首页 > 安全 > 网络安全 >

没有色彩的TK教主和他的腾讯玄武实验室

2015-12-21

“我比较喜欢这个人物形象,希望我年老后也能像那样保持思维清晰和决绝狠辣,不要变得温和慈祥。”——Tombkeeper “没有色彩”的TK教主 关于TK教主,想必不用多做介绍,从“妇科圣手”到全球知名白帽黑客,从


“我比较喜欢这个人物形象,希望我年老后也能像那样保持思维清晰和决绝狠辣,不要变得温和慈祥。”   ——Tombkeeper

“没有色彩”的TK教主

关于TK教主,想必不用多做介绍,从“妇科圣手”到全球知名白帽黑客,从“微博大V”到安全会议上低调的路人甲,他可以普通到你根本无法从人群中一眼就认出他,“我有十二件一样的 T 恤,三条一样的牛仔裤,三十双一样的袜子”。O——M——G!

??而喜欢教主的人就是粉他,TK的幽默中露睿智,戏谑中含态度,旁征博引之后还不忘科普常识。正因如此,“段子手”TK的一条微博有时会引得百人的转发和评论。

2014年6月,TK转会腾讯并建立了腾讯玄武实验室。年轻的玄武实验室在教主的引导下创造着怎样的价值?在FreeBuf与TK的对话中,教主又透露了哪些讯息?

关于腾讯玄武实验室

FB:您曾经说过,能不能从事信息安全工作是“成年之前”决定的。请问,在建立玄武实验室的时候,您如何挑选队友的?能简单介绍一下现在实验室的人员组成和职责分配。

TK:“成年之前”实际上是特指安全研究工作。每个人都能尝试学习和从事安全研究,但能做到什么程度,能达到的上限,一半取决于先天,一半取决于成年之前所受教育和训练塑成的思维能力和思维方式,这些在成年后很难改变。

对安全技术有强烈兴趣,进行自学,并已经在至少一个方向有深入的钻研,是进入这行的基本要求。如果同时想象力丰富,创造力强,那就有希望在这行里做的比较好。如果还有广泛的兴趣,旺盛的精力,巨大的脑洞,就有望发展为一流选手。

我们实验室目前仍然在招聘中,欢迎大家。??(传送门:简历请发至xlab@tencent.com)??

FB:腾讯玄武实验室定位中有一条是“面向实用的安全技术研究”,请问您是如何做到将研究与实践优雅结合?

TK:我们选择研究方向时会考虑腾讯的业务场景,会先考虑能在什么场景下发挥作用。我们平时关注行业的新动态,也会关注学术界的新动态。目前还谈不上优雅,甚至比较笨拙,不过把业务、工程、技术平衡好是我们努力的目标。

FB:“玄武”是北方神兽,龟蛇一体,紧紧缠绕。“蛇”即是攻击,“龟”便是防御,攻防并进,暗示攻防。您如何看待安全行业中长期存在的“攻防之争”,我们从被动防御到转守为攻,玄武实验室有哪些动作?

TK:我觉得“攻防之争”是伪命题。攻防都是技术,方向不同,没什么好争的。生产子弹的和生产防弹衣的有什么好争的呢?我没见过哪个在防御技术方向做的非常好的人或是在攻击技术方向做的非常好的人会挑“攻防之争”的是非,顶多拿出来开开玩笑。而且很多人在两方面都有建树。

FB:作为长期关注腾讯玄武实验室的安全爱好者之一,每天翻阅玄武实验室的微博更新“最新的安全资讯、技术文章”链接,最近发现你们还开通了微信公众号(微信号:XuanwuLab),请问这样做是否是想要和大家拉近一些,接接地气?

TK:很高兴知道你一直关注我们的每日安全推送。龟和蛇都是在地上活动的,本来就很接地气,哈哈。我们今年是陆续做了一些这方面的工作,主要想把一些安全方面的信息,包括我们的研究成果和业界分享,回馈社区。

FB:我们知道玄武实验室成立的时间并不算长,但是今年在您的带领下于很多场合公开展示了你们的最新研究成果,可以介绍下此次玄武实验室“用激光入侵系统”BadBarcode研究的新进展(详情参见《腾讯玄武实验室亮相东京:BadBarcode条码攻击,一张纸入侵企业号星舰》)。从“扫码”到“激光”入侵,接下来会有什么方向?

TK:BadBarcode 问题,本质上是因为条码阅读器在协议上允许包含控制字符、在实现上支持模拟键盘的方式,这两点单独看都没什么,但出现在一个产品中的时候,就会变成安全问题了。比如说,我们还分析了银行卡阅读器,因为银行卡的协议不支持控制字符,所以虽然很多银行卡阅读器也工作在模拟键盘的方式下,但不会有类似问题。否则,也许用一张特殊的银行卡,就能让 ATM 机大把吐钱,那就很恐怖了。

BadBarcode 是个历史悠久的问题,至少有二十年历史。所有让条码阅读器工作在模拟键盘方式,而系统又支持热键的场景下,都可以发起 BadBarcode 攻击。从我们了解的情况来看,这种场景是极多的。因为虽然条码阅读器可以有多种数据传输方式,但模拟键盘这种方式的应用、开发成本最低,兼容性最好,所以相关厂商往往倾向于选择这种模式。另外,使用条码阅读器的系统常常位于防火墙之内,所以 BadBarcode 是一种很直接的可以突破网络安全边界的威胁。

攻击者除了物理靠近条码阅读设备,直接用条码发起攻击外,还可以通过网络攻击,以及利用激光发起远程攻击。

比如现在很多商家可以扫码支付。攻击者并不需要跑到商家去,通过入侵云端或终端,将消费者手机上的二维码修改为 BadBarcode 的攻击代码,消费者刷手机支付时,就可能作为帮凶,替攻击者入侵了商家的扫码支付系统。

我们还发现了一种很科幻的攻击方式:将编码了 BadBarcode 信息的激光束照射在条码阅读器上,可以让条码阅读器认为自己正在读取条码。使用合适的激光发射装置,可以在很远的地方发起这种攻击。

解决的措施其实并不复杂,可以在条码阅读器硬件上解决,也可以在系统上解决。最简单的方式就是在系统上屏蔽可能造成危险的特殊热键。但解决BadBarcode问题的难点可能是无论是相关系统厂商还是条码阅读器生产商都可以认为问题不出在自己这里,于是都不去解决。

小编:腾讯玄武实验室已经入围FreeBuf主办的“FIT互联网安全创新大会”WITAwards的“最佳安全团队”的候选行列。投票猛戳

??对此,TK谦虚表示:我们人员到位、运转也就刚半年,还非常年轻。非常荣幸能和众多优秀团队并列在一个页面上,但距离“最佳”显然还有距离,所以我建议大家不要给我们投“最佳安全团队”的票。不过我觉得 BadBarcode 如果被选为“最佳研究成果”还是比较合理的。(FB:“最佳研究成果”是由评委投票选出)

FB:您曾不止一次在多个场合谈到一个观点:“如果这些活动能让校园里的安全技术明星和那些校园里的文体明星一样,成为关注的焦点,成为异性仰慕的对象,何愁最聪明的那些年轻人不加入这个行业,何愁安全行业后继无人?”您如何看待安全行业的继承者们?

TK:??十年前,一个美国黑客来中国参加安全会议,很惊讶地说:“我羡慕你们,中国黑客居然很多都有女朋友。”这两年对全世界安全从业者来说可能是近 20 年来最好的时候。因为我发现大多数外国黑客也都有女朋友了,哈哈。另外,这个以男性为主的行业也出现了一些从事技术方向的女性。这些信号都说明行业处于不错的阶段。

在这个阶段,会有很多年轻人关注这个行业。不过我接触了一些年轻人后,发现有不少人有焦躁情绪,想找捷径,想一口吃个胖子。搞技术,要能坐的住冷板凳,也要能坐的住热火炕。

FB:《黑客与画家》这本书里面提到了技术和艺术的相同点,“外行无法欣赏,但是内行能够体会其中的美感”。您如何看待这种内行与外行间理解或者沟通的问题。对于腾讯用户而言,切身的利益或许就是QQ盗号、支付等问题,而研究者是否应以用户需求为中心?

TK:是这样的,以用户为核心是腾讯最重要的企业文化。技术本身确实存在“外行无法欣赏,但是内行能够体会其中的美感”这个特点,但这并不妨碍用技术为客户服务。因为服务客户的过程并不需要让客户理解或欣赏其中的美感。比如说,药物研制是非常专业非常复杂非常难懂的,但病人吃药很简单,咽下去就行了,体会不到修饰化合物分子的精妙美感也能治好病。

关于TK个人

FB:长期关注您的微博,您似乎什么都懂。软件、硬件、生物、医疗、政治、历史、宗教、文化,博古通今……您能举出三个您不是很懂的专业么?

TK:我不懂的东西太多了。所谓“博古通今”,可能是因为比较喜欢阅读,对不少领域都有些泛泛的了解。其实即使是大学所学的医学专业,我也只是在相关几个学科上有很些初级的知识。真正敢自称比较懂的还是在所从事的信息安全行业上。另外,我对艺术类和体育类的大部分知识都不感兴趣,也基本都不了解。

FB:您曾说:“我这么多年来一直每天工作 12 个小时,不是为任何人拼命,只是我自己想去做那些事而已。”在研究Windows时,您也曾日以继夜,全力以赴。请问,您是如何化解研究过程中遭遇的困难,并建立自信?

TK:很多人成年累月打麻将都不累,因为打一圈也就十分钟,顶多几十分钟,很短时间内就能获得牌局结果反馈给大脑的刺激。如果我们修改规则,让每圈时间变成 48 小时,就算每天打 12 小时,打完一圈也要 4 天,这时候,打麻将就会变得让人沮丧。

对研究工作来说,如果把长期目标分解成一个个短期目标。那些可以在较短时间里到达的里程碑会对情绪形成正面激励,让你有信心一直坚持下去。

FB:您当过学校记者团的团长,考上过电台主持人,毕业于医科专业,获得微软10w奖励……您的个人经历在外界看来简直传奇。而您一再强调,“我的生活和多数普通人没有区别”。请问,您是如何看自己的生活,作为微博大V和圈内大牛,您又怎样面对周遭的功名利。

TK:我的生活真的非常普通,非常土。我有十二件一样的 T 恤,三条一样的牛仔裤,三十双一样的袜子。结婚的 10 天婚假我在家看了 10 天美剧,顺便搞了些研究。老婆生完孩子我在家带了一个月孩子,抽空写了几篇文章。我的微博被不少安全圈外的人关注,可能也是从那几篇文章开始的。

名利对人的诱惑还是很大的。古人说“名缰利锁”,凡人是挣不脱的。比如你称我为“圈内大牛”,我虽然可能要假装谦虚一下,但还是很开心。用不着强迫自己修炼到视名利如浮云,做个名副其实、取之有道的人就行了。

FB:曾经考虑过,如果不研究网络安全,会投身哪个行业么?

TK:私家侦探或者图书馆管理员。


FB:很少看到您提及妻子和家人,能简单讲讲您作为普通人的周末通常怎样度过的么?(个人追加提问:您现在还打游戏么?)

TK:我周末通常会花一半时间工作,另外还会花一些时间陪陪家人,搞搞别的兴趣爱好。游戏偶尔也打。

FB:请问,教主最近在看什么方面书,有哪些推荐?

?TK:除了信息安全专业相关的书,我最近零星读了一些《历史的终结及最后之人》、《经与史:华夏世界的历史建构》、《超弦理论》、《引力是什么》。这几本书不错,也推荐大家阅读。

?

FB:对于2016年的期待和计划,方便透露一下吗?生活、家庭、工作、实验室、个人都可以。

TK:实验室方面,我最大的期望是进一步完善今年试行的新人培育计划,让新来的同学们获得很好的成长,不辜负大家对我的信任。我个人希望能有多一些时间做研究,当然这可能是奢望,哈哈。

FB:最后一个是我们FreeBuf专访保留问题,请问您最喜欢的日本明星是谁?

TK:入山杏奈。

深夜近12点收到教主的采访回复时,小编深感给教主增加了不少的额外工作,在这里特别感谢TK教主接受FreeBuf的专访,并给予了我们极大的支持与认可

2015互联网安全年度评选

FreeBuf 主办“2015互联网安全年度评选”WitAwards已经进入到万众期待的全民投票阶段啦,年度安全团队(腾讯玄武实验室有入围)、年度安全宝贝、年度安全云、年度最佳SRC、年度安全产品、最佳安全研究者等十二项大奖花落谁家,由你决定。

投票地址猛戳

最终评选结果将在2016 FreeBuf互联网安全创新大会(FIT)上揭晓。

相关文章
最新文章
热点推荐