专访TK教主于旸：原来那些搞安全的说的都是真的（图灵访谈）

引用：http://www.ituring.com.cn/article/196609

于旸，网名“tombkeeper”，在国内黑客界被尊称为“TK教主”，现任腾讯玄武实验室总监。于旸从事信息安全研究工作十余年，主要研究方向聚焦在针对各类型漏洞的挖掘、利用、检测、防御，以及涉及硬件、无线等方面的复合安全风险。他曾发现并报告了Cisco、Microsoft等公司产品的多个安全漏洞。在2008年北京奥运期间，他曾担任公安部奥运会信息网络安全指挥部技术专家，及CNCERT奥运信息安全保障小组技术专家，并获得CNCERT颁发的奥运信息安全保障支持个人一等奖。于旸曾在BlackHat US、CanSecWest等国际安全会议上发表演讲，是CISP认证“恶意代码”这门课程的最初设计者，也是微软漏洞缓解技术绕过悬赏十万美元大奖全球两个获得者之一。

问：听说您找到第一个漏洞的时候，还在医院实习，您是如何燃起对信息安全领域的兴趣的？

实际上我对信息安全的兴趣并不是“燃起”的。我从小就热爱自然科学和工程技术，直到现在也是这样。只不过信息安全研究对物质条件要求比较低，只要一台电脑就可以研究很多东西，比较适合自学，所以当年很自然走向了这个领域。如果我生于豪门，小测验考一百分就可以得到质谱仪作为奖励，生日礼物是一个基因实验室，我可能就干别的去了。

虽然我读的是医科大学，但二年级也开了计算机课，学一些 DOS 系统操作、Foxbase 数据库之类。后来自己买了台计算机，才发现这里面可研究的东西太多了。另外比较幸运的是，当时全市唯一的计算机专业书店和计算机硬件市场都在我们大学附近。我买书和买硬件主要靠稿费和省下来的生活费。有段时间，我每个月只花 90 元吃饭，所以那时候身材特别标准。

一开始，信息安全只是我的业余爱好之一，促成我走上职业道路的是 Nimda 蠕虫事件。当时在自己电脑上架设了一个蜜罐，在 Nimda 蠕虫爆发当天捕获了它，并写了一份分析报告。虽然现在看来那份报告非常稚嫩青涩，但那是国内第一份对蠕虫这种新型安全威胁做出多角度分析的报告，被很多网站转载。甚至在那之后很长一段时间，各家安全公司对蠕虫类的分析报告，都以我那份报告的内容框架作为模板。有家安全公司因为我向他们提供了那份报告，送了我一套他们的软件。然后我很快又发现了那套软件的一个漏洞。虽然是非常简单的堆栈溢出，现在看来，也很稚嫩青涩，但这些都让当时的我非常自豪，并树立了信心。作为一个读了 5 年医科大学的人，做出决定去从事另一种技术工作，这种信心是很重要的。

问：您曾经说过，能不能从事信息安全工作是先天决定的，这些先决条件都包括什么？您是如何发现的？

说“先天”可能有些夸张，也许用“成年之前”这个词更合适。另外，信息安全工作分很多种，我特指的是信息安全攻防技术研究这个领域。

王尔德说：“教育是令人羡慕的东西，但要记住：凡是值得知道的，没有一个是能够教会的。”我见过很多出色的研究者，发现大家有一些共有的特征，包括想象力、观察力、好奇心、联想能力，等等。同时，我也见过一些技术底子好又努力的人，但没有做出比较好的成就，而他们的共性就是缺乏前面说的那些特征。所以这算是我的一点个人主观经验。

问：您曾经在XFocus结识了很多朋友，还专门写过一篇文章向Benjurry（季昕华）学习，能透露一下文章谈到的“憋不住的事儿”是什么吗？

Benjurry 很聪明，懂技术，性格温和，擅长表达，自制力强，精力充沛，又有建功立业的欲望，这几点同时集中在一个人身上非常罕见。所以我和朋友们很多年前就说他一定会做成大事。所以他创办成功了的UCloud我们一点都不意外。

在中国要做成大事，就得能“憋住”。罗永浩算是一个异类，但你看他最近一年，也比以前能“憋住”多了。

问：能简单谈一谈你获得微软漏洞防御挑战悬赏 10 万美元大奖的经历吗？

DEP 和 ASLR 是两种重要的漏洞利用缓解技术，可以使系统即使存在漏洞也难以被利用，是微软的重要安全防护措施。EMET 是微软的免费安全工具，可以为系统提供更强的 DEP 和 ASLR，以及很多其它防护功能。这些防御技术单独存在时，都可以比较简单地绕过，但结合起来后，就很强大。

2013 年 3 月 8 日，我在 CanSecWest 2013 上介绍了一种通用的绕过 DEP、ASLR 甚至 EMET 的技术，并提出了相应的防御建议——没有直接报告微软是因为此前微软不认为这类问题属于漏洞。

在我公开这个技术后一个多月，微软发布了 EMET v4 Beta，在其中根据我的描述和建议，对这种漏洞利用方法进行了检测防护。但就在新版 EMET 发布后的第二天，我发现这个版本虽然新设计了很多防护功能，但实现上存在重大安全问题，甚至反而会使漏洞利用变的比不装 EMET 更容易。于是我将该问题报告给了微软。

又过了两个月，2013年6月17日，微软发布 EMET v4 正式版，在其中修复了我发现的问题。并在同一天，启动了 Mitigation Bypass Bounty 项目，征集绕过 DEP 和 ASLR 等防御技术的方法，给出了最高 10 万美元的奖金。后来还在官方 Blog 中用我当初提出的技术作为例子，来说明什么样的技术才符合 Mitigation Bypass Bounty 项目的标准。

于是有很多朋友误以微软已经给我发了这个奖，向我表示祝贺。我跟他们说其实没有，并且不太相信微软真的会给奖金，毕竟他们已经坚持了十几年不为漏洞付钱的原则。

但是，2013 年 10 月 8 日，微软公布了 James Forshaw 成为第一个获得 Mitigation Bypass Bounty 的人。我很惊讶，没想到微软转变了风格。然后我告诉老婆：很可能是我之前提出的技术促成微软设立了这个奖，但我却错过了成为第一个拿到奖的人。我老婆表示很可惜，于是我对她说：“你别急，我给你弄一个回来”。

然后我花了一些时间，把之前研究的另一些漏洞利用技术做了实现，发给微软，然后拿回了这个奖。

问：您为什么离开绿盟，选择加入腾讯玄武实验室？

很多公司在谈到员工离职时的描述都是：“某某，因个人原因离职”。我也是因为个人原因。

问：为什么百度安全攻防实验室、阿里安全研究实验室、腾讯玄武实验室都在2014年集中成立？

最根本的原因还是时候到了，国内对安全的认识到了这一步。所以去年我和不少人谈基础研究的重要性时，大家都比较认可。

问：在绿盟科技的招聘公告中有对学历的具体要求，而现在您在玄武实验室则明确表示“对学历没有特别要求”，在这之间发生变化的是观点还是人才市场？

大多数公司的招聘启事都会有对学历的要求，但目的主要是为了过滤噪音，而不是拦住人才。如果你的能力够好，一定可以获得认可。玄武实验室现在有博士后，也有辍学的。

就像姑娘们征婚，可能会写一个一米八零的身高要求，但是不是一米七八、一米七七就不行呢？不一定。林志颖是一米七二，马克·扎克伯格是一米七五，遇到这俩，可能姑娘们会觉得差几厘米就不是什么问题。

学历要求作为企业招聘的总策略可能是合理的，能降低招聘成本。我们实验室因为本来招聘人数就不多，所以可以直接采取更灵活的策略。

问：玄武实验室相对于腾讯其他安全部门来说是主攻理论研究的学院派吗？你们和其他部门（工业派）是如何合作的？

我们的研究风格不是学院派的。实验室定位中有一条是“面向实用的安全技术研究”，所以并不需要去跨越理论到实践的鸿沟，我们搞的就是实践。

问：2010年时您转过一篇Paul Graham的文章《别为大公司拼命》，文中提出了一个观点：优秀个人的贡献和能力通常会被大公司所埋没，您现在还认同文中的观点吗？创业对您来说是否具有吸引力？

Paul Graham 那篇文章的观点是：大公司无法准确测量每个员工的贡献，所以，愿意拼命工作的人如果想谋求更高回报就应该创业。显然很多公司也意识到了这一点，所以才有了鼓励内部创业、对优秀的部门允许独立核算，甚至成立独立事业部等各种新型的企业管理方式。

你去证券公司开户，会让你做一个投资风险承受能力评估，里面包括你的年龄、收入、资产、风险偏好等一系列问题。创业也是类似的，是很复杂的问题，牵涉到很多变量。如果你非常年轻，大学刚毕业，做出创业的决定可能很轻松；如果你已经有了足够全家人过完一生的储蓄，做出创业的决定可能很轻松；如果你是特别爱冒险的人，在赌场里可以押裤子，并且家人支持你冒险，做出创业的决定可能也很轻松。但这些我都不符合。

另外，我也不属于有很强的开疆扩土、建功立业欲望的人，很多热衷于技术研究的人都不是。我这么多年来一直每天工作 12 个小时，不是为任何人拼命，只是我自己想去做那些事而已。

问：韩国对信息安全的重视远超大部分国家，其背后有哪些原因？

是危机感吧，我猜的。就像他们要求所有满 20 岁的男性公民必须服兵役一样。

问：国内安全技术人才供求不平衡的原因都有哪些？这些问题在短期内是否有望解决？

各国其实都有这个问题。本质原因还是因为前些年网络安全威胁没有被充分暴露，导致对安全的重视不够，对安全人才的需求也不怎么迫切。比如有些学校前些年设立了网络安全专业，后来又撤消了。而 Stuxnet、斯诺登之后，人们忽然发现：“原来搞安全的那些人说的都是真的，不是吓唬我们啊！”于是人才需求增加的比较快，这时候发现供给跟不上了。

美国有一篇智库文章也谈到这个问题，那篇文章认为，并不需要为此特别采取什么措施，只要人才能充分市场化，几年内这种情况自然会缓解。我赞同这个观点。

问：通过亲身参与GeekPwn、XCTF、KCon，您认为这些活动是否对国内信息安全产业的发展起到了积极作用？

我认为竞赛、演练、研讨类的活动，对信息安全产业是有积极作用的。一方面促进业内交流，一方面促进人才培养。我在清华作 XCTF 宣讲时谈了一个观点：如果这些活动能让校园里的安全技术明星和那些校园里的文体明星一样，成为关注的焦点，成为异性仰慕的对象，何愁最聪明的那些年轻人不加入这个行业，何愁安全行业后继无人？

问：由您推荐，诸葛建伟、肖梓航、杨坤三位译者翻译的《Android安全攻防权威指南》一书最近已经出版了。Android系统和安全领域的图书很多，您在选择阅读技术书时有哪些标准？在阅读一本好书的时候应该注意什么？

我选书主要看作者是谁，另外也会参考 Twitter 等社交媒体上人们的推荐。比较优秀的技术专家，更有可能写出比较棒的内容，同时也更可能因为爱惜名誉，写东西比较认真。

我以前自学的时候，不知该看什么，就把书店里相关的书都买了。但现在安全类书太多了，有钱全买也没时间全看。但我仍然建议，如果你不确定一本书是不是该买，那就宁可错买，不可错过。如果买回来，翻了几页发现不好，只能拿来垫显示器，也不过损失几十元。但如果买对了，一本好书带来的益处将是无比巨大的。

读计算机技术类的书，最重要的是不能光抱着书读，得动手跟着做。