圖片說(shuō)明:蒸米和一則激動(dòng)的朋友圈
第一年,蒸米過(guò)得十分”舒適”,他”放養(yǎng)”自己鉆入了安全研究中�����,發(fā)現(xiàn)并命名了影響上億設(shè)備的iOS病毒XcodeGhost和影響上億設(shè)備的Android
app漏洞WormHole
����,對(duì)安全界產(chǎn)生巨大影響�,還幫助蘋(píng)果公司修復(fù)了多處iOS系統(tǒng)安全問(wèn)題�。但到第二年,蒸米慢慢意識(shí)到��,要想讓安全研究落地��,真正為業(yè)務(wù)服務(wù)�,還有很遠(yuǎn)的距離。
蒸米沒(méi)放棄深度研究��,但開(kāi)始刻意培養(yǎng)自己的”業(yè)務(wù)嗅覺(jué)”����,因?yàn)閷?duì)蘋(píng)果操作系統(tǒng)安全的深入了解,他的一些研究成果也成為阿里安全新一代安全架構(gòu)的一部分���,在安全技術(shù)層為為淘寶提供更安全的服務(wù)�,讓社會(huì)的”數(shù)字基建大樓”的水泵、發(fā)電機(jī)更有力�����。
他也一直在思考技術(shù)和業(yè)務(wù)的關(guān)系:”可以把20%的精力用在對(duì)業(yè)界產(chǎn)生影響的研究上���,它們會(huì)像一盞燈����,照亮未來(lái)的路��。為業(yè)務(wù)服務(wù)更注重綜合能力的培養(yǎng)�����,要能讓研究落地���,讓客戶愿意使用它���。對(duì)業(yè)務(wù)產(chǎn)生了幫助,等于對(duì)公司產(chǎn)生了幫助����,新一代安全技術(shù)架構(gòu)讓數(shù)字基建更安全��,等于對(duì)社會(huì)產(chǎn)生了影響��,最后也是讓世界變得更好了����。”
“破解狂魔”青惟:研發(fā)”自動(dòng)化工具”解放自己
2014年����,浙江大學(xué)的一名大學(xué)生青惟瀏覽蒸米發(fā)布在烏云上的酷炫研究時(shí),沒(méi)想到兩年后會(huì)與這個(gè)傳說(shuō)中的安全網(wǎng)紅一樣拿到阿里星��,到阿里安全”搞機(jī)”����。青惟成為了”IOT破解狂魔”���,上至無(wú)人機(jī)�,下到Wi-Fi攻擊���,沒(méi)有他搞不定的”機(jī)”���。
其實(shí)��,本科就讀于自動(dòng)化專業(yè)的青惟以為自己以后走的應(yīng)該是研究精密儀器的路子�����,沒(méi)想到讀研時(shí)導(dǎo)師特別熱愛(ài)網(wǎng)絡(luò)安全���,引領(lǐng)青惟走上了安全之路,青惟成為了一名CTFer�����,甚至為此開(kāi)發(fā)了一套注重用戶體驗(yàn)的CTF比賽平臺(tái)�����。
青惟還參加了SyScan360安全會(huì)議中的破解特斯拉大賽����,他發(fā)現(xiàn)了汽車(chē)鑰匙無(wú)線協(xié)議的漏洞,在沒(méi)有鑰匙的啟動(dòng)下���,成功開(kāi)走了特斯拉����,成為真正意義上第一個(gè)在國(guó)內(nèi)破解特斯拉的人。后來(lái)���,青惟又發(fā)現(xiàn)了汽車(chē)的CAN總線漏洞�����,將這個(gè)破解工具在GitHub上開(kāi)源�,讓大家一起探討技術(shù)����。
種子選手青惟面臨的則是”解放人力,如何復(fù)制多個(gè)’技術(shù)牛人'”的問(wèn)題�����。當(dāng)了兩年”破解狂魔”后�,各個(gè)部門(mén)都把IOT硬件送過(guò)來(lái)讓青惟檢測(cè)安全性�����,他覺(jué)得這種方法太低(累)效(了)���。”輸入設(shè)備�����,再輸出設(shè)備”����,他要擺脫這種”機(jī)械式”操作,讓工具代替人力來(lái)做這件事���。
“IOT設(shè)備種類那么多�,每一個(gè)拿來(lái)重新研究一遍成本太高���,老有人說(shuō)IOT安全是偽熱點(diǎn)安全�,如果可以自動(dòng)化檢測(cè)�����,成本大大降低��。”青惟設(shè)想�,做一款平臺(tái)型工具,能檢測(cè)一切IOT設(shè)備�,為IOT安全降低門(mén)檻����。
目前�,他正在愉快地實(shí)現(xiàn)這個(gè)”小目標(biāo)”中。
圖片說(shuō)明:解放雙手的青惟
“平平無(wú)奇”的廷燁:拿頂會(huì)論文拿到手軟
廷燁是坐著公交車(chē)參加阿里星交流會(huì)時(shí)與青惟相識(shí)的�����。在廷燁看來(lái)���,蒸米����、青惟都是天賦型選手��,自己只能算靠努力和認(rèn)真才能搞成研究的人�。
記住,如果以后有人對(duì)你說(shuō)這種話�����,尤其這個(gè)人還是從北大畢業(yè)的話�����,千萬(wàn)不要信�。
圖片說(shuō)明:”平平無(wú)奇”的廷燁
廷燁上大學(xué)之前一行代碼都沒(méi)寫(xiě)過(guò)。上第一節(jié)編程課如同聽(tīng)天書(shū)�,一頭冷汗的他一下課就沖到醫(yī)學(xué)部要求轉(zhuǎn)專業(yè),老師告訴他:”同學(xué)���,要一年以后才能轉(zhuǎn)專業(yè)�,要不你再試試�����?”
沒(méi)想到�����,過(guò)了一個(gè)寒假��,自學(xué)試一試的廷燁就沖進(jìn)了年級(jí)前十名�,他開(kāi)始覺(jué)得這個(gè)專業(yè)有點(diǎn)搞頭。后來(lái)�����,他又被世界頂尖理工院校洛桑聯(lián)邦理工學(xué)院錄取�,直接攻讀博士��,開(kāi)始了基因密碼數(shù)據(jù)保護(hù)方面的研究�����,正式踏入密碼保護(hù)的領(lǐng)域�。
畢業(yè)前廷燁拿下了三篇CCF-A類安全頂會(huì)���,并在SCI
生物一區(qū)期刊 Genome Research上拿下了12月封面論文�。進(jìn)入阿里安全后���,密碼學(xué)研究與應(yīng)用小能手廷燁與隊(duì)友一起獲得2019
iDASH 國(guó)際比賽冠軍���,他還摘得2019 CISC 密碼學(xué)競(jìng)賽冠軍。
不過(guò)�����,拿獎(jiǎng)拿到手軟的廷燁也遇到了難題��。第一個(gè)問(wèn)題是��,從學(xué)術(shù)研究跨界到工業(yè)應(yīng)用,總會(huì)有水土不服��。”比如��,我們帶著技術(shù)和外部公司合作時(shí)�����,對(duì)方對(duì)帶寬和成本有限制�,我就要想到怎么在限制內(nèi)最大化地實(shí)現(xiàn)效果���。以前做研究沒(méi)有實(shí)際應(yīng)用條件的限制����,現(xiàn)在得考慮合作方的需求���、成本及收益的平衡���。”廷燁說(shuō)。
第二個(gè)問(wèn)題是����,前沿密碼技術(shù)高深復(fù)雜,如何讓大家愿意使用它���?廷燁覺(jué)得�����,光做出技術(shù)遠(yuǎn)遠(yuǎn)不夠����,要想讓技術(shù)落地,自己必須學(xué)會(huì)用最通俗的語(yǔ)言讓大家真正理解它��。于是�,安全研究者廷燁化身”技術(shù)推銷員”,一年跑通十多個(gè)部門(mén)���,他要讓”三歲小孩”都能看懂它�,解決落地的困難��,真正打破密碼技術(shù)和實(shí)際應(yīng)用的壁壘����。
每個(gè)人只是時(shí)代的一粒沙,但廷燁�����、青惟、蒸米這些”沙”在阿里安全鑄成了阿里新一代安全架構(gòu)的”技術(shù)骨骼”�����,撐起的不僅是阿里經(jīng)濟(jì)體的安全��,還是整個(gè)數(shù)字基建的安全��,這就是他們?cè)诎⒗锇踩ぷ鞯捏w驗(yàn)���。
