原標題：開始保衛(wèi)地球的90后

90后在忙什么？

吃瓜群眾普遍認為，今天的中國90后有三大特點：消費降級、認知焦慮、還不起房貸。如果把這三個特點結(jié)合成一個字，那么沒懸念了，這個字就是“慘”。

被70后嘲笑懶，80后笑話窮，00后覺得土的90后們，似乎正在承擔世界最大的diss。然而事實就是如此的喪嗎？

在我們難掩90后辛苦的同時，卻也會發(fā)現(xiàn)，90后這個代際正在強勢出現(xiàn)在世界運行的核心領(lǐng)域，甚至不妨變成中國的名片。比如說在網(wǎng)絡安全領(lǐng)域。

我們看過各種駭客電影，更知道所有大場面電影里，團隊里一定要有個玩電腦的。這些電影角色日常沒什么事，喜歡宅著，偶爾抽時間保衛(wèi)個地球什么的。

現(xiàn)實中，毀滅地球的危機可能不那么常見，但瘋狂的網(wǎng)絡安全問題卻是時刻存在的。有一群人固守在代碼背后，用盡各種辦法去和漏洞、黑客劫持、安全隱患博弈，他們被稱為白帽子。

而90后白帽子，已經(jīng)開始代表中國走上國際舞臺。

今天我們來分享一群白帽的故事。剛剛在拉斯維加斯舉行的blackhat和defcon上，來自阿里安全的年輕中國白帽子又一次亮相。

假如他們的故事是一部超級英雄電影，那么我們獲悉可以按照這樣的套路來發(fā)展：發(fā)生了什么事件；超級英雄做了什么；他們是誰；他們來自哪里……

刷安全頂會，我們好像終于找對了姿勢引出故事的神秘事件，是今年的blackhat和defcon——世界最頂級黑客會議。

近幾年來，中國科技公司刷黑客頂會已經(jīng)屢見不鮮，但讓人在意的地方在于，以往中國企業(yè)的刷會姿勢，總是有點怪怪的。

blackhat和defcon是什么樣的存在呢？blackhat號稱世界最頂級黑客大會，號稱掌管安全產(chǎn)業(yè)未來走向。而defcon則被稱為黑客界的奧斯卡，也被稱為頂級黑客間的神秘派對。早年間FBI守著門抓人，每年百萬資金池的攻防戰(zhàn)等等，都為這兩大頂會涂抹了一層足夠“酷”的底色。

然而有點尷尬的是，中國企業(yè)卻遲遲酷不起來。有媒體曾經(jīng)戲稱，defcon這種會，其他國家派來的都是少年天才，我們派的是大叔工程師…….

這里當然不是diss工程師或者大叔，但圍觀群眾顯然希望中國也推出自己的少年白帽天才名片——好在這確實正在發(fā)生。

近兩年，中國安全戰(zhàn)團似乎也開始嘗試更酷，更年輕的“世界姿勢”。比如“阿里安全+螞蟻安全”組成的阿里安全八大實驗室戰(zhàn)隊，今年共有六名安全專家受邀參會，進行三個主題分享和兩個demo演示。其中五達、蒸米、白小龍等阿里安全專家，都是大名鼎鼎的準90后白帽。

讓年輕人去破解世界，似乎美好的故事都是這樣開頭。

白帽之歌：繞到燈光背后去搞些事情年輕白帽到底在做什么？這是我們可以借這次頂會回答的另一個問題。我們可以發(fā)現(xiàn)，90后白帽不僅在致力于“形而上”的技術(shù)探索，以及網(wǎng)絡攻防戰(zhàn)中的見招拆招。他們已經(jīng)開始審視網(wǎng)絡應用的宏觀問題，開始用自己的創(chuàng)造力直接帶來價值。

比如，阿里安全獵戶座實驗室安全專家五達則分享了視頻水印的安全問題，分析了視頻創(chuàng)作者如何在保證視頻觀看感受的同時，保護著作權(quán)不受侵害。這一技術(shù)在今天的視頻熱潮中顯然價值非常。作為安全專家的五達，涉獵方向非常廣泛。陀螺儀傳感器、GPS、IoT設備、密碼學，等等領(lǐng)域的安全新聞上都可以看到他的身影。

再比如阿里安全獵戶座實驗室安全專家蒸米和白小龍，作為一對“網(wǎng)紅白帽搭檔”，他們這次繼續(xù)帶來了有關(guān)蘋果的安全攻防戰(zhàn)。

蘋果系統(tǒng)并非如公眾所想象的那樣固若金湯，甚至是其系統(tǒng)的基礎——操作系統(tǒng)內(nèi)核，仍然存在著諸多安全風險。蒸米在defcon的演講中分析了最新版的iOS中的沙盒機制和以及如何獲取沙盒配置文件，討論了iOS上的IPC機制，并回顧幾個經(jīng)典的沙盒逃逸漏洞。

蒸米在演講中展示了iOS 11.4上的兩個沙箱逃逸0day漏洞，還分享了如何通過OOL msg堆噴和ROP（返回導向編程）來利用系統(tǒng)服務漏洞的經(jīng)驗。

白小龍還將在8月12日defcon的主題分享中介紹一款全新的靜態(tài)分析工具，自動地處理驅(qū)動二進制代碼中的不確定因素，簡化對設備驅(qū)動的安全分析過程。正是這樣一款工具，讓他們發(fā)現(xiàn)了多個安全漏洞，利用這些漏洞，攻擊者可以獲取系統(tǒng)的最高執(zhí)行權(quán)限，因此白小龍還給出了防御手段。

事實上，這對搭檔緊盯蘋果不放的研究態(tài)度，是他們之所以“網(wǎng)紅”的重要原因之一。蘋果曾在官網(wǎng)上多次感謝他們的貢獻，蘋果安全團隊這次專門到場聽演講，會后還請兩位網(wǎng)紅白帽吃了頓大餐，感謝他們又挖出的新漏洞。據(jù)不完全統(tǒng)計，近億用戶從他們的安全研究中獲益。

值得注意的是，作為阿里安全八大實驗室之一，螞蟻金服安全實驗室三位安全專家周宇、曲和、周智也帶著重磅研究成果亮相blackhat和defcon。

在BlackHat USA 2018軍械庫上，安全工程師周宇、高級安全專家曲和和來自默安的王偉，探索的針對于VxWorks系統(tǒng)的高級模糊測試框架ChangWei成功入選，并在現(xiàn)場進行工具演示，創(chuàng)新性地將基于反饋的Fuzzing技術(shù)應用到VxWorks系統(tǒng)上，設計出ChangWei框架，利用該框架可以高效地發(fā)現(xiàn)系統(tǒng)本身和開發(fā)者代碼中的潛在漏洞。

在defcon的現(xiàn)場演示中，安全工程師周智也展示了一款專門為 iOS 平臺應用做安全測試和動態(tài)分析的工具Passionfruit ，提供了跨平臺的圖形界面，快速完成 iOS 應用安全測試中常見的需求，包括信息收集、URL 測試、存儲信息分析、截圖、動態(tài)插樁等任務?？梢詭椭_發(fā)者和安全研究人員方便快捷地對 iOS 應用暴露的攻擊面進行測試分析，更快速定位隱患，提升 iOS 應用的安全性。

白帽子的工作，是一門必須繞道燈光背后的藝術(shù)。他們要在暗處審視整個舞臺，從破壞的角度去思考建設。這項工作非常特別卻至關(guān)重要，而中國的90后代際，其實在這門工作中擁有得天獨厚的優(yōu)勢。

世界的防線，和依舊有膠原蛋白的臉很難有人記住互聯(lián)網(wǎng)安全專家的樣子，即使關(guān)注這個領(lǐng)域的讀者，大體上也只有這樣的印象：都不年輕了。當蒸米、白小龍這些新生代專家，以還帶著膠原蛋白的臉出現(xiàn)在公眾視野時，我們還是有一點詫異的。

當然，安全專家不是個看臉的行業(yè)。但年輕人的某些特質(zhì)，確實在更加配合這個職業(yè)的底層共鳴，讓他們更有利于成為這個信息世界的防線。

以上述三位白帽為例，我們可以看到90后的特質(zhì)，正在某種程度上幫助他們更快走到世界舞臺中央。比如說——

電子設備就是家鄉(xiāng)

蒸米小時候為了玩電腦，甚至學會了電焊來打開電腦（因為爸媽為了防止他玩電腦，藏起了電源線）；在游戲與女朋友之間，更是毅然選擇了前者。

電子設備、網(wǎng)絡世界，以及這個由數(shù)據(jù)組成世界的運行原理，在童年時期就成為了這些白帽的玩具與成長伴隨品。他們與技術(shù)不存在隔膜，甚至技術(shù)就是他們的家鄉(xiāng)。所以他們不需要進入白帽行業(yè)，他們的存在就是白帽本身。

擅長與自己博弈

白帽是必須要假想敵人，假象設計者，再假想自己的“上帝視角”游戲，歸根結(jié)底是一場與自己的博弈。而顯然善于拆除自身存在感，不斷自我否定和塑造的90后，在這個有點“精分”的職業(yè)中更加如魚得水。

當然這不是每個90后的特質(zhì)，但更加獨立的人格，確實在催化新的白帽成長。比如蒸米和白小龍，在分析蘋果與IOS漏洞的旅行中，必須要不斷切換身份，從底層思考一個龐大系統(tǒng)，思考背后的邏輯和理念。從術(shù)而道，或許會成為新白帽的標簽。

可以冷靜地跟常識翻臉

懷疑一切，甚至常識，是好的黑帽白帽都必須遵循的法則。而特立獨行，敢于吐槽和diss這個世界的90后們，似乎與這個期許在人設上更加接近。相比較于大部分網(wǎng)絡安全專家的低調(diào)和存在感缺失，蒸米可謂是一位網(wǎng)紅款專家。敢于分享，敢于展示自己的風格，敢于反駁和懷疑，正在讓這位少年得志的大V白帽，找到與那些傳奇名字的某些共鳴。

中國最終會出現(xiàn)傳奇黑客嗎？也許會也許不會，但尋找答案的工作，目前已經(jīng)交棒給90后了。

氪星的輻射奧妙多：為什么“少俠”更站阿里？超人為什么強？因為他在老家氪星受過輻射啊。

那么這些少年白帽為什么強呢？這里或許我們可以發(fā)現(xiàn)一個有趣的現(xiàn)象：青年科學家總是聚集在阿里。比如不久前剛剛刷屏的95后科學家入職阿里，比如各種頂會上阿里的“少俠”們出頭露面?；蛟S這是個可以深究的問題：阿里到底有什么輻射？

至少有三個因素可以作為這個問題的答案：

打破常規(guī)，善于直面挑戰(zhàn)

中庸之道，長久以來一直被很多人奉為人生圭臬。但顯然這樣的處世方式，對于十幾歲吊炸天屬于常規(guī)炒作的駭客們來說，是一項并不怎么美好的事情。那么少年白帽們涌入阿里，或許也就跟這家公司足夠顛覆傳統(tǒng)，善于直面挑戰(zhàn)，不斷強大有關(guān)。

2015年，蒸米是剛剛博士畢業(yè)，履歷聽上去就是那種桀驁不馴少年天才的人設，但順利加入阿里安全，并成為當年唯二的“阿里星”。為了讓這樣的人才迅速成長，公司每年都安排他們跟集團高管們吃飯談心，并在研究上為他們爭取盡可能寬松的環(huán)境。顯然，阿里更重視的是人才本身，以及他們能用技術(shù)能力發(fā)揮的潛力，戰(zhàn)勝的挑戰(zhàn)。

信仰白帽

安全問題到底是個多大的問題，這首先是個問題。而在阿里的投入程度來看，顯然安全領(lǐng)域是保駕護航阿里產(chǎn)業(yè)體系的重中之重。

2005年的時候 “阿里安全”還是集團技術(shù)團隊下設的一支幾個人組成的小隊。13年過去，阿里安全已經(jīng)成為了累積了數(shù)千人的專業(yè)團隊，成立了雙子座實驗室、獵戶座實驗室等具備世界頂級研究水準的八大安全實驗室，并且可以從容為雙11這樣的超大流量事件保駕護航。如果說這個快速成長團隊有什么特質(zhì)的話，那么愿意相信人才和技術(shù)的創(chuàng)造性，絕對是其中的重要組成部分。這些實力與文化，正在讓阿里稱為白帽的理想溫床。

成為熔爐

阿里的業(yè)務，是真金白銀的電商體系、支付體系、物流體系，而且直接關(guān)聯(lián)著世界上最大的人機協(xié)同群體，數(shù)億用戶隨時在使用阿里業(yè)務。這個體系一步都不能亂，一點都不能錯。

與之相伴的是，阿里要每天承受黑客4000萬次惡意訪問，試圖找出安全漏洞，整個2017年承受2015次DDoS攻擊。這種情況下，阿里對白帽的要求也最精細和嚴格，每一步都是不容有失的戰(zhàn)爭。這些直接尖銳的考驗，也是最好的白帽培養(yǎng)皿。

價值平等、文化尊重和技術(shù)淬煉，種種因緣種出了“少年可成名”的果?；蛟S阿里與90后白帽的邏輯關(guān)系，可以歸結(jié)出某種公式：把一定的責任與價值交給年輕人，他們努努力說不定就能拯救個地球什么的。

最結(jié)實的企業(yè)戰(zhàn)略投資，也許叫做“莫欺少年窮”。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。