设为首页
收藏本站
开启辅助访问
切换到宽版
用户名
Email
自动登录
找回密码
密码
登录
立即注册
快捷导航
门户
Portal
论坛
BBS
导读
Guide
广播
Follow
群组
Group
动态
Space
淘帖
Collection
日志
Blog
相册
Album
分享
Share
记录
Doing
排行榜
Ranklist
搜索
搜索
热搜:
埋针
埋线
减肥
美容
本版
文章
帖子
群组
用户
针灸界
»
论坛
›
百家论经
›
灸疗
›
一群在全球顶会崭露头角的阿里新生代白帽:能查漏洞还会 ...
图文热点
返回列表
查看:
2612
|
回复:
1
一群在全球顶会崭露头角的阿里新生代白帽:能查漏洞还会焊接
[复制链接]
大荆
大荆
当前离线
收听TA
发消息
发表于 2022-12-19 08:26:22
|
显示全部楼层
|
阅读模式
摘要:阿里经济体牢固的保护罩背后,是一群默默付出、有血有肉地阿里安全人在一砖一瓦搭建。以蒸米、白小龙、团控为代表的三位90后白帽子赶上了网络安全最风起潮涌的年代,从为了上网学焊接到“设计更安全系统”的野心,年轻的白帽子们以孤独和敬畏做浮躁时代的守夜人
承受黑客每天4000万次恶意访问、整个2017年承受2015次DDoS攻击……在数亿用户安然享受新零售、云计算、智慧物流等便利的背后,一群并不为外界所熟知的阿里安全人一直在为“现世安稳”构筑牢固屏障。
蒸米、白小龙、团控正是800多位阿里安全人中的三位白帽子,均在1990年前后出生,在阿里安全部是一群正在崛起的年轻力量,他们的日常工作是做漏洞挖掘,也是这道屏障外最冷静观火的人。
“一个操作系统都是由很多人来协作完成的,前后进行编程的人思路一旦错开,就会现安全漏洞。”他们说,白帽需要以逆向编程人员的思维去发现并攻破程序中的问题,但核心是构筑更安全的操作系统,这关乎到每一个用户的安全。
从建立安全防护到筑起一道道防线,让黑灰产们望而却步,从0到1再到100,是阿里安全人一代代努力的成果。从70后、80后到如今90后们开始在blackhat、hitb等顶尖国际会议上崭露头角,阿里整个经济体的安全水位也不断提升。
“我为了上网学会了焊接”
90后白帽子们赶上了网络安全最风起潮涌的时代。蒸米出生于1989年,父亲和几个叔叔都是博士学历,2000年初计算机刚刚普及的时候,初中生蒸米就在自己家里玩起了电脑。1991年出生的团控则从小学三年级开始接触到计算机。
年幼的蒸米和团控,不仅沉浸在《红警》、《传奇》等网络游戏带来的快感之中,也通过一些杂志、书籍,学习“开后门”、解密、攻击等技术。
彼时,中国的黑客团体“绿色兵团”正是时代的弄潮儿,他们聚集了一大批来自全国各地的技术高手,随后资本力量介入,黑客开始商业化运作。2000年之后,网络安全开始成为一个重要的领域。
此时的蒸米因沉迷网络,被父母严格管教:电脑被设置各种密码,还设置BIOS密码,甚至电源线都被藏了起来。“密码我都通过各种方式给解开,电源线藏起来之后,我就去学了焊接,把电风扇的电源给剪下来,把两根铜线和弹簧焊起来就可以用,当然安全性很差,用起来都带电、带火花的。”蒸米的研究力和解决问题潜力初露端倪。
团控也经历了类似的阶段,网络之于孩子,在父母眼中永远是洪水猛兽,要管教扼杀之,但对于团控来说则更像是一种启蒙教育,“家里电脑出问题基本都是自己琢磨着来修,后来大学学通信专业,但兴趣驱使我硕士毕业来阿里安全部实习,义无反顾地开启系统安全研究。”
这个世界有可能更安全
博士毕业于清华大学的白小龙刚刚入职阿里半年,从学术界转入工业界是一个极大的转变,但他内心并未有太多纠结,因为阿里安全已经聚集了诸多名校的博士,“高手过招,才知不足”。高学历高素质的多学科人才进入安全领域是近几年才有的场景。
时间倒回到2000年初,白帽黑客还是一个草莽群体:很多是年轻的大学生,或者没有学历的天才高手,白天正常工作,夜晚在网络上“行侠仗义”。2013年,“斯诺登事件”爆发,网络安全获得前所未有的关注度;2014年2月,中央网络安全和信息化领导小组成立,各大企业纷纷在安全领域加码投入。
2015年,香港中文大学博士毕业的蒸米加入阿里安全,成为当年唯二的“阿里星”,因其不仅在全球各大顶尖的互联网公司实习,还命名轰动一时的XcodeGhost病毒,该事件影响上亿用户,直接打破苹果引以为豪的“苹果官方市场=安全市场”神话。
入职阿里之后,蒸米在iOS漏洞挖掘上建树颇多,苹果多次在其官网上发表致谢。今年4月初,蒸米和搭档白小龙应邀参加欧洲信息安全会议HACK IN THE BOX(HITB),公布他们最近的小成果:macOS 的两个漏洞和利用机制,即在最新版的苹果macOS上,利用一个普通用户的权限拿到内核控制权,进而操控整台电脑。
苹果系统不断升级,挖到漏洞的门槛越来越高,比如设置了内核地址随机化之后,任何一次尝试失败都会导致系统重启崩溃,其难度不亚于大海捞针。但蒸米和白小龙还掌握着更多未公布的漏洞,“真正为系统开发者们提供帮助的方法是启发他们思考,共同促进系统安全建设,而不是一味攻防,做猫鼠游戏。”
安卓系统的安全问题更加严峻。除了传统意义上的漏洞,团控另辟蹊径发现另一种漏洞,称之为“内核空间镜像攻击”:ARM处理器设计上的特点,使得攻击者能够不借助系统调用,直接在用户状态下读写内核代码或者数据段地址修改内核数据,到达完全控制内核的目的。
这在32位ARM芯片设计上就存在,一直延续到现64位ARMv8.1处理器。在安卓8.0引入新的PAN缓解机制下,依旧不能防御这种攻击,因为这是硬件设计的缺陷”。这也是第一次有人发现并公开通过软硬结合攻破安卓8.0系统,拿到最高权限。团控因此受邀在今年的blackhat和HITB上做主题演讲。
“过去很多公司的发展是完全忽视安全的,只注重业务的扩展,导致漏洞频出,未来各种操作系统将融合,我们希望研究出一种不影响性能的安全机制,”蒸米并不掩饰自己的野心,“我们想设计出一个操作系统,这是我未来10年会努力去实现的目标。”
孤独的守夜人
在多数人眼中,白帽黑客用各种酷炫的技术去挑战不同的系统,但实际上,团控每天大量的时间要花在思考以及成百上千次失败的尝试上。
“有时遭遇瓶颈期,工作找不到头绪,状态很差,我在办公室看到那句阿里土话‘不难,要你干嘛’,就安心了很多,继续调整心态,重新去尝试,”团控说,就像在茫茫的黑夜里去寻找一线光,需要耐得住寂寞,要等,而当有了线索,整个人就像打鸡血一样兴奋。”
蒸米和白小龙采常常组合作战。系统分为应用层、用户态和内核态三个层次,蒸米会做应用层和用户态层面的分析,一旦有发现就会与白小龙打配合在内核态寻求突破。两个人性格一动一静,做事方法一前一后,“至少不是一个人在战斗”。
当你凝视深渊的时候,深渊也在凝视着你。孤独有时会反噬自身,让人内心长出贪婪和欲望的种子:入侵、黑吃黑,能赚钱的方式太多,太多人因此踏上迷途锒铛入狱,或者活在阴暗世界里无法再抽身。
90后白帽子们虽然年轻,却也看到太多圈内的浮躁:到处打漏洞炫技,资本泡沫让很多人拿到高于自己能力的工资而飘飘然,区块链、比特币等风口成为很多人的印钞机,“能沉下心来做研究的人越来越少。”
“其实做网络安全这个职业跟医生类似,需要长久的积淀,技术能力才能到达金字塔顶端,以一敌百,”蒸米说。在这个充满金钱和利益的时代,更多白帽子要经受的考验是正义感和敬畏之心。
《冰与火之歌》里有一群孤独地驻守在北境长城的守夜人,他们会在圣堂前许下誓言:尽忠职守,生死于斯,一份有使命感的职业会让人产生敬畏心。90后白帽子们的敬畏之心来自老一辈阿里安全人。在阿里巴巴如今这个庞大的经济体之下,安全正在变得越来越重要,一代又一代阿里安全人脚踏实地、一砖一瓦去搭建起整个安全体系,保护数亿的消费者。每一天每一刻,不敢放松。
“下一代的长大肯定更加迅速,我们并不年轻了,但会在守护网络安全这条路上一直走下去,耐得住寂寞,做好守夜人。”这些90后白帽子们很坚定。
原文地址:https://m.toutiao.com/i6549083064352375304/
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
大荆医疗技术研究院——专注针灸适宜技术委培及医械研发与推广
回复
使用道具
举报
荆四针
荆四针
当前离线
收听TA
发消息
发表于 2022-12-19 08:26:49
|
显示全部楼层
致敬
针灸界:学术.人脉.生活 建议用手机浏览器登录,网址:ACUP.CC
回复
支持
反对
使用道具
举报
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
18913980123
微 信 咨 询
Copyright © 2008-2020
针灸界
(HTTP://ACUP.CC) 版权所有 All Rights Reserved.
Powered by
Discuz!
X3.4
快速回复
返回顶部
返回列表