产生,如何能够利用漏洞,然后能够控制整个操作系统。”
三位白帽黑客,没有一个冒出过离开行业的念头。蒸米在朋友圈转发了超级黑客HD Moore的故事,他拥有大约价值270亿人民币的比特币,但依然在写代码,“你们在座中的人想一想有了这么多的钱,是不是还会做现在的事情。”
这个问题,蒸米也许在问自己,而且他已经有了答案。
