在阿里安全工作是什麼樣的體驗?真如吃瓜群眾猜測的那樣,P7、P8起步跑,年薪百萬各路HR找,朝九晚十週末忙,加班學習活到老嗎?
這不是真實的阿里安全。
下面介紹自己親身體驗的都是在阿里安全工作了幾年的技術er,他們在進入阿里安全之前,有的是技術分享平臺小有名氣的“紅人”,有的深藏絕技,可以輕鬆破解特斯拉,還有的拿頂會論文拿到手軟。
這些帶著光環走進阿里安全的人並非一帆風順,但他們依然熱愛這份工作,並設立了自己的“小目標”。
“技術紅人”蒸米:要有業務嗅覺 也要有前沿視野
2014年11月11日,即將從香港中文大學博士畢業的蒸米受邀參加線下阿里“雙11”購物狂歡節時,他也想知道:在阿里安全工作是一種怎樣的體驗。
彼時,蒸米雖還沒畢業,卻已是安全圈的技術網紅。博士一年級時,蒸米突發奇想,寫出了一個名為“ADAM”的病毒混淆工具——病毒檔案經過這個工具簡單的混淆就能改頭換面,防毒軟體立刻認不出它。蒸米的系列研究還受到了烏雲白帽子的喜愛,他以一個巧妙的iOS漏洞研究成功地引起了安全大佬們的注意。
阿里安全雖然來不及“先下手為強”,但曲線邀請了蒸米到阿里杭州園區參觀:“小哥哥,來看看嘛,買賣不成情誼在,就當免費旅個遊。”然後,蒸米就被“雙11”巨大的交易額震撼了,加入了阿里安全。
圖片說明:蒸米和一則激動的朋友圈
第一年,蒸米過得十分“舒適”,他“放養”自己鑽入了安全研究中,發現並命名了影響上億裝置的iOS病毒XcodeGhost和影響上億裝置的Android app漏洞WormHole ,對安全界產生巨大影響,還幫助蘋果公司修復了多處iOS系統安全問題。但到第二年,蒸米慢慢意識到,要想讓安全研究落地,真正為業務服務,還有很遠的距離。
蒸米沒放棄深度研究,但開始刻意培養自己的“業務嗅覺”,因為對蘋果作業系統安全的深入瞭解,他的一些研究成果也成為阿里安全新一代安全架構的一部分,在安全技術層為為淘寶提供更安全的服務,讓社會的“數字基建大樓”的水泵、發電機更有力。
他也一直在思考技術和業務的關係:“可以把20%的精力用在對業界產生影響的研究上,它們會像一盞燈,照亮未來的路。為業務服務更注重綜合能力的培養,要能讓研究落地,讓客戶願意使用它。對業務產生了幫助,等於對公司產生了幫助,新一代安全技術架構讓數字基建更安全,等於對社會產生了影響,最後也是讓世界變得更好了。”
“破解狂魔”青惟:研發“自動化工具”解放自己
2014年,浙江大學的一名大學生青惟瀏覽蒸米釋出在烏雲上的酷炫研究時,沒想到兩年後會與這個傳說中的安全網紅一樣拿到阿里星,到阿里安全“搞機”。青惟成為了“IOT破解狂魔”,上至無人機,下到Wi-Fi攻擊,沒有他搞不定的“機”。
其實,本科就讀於自動化專業的青惟以為自己以後走的應該是研究精密儀器的路子,沒想到讀研時導師特別熱愛網路安全,引領青惟走上了安全之路,青惟成為了一名CTFer,甚至為此開發了一套注重使用者體驗的CTF比賽平臺。
青惟還參加了SyScan360安全會議中的破解特斯拉大賽,他發現了汽車鑰匙無線協議的漏洞,在沒有鑰匙的啟動下,成功開走了特斯拉,成為真正意義上第一個在國內破解特斯拉的人。後來,青惟又發現了汽車的CAN匯流排漏洞,將這個破解工具在GitHub上開源,讓大家一起探討技術。
種子選手青惟面臨的則是“解放人力,如何複製多個‘技術牛人’”的問題。當了兩年“破解狂魔”後,各個部門都把IOT硬體送過來讓青惟檢測安全性,他覺得這種方法太低(累)效(了)。“輸入裝置,再輸出裝置”,他要擺脫這種“機械式”操作,讓工具代替人力來做這件事。
“IOT裝置種類那麼多,每一個拿來重新研究一遍成本太高,老有人說IOT安全是偽熱點安全,如果可以自動化檢測,成本大大降低。”青惟設想,做一款平臺型工具,能檢測一切IOT裝置,為IOT安全降低門檻。
目前,他正在愉快地實現這個“小目標”中。
圖片說明:解放雙手的青惟
“平平無奇”的廷燁:拿頂會論文拿到手軟
廷燁是坐著公交車參加阿里星交流會時與青惟相識的。在廷燁看來,蒸米、青惟都是天賦型選手,自己只能算靠努力和認真才能搞成研究的人。
記住,如果以後有人對你說這種話,尤其這個人還是從北大畢業的話,千萬不要信。
圖片說明:“平平無奇”的廷燁
廷燁上大學之前一行程式碼都沒寫過。上第一節程式設計課如同聽天書,一頭冷汗的他一下課就衝到醫學部要求轉專業,老師告訴他:“同學,要一年以後才能轉專業,要不你再試試?”
沒想到,過了一個寒假,自學試一試的廷燁就衝進了年級前十名,他開始覺得這個專業有點搞頭。後來,他又被世界頂尖理工院校洛桑聯邦理工學院錄取,直接攻讀博士,開始了基因密碼資料保護方面的研究,正式踏入密碼保護的領域。
畢業前廷燁拿下了三篇CCF-A類安全頂會,並在SCI 生物一區期刊 Genome Research上拿下了12月封面論文。進入阿里安全後,密碼學研究與應用小能手廷燁與隊友一起獲得2019 iDASH 國際比賽冠軍,他還摘得2019 CISC 密碼學競賽冠軍。
不過,拿獎拿到手軟的廷燁也遇到了難題。第一個問題是,從學術研究跨界到工業應用,總會有水土不服。“比如,我們帶著技術和外部公司合作時,對方對頻寬和成本有限制,我就要想到怎麼在限制內最大化地實現效果。以前做研究沒有實際應用條件的限制,現在得考慮合作方的需求、成本及收益的平衡。”廷燁說。
第二個問題是,前沿密碼技術高深複雜,如何讓大家願意使用它?廷燁覺得,光做出技術遠遠不夠,要想讓技術落地,自己必須學會用最通俗的語言讓大家真正理解它。於是,安全研究者廷燁化身“技術推銷員”,一年跑通十多個部門,他要讓“三歲小孩”都能看懂它,解決落地的困難,真正打破密碼技術和實際應用的壁壘。
每個人只是時代的一粒沙,但廷燁、青惟、蒸米這些“沙”在阿里安全鑄成了阿里新一代安全架構的“技術骨骼”,撐起的不僅是阿里經濟體的安全,還是整個數字基建的安全,這就是他們在阿里安全工作的體驗。