当黑客「破解人类」,00 后「白帽」如何护航
「我们处在一个液态的世界,所有东西都在不断地流动,不断升级。」
2020 年,凯文·凯利在演讲中指出:现如今,数据——不管你是做房地产、医药、化工,还是教育,都是数据,流动的数据将催生技术超体。
这种「技术超体」的直接载体,如今成为了我们日常的一部分。
正如支付宝围绕「衣食住行」为我们打理一切与钱相关的日常,微信成为工作和生活的重要沟通工具那样,一切的背后都是数据。我们不必带上钱包,手机扫描二维码,便能将钱从一个地点或一个人转移到另一个地点或另一个人,不必特意找到公用电话,就能知道他人的当前状态。
这是一种巨大的变化,从 PC 时代一路走到移动互联网时代的大多数人们,在这种变化中体会到的是技术进步带来的高效、便捷、零距离。但在技术从业者和极客们的眼中,看到的则是危机并存的数据化浪潮。
数据安全从来没有像今天这样重要。
不久前,在刚刚落幕的 GeekPwn 2022 安全极客大赛中,来自蚂蚁集团的天穹与光年实验室共同组成的战队完成高技术难度挑战,荣获 G-TOP 年度极客榜冠军,而两位年轻的获胜者,也再一次站在国内安全领域的聚光灯之下。极客公园也在赛后和他们聊了聊,探究这群年轻人如何走上网络安全,并成为蚂蚁集团「安全堡垒」中不可或缺的一份子背后的故事。
01
极客少年,
逐梦「夺旗」
GeekPwn 与 Pwn2Own、Defcon 并称世界三大黑客赛事,是全球最大关注智能领域信息安全的极客大赛。
每一年,中国的头部互联网公司、信息安全公司、高等院校、科研机构等众多顶级极客队伍参赛,如同技术时代的「啄木鸟」,寻找那些我们常用的系统或软件漏洞。这些漏洞的发现,能更好帮助互联网公司,提高产品安全性。
都说「黑客出少年」,实际上不仅是「黑客」,业界有许多优秀的「白帽」也年少成名,他们懂「黑客」技术,但选择用技术保护网络安全,在每一次呼吸之间,都在思考怎样发现漏洞、消灭漏洞。
本次 GeekPwn 2022 赛场上,便闪耀着无数青年「白帽」的身影:清华大学 NISL 物联网安全研究小组、19 岁拿下最强大脑「全球脑王」的天才少年郑林楷、CTF 赛事比赛选手等新生力量,都在这场关注智能安全的极客技术挑战赛上一展风采,蒋宇豪(干拉)和应鑫磊(骛望)便是参与此次大赛,来自蚂蚁安全天穹及光年实验室中的两位年轻「白帽」。
蒋宇豪(干拉)和应鑫磊(骛望)
「00 后」干拉在高中时期读完《龙纹身的女孩》一书后,对黑客产生了强烈的好奇,并在随后逐渐了解了网络安全相关知识。大学期间,干拉通过努力加入了国内著名的信息安全社团 Vidar-Team。
这是一支成立于 2008 年的团队,其名称中的 Vidar 一词来源于北欧神话「诸神黄昏」中幸存于难、带领人类重建了家园的神 Víðarr,这支名称很酷的队伍由杭州电子科技大学一群热爱信息安全的同学自发成立,并作为高校战队活跃于各大 CTF(Capture The Flag,网络安全技术人员之间进行技术竞技的一种比赛形式,也称夺旗赛)赛事,采访时,干拉仍记得自己刚加入社团时的难忘经历:
「正式加入团队之后,我们几个大一新生建了一支小队,进去打了一个 0CTF 比赛。当时在学校一个会议室,通宵打了 2 天,那时候我们大概十来个人就一直在会议室里面做题目,去努力攻克这个挑战,到第二天中午解出来了,还进入了全国高校队伍的前十,就感觉这种氛围特别好,这对我来说也是很多的鼓励。」
谈到自己在大学社团的经历,干拉坦言,社团在 Web 开发及渗透、逆向工程、二进制、Windows&Linux、移动安全等领域的研究和学习,对于自己的提升很大,大学社团时期的各种比赛,也成为进入职业生涯中不可或缺的一部分。
不同于干拉,另一位「90 后」骛望在初中时代接触到了《电脑报》等杂志,大学时代,他身边并没有 Vidar-Team 这样的优秀社团,于是他转而通过图书馆自学,他提到了自己经历的 PC 时代「大事件」:
「我也经历过熊猫烧香和以前的蠕虫病毒这些事件,当时接触 PC 的时候感觉里面不止有很多破坏,还有很多对抗,所以就投入时间去研究。」
他表示,由于自学经常遇到各种疑惑,自己便通过参加 CTF 比赛的方式进一步结交志趣相投的朋友,这是提升信息安全方面技术能力的好办法:「大家会有一个共同的目标去做一些事情,彼此形成了一些契合度,一起学习和钻研这方面的知识。」
相同的爱好让两人组成了团队,在加入蚂蚁安全实验室后,他们在虚拟化方向上找到了许多技术突破点。
虚拟化诞生的目的是让环境更安全,由于其存在与外部物理机相互隔绝,因此一些操作都会被放入虚拟化环境中完成,这样即便出现病毒感染或其他问题也不会影响外面真正的电脑。要在这样的一个虚拟环境上进行突破,技术难度可想而知。
干拉透露,通过找出虚拟机中存在的漏洞,他们不仅成功破解了最新虚拟机产品 VMware Fusion,在 1 分钟内迅速夺得了宿主机的所有控制权限,还获取了宿主机内的指定的机密文件。
这一项目最终在比赛现场拿到了 6.04 分——GeekPwn 历年最高分,成为本届比赛含金量最高奖金最多的项目。
但当被问及是否担心最终失败时,骛望谈道:「并不能保证 100% 稳定成功,但通过实验室长期实践沉淀下来的漏洞挖掘技术手段,能够大幅提升成功率。」这或许也是他们如此有信心的重要原因。
成立 6 年,作为蚂蚁基础安全攻防、红蓝对抗演练的主力军,天穹实验室和光年实验室沉淀了一套完整自主研发的全自动漏洞挖掘技术方案。
凭借这套技术,在 2020 年,两大实验室仅用三个季度,就拿下苹果 47 次漏洞致谢 ,位列当年全球 致谢数排行榜第一 。这 47 次致谢中,包含系统库、浏览器、内核等多个层面,几乎都是高危漏洞,部分漏洞获得高危评分。
如今,两个实验室进行了组织升级,光年并入天穹旗下运作。两个实验室各有专攻,天穹做红蓝对抗演练,光年是基础软件及设备的安全研究,合力建设顶尖的安全攻防能力,助力蚂蚁和整个行业安全水位的提升。
02
用技术打造隐形之盾
为什么这样一群年轻人会投身到安全产业,持续不断地研究新技术并做出大胆突破?
当抛出这个问题时,我的脑海中浮现出的是「兴趣」「黑客情结」等答案,但干拉却给了我一个出人意料的回答:
「 我觉得做白帽是对社会能产生价值的一个正确的方式,让我们去保障整个网络空间的安全。 通过挖掘有影响力的漏洞,让社会了解到这个安全问题的危害,然后我能够督促厂商修复这些安全问题,让他们增加对安全的重视,这是一个正向的路,也是能让我感受到网络安全的技术魅力的地方。」
从一个「00 后」白帽的口中听到这样的回答,不免让人更加好奇,蚂蚁安全实验室究竟具备怎样的特质,吸引这样的年轻人加入,实验室又是怎样筛选出出色的年轻极客加入,关于这个问题,蚂蚁安全天穹实验室负责人曲和说:
「我们在国内主要是招聘三个层面的同学。首先是干拉这样属于在学校里就参加过各种大赛的,并且有丰富的实践经验以及参赛经验,同时基本功非常扎实的同学;另一种是刚毕业一两年,在企业工作过,有一定的安全研究经验,可能他的成果不是那么多,但是具备一些潜质或者说思维活跃,对一些问题有独特看法;第三类是行业中已经有影响力,做出过一些高质量成果的同学,这类同学是比较难招的,我们就会和他们长期沟通。」
他同时提到,团队内一些优秀的研究同学,通常会具备一些不同寻常的研究思路。比如此前团队招的一个同学,他在一个比赛中攻破了一款虚拟机,虽然整个攻击路径的技术并不高深,但其路径选择却很有独特性,因为这代表着一种可能性,在未来,蚂蚁遇到新的项目和技术挑战时,「也许他的视角会比其他人更新颖一些」。
实际上,人才的多样性确实大大推动了蚂蚁在安全技术方向的突破。
早年间,当支付宝刚刚出现时,黑灰产的侵扰曾让支付宝团队下定决心,既要保证用户资金安全,又要确保 用户体验 顺畅,围绕这个目标,安全团队打造出大数据风控引擎(CTU),随后,数次升级让这一风控引擎不断强化。
伴随「双十一」的火爆,上亿笔支付同时发生,为了解决大量数据带来的效率问题,蚂蚁安全团队在大数据风控引擎基础之上又加入了人工智能,成为了大名鼎鼎的 AlphaRisk,这一年,是 2016 年,支付宝智能风控引擎升级到了第五代。而每一代的风控引擎背后,随着产业的发展与变迁,安全下的细分赛道领域不断丰富增加,逐渐孕育如今的九大安全实验室这一全新的安全科技组织阵型。
曲和谈到, 在蚂蚁内部 有多个安全实验室在做黑灰产相关的研究和对抗,在 黑灰产相关方面的研究工作积淀已久 ,根据各自的专业特长互相配合,建立了完整的安全研发、安全运营流程和红蓝演练机制,能够提前规避、发现解决线上风险问题、实时感知黑产态势及攻击行为、快速进行攻防对抗。
如今,包括天穹实验室在内,蚂蚁九大实验室的成果相互协作,共同为业内的技术升级提供了正确方向和有益补充。例如,天筭、天玑、天堑三大实验室主攻智能风控、数字身份、数据安全领域攻坚技术和实践;光年、天穹、非攻三大实验室侧重前沿基础安全研究和安全水位提升;天穹、天枢、天盟三大实验室研究重点在于网络犯罪研究及行业生态协作。
多样化的技术团队,使得蚂蚁安全实验室拥有目前全球范围内数量最多的「 AI 安全可信关键技术」专利,并成功主导及参与国际标准 14 项,多次获得国内外行业大赛冠军,还屡屡因为「白帽子」贡献获得国际、国内同行的致谢。并且,天玑实验室也是谷歌安卓全球唯一直接授权的生物识别安全性检测认证实验室。
而当安全团队在做好防盗的防御之后,这群年轻极客们并未止步于此,随后又主动出击,深入电诈模型研发与技术反制。比如面向用户端推动的「延时到账 2.0」。 当用户遭遇诈骗时,这种延时转账功能可以为用户及时报警争取时间,当警方下达止付指令,这笔转账就可以原路返回。
另外还有近年来逐步成型的「图计算」,通过研究在诈骗转账和正常转账之间的数据差异性,实验室的安全研究员们不断发掘量化指标,通过图计算能够从个案骗子骗钱的蛛丝马迹中找到异常特征,从而更快速、高效地为可能上当受骗的批量群体用户输出个性化千人千面的反诈骗提醒与系统防控,直至资金拦截。
据了解,结合完整风控引擎能力的全图风控现已实现了在 10 毫秒内对每一笔交易进行欺诈扫描与风险检测,并且准确率达到 95%。而随着引擎不断加快、功耗变低,计算间隔不断缩短,未来的准确率还将继续提升,而蚂蚁内部的安全团队,如今正通过这样的「无形之盾」,守护用户的信息安全。
03
当黑客「破解人类」
伴随着信息化技术的快速发展,数据正成为世界上最重要的资产。曾经的 PC 时代网络安全问题已经改变形态,从系统安全,升级为数据和隐私安全。在数字化生活逐渐加深的过程中,很多人惊讶的发现,在生活中,即便一些很小的细节,一个诈骗电话,一个二维码,甚至一根不起眼的充电线,就可能造成比 PC 时代更严重安全问题,产生可怕后果,正如尤瓦尔·赫拉利所说:
「我们正在进入『黑客攻击人类』的时代,因为数据是如此重要,这不仅是关于我们去哪里和购买什么的消费数据,而是关于我们身体和大脑内部发生的事情的数据。利用数据不仅可以破解计算机,还可以『破解人类』。」
当然,还有我们正在大规模应用的 AI ,也将会成为被攻击的对象,也会成为不法分子的武器。
因此,网络安全成为绕不过去的一堵墙,这堵墙不仅需要「兵来将挡水来土掩」,还要能够伴随外部危险的升级不断加厚加高。曲和也表示,「在蚂蚁内部,天穹实验室和光年实验室都是九大安全实验室中的一员,通过九大安全实验室,以及蚂蚁其他安全团队的共同协作,才有了如今蚂蚁的生态安全防线。」
PC 时代,网络威胁是主要问题, 但到了移动互联网时代,尽管 PC 时代遇到的问题依然存在,人们却更关注个人隐私和信息安全问题。
包括蚂蚁在内,更多公司都在通过各种手段确保个人信息不会被盗用或者滥用,尤其是国产手机厂商,也在对用户信息安全提高管控,对于诈骗电话/信息的拦截,对于数据安全和隐私防护都进一步提升,因此像过去 PC 上那种影响范围很广的病毒在移动互联网时代逐渐变少。
但安全水位线依然在不断提高。所谓的信息安全,实际是在某个安全假设前提下的安全。因此在实际情况下,行业对于安全需求的理解、共同形成的行业共识都伴随技术的发展,技术的使用门槛、防范能力等而变化,随之而来的,是安全水位线也会随之变化。
凯文·凯利曾提出世界发展的四个规律,第一条便指出,「不论哪一个行业,颠覆不是从内部出现,而是从外部推动」。
在他看来,「搜索引擎的创新,不是从搜索开始的。」而网络安全的创新,也并非信息安全本身,而是关乎我们衣食住行的各个角度,从扫码缴费的支付宝,到日常聊天的微信,从高德地图到大众点评,当我们谈论个人隐私和信息安全概念的革新,我们或许应该用更深入的视角去体会变化的到来。
当移动支付逐渐兴起,普通人看到的是相比纸币更快捷高效,是科技恢宏的一面。但「白帽」们看到的却是大潮背后的暗面——无论是偷、骗还是当年的 P2P,现在的赌博、诈骗与洗钱,无数黑灰产业也像潮水一样一波波涌来,大多数人之所以对此感知不强,是因为背后有强大的「白帽」在护航。