今天我撩到的是众多黑客的偶像:于旸。
于旸目前供职腾讯,是腾讯安全玄武实验室的老大。
腾讯玄武实验室负责人于旸,人称TK教主。(鼠标后面那个软软的东西看起来好邪恶。。。)
有人对 TK 的评价是:黑客界段子编的最好,段子界黑客技术最牛。这其实不厉害,厉害的地方在于:他在黑客界,黑客技术碾压诸多同行;在段子界,段子功力也无人能出其右。这就有点恐怖了。
这位传奇大牛曾经是正经的医科生,人称“妇科圣手”,后来毅然弃医从黑,理由是:“在病人身上我不能胡乱尝试随意鼓捣,但计算机没事儿。”
在网上搜索“玄武实验室”,有一条特别靠前的搜索结果:
不知此女生是仰慕 TK 的黑客技术,还是段子水平,或是妇科医术。
篇幅有限,不多介绍了,如果你还不认识他,可以关掉文章先上知乎上、微博搜一波,包你不亏。
最近,TK 教主正在忙着张罗一件大事——中外黑客“鹊桥大会”。(不,这不是相亲。而是中外黑客在一起缠绵交融。。。我有点说不下去了。。。)
正经解释一波,这个大会官方名字叫做 AisaSecWest。神马?没听过?没听过就对了。因为这个大会还没举办过。
不过,你很可能听过网络安全界另一个声名显赫的大会:CanSecWest。这里的 Can 指的是加拿大,它一直在温哥华举办。最近,在腾讯的赞助下,这个大会要在亚洲设置分号了,故名 AisaSecWest。中国和外国的黑客将会在2018年6月,一起在香港安营扎寨,搞一次以技术交流为目的的大会,所以我叫它“鹊桥大会”。
CanSecWest 在世界网络安全界,影响力相当大。只有做出顶级的学术研究,才能登上它的讲台。每年全世界各地的黑客都会向大会投稿,争取演讲的机会。而组委会只从中选择二十个议题,“中签”的难度,其实也不亚于北京车牌摇号。当然,和摇车牌只靠运气不同,登上 CanSecWest 的讲台,靠的是刻苦钻研。
2017年,腾讯安全玄武实验室研究员丁川达在 CanSecWest 现场演讲。
虽说远在大洋彼岸,但 CanSecWest 上并不缺少中国黑客的身影。比如,TK 在2013年,就登上了 CanSecWest 的讲台。之后几乎每年都远赴加拿大,以演讲者的身份参加这个顶级黑客会议,可以说渊源不浅。
但这个顶级黑客大会,为神马跟白求恩一样,不安静地待在加拿大,而是不远万里来到中国呢?
腾讯又为什么会倾囊相助,赞助 AisaSecWest 呢?
这个大会,又为什么选在香港召开呢?
这些看上去简单的问题,其实并不好回答。它们背后都隐藏了一些让人深思的现实。跟 TK 聊过之后,我意识到所有的答案都围绕着一个关键词展开,这就是:“网络安全社区”
接下来我就围绕着这个关键词,回答刚才的问题。
一、中外的黑客圈子,到底谁更牛?
TK 讲了一段自己的青涩往事。
我第一次出国参会,是2011年。那是在美国拉斯维加斯举办的 BlackHat 黑客大会。之前我在国内已经参加过很多会议,但 BlackHat 的规模还有会议的成熟度,还是给我很大的冲击感。
让我印象最深的就是国外的“社区氛围”。
他提到了一个关键的词:“社区氛围”。
每年在美国举办的黑客大会:BlackHat
社区这个词,很多人感觉比较陌生。实际上,它就是我们所说的“圈子”。无论有什么爱好,你都会发现:在一个人的成长中,和圈子里“同好用户”的交流,对自己的技术提升大有帮助。特别是网络安全这样的高精尖技术,更需要交流和相互学习。
中西网络安全社区,画风差异有点大。
第一个差异是:研究的领域。
从安全研究员的演讲内容就可见一斑:
从议题范围来看,中国黑客大多集中在漏洞挖掘、web 防护等等更实用的领域,虽然研究很深,但范围比较窄;
但外国黑客搞什么的都有,无线电、硬件等等,研究同样深入,而且覆盖面很广。
TK 说。
这张图片是在美国黑客大会 DEF CON 上,人们在研究某种电路板。
这种中西差异,我们其实已经习以为常。每年,中国骚年都能在国际奥赛上斩获大奖,但是在考验创意的发明创造领域并不出彩。
开个脑洞,这种思维模式区别,其实恰恰对应了中国的国际分工:
从90年代末开始,世界来了一场浩荡的大分工:中国成为了标准的世界工厂,而于此同时,西方成为了世界创新中心。
换句话说,中国更多承担了从1到100的职责,西方更多承担了从0到1的职责。
显然,从1到100更需要强大的执行力,而从0到1更需要发散和创意。从这个底色出发,世界两端的孩子也就生长出不同的思维特征。
第二个差异是:社区文化。
中国的网络安全会议,开着开着,很多人就跑出去聊天。聊天的内容,大多是和技术关系不大的话题。可能一次会议最重要的议题就是天南海北的朋友聚在一起吃自助餐;
而国外的会议,大部分人会认真听,他们即使交流,也更多是围绕着各自的研究。
也就是说,中国的网安社区更强调人与人的关系,而西方的网安社区更强调单纯的技术色彩。
“当然,这无关好坏。”TK 说,“只不过这样一来,中国的网安社区,和其他社区就没什么明显差异了。我觉得一个技术圈子,还是应该加强其中的技术色彩。”
其实,很多人对于中国的网络安全社区文化已经颇有微词,想要努力改变。
他们发现,最好的改变都始于交流。但毕竟加拿大山高水远,签证不好拿,去一趟还挺贵。所以能够参与到 CanSecWest 大会的中国安全研究员毕竟是少数。基于这个单纯目的,TK 想把大会引进中国。
CanSecWest 现场
二、腾讯和安全社区有神马关系?
说到这里,AisaSecWest 的目的已经明确:中西网络安全社区大交流。
但这只是 TK 作为安全社区的一员的期望。而 TK 背后是腾讯,最终赞助 AisaSecWest 的,是腾讯安全。
问题来了:乍一看起来 AisaSecWest 和腾讯八竿子打不着,为什么腾讯会对赞助它如此热心呢?作为一家巨无霸互联网公司,他们想从中西安全社区的交流中获得什么呢?
要说明白这个问题,先要普及一个背景知识,那就是:腾讯究竟有多需要安全?
腾讯对于安全的认知,我把它分为四个时代:
1、QQ 时代:保护自己
在腾讯成立早期,唯一的拳头产品就是 QQ。很多人都有记忆,此时有关 QQ 的安全问题只有一个:盗号。
彼时的腾讯,可能并没想象自己会成为如今的巨头,但他们比别人更早体会到了一个道理:产品的安全性对企业来说生死攸关。所以,腾讯其实在非常早期,就建立了安全部门。
这个安全部门,以保护公司业务为己任,非常务实。这也是腾讯安全最初的底色。
2、黑客时代:保护用户
后来,腾讯的通讯软件不断开疆拓土,成为全民标配,最有眼光的投资家,已经开始发现这家公司的“巨头相”。最有眼光的坏人,也开始发现 QQ 的利用价值。
那时,一些灰色的交易或者诈骗,都会选择利用通讯软件,而其中市场份额最大的 QQ 必然逃不掉躺枪的命运。
关键问题在于,QQ 在自己的领地上,并不能完全揪住坏人。打个比方,腾讯开了一家商场,大家都来购物。客人来了,小偷也来了。由于商场里的保安非常厉害,所以小偷不敢在商场里下手,但他们会尾随顾客,出了商场再下手。
讲道理,顾客出了商场,就和腾讯没关系了。但腾讯气不过,他们决定给每个顾客都配一个“管家”,时刻保护用户。没错,这就是腾讯电脑管家(还有后来的手机管家)。
3、黑产时代:远征敌境
我可以断定,能看到这篇文章的人,百分之百都是腾讯的用户。你可以思考一下,作为用户,隐私、金钱都和社交软件高度相关。所以我们对腾讯产品的安全性要求是很高的。
可想而知,小马哥在腾讯安全上感觉到的压力有多大。
2010年之后,腾讯成为公认的互联网巨头。但是,当年的黑客也已经鸟枪换炮,组成了黑产大军。各种姿势的黑产团伙已经和互联网巨头打起了游击战。
这种游击战你听上去很陌生,但它最主要的手段所有中国人都耳熟能详:电信诈骗。
电信诈骗的基本思路是:你腾讯不是把互联网上的链条都守备森严了吗?好,我跳出互联网世界,来一个“O2O”,用语音通话的方式线下直接骗钱。
于是,这就引出了腾讯安全浩浩荡荡的“守护者行动”。简而言之:把安全技术放到电信运营商里,直接阻断诈骗电话,把安全技术放到银行,直接阻断资金流转;把安全技术交给警察叔叔,直接抓人。
讲真,这些内容,已经超出了互联网公司的业务范畴。但是,上亿用户被腾讯背负在身,于情于理,无论是出于社会责任,还是出于商业利益,“远征敌境”这件事都不得不做。而几乎每年守护者大会,小马哥都“御驾亲征”,亲自站台,足见他的重视。(有关这部分的讨论,我在另一篇文章《远征漠北:腾讯的黑产战争》里有详细解读,里面有一些脑洞,感兴趣可以点进去看看。)
4、生态时代:帮助队友
如果说整个中国的安全力量像一支足球队,那么腾讯算是其中一个明星球员。但是,就像现实中的中国队一样,虽然经常有国际球星出现,自己踢得巨好,但是一旦和队友进行整体配合,就瞬间被秒成渣。
这么多年,艰苦磨练安全技艺的,无外乎 BAT 这些大厂,但看着身边的其他队友,多少有点累觉不爱。
所以,腾讯安全目前的战略是:
1)帮助队友:开始 ToB 服务,帮助其他公司加强安全建设。
2)培养下一代:所谓足球要从娃娃抓起,安全,看起来也只得靠下一代了。。。
同样用足球类比,培养下一代,靠什么呢?当然要靠全民热爱足球的氛围。翻译成另一个词,不就是“社区建设”嘛。
呼呼,长出一口气。。。兜了这么远,就是为了解决这个问题:为什么中国的安全社区建设,对腾讯来说这么重要?
答案是:
因为腾讯要生存,就要保护用户;
保护用户,就要打击黑产;
要打击黑产,就不能有猪队友;
不要猪队友,就要加强中国整体安全水平;
要提高整体安全水平,就要靠社区建设;
中国安全社区要想发展,最好的方法就是和西方安全社区交流;
交流的重要方式,就是定期组织大会,大家一起交流。
好的,大会来了,就是 AisaSecWest。
三、为什么要选在香港?
最后一个问题,为什么选在香港?
答:我愿意。
不不不,这个答案不厉害。
我们还是把坐在一边的 TK 请回来。
经常参加国际网络安全会议的 TK,其实能够看到这其中的细节:
比如,签证就是一个很大的问题。
中、美、俄,基本上是网络安全研究人员最集中的地区。但是,这些国家相互拿签证,拒签率都挺高。所以,很多安全大牛的议题很好,英语也很棒,也很想去交流,但就是被拒签。
同样美国人拿中国的签证,也非常难。美俄之间就。。。
再比如,语言也是一个很大的问题。
很多中国黑客技术很棒,但是英语很渣。而国际黑客大会基本都要求用英语投议题,用英语演讲。这又会拦下很多人。
再比如,信心也是一个很大的问题。
很多中国研究员,其实他们的议题已经足够投中国际大会的水准,但他们害怕失败,所以他们的方法是:我不投就不会失败。
这么多问题,解决方案只需要两个字:香港。
说到签证,香港应该是唯一一个西方人和中国人都可以自由进出的地方,TK 把它比喻为《星球大战》里塔图因上的太空港,各种奇形怪状的外星人都能在此停留。
说到信心,香港是中国领土不可分割的一部分,广大信心不足的黑客们一看是在自己的家里搞大会,心里门槛就没有那么高,也许就可以放心地投出自己的议题。
至于语言,“我们找了中英俄三语的同声传译”。TK 的解决方案粗暴而有效。
在 TK 心里,中外黑客社区,其实早就缺一场痛快的交流了。
中国长期被西方媒体妖魔化的宣传,很多外国人都觉得到中国大陆是一件非常危险的事,恨不得一下飞机就会被抓。
TK 吐槽。
其实,每次见到洋人,他们都会好奇地问 TK:“你在中国研究网络安全,会不会被抓?”
这其实是一种很奇怪的印象,这源于西方人对中国的发展没有概念。“他们心中的中国,还留在冷战期间的思路里。” TK 说。
好吧,既然你不敢来中国大陆,那来香港总可以吧。
这就是选在香港的良苦用心:
我们要让中国的安全社区学习国外的优点:思路广阔,关注技术,认真纯粹;
同时,我们还要向国外社区展示真实的中国社区:我们开放包容,我们喜欢朋友,我们并不是妖怪。
“我们可以过去,你也可以过来,这才是桥的意义。”段子手 TK,此刻语重心长。
四、中国社区VS外国社区
无独有偶,在 2018 年初,百度也宣布把另一场国际知名的黑客聚会“DEF CON”引进北京。百度和腾讯这两大巨头并没有沟通,却做了类似的布局。这恰恰说明一些问题。
随着中国的经济发展到了一定的阶段,中外技术的交流也发展到了一定的阶段。就像中国人参加了那么多年奥运会,然后把奥运会办到了中国。
这对安全社区来说,是一个好事。
TK 说。
实际上,为了给中国的安全社区贡献力量,腾讯这两年没少忙活。随便举几个例子:
1)赞助极棒(GeekPwn)破解秀。通过各国安全研究员在舞台上展示各种奇葩的破解,让更多人关注网络安全。(用极棒发起人大牛蛙的话说是:让看不起安全研究员的丈母娘瞧瞧,你女婿多牛X,虽然暂时没房没车,但是我能上电视!)
2)举办 TCTF 网络安全大赛。很多年轻黑客组成战队同场竞技,胜者可以获得奖金和荣誉。让更多年轻人对网络安全感兴趣,从而投身这个让丈母娘又爱又恨的事业。为了加强社区交流,TCTF 还专门邀请了很多国外战队。
3)举办 CSS 中国互联网安全领袖峰会。致力于让传统产业也可以使用到成熟的安全技术。2017 年的 CSS 上,还请到了世界头号黑客:凯文·米特尼克。
眼看中国安全社区有越来越多和国际交流的机会,但很多人并没有很好的国际交流经验,TK 在圈子里摸爬滚打这么多年,他总结了两点经验:
1、类似这样的国际会议还是要争取演讲的机会。
不应该仅仅作一个参与者,而是让别人听到你的声音。只有听到你的声音,别人才会开始了解你,进而才会有更好的交流。
2、和社区多做互动。
例如,国际上开源的项目,可以积极参与。其实非安全的开源项目,中国的程序员已经逐步有了很多贡献,最典型的就是 PHP,其中的主力开发者就有中国人。
互动的方法还有很多,TK 举了一个有趣的例子:
前一阵子,英特尔 CPU 曝出了漏洞。大家都在讨论究竟有什么风险,腾讯玄武实验室却很快做了一个测试工具,测试你的浏览器是否会因为这个漏洞而被远程攻击。
这个工具在国际网络安全圈子里迅速流传,甚至还在浏览器的社区里流行。大家纷纷测试,测到了问题就来“质问”开发者,怎么还不修?开发者虚心接受,赶紧升级。
这其实就是一次很好的中外安全社区的互动——漏洞是外国人发现的,而测试工具确实中国人做的,大家相互配合,增进了了解。
说了这么多,TK 在描述的其实是一个古老的真理:
人人都有自己的爱好,也有自己的特长。无论是哪个社区,一开始你的水平比较差,可能插不上话。没关系,慢慢学,你会发现渐渐自己能够为社区贡献一些力量。慢慢地,贡献越来越大,你的话语权就越来越大。每当这时,你离自己的目标,就更近了一步。
每个对技术感兴趣的年轻人,腾讯的安全水平, 包括我们中国的安全社区,不都是这样一步一步成长的么?
还记得那个在知乎上提问,想加入玄武实验室的女生吗?其实,TK 本人在下面回答了这个问题。他的答案结尾写着:
“艺无止境,功不唐捐。”
不想走丢的话,你也可以关注我的自媒体公众号“黑客联盟”。
黑客联盟,让技术被读懂!
