DNSPod十问TK教主于旸:从妇科圣手到顶级黑客, T5技术大神的传奇之路
问答时间:2021年01月28日
嘉宾简介:
于旸:人称“TK教主”,腾讯安全玄武实验室负责人,教育部高等学校信息安全专业教学指导委员会委员,工信部通信科学技术委员会业务及管理专家资讯组专家,国家密码管理局第二届密码行业标准化技术委员会委员;曾获国家互联网应急中心 “奥运信息安全保障支持个人一等奖”、中华国际科学交流基金会“杰出工程师青年奖”;是微软漏洞缓解技术绕过悬赏十万美元大奖全球三个获得者之一、“Pwnie Awards 最具创新性研究奖”设立十年来亚洲唯一获提名者。
主持人简介:
吴洪声(人称:奶罩):腾讯云中小企业产品中心总经理,DNSPod创始人,洋葱令牌创始人,网络安全专家,域名及DNS技术专家,知名个人站长,中欧国际工商学院校友。
以下为对话原文整理:
吴洪声: 你从医学院毕业,按正常轨迹走你应该是一名治病救人的医生,但现在却成为了一位安全领域的技术大拿,在黑客圈人送外号“妇科圣手”,是什么原因让你放弃了医学这条路转而投身于网络安全?这两者之间有没有什么共通点?
于旸: 网络安全或者医学,我感兴趣的都是其作为科技的一面。所以这两者对我来说没有太大不同。只是作为科技来对待的话,医学的研究条件太难以获得,而网络安全只需要一台电脑就可以。这是我选择网络安全最重要的原因。
医学其实就是人体的网络安全,网络安全就是电脑的医学。所以医学和网络安全还是有非常多共通点的。比如在给人看病需要诊断,而处理网络安全问题也需要诊断,两者的诊断中所用的思维方式也多有相似之处。再比如网络安全产品是通过攻击特征来建立防御的,疫苗也是通过病原微生物里特征来建立防御。
吴洪声: 最近九章量子计算机的新闻引发了广泛关注,量子计算机超高算力或许会给信息技术带来新一轮革命。未来会不会因为量子计算机的出现而导致现有安全机制变得不堪一击?针对这个问题,你是怎么看待安全技术的发展方向的?
于旸: 目前来看量子计算对网络安全最重要的威胁就是破解非对称加密。如果量子计算能实用化,现有的RSA等算法可能会变得很脆弱。不过倒也不用担心。因为相关防御技术也早就有人开始研究了。比如后量子密码,也就是能对抗量子计算的加密算法,这个已经有很多备选方案。
不过需要注意,如果等实用化的量子计算机面世,我们再去把算法切换为后量子密码就晚了。不能等到那个时候,需要提前,而且是要提前相当长的时间。因为虽然现在的加密通信数据攻击者截取了也破解不了,但攻击者可以把数据存下来,等量子计算机出现之后再破解。所以我们需要对实用化的量子计算机什么时候出现有一个预判,要提前足够长时间切换到后量子密码。确保等攻击者能破解的时候,数据的价值也已经不大了。
吴洪声: 前几个月,搭载M1处理器的Macbook Air 刚一上市,就被你发现了能秒级获取root权限的严重系统安全漏洞,这也是第一个被发现的能影响苹果Apple Silicon芯片设备的安全漏洞。可以聊聊你和你的团队是如何又快又准找到这个漏洞的?对于广大果粉又有什么建议?
于旸: 这个漏洞其实并不是 M1 版 Macbook Air 上市后才发现的。我们在稍早一些的时候就发现了这个漏洞,而且分析后发现这个漏洞不止影响 macOS,甚至也影响 iOS。所以我们判断这个漏洞可能也会影响 M1 版 Macbook Air。在 M1 版 Macbook Air 上市后,我们实际测试发现之前的判断果然是对的,确实也受影响。
这个漏洞的发现和处理主要是漏洞研究者和产品开发者之间的事情。对果粉来说,就当作苹果相关的科技新闻了解一下就行了。不用太担心,也不需要做什么特殊的事,及时更新系统即可。
吴洪声: 安全无小事,在研发和部署系统的过程中我们都想尽量提升系统的安全性,但安全的投入又不可能不考虑时间和人力成本,尤其对于中小企业而言,成本的投入更需要进行严格控制。那如何评估目前系统的安全性是否足够?在安全方面有没有所谓的“及格线”?你有什么建议吗?
于旸: 安全防护力度和面临的威胁有关。而面临的威胁和攻击者的感兴趣程度有关。一般来说,大企业的数据多,价值高,所以攻击者也更感兴趣一些。但攻击者的兴趣也不是一定和企业规模大小成正比。比如说,数字币相关的企业,可能规模并不大,但攻击者非常感兴趣,所以面临的威胁也非常大。
所以很难有一种精密的方法去评估安全性的绝对值是否足够。但相对来看的话,比如和欧美国家相比,中国企业的网络安全投入在 IT 成本中的占比是偏低的。
吴洪声: 你曾经引用过温瑞安的一句话:“一个人若要暗杀另一个人,只要他足够耐心,够狠够绝够时机,武功再高的人也防范不着”。在你看来,是不是现在所有的系统都是存在缺陷的?做安全最大的挑战是什么?我们应该以什么样的心态去看待安全?
于旸: 现在行业里评价一个系统的安全性的时候,都是指此时此刻的情况,没有时间这个维度。但对攻击者来说并不一定需要此时此刻攻击成功。能在三个月内,或者一年内两年内成功入侵,对攻击者来说都是胜利。
而在这么久的时间里,系统是不是会有新漏洞被发现?是不是会出现新的攻击方法?是不是可以通过供应链渗透进来?
这就是做防御最大的挑战,不光需要跟技术搏斗,还要跟时间搏斗。所以做安全最难的不是把某时某刻的安全做到一个非常高的水平,而是能在一个相当长的时间段里做到长治久安。
吴洪声: 最近成都新冠确诊女孩被网暴,其姓名、身份证号码、家庭住址、照片等信息被泄漏,并在网络各大平台上被网友疯狂流传。从网络安全角度你怎么看待这个事件?你们如何保证普通人的信息安全?
于旸: 这首先当然是管理的问题,是人的问题。接触到这些数据的人把信息给泄露了,所以需要加强对相关人的教育和管理。但另一方面,从技术角度是不是也可以有一些思考?
前些年你发快递,发件人和收件人的姓名、地址、电话所有信息都在快递单上。但近些年很多快递公司逐渐开始解决这个问题,快递单上没那么多信息了。再比如前几年网约车司机可以直接在系统里看到乘客的电话,现在也看不到了。为了防疫工作,收集一些个人信息是必要的,但是不是可以不要让太多人都能随意直接接触到这些信息?这在技术上应该是能改进的。
吴洪声: 安全领域一直是热门信息技术的热门,似乎这个领域的从业者是“越老越香”。玄武实验室作为目前最顶尖的安全团队之一,你们团队的平均年龄大概是多少?你们作为这个领域的佼佼者也会有年龄焦虑吗?
于旸: 玄武实验室绝大多数成员都是校招进来的,所以团队非常年轻,平均年龄可能还不到 30。
安全行业确实是一个需要经验和积累的行业。IT 领域很多工作都可以拆解,像制造业一样去运作。但安全工作很多时候都需要有整体的理解。见过的东西足够多,才能有成有体系的认知。所以在这个行业里,老工程师的价值无可取代。
我是团队里年龄是最大的。但我至今仍然可以对实验室的工作有比较直接的输出。比如我们去年的快速充电器安全研究,就是我先做了预研工作,然后交给团队。后来团队做了一阵子,很沮丧地来跟我汇报,说研究做失败了。我听完告诉他们:“你们其实已经成功了”。从局部看是此路不通,但如果对安全有更体系化的理解,就会发现只要把技术路线调整一下就了。
我相信团队里的年轻人们到了我这个年龄后一定也仍然可以在行业里发挥重要作用。
吴洪声: 你的团队涉猎广泛,从软件到硬件,从应用到网络,无所不能。在这么多的领域中,你和你的团队是怎么选择“下一个”目标的?对于一些尚不熟悉领域的目标,你是否会担心团队出现投入太多又无法取得成果的情况?
于旸: 我们做研究的原则是:价值牵引,面向实用。在选择研究方向时,首先会看对腾讯的价值和对社会的价值。所以我们的工作内容里,直接面向腾讯业务的大约占 60%,不过由于安全工作的特殊性,这部分大家一般不知道。另外有 40% 是面向社会的,大家能看到的主要是这 40%。
做安全研究就是需要不断学习新知识,学习能力是做这行最重要的能力。所以不熟悉的领域对我们来说完全不是问题。前面提到的快速充电器研究,在这个研究里焊芯片设计电路板的同学在进玄武实验室前就从未搞过硬件。
做研究肯定需要面对做不出来的风险。当然我们也有一系列方法对风险进行管理。比如充分预研、定期回顾、及时止损等等。当然最重要的还是最初对目标可行性的判断。玄武实验室自成立至今,选错方向的情况只出现过 0.5 次。之所以说 0.5 次,是因为那个研究虽然没做出预期结果,但我们把“此路不通”的结论写了一篇 Blog,这篇 Blog 对很多相关领域的研究者仍然很有参考价值,还被一篇顶会论文引用了。
吴洪声: 领导风格决定团队风格,不仅你带领的团队无所不能,你本人也是个全才——一个“混迹”于网络安全领域,医学专业毕业会讲段子,在微博、知乎拥有大几万粉丝的“技术男”。能和广大年轻人分享下你的学习经验吗?怎么做到干一行像一行的?