專訪TK教主於暘：原來那些搞安全的說的都是真的（圖靈訪談）

於暘，網名“tombkeeper”，在國內黑客界被尊稱為“TK教主”，現任騰訊玄武實驗室總監。於暘從事資訊保安研究工作十餘年，主要研究方向聚焦在針對各型別漏洞的挖掘、利用、檢測、防禦，以及涉及硬體、無線等方面的複合安全風險。他曾發現並報告了Cisco、Microsoft等公司產品的多個安全漏洞。在2008年北京奧運期間，他曾擔任公安部奧運會資訊網路安全指揮部技術專家，及CNCERT奧運資訊保安保障小組技術專家，並獲得CNCERT頒發的奧運資訊保安保障支援個人一等獎。於暘曾在BlackHat US、CanSecWest等國際安全會議上發表演講，是CISP認證“惡意程式碼”這門課程的最初設計者，也是微軟漏洞緩解技術繞過懸賞十萬美元大獎全球兩個獲得者之一。

問：聽說您找到第一個漏洞的時候，還在醫院實習，您是如何燃起對資訊保安領域的興趣的？

實際上我對資訊保安的興趣並不是“燃起”的。我從小就熱愛自然科學和工程技術，直到現在也是這樣。只不過資訊保安研究對物質條件要求比較低，只要一臺電腦就可以研究很多東西，比較適合自學，所以當年很自然走向了這個領域。如果我生於豪門，小測驗考一百分就可以得到質譜儀作為獎勵，生日禮物是一個基因實驗室，我可能就幹別的去了。

雖然我讀的是醫科大學，但二年級也開了計算機課，學一些 DOS 系統操作、Foxbase 資料庫之類。後來自己買了臺計算機，才發現這裡面可研究的東西太多了。另外比較幸運的是，當時全市唯一的計算機專業書店和計算機硬體市場都在我們大學附近。我買書和買硬體主要靠稿費和省下來的生活費。有段時間，我每個月只花 90 元吃飯，所以那時候身材特別標準。

一開始，資訊保安只是我的業餘愛好之一，促成我走上職業道路的是 Nimda 蠕蟲事件。當時在自己電腦上架設了一個蜜罐，在 Nimda 蠕蟲爆發當天捕獲了它，並寫了一份分析報告。雖然現在看來那份報告非常稚嫩青澀，但那是國內第一份對蠕蟲這種新型安全威脅做出多角度分析的報告，被很多網站轉載。甚至在那之後很長一段時間，各家安全公司對蠕蟲類的分析報告，都以我那份報告的內容框架作為模板。有家安全公司因為我向他們提供了那份報告，送了我一套他們的軟體。然後我很快又發現了那套軟體的一個漏洞。雖然是非常簡單的堆疊溢位，現在看來，也很稚嫩青澀，但這些都讓當時的我非常自豪，並樹立了信心。作為一個讀了 5 年醫科大學的人，做出決定去從事另一種技術工作，這種信心是很重要的。

問：您曾經說過，能不能從事資訊保安工作是先天決定的，這些先決條件都包括什麼？您是如何發現的？

說“先天”可能有些誇張，也許用“成年之前”這個詞更合適。另外，資訊保安工作分很多種，我特指的是資訊保安攻防技術研究這個領域。

王爾德說：“教育是令人羨慕的東西，但要記住：凡是值得知道的，沒有一個是能夠教會的。”我見過很多出色的研究者，發現大家有一些共有的特徵，包括想象力、觀察力、好奇心、聯想能力，等等。同時，我也見過一些技術底子好又努力的人，但沒有做出比較好的成就，而他們的共性就是缺乏前面說的那些特徵。所以這算是我的一點個人主觀經驗。

問：您曾經在XFocus結識了很多朋友，還專門寫過一篇文章向Benjurry（季昕華）學習，能透露一下文章談到的“憋不住的事兒”是什麼嗎？

Benjurry 很聰明，懂技術，性格溫和，擅長表達，自制力強，精力充沛，又有建功立業的慾望，這幾點同時集中在一個人身上非常罕見。所以我和朋友們很多年前就說他一定會做成大事。所以他創辦成功了的UCloud我們一點都不意外。

在中國要做成大事，就得能“憋住”。羅永浩算是一個異類，但你看他最近一年，也比以前能“憋住”多了。

問：能簡單談一談你獲得微軟漏洞防禦挑戰懸賞 10 萬美元大獎的經歷嗎？

DEP 和 ASLR 是兩種重要的漏洞利用緩解技術，可以使系統即使存在漏洞也難以被利用，是微軟的重要安全防護措施。EMET 是微軟的免費安全工具，可以為系統提供更強的 DEP 和 ASLR，以及很多其它防護功能。這些防禦技術單獨存在時，都可以比較簡單地繞過，但結合起來後，就很強大。

2013 年 3 月 8 日，我在 CanSecWest 2013 上介紹了一種通用的繞過 DEP、ASLR 甚至 EMET 的技術，並提出了相應的防禦建議——沒有直接報告微軟是因為此前微軟不認為這類問題屬於漏洞。

在我公開這個技術後一個多月，微軟釋出了 EMET v4 Beta，在其中根據我的描述和建議，對這種漏洞利用方法進行了檢測防護。但就在新版 EMET 釋出後的第二天，我發現這個版本雖然新設計了很多防護功能，但實現上存在重大安全問題，甚至反而會使漏洞利用變的比不裝 EMET 更容易。於是我將該問題報告給了微軟。

又過了兩個月，2013年6月17日，微軟釋出 EMET v4 正式版，在其中修復了我發現的問題。並在同一天，啟動了 Mitigation Bypass Bounty 專案，徵集繞過 DEP 和 ASLR 等防禦技術的方法，給出了最高 10 萬美元的獎金。後來還在官方 Blog 中用我當初提出的技術作為例子，來說明什麼樣的技術才符合 Mitigation Bypass Bounty 專案的標準。

於是有很多朋友誤以微軟已經給我發了這個獎，向我表示祝賀。我跟他們說其實沒有，並且不太相信微軟真的會給獎金，畢竟他們已經堅持了十幾年不為漏洞付錢的原則。

但是，2013 年 10 月 8 日，微軟公佈了 James Forshaw 成為第一個獲得 Mitigation Bypass Bounty 的人。我很驚訝，沒想到微軟轉變了風格。然後我告訴老婆：很可能是我之前提出的技術促成微軟設立了這個獎，但我卻錯過了成為第一個拿到獎的人。我老婆表示很可惜，於是我對她說：“你別急，我給你弄一個回來”。

然後我花了一些時間，把之前研究的另一些漏洞利用技術做了實現，發給微軟，然後拿回了這個獎。

問：您為什麼離開綠盟，選擇加入騰訊玄武實驗室？

很多公司在談到員工離職時的描述都是：“某某，因個人原因離職”。我也是因為個人原因。

問：為什麼百度安全攻防實驗室、阿里安全研究實驗室、騰訊玄武實驗室都在2014年集中成立？

最根本的原因還是時候到了，國內對安全的認識到了這一步。所以去年我和不少人談基礎研究的重要性時，大家都比較認可。

問：在綠盟科技的招聘公告中有對學歷的具體要求，而現在您在玄武實驗室則明確表示“對學歷沒有特別要求”，在這之間發生變化的是觀點還是人才市場？

大多數公司的招聘啟事都會有對學歷的要求，但目的主要是為了過濾噪音，而不是攔住人才。如果你的能力夠好，一定可以獲得認可。玄武實驗室現在有博士後，也有輟學的。

就像姑娘們徵婚，可能會寫一個一米八零的身高要求，但是不是一米七八、一米七七就不行呢？不一定。林志穎是一米七二，馬克·祖克伯是一米七五，遇到這倆，可能姑娘們會覺得差幾釐米就不是什麼問題。

學歷要求作為企業招聘的總策略可能是合理的，能降低招聘成本。我們實驗室因為本來招聘人數就不多，所以可以直接採取更靈活的策略。

問：玄武實驗室相對於騰訊其他安全部門來說是主攻理論研究的學院派嗎？你們和其他部門（工業派）是如何合作的？

我們的研究風格不是學院派的。實驗室定位中有一條是“面向實用的安全技術研究”，所以並不需要去跨越理論到實踐的鴻溝，我們搞的就是實踐。

問：2010年時您轉過一篇Paul Graham的文章《別為大公司拼命》，文中提出了一個觀點：優秀個人的貢獻和能力通常會被大公司所埋沒，您現在還認同文中的觀點嗎？創業對您來說是否具有吸引力？

Paul Graham 那篇文章的觀點是：大公司無法準確測量每個員工的貢獻，所以，願意拼命工作的人如果想謀求更高回報就應該創業。顯然很多公司也意識到了這一點，所以才有了鼓勵內部創業、對優秀的部門允許獨立核算，甚至成立獨立事業部等各種新型的企業管理方式。

你去證券公司開戶，會讓你做一個投資風險承受能力評估，裡面包括你的年齡、收入、資產、風險偏好等一系列問題。創業也是類似的，是很複雜的問題，牽涉到很多變數。如果你非常年輕，大學剛畢業，做出創業的決定可能很輕鬆；如果你已經有了足夠全家人過完一生的儲蓄，做出創業的決定可能很輕鬆；如果你是特別愛冒險的人，在賭場裡可以押褲子，並且家人支援你冒險，做出創業的決定可能也很輕鬆。但這些我都不符合。

另外，我也不屬於有很強的開疆擴土、建功立業慾望的人，很多熱衷於技術研究的人都不是。我這麼多年來一直每天工作 12 個小時，不是為任何人拼命，只是我自己想去做那些事而已。

問：韓國對資訊保安的重視遠超大部分國家，其背後有哪些原因？

是危機感吧，我猜的。就像他們要求所有滿 20 歲的男性公民必須服兵役一樣。

問：國內安全技術人才供求不平衡的原因都有哪些？這些問題在短期內是否有望解決？

各國其實都有這個問題。本質原因還是因為前些年網路安全威脅沒有被充分暴露，導致對安全的重視不夠，對安全人才的需求也不怎麼迫切。比如有些學校前些年設立了網路安全專業，後來又撤消了。而 Stuxnet、斯諾登之後，人們忽然發現：“原來搞安全的那些人說的都是真的，不是嚇唬我們啊！”於是人才需求增加的比較快，這時候發現供給跟不上了。

美國有一篇智庫文章也談到這個問題，那篇文章認為，並不需要為此特別採取什麼措施，只要人才能充分市場化，幾年內這種情況自然會緩解。我贊同這個觀點。

問：通過親身參與GeekPwn、XCTF、KCon，您認為這些活動是否對國內資訊保安產業的發展起到了積極作用？

我認為競賽、演練、研討類的活動，對資訊保安產業是有積極作用的。一方面促進業內交流，一方面促進人才培養。我在清華作 XCTF 宣講時談了一個觀點：如果這些活動能讓校園裡的安全技術明星和那些校園裡的文體明星一樣，成為關注的焦點，成為異性仰慕的物件，何愁最聰明的那些年輕人不加入這個行業，何愁安全行業後繼無人？

問：由您推薦，諸葛建偉、肖梓航、楊坤三位譯者翻譯的《Android安全攻防權威指南》一書最近已經出版了。Android系統和安全領域的圖書很多，您在選擇閱讀技術書時有哪些標準？在閱讀一本好書的時候應該注意什麼？

我選書主要看作者是誰，另外也會參考 Twitter 等社交媒體上人們的推薦。比較優秀的技術專家，更有可能寫出比較棒的內容，同時也更可能因為愛惜名譽，寫東西比較認真。

我以前自學的時候，不知該看什麼，就把書店裡相關的書都買了。但現在安全類書太多了，有錢全買也沒時間全看。但我仍然建議，如果你不確定一本書是不是該買，那就寧可錯買，不可錯過。如果買回來，翻了幾頁發現不好，只能拿來墊顯示器，也不過損失幾十元。但如果買對了，一本好書帶來的益處將是無比巨大的。

讀計算機技術類的書，最重要的是不能光抱著書讀，得動手跟著做。

---

更多精彩，加入圖靈訪談微信！