“教主”TK:在網際網路時代,不想放過每個恰逢其時的機會
我們的共同想象,就是未來的方向
“在社交媒體上,總有兩種人尋求我的幫助,一種是大學生,期末考試考砸了,希望我入侵教務處的電腦,幫他修改成績;另一種則是戀愛中的青年男女,懷疑對方出軌,希望我能入侵對方的微信賬戶,調取聊天記錄。”
“拜託,我在騰訊工作,讓我幫你盜取微信賬戶?”
說罷,於暘停頓了一下,迎接著臺下的笑聲。
11月15日,一場別開生面的科學脫口秀X-Talk在騰訊北京總部舉行。如於暘這樣鮮少在公眾前露面的騰訊科學家也從幕後走到臺前,透過年輕人喜歡的脫口秀形式進行科普演講。
在他們看來,“黑科技”對於普通人來講,或許需要一個講大白話的“科學之友”來進行科普,對全社會來說,也需要一個更生動的科學普及平臺,能用最通俗易懂的方式,讓更多人瞭解到最前沿的科學動態。
半路出家的網路安全大神
在網路安全領域,提到“於暘”這個名字也許大家不知道,但是提到“TK教主”,幾乎人盡皆知,TK是於暘網名“tombkeeper”的縮寫,他是國內頂尖白帽駭客之一,上能給奧運會資訊網路安全指揮部當技術專家,下能接地氣在社交媒體當一名網紅科普博主,由於他的教育背景,網友又附贈了他一個稱號——“婦科聖手”。
於暘現任騰訊玄武實驗室負責人。他從事資訊保安研究工作十餘年,主要研究方向聚焦在針對各型別漏洞的挖掘、利用、檢測、防禦,以及涉及硬體、無線等方面的複合安全風險。他曾發現並報告了Cisco、Microsoft等公司產品的多個安全漏洞。於暘曾在BlackHat US、CanSecWest等國際安全會議上發表演講,是CISP認證“惡意程式碼”這門課程的最初設計者,也是微軟漏洞緩解技術繞過懸賞十萬美元大獎全球三個獲得者之一。
這樣一位大神級的科學家,竟然是半路出家。
按照於暘自己的話來說,自己的童年時代大部分的時間都花在了探索世界上,他會把家裡的收音機、掛鐘甚至是電視拆掉,但和一般熊孩子不同的是,他可以再原樣安裝回去,不會因手中多了一把螺絲而換來一頓胖揍。
採集植物標本、在廚房裡做化學實驗、研究手榴彈拉線的原理……共同構成了於暘的“繽紛童年”。
“當接觸一個事物的時候,自然就想去探索它背後的邏輯,這成為了一種習慣。”
1997年,在父母的建議下,於暘考取了安徽醫科大學臨床醫學專業。直到這個時候,他還沒有接觸過計算機。
大學二年級的時候,學校開設了計算機課程,那個年代,電腦沒有大規模普及,課堂中的知識也非常粗淺,甚至都還是從開關機、打字等計算機基礎開始教學,於暘至今還記得自己當時的計算機老師。
“他甚至不會重灌系統,如果計算機出了故障,他會掏出一個筆記本,上面密密麻麻記錄著重灌系統的步驟,但如果沒有那個筆記本,他就完全無法應對故障了。”
於暘發現,計算機很適合自學,對物質條件要求比較低,只要一臺電腦就可以研究很多東西。
“我如果要研究一片樹葉,不可能用樹葉研究樹葉,至少需要一臺顯微鏡,但我用計算機就可以研究計算機。如果我生於豪門,小測驗考一百分就可以得到質譜儀作為獎勵,生日禮物是一個基因實驗室,我可能就幹別的去了。”
令於暘感到幸運的是,當時全市唯一的計算機專業書店和計算機硬體市場都在自己的大學附近。
買書和買硬體主要靠稿費和省下來的生活費。甚至有段時間,他為此每個月只花 90 元吃飯,“但也換來了我那時候標準的身材,比較瘦。”
真正促成於暘走上職業道路的是“尼姆達蠕蟲”事件。那是2001年,一個名為“紅色程式碼”的網路蠕蟲引起了全世界的恐慌,稍加改造的蠕蟲便可以讓大量伺服器癱瘓,嚴重威脅網路安全。
為了研究“紅色程式碼”,於暘在自己的電腦上架設了蜜罐(一種網路安全技術),結果意外捕捉到了比“紅色程式碼”影響力還大的尼姆達蠕蟲,並撰寫了一份分析報告,雖然現在看來那份報告非常稚嫩青澀,但卻是國內第一份對蠕蟲這種新型安全威脅做出多角度分析的報告。有家安全公司因為於暘提交的報告,贈送了他一套防毒軟體,這讓於暘感到自豪,並收穫了信心。
最終,在讀了5年醫科大學後,於暘決定放棄醫學專業,投向資訊保安行業。
微軟寄來的10萬美金
畢業後,於暘加入了綠盟科技研究院,正式開始了他資訊保安的工作,工作內容涉及技術研究、產品開發、工程服務和安全教育等多個方面。
2013年,在 CanSecWest(世界頂級安全技術峰會)上,於暘向現場聽眾介紹了一種通用的繞過 DEP、ASLR 甚至 EMET 的技術,並提出了相應的防禦建議。於暘大膽地指出,微軟Windows7中使用的一套看似無懈可擊的安全防禦機制,其實有個簡單的辦法“一點就破”。
於暘的研究對微軟的觸動無疑是巨大的。這讓微軟最終意識到,單靠自身就一勞永逸解決系統漏洞防護問題並不可能。幾個月後,微軟設立了高達10萬美元的安全挑戰懸賞獎金。
此前,業內並不相信微軟真的會給獎金,畢竟他們已經堅持了十幾年不為漏洞付錢的原則。直到有位英國科學家獲得了該獎,於暘才相信,可能是自己提出的技術促成了這個獎項。
又過了幾個月,於暘將研究的另一些漏洞利用技術做了實現,發給微軟。他成為全世界第二個拿到微軟安全挑戰懸賞獎金的科學家。
2016年8月,微軟公佈了全球駭客貢獻百人榜,於暘排名第二。
“當拿到微軟10萬美金時,我覺得可能這個研究是我職業生涯中做出的最重要的一個研究,但後來很快發現並不是。”
於暘於2014年發起騰訊玄武實驗室,他發現,隨著研究的深入和科技的發展,有更多有意思的挑戰在等著自己。
在X-Talk的現場,於暘為現場的觀眾介紹了騰訊玄武實驗室的一個研究,僅僅透過一張便籤紙,便可以一秒解鎖屏下指紋手機。
這個研究時間是在2017年底,那時屏下指紋技術剛剛普及到手機廠商,並推向市場。
於暘和同事發現,使用者做屏下指紋識別的時候,在解鎖螢幕手機的同時,使用者的手指會在螢幕上留下一些痕跡,然後透過光學原理透過指紋識別系統認為這是一個真的手指按在手機上,從而實現繞過指紋識別系統。
在發現漏洞後,玄武實驗室通知了所有廠商,在技術剛投入市場的時候發現了它並且解決了它。
“在座的各位,不管你用的哪個牌子的手機,只要用到屏下指紋技術,那麼就有我們實驗室的成果在裡面。”
在於暘看來,在萬物互聯的今天,以及未來,受到安全問題威脅的可能不再只是賬號、資料、隱私,可能會更加超越這些。
“如同汽車安全帶的發明,要落後於汽車的發明一樣,資訊保安的研究在曾經也是滯後於資訊科技的研究的,但幾十年的經驗教訓後,業界認識到,安全不能像曾經那樣跟在後面走,而是要前置,甚至要在前期設計規劃中便引入安全的視角,以便儘早避免後續可能的問題發生。”
“在我們實驗室的一些研究當中,已經看到了一些跡象。這可能只是萬物互聯世界中一個非常小的點,但它也預示著未來網路安全問題會更加重要。還有很多類似這樣的安全隱患問題,所以我們需要趕在被壞人利用之前去發現它。”
生於這個時代,不放過每個機會
作為大神級的科學家,於暘在社交媒體上卻異常活躍,微博、知乎,都有他的段子,甚至他被稱為網路安全領域最會講段子的人。
於暘認為,使用社交媒體,同樣是自己觀察生活,與世界連線的方式。
“有很多人一輩子都不會離開自己出生的城市,像一些山村裡的老人,從生到死沒出過村子,人生很小,但這個世界是很大的。網際網路是偉大的發明,提供了一種途徑,能夠讓我們這樣很渺小的人,跟整個世界發生了連線。有這樣一個機會,我們正好生於這樣的一個時代,一定不能放過這樣的機會。”
在X-Talk的活動中,於暘輕鬆愉悅的演講風格,迅速縮小了技術所帶來的陌生感和距離感,在他看來,在15分鐘的演講中,能讓大家對資訊保安有基本認知,自己的目的就達到了。
活動中,和於暘一樣,同為騰訊科學家的世界著名計算機視覺、多媒體技術和機器人專家張正友博士也透過演講的形式和觀眾分享了對於人類與AI、機器人和多種前沿技術共存共建的未來。
對於“快速發展的科技,會不會讓我們生活變得更魔幻?”的討論聲,騰訊集團副總裁、閱文集團執行長、騰訊影業執行長程武認為,技術本身沒有傾向性,取決於我們的價值觀,取決於技術背後的人。
程武還表示,作為一家基於網際網路的科技+文化企業,騰訊也在致力於讓科技成為傳播真善美的載體,讓鮮活的數字文化內容,更好地呈現傳統的審美,連線人們的情感。
在行業看來,目前,國內對於科技創新的需求迫切,對於技術倫理的討論熱烈。推動科技的發展,企業不應只做自給自足的“個體戶”,而是要創造條件,讓更多力量參與進來。這就需要企業在力所能及的範圍之內,幫助社會培育科學氛圍和科學精神,幫助解決科學從業者的痛點和困難,幫助科研圈吸引和留住人才。
只有在社會氛圍、人才梯隊、物質保障方面充分“開源”,才能夠有源源不斷的活水湧入,滋養各行各業科技進步。
一個科技向善、向美、向未來的社會,是由每一個懷著好奇心、關注科學的平凡人組成,而我們的共同想象,就是未來的方向。
本文僅代表作者觀點,不代表本刊立場。
