观察

“教主”TK:在互联网时代,不想放过每个恰逢其时的机会

多米  2020-11-19 10:29:35

  “在社交媒体上,总有两种人寻求我的帮助,一种是大学生,期末考试考砸了,希望我入侵教务处的电脑,帮他修改成绩;另一种则是恋爱中的青年男女,怀疑对方出轨,希望我能入侵对方的微信账户,调取聊天记录。”

 

  “拜托,我在腾讯工作,让我帮你盗取微信账户?”

 

  说罢,于旸停顿了一下,迎接着台下的笑声。

 

 

  11月15日,一场别开生面的科学脱口秀X-Talk在腾讯北京总部举行。如于旸这样鲜少在公众前露面的腾讯科学家也从幕后走到台前,通过年轻人喜欢的脱口秀形式进行科普演讲。

 

  在他们看来,“黑科技”对于普通人来讲,或许需要一个讲大白话的“科学之友”来进行科普,对全社会来说,也需要一个更生动的科学普及平台,能用最通俗易懂的方式,让更多人了解到最前沿的科学动态。

 

  半路出家的网络安全大神

 

  在网络安全领域,提到“于旸”这个名字也许大家不知道,但是提到“TK教主”,几乎人尽皆知,TK是于旸网名“tombkeeper”的缩写,他是国内顶尖白帽黑客之一,上能给奥运会信息网络安全指挥部当技术专家,下能接地气在社交媒体当一名网红科普博主,由于他的教育背景,网友又附赠了他一个称号——“妇科圣手”。

 

 

  于旸现任腾讯玄武实验室负责人。他从事信息安全研究工作十余年,主要研究方向聚焦在针对各类型漏洞的挖掘、利用、检测、防御,以及涉及硬件、无线等方面的复合安全风险。他曾发现并报告了Cisco、Microsoft等公司产品的多个安全漏洞。于旸曾在BlackHat US、CanSecWest等国际安全会议上发表演讲,是CISP认证“恶意代码”这门课程的最初设计者,也是微软漏洞缓解技术绕过悬赏十万美元大奖全球三个获得者之一。

 

  这样一位大神级的科学家,竟然是半路出家。

 

  按照于旸自己的话来说,自己的童年时代大部分的时间都花在了探索世界上,他会把家里的收音机、挂钟甚至是电视拆掉,但和一般熊孩子不同的是,他可以再原样安装回去,不会因手中多了一把螺丝而换来一顿胖揍。

 

  采集植物标本、在厨房里做化学实验、研究手榴弹拉线的原理……共同构成了于旸的“缤纷童年”。

 

  “当接触一个事物的时候,自然就想去探索它背后的逻辑,这成为了一种习惯。”

 

  1997年,在父母的建议下,于旸考取了安徽医科大学临床医学专业。直到这个时候,他还没有接触过计算机。

 

  大学二年级的时候,学校开设了计算机课程,那个年代,电脑没有大规模普及,课堂中的知识也非常粗浅,甚至都还是从开关机、打字等计算机基础开始教学,于旸至今还记得自己当时的计算机老师。

 

  “他甚至不会重装系统,如果计算机出了故障,他会掏出一个笔记本,上面密密麻麻记录着重装系统的步骤,但如果没有那个笔记本,他就完全无法应对故障了。”

 

  于旸发现,计算机很适合自学,对物质条件要求比较低,只要一台电脑就可以研究很多东西。

 

  “我如果要研究一片树叶,不可能用树叶研究树叶,至少需要一台显微镜,但我用计算机就可以研究计算机。如果我生于豪门,小测验考一百分就可以得到质谱仪作为奖励,生日礼物是一个基因实验室,我可能就干别的去了。”

 

  令于旸感到幸运的是,当时全市唯一的计算机专业书店和计算机硬件市场都在自己的大学附近。

 

  买书和买硬件主要靠稿费和省下来的生活费。甚至有段时间,他为此每个月只花 90 元吃饭,“但也换来了我那时候标准的身材,比较瘦。”

 

  真正促成于旸走上职业道路的是“尼姆达蠕虫”事件。那是2001年,一个名为“红色代码”的网络蠕虫引起了全世界的恐慌,稍加改造的蠕虫便可以让大量服务器瘫痪,严重威胁网络安全。

 

  为了研究“红色代码”,于旸在自己的电脑上架设了蜜罐(一种网络安全技术),结果意外捕捉到了比“红色代码”影响力还大的尼姆达蠕虫,并撰写了一份分析报告,虽然现在看来那份报告非常稚嫩青涩,但却是国内第一份对蠕虫这种新型安全威胁做出多角度分析的报告。有家安全公司因为于旸提交的报告,赠送了他一套杀毒软件,这让于旸感到自豪,并收获了信心。

 

  最终,在读了5年医科大学后,于旸决定放弃医学专业,投向信息安全行业。

 

 

  微软寄来的10万美金

 

  毕业后,于旸加入了绿盟科技研究院,正式开始了他信息安全的工作,工作内容涉及技术研究、产品开发、工程服务和安全教育等多个方面。

 

  2013年,在 CanSecWest(世界顶级安全技术峰会)上,于旸向现场听众介绍了一种通用的绕过 DEP、ASLR 甚至 EMET 的技术,并提出了相应的防御建议。于旸大胆地指出,微软Windows7中使用的一套看似无懈可击的安全防御机制,其实有个简单的办法“一点就破”。

 

  于旸的研究对微软的触动无疑是巨大的。这让微软最终意识到,单靠自身就一劳永逸解决系统漏洞防护问题并不可能。几个月后,微软设立了高达10万美元的安全挑战悬赏奖金。

 

  此前,业内并不相信微软真的会给奖金,毕竟他们已经坚持了十几年不为漏洞付钱的原则。直到有位英国科学家获得了该奖,于旸才相信,可能是自己提出的技术促成了这个奖项。

 

  又过了几个月,于旸将研究的另一些漏洞利用技术做了实现,发给微软。他成为全世界第二个拿到微软安全挑战悬赏奖金的科学家。

 

  2016年8月,微软公布了全球黑客贡献百人榜,于旸排名第二。

 

  “当拿到微软10万美金时,我觉得可能这个研究是我职业生涯中做出的最重要的一个研究,但后来很快发现并不是。”

 

  于旸于2014年发起腾讯玄武实验室,他发现,随着研究的深入和科技的发展,有更多有意思的挑战在等着自己。

 

  在X-Talk的现场,于旸为现场的观众介绍了腾讯玄武实验室的一个研究,仅仅通过一张便签纸,便可以一秒解锁屏下指纹手机。

 

  这个研究时间是在2017年底,那时屏下指纹技术刚刚普及到手机厂商,并推向市场。

 

  于旸和同事发现,用户做屏下指纹识别的时候,在解锁屏幕手机的同时,用户的手指会在屏幕上留下一些痕迹,然后通过光学原理通过指纹识别系统认为这是一个真的手指按在手机上,从而实现绕过指纹识别系统。

 

  在发现漏洞后,玄武实验室通知了所有厂商,在技术刚投入市场的时候发现了它并且解决了它。

 

  “在座的各位,不管你用的哪个牌子的手机,只要用到屏下指纹技术,那么就有我们实验室的成果在里面。”

 

  在于旸看来,在万物互联的今天,以及未来,受到安全问题威胁的可能不再只是账号、数据、隐私,可能会更加超越这些。

 

  “如同汽车安全带的发明,要落后于汽车的发明一样,信息安全的研究在曾经也是滞后于信息技术的研究的,但几十年的经验教训后,业界认识到,安全不能像曾经那样跟在后面走,而是要前置,甚至要在前期设计规划中便引入安全的视角,以便尽早避免后续可能的问题发生。”

 

  “在我们实验室的一些研究当中,已经看到了一些迹象。这可能只是万物互联世界中一个非常小的点,但它也预示着未来网络安全问题会更加重要。还有很多类似这样的安全隐患问题,所以我们需要赶在被坏人利用之前去发现它。”

 

  生于这个时代,不放过每个机会

 

  作为大神级的科学家,于旸在社交媒体上却异常活跃,微博、知乎,都有他的段子,甚至他被称为网络安全领域最会讲段子的人。

 

  于旸认为,使用社交媒体,同样是自己观察生活,与世界连接的方式。

 

  “有很多人一辈子都不会离开自己出生的城市,像一些山村里的老人,从生到死没出过村子,人生很小,但这个世界是很大的。互联网是伟大的发明,提供了一种途径,能够让我们这样很渺小的人,跟整个世界发生了连接。有这样一个机会,我们正好生于这样的一个时代,一定不能放过这样的机会。”

 

  在X-Talk的活动中,于旸轻松愉悦的演讲风格,迅速缩小了技术所带来的陌生感和距离感,在他看来,在15分钟的演讲中,能让大家对信息安全有基本认知,自己的目的就达到了。

 

  活动中,和于旸一样,同为腾讯科学家的世界著名计算机视觉、多媒体技术和机器人专家张正友博士也通过演讲的形式和观众分享了对于人类与AI、机器人和多种前沿技术共存共建的未来。

 

  对于“快速发展的科技,会不会让我们生活变得更魔幻?”的讨论声,腾讯集团副总裁、阅文集团首席执行官、腾讯影业首席执行官程武认为,技术本身没有倾向性,取决于我们的价值观,取决于技术背后的人。

 

  程武还表示,作为一家基于互联网的科技+文化企业,腾讯也在致力于让科技成为传播真善美的载体,让鲜活的数字文化内容,更好地呈现传统的审美,连接人们的情感。

 

  在行业看来,目前,国内对于科技创新的需求迫切,对于技术伦理的讨论热烈。推动科技的发展,企业不应只做自给自足的“个体户”,而是要创造条件,让更多力量参与进来。这就需要企业在力所能及的范围之内,帮助社会培育科学氛围和科学精神,帮助解决科学从业者的痛点和困难,帮助科研圈吸引和留住人才。

 

  只有在社会氛围、人才梯队、物质保障方面充分“开源”,才能够有源源不断的活水涌入,滋养各行各业科技进步。

 

  一个科技向善、向美、向未来的社会,是由每一个怀着好奇心、关注科学的平凡人组成,而我们的共同想象,就是未来的方向。