专访TK教主于旸：原来那些搞安全的说的都是真的（图灵访谈）

引用：http://www.ituring.com.cn/article/196609

 

于旸，网名“tombkeeper”，在国内黑客界被尊称为“TK教主”，现任腾讯玄武实验室总监。于旸从事信息安全研究工做十余年，主要研究方向聚焦在针对各种型漏洞的挖掘、利用、检测、防护，以及涉及硬件、无线等方面的复合安全风险。他曾发现并报告了Cisco、Microsoft等公司产品的多个安全漏洞。在2008年北京奥运期间，他曾担任公安部奥运会信息网络安全指挥部技术专家，及CNCERT奥运信息安全保障小组技术专家，并得到CNCERT颁发的奥运信息安全保障支持我的一等奖。于旸曾在BlackHat US、CanSecWest等国际安全会议上发表演讲，是CISP认证“恶意代码”这门课程的最初设计者，也是微软漏洞缓解技术绕过悬赏十万美圆大奖全球两个得到者之一。

 

问：据说您找到第一个漏洞的时候，还在医院实习，您是如何燃起对信息安全领域的兴趣的？

实际上我对信息安全的兴趣并非“燃起”的。我从小就热爱天然科学和工程技术，直到如今也是这样。只不过信息安全研究对物质条件要求比较低，只要一台电脑就能够研究不少东西，比较适合自学，因此当年很天然走向了这个领域。若是我生于豪门，小测验考一百分就能够获得质谱仪做为奖励，生日礼物是一个基因实验室，我可能就干别的去了。

虽然我读的是医科大学，但二年级也开了计算机课，学一些 DOS 系统操做、Foxbase 数据库之类。后来本身买了台计算机，才发现这里面可研究的东西太多了。另外比较幸运的是，当时全市惟一的计算机专业书店和计算机硬件市场都在咱们大学附近。我买书和买硬件主要靠稿费和省下来的生活费。有段时间，我每月只花 90 元吃饭，因此那时候身材特别标准。

一开始，信息安全只是个人业余爱好之一，促成我走上职业道路的是 Nimda 蠕虫事件。当时在本身电脑上架设了一个蜜罐，在 Nimda 蠕虫爆发当天捕获了它，并写了一份分析报告。虽然如今看来那份报告很是稚嫩青涩，但那是国内第一份对蠕虫这种新型安全威胁作出多角度分析的报告，被不少网站转载。甚至在那以后很长一段时间，各家安全公司对蠕虫类的分析报告，都以我那份报告的内容框架做为模板。有家安全公司由于我向他们提供了那份报告，送了我一套他们的软件。而后我很快又发现了那套软件的一个漏洞。虽然是很是简单的堆栈溢出，如今看来，也很稚嫩青涩，但这些都让当时的我很是自豪，并树立了信心。做为一个读了 5 年医科大学的人，作出决定去从事另外一种技术工做，这种信心是很重要的。

问：您曾经说过，能不能从事信息安全工做是先天决定的，这些先决条件都包括什么？您是如何发现的？

说“先天”可能有些夸张，也许用“成年以前”这个词更合适。另外，信息安全工做分不少种，我特指的是信息安全攻防技术研究这个领域。

王尔德说：“教育是使人羡慕的东西，但要记住：凡是值得知道的，没有一个是可以教会的。”我见过不少出色的研究者，发现你们有一些共有的特征，包括想象力、观察力、好奇心、联想能力，等等。同时，我也见过一些技术底子好又努力的人，但没有作出比较好的成就，而他们的共性就是缺少前面说的那些特征。因此这算是个人一点我的主观经验。

问：您曾经在XFocus结识了不少朋友，还专门写过一篇文章向Benjurry（季昕华）学习，能透露一下文章谈到的“憋不住的事儿”是什么吗？

Benjurry 很聪明，懂技术，性格温和，擅长表达，自制力强，精力充沛，又有建功立业的欲望，这几点同时集中在一我的身上很是罕见。因此我和朋友们不少年前就说他必定会作成大事。因此他创办成功了的UCloud咱们一点都不意外。

在中国要作成大事，就得能“憋住”。罗永浩算是一个异类，但你看他最近一年，也比之前能“憋住”多了。

问：能简单谈一谈你得到微软漏洞防护挑战悬赏 10 万美圆大奖的经历吗？

DEP 和 ASLR 是两种重要的漏洞利用缓解技术，可使系统即便存在漏洞也难以被利用，是微软的重要安全防御措施。EMET 是微软的免费安全工具，能够为系统提供更强的 DEP 和 ASLR，以及不少其它防御功能。这些防护技术单独存在时，均可以比较简单地绕过，但结合起来后，就很强大。

2013 年 3 月 8 日，我在 CanSecWest 2013 上介绍了一种通用的绕过 DEP、ASLR 甚至 EMET 的技术，并提出了相应的防护建议——没有直接报告微软是由于此前微软不认为这类问题属于漏洞。

在我公开这个技术后一个多月，微软发布了 EMET v4 Beta，在其中根据个人描述和建议，对这种漏洞利用方法进行了检测防御。但就在新版 EMET 发布后的次日，我发现这个版本虽然新设计了不少防御功能，但实现上存在重大安全问题，甚至反而会使漏洞利用变的比不装 EMET 更容易。因而我将该问题报告给了微软。

又过了两个月，2013年6月17日，微软发布 EMET v4 正式版，在其中修复了我发现的问题。并在同一天，启动了 Mitigation Bypass Bounty 项目，征集绕过 DEP 和 ASLR 等防护技术的方法，给出了最高 10 万美圆的奖金。后来还在官方 Blog 中用我当初提出的技术做为例子，来讲明什么样的技术才符合 Mitigation Bypass Bounty 项目的标准。

因而有不少朋友误以微软已经给我发了这个奖，向我表示祝贺。我跟他们说其实没有，而且不太相信微软真的会给奖金，毕竟他们已经坚持了十几年不为漏洞付钱的原则。

可是，2013 年 10 月 8 日，微软公布了 James Forshaw 成为第一个得到 Mitigation Bypass Bounty 的人。我很惊讶，没想到微软转变了风格。而后我告诉老婆：极可能是我以前提出的技术促成微软设立了这个奖，但我却错过了成为第一个拿到奖的人。我老婆表示很惋惜，因而我对她说：“你别急，我给你弄一个回来”。

而后我花了一些时间，把以前研究的另外一些漏洞利用技术作了实现，发给微软，而后拿回了这个奖。

问：您为何离开绿盟，选择加入腾讯玄武实验室？

不少公司在谈到员工离职时的描述都是：“某某，因我的缘由离职”。我也是由于我的缘由。

问：为何百度安全攻防实验室、阿里安全研究实验室、腾讯玄武实验室都在2014年集中成立？

最根本的缘由仍是时候到了，国内对安全的认识到了这一步。因此去年我和很多人谈基础研究的重要性时，你们都比较承认。

问：在绿盟科技的招聘公告中有对学历的具体要求，而如今您在玄武实验室则明确表示“对学历没有特别要求”，在这之间发生变化的是观点仍是人才市场？

大多数公司的招聘启事都会有对学历的要求，但目的主要是为了过滤噪音，而不是拦住人才。若是你的能力够好，必定能够得到承认。玄武实验室如今有博士后，也有辍学的。

就像姑娘们征婚，可能会写一个一米八零的身高要求，可是不是一米七8、一米七七就不行呢？不必定。林志颖是一米七二，马克·扎克伯格是一米七五，遇到这俩，可能姑娘们会以为差几厘米就不是什么问题。

学历要求做为企业招聘的总策略多是合理的，能下降招聘成本。咱们实验室由于原本招聘人数就很少，因此能够直接采起更灵活的策略。

问：玄武实验室相对于腾讯其余安所有门来讲是主攻理论研究的学院派吗？大家和其余部门（工业派）是如何合做的？

咱们的研究风格不是学院派的。实验室定位中有一条是“面向实用的安全技术研究”，因此并不须要去跨越理论到实践的鸿沟，咱们搞的就是实践。

问：2010年时您转过一篇Paul Graham的文章《别为大公司拼命》，文中提出了一个观点：优秀我的的贡献和能力一般会被大公司所埋没，您如今还认同文中的观点吗？创业对您来讲是否具备吸引力？

Paul Graham 那篇文章的观点是：大公司没法准确测量每一个员工的贡献，因此，愿意拼命工做的人若是想谋求更高回报就应该创业。显然不少公司也意识到了这一点，因此才有了鼓励内部创业、对优秀的部门容许独立核算，甚至成立独立事业部等各类新型的企业管理方式。

你去证券公司开户，会让你作一个投资风险承受能力评估，里面包括你的年龄、收入、资产、风险偏好等一系列问题。创业也是相似的，是很复杂的问题，牵涉到不少变量。若是你很是年轻，大学刚毕业，作出创业的决定可能很轻松；若是你已经有了足够全家人过完一辈子的储蓄，作出创业的决定可能很轻松；若是你是特别爱冒险的人，在赌场里能够押裤子，而且家人支持你冒险，作出创业的决定可能也很轻松。但这些我都不符合。

另外，我也不属于有很强的开疆扩土、建功立业欲望的人，不少热衷于技术研究的人都不是。我这么多年来一直天天工做 12 个小时，不是为任何人拼命，只是我本身想去作那些事而已。

问：韩国对信息安全的重视远超大部分国家，其背后有哪些缘由？

是危机感吧，我猜的。就像他们要求全部满 20 岁的男性公民必须服兵役同样。

问：国内安全技术人才供求不平衡的缘由都有哪些？这些问题在短时间内是否有望解决？

各国其实都有这个问题。本质缘由仍是由于前些年网络安全威胁没有被充分暴露，致使对安全的重视不够，对安全人才的需求也不怎么迫切。好比有些学校前些年设立了网络安全专业，后来又撤消了。而 Stuxnet、斯诺登以后，人们突然发现：“原来搞安全的那些人说的都是真的，不是吓唬咱们啊！”因而人才需求增长的比较快，这时候发现供给跟不上了。

美国有一篇智库文章也谈到这个问题，那篇文章认为，并不须要为此特别采起什么措施，只要人才能充分市场化，几年内这种状况天然会缓解。我赞同这个观点。

问：经过亲身参与GeekPwn、XCTF、KCon，您认为这些活动是否对国内信息安全产业的发展起到了积极做用？

我认为竞赛、演练、研讨类的活动，对信息安全产业是有积极做用的。一方面促进业内交流，一方面促进人才培养。我在清华做 XCTF 宣讲时谈了一个观点：若是这些活动能让校园里的安全技术明星和那些校园里的文体明星同样，成为关注的焦点，成为异性仰慕的对象，何愁最聪明的那些年轻人不加入这个行业，何愁安全行业后继无人？

问：由您推荐，诸葛建伟、肖梓航、杨坤三位译者翻译的《Android安全攻防权威指南》一书最近已经出版了。Android系统和安全领域的图书不少，您在选择阅读技术书时有哪些标准？在阅读一本好书的时候应该注意什么？

我选书主要看做者是谁，另外也会参考 Twitter 等社交媒体上人们的推荐。比较优秀的技术专家，更有可能写出比较棒的内容，同时也更可能由于爱惜名誉，写东西比较认真。

我之前自学的时候，不知该看什么，就把书店里相关的书都买了。但如今安全类书太多了，有钱全买也没时间全看。但我仍然建议，若是你不肯定一本书是否是该买，那就宁肯错买，不可错过。若是买回来，翻了几页发现很差，只能拿来垫显示器，也不过损失几十元。但若是买对了，一本好书带来的益处将是无比巨大的。

读计算机技术类的书，最重要的是不能光抱着书读，得动手跟着作。