專訪TK教主於暘：原來那些搞安全的說的都是真的

非商業轉載請註明做譯者、出處，並保留本文的原始連接：http://www.ituring.com.cn/article/196609

於暘，網名「tombkeeper」，在國內黑客界被尊稱爲「TK教主」，現任騰訊玄武實驗室總監。於暘從事信息安全研究工做十餘年，主要研究方向聚焦在針對各種型漏洞的挖掘、利用、檢測、防護，以及涉及硬件、無線等方面的複合安全風險。他曾發現並報告了Cisco、Microsoft等公司產品的多個安全漏洞。在2008年北京奧運期間，他曾擔任公安部奧運會信息網絡安全指揮部技術專家，及CNCERT奧運信息安全保障小組技術專家，並得到CNCERT頒發的奧運信息安全保障支持我的一等獎。於暘曾在BlackHat US、CanSecWest等國際安全會議上發表演講，是CISP認證「惡意代碼」這門課程的最初設計者，也是微軟漏洞緩解技術繞過懸賞十萬美圓大獎全球兩個得到者之一。

問：據說您找到第一個漏洞的時候，還在醫院實習，您是如何燃起對信息安全領域的興趣的？

實際上我對信息安全的興趣並非「燃起」的。我從小就熱愛天然科學和工程技術，直到如今也是這樣。只不過信息安全研究對物質條件要求比較低，只要一臺電腦就能夠研究不少東西，比較適合自學，因此當年很天然走向了這個領域。若是我生於豪門，小測驗考一百分就能夠獲得質譜儀做爲獎勵，生日禮物是一個基因實驗室，我可能就幹別的去了。

雖然我讀的是醫科大學，但二年級也開了計算機課，學一些 DOS 系統操做、Foxbase 數據庫之類。後來本身買了臺計算機，才發現這裏面可研究的東西太多了。另外比較幸運的是，當時全市惟一的計算機專業書店和計算機硬件市場都在咱們大學附近。我買書和買硬件主要靠稿費和省下來的生活費。有段時間，我每月只花 90 元吃飯，因此那時候身材特別標準。

一開始，信息安全只是個人業餘愛好之一，促成我走上職業道路的是 Nimda 蠕蟲事件。當時在本身電腦上架設了一個蜜罐，在 Nimda 蠕蟲爆發當天捕獲了它，並寫了一份分析報告。雖然如今看來那份報告很是稚嫩青澀，但那是國內第一份對蠕蟲這種新型安全威脅作出多角度分析的報告，被不少網站轉載。甚至在那以後很長一段時間，各家安全公司對蠕蟲類的分析報告，都以我那份報告的內容框架做爲模板。有家安全公司由於我向他們提供了那份報告，送了我一套他們的軟件。而後我很快又發現了那套軟件的一個漏洞。雖然是很是簡單的堆棧溢出，如今看來，也很稚嫩青澀，但這些都讓當時的我很是自豪，並樹立了信心。做爲一個讀了 5 年醫科大學的人，作出決定去從事另外一種技術工做，這種信心是很重要的。

問：您曾經說過，能不能從事信息安全工做是先天決定的，這些先決條件都包括什麼？您是如何發現的？

說「先天」可能有些誇張，也許用「成年以前」這個詞更合適。另外，信息安全工做分不少種，我特指的是信息安全攻防技術研究這個領域。

王爾德說：「教育是使人羨慕的東西，但要記住：凡是值得知道的，沒有一個是可以教會的。」我見過不少出色的研究者，發現你們有一些共有的特徵，包括想象力、觀察力、好奇心、聯想能力，等等。同時，我也見過一些技術底子好又努力的人，但沒有作出比較好的成就，而他們的共性就是缺少前面說的那些特徵。因此這算是個人一點我的主觀經驗。

問：您曾經在XFocus結識了不少朋友，還專門寫過一篇文章向Benjurry（季昕華）學習，能透露一下文章談到的「憋不住的事兒」是什麼嗎？

Benjurry 很聰明，懂技術，性格溫和，擅長表達，自制力強，精力充沛，又有建功立業的慾望，這幾點同時集中在一我的身上很是罕見。因此我和朋友們不少年前就說他必定會作成大事。因此他創辦成功了的UCloud咱們一點都不意外。

在中國要作成大事，就得能「憋住」。羅永浩算是一個異類，但你看他最近一年，也比之前能「憋住」多了。

問：能簡單談一談你得到微軟漏洞防護挑戰懸賞 10 萬美圓大獎的經歷嗎？

DEP 和 ASLR 是兩種重要的漏洞利用緩解技術，可使系統即便存在漏洞也難以被利用，是微軟的重要安全防禦措施。EMET 是微軟的免費安全工具，能夠爲系統提供更強的 DEP 和 ASLR，以及不少其它防禦功能。這些防護技術單獨存在時，均可以比較簡單地繞過，但結合起來後，就很強大。

2013 年 3 月 8 日，我在 CanSecWest 2013 上介紹了一種通用的繞過 DEP、ASLR 甚至 EMET 的技術，並提出了相應的防護建議——沒有直接報告微軟是由於此前微軟不認爲這類問題屬於漏洞。

在我公開這個技術後一個多月，微軟發佈了 EMET v4 Beta，在其中根據個人描述和建議，對這種漏洞利用方法進行了檢測防禦。但就在新版 EMET 發佈後的次日，我發現這個版本雖然新設計了不少防禦功能，但實現上存在重大安全問題，甚至反而會使漏洞利用變的比不裝 EMET 更容易。因而我將該問題報告給了微軟。

又過了兩個月，2013年6月17日，微軟發佈 EMET v4 正式版，在其中修復了我發現的問題。並在同一天，啓動了 Mitigation Bypass Bounty 項目，徵集繞過 DEP 和 ASLR 等防護技術的方法，給出了最高 10 萬美圓的獎金。後來還在官方 Blog 中用我當初提出的技術做爲例子，來講明什麼樣的技術才符合 Mitigation Bypass Bounty 項目的標準。

因而有不少朋友誤以微軟已經給我發了這個獎，向我表示祝賀。我跟他們說其實沒有，而且不太相信微軟真的會給獎金，畢竟他們已經堅持了十幾年不爲漏洞付錢的原則。

可是，2013 年 10 月 8 日，微軟公佈了 James Forshaw 成爲第一個得到 Mitigation Bypass Bounty 的人。我很驚訝，沒想到微軟轉變了風格。而後我告訴老婆：極可能是我以前提出的技術促成微軟設立了這個獎，但我卻錯過了成爲第一個拿到獎的人。我老婆表示很惋惜，因而我對她說：「你別急，我給你弄一個回來」。

而後我花了一些時間，把以前研究的另外一些漏洞利用技術作了實現，發給微軟，而後拿回了這個獎。

問：您爲何離開綠盟，選擇加入騰訊玄武實驗室？

不少公司在談到員工離職時的描述都是：「某某，因我的緣由離職」。我也是由於我的緣由。

問：爲何百度安全攻防實驗室、阿里安全研究實驗室、騰訊玄武實驗室都在2014年集中成立？

最根本的緣由仍是時候到了，國內對安全的認識到了這一步。因此去年我和很多人談基礎研究的重要性時，你們都比較承認。

問：在綠盟科技的招聘公告中有對學歷的具體要求，而如今您在玄武實驗室則明確表示「對學歷沒有特別要求」，在這之間發生變化的是觀點仍是人才市場？

大多數公司的招聘啓事都會有對學歷的要求，但目的主要是爲了過濾噪音，而不是攔住人才。若是你的能力夠好，必定能夠得到承認。玄武實驗室如今有博士後，也有輟學的。

就像姑娘們徵婚，可能會寫一個一米八零的身高要求，可是不是一米七8、一米七七就不行呢？不必定。林志穎是一米七二，馬克·扎克伯格是一米七五，遇到這倆，可能姑娘們會以爲差幾釐米就不是什麼問題。

學歷要求做爲企業招聘的總策略多是合理的，能下降招聘成本。咱們實驗室由於原本招聘人數就很少，因此能夠直接採起更靈活的策略。

問：玄武實驗室相對於騰訊其餘安所有門來講是主攻理論研究的學院派嗎？大家和其餘部門（工業派）是如何合做的？

咱們的研究風格不是學院派的。實驗室定位中有一條是「面向實用的安全技術研究」，因此並不須要去跨越理論到實踐的鴻溝，咱們搞的就是實踐。

問：2010年時您轉過一篇Paul Graham的文章《別爲大公司拼命》，文中提出了一個觀點：優秀我的的貢獻和能力一般會被大公司所埋沒，您如今還認同文中的觀點嗎？創業對您來講是否具備吸引力？

Paul Graham 那篇文章的觀點是：大公司沒法準確測量每一個員工的貢獻，因此，願意拼命工做的人若是想謀求更高回報就應該創業。顯然不少公司也意識到了這一點，因此纔有了鼓勵內部創業、對優秀的部門容許獨立覈算，甚至成立獨立事業部等各類新型的企業管理方式。

你去證券公司開戶，會讓你作一個投資風險承受能力評估，裏面包括你的年齡、收入、資產、風險偏好等一系列問題。創業也是相似的，是很複雜的問題，牽涉到不少變量。若是你很是年輕，大學剛畢業，作出創業的決定可能很輕鬆；若是你已經有了足夠全家人過完一輩子的儲蓄，作出創業的決定可能很輕鬆；若是你是特別愛冒險的人，在賭場裏能夠押褲子，而且家人支持你冒險，作出創業的決定可能也很輕鬆。但這些我都不符合。

另外，我也不屬於有很強的開疆擴土、建功立業慾望的人，不少熱衷於技術研究的人都不是。我這麼多年來一直天天工做 12 個小時，不是爲任何人拼命，只是我本身想去作那些事而已。

問：韓國對信息安全的重視遠超大部分國家，其背後有哪些緣由？

是危機感吧，我猜的。就像他們要求全部滿 20 歲的男性公民必須服兵役同樣。

問：國內安全技術人才供求不平衡的緣由都有哪些？這些問題在短時間內是否有望解決？

各國其實都有這個問題。本質緣由仍是由於前些年網絡安全威脅沒有被充分暴露，致使對安全的重視不夠，對安全人才的需求也不怎麼迫切。好比有些學校前些年設立了網絡安全專業，後來又撤消了。而 Stuxnet、斯諾登以後，人們突然發現：「原來搞安全的那些人說的都是真的，不是嚇唬咱們啊！」因而人才需求增長的比較快，這時候發現供給跟不上了。

美國有一篇智庫文章也談到這個問題，那篇文章認爲，並不須要爲此特別採起什麼措施，只要人才能充分市場化，幾年內這種狀況天然會緩解。我贊同這個觀點。

問：經過親身參與GeekPwn、XCTF、KCon，您認爲這些活動是否對國內信息安全產業的發展起到了積極做用？

我認爲競賽、演練、研討類的活動，對信息安全產業是有積極做用的。一方面促進業內交流，一方面促進人才培養。我在清華做 XCTF 宣講時談了一個觀點：若是這些活動能讓校園裏的安全技術明星和那些校園裏的文體明星同樣，成爲關注的焦點，成爲異性仰慕的對象，何愁最聰明的那些年輕人不加入這個行業，何愁安全行業後繼無人？

問：由您推薦，諸葛建偉、肖梓航、楊坤三位譯者翻譯的《Android安全攻防權威指南》一書最近已經出版了。Android系統和安全領域的圖書不少，您在選擇閱讀技術書時有哪些標準？在閱讀一本好書的時候應該注意什麼？

我選書主要看做者是誰，另外也會參考 Twitter 等社交媒體上人們的推薦。比較優秀的技術專家，更有可能寫出比較棒的內容，同時也更可能由於愛惜名譽，寫東西比較認真。

我之前自學的時候，不知該看什麼，就把書店裏相關的書都買了。但如今安全類書太多了，有錢全買也沒時間全看。但我仍然建議，若是你不肯定一本書是否是該買，那就寧肯錯買，不可錯過。若是買回來，翻了幾頁發現很差，只能拿來墊顯示器，也不過損失幾十元。但若是買對了，一本好書帶來的益處將是無比巨大的。

讀計算機技術類的書，最重要的是不能光抱着書讀，得動手跟着作。

---

更多精彩，加入圖靈訪談微信！