聚焦AIITer|安全攻防在“云”边:白帽黑客的AB面

来源:AIIT发布日期:2020-12-15

2020年9月,萧山区网络安全宣传周启动,一个攻击场景演示吸引了在场几百人的目光。短短十几秒的时间,攻击者便通过共享WI-FI,利用安全漏洞,攻入了一款智能灯杆,在上面插入了一段恶意视频。

完成这个攻击场景的是一位女黑客。她叫王婷,是北大信研院安全工程与云计算实验室安全攻防组组长。

5ff2d819a1955.png

图为萧山区网络安全宣传周启动仪式。在参观环节,王婷为参会者进行攻击演示

A面:淡妆相宜

 看得见的,看不见的,摸得到的,触不着的,构成没有边界的计算机世界,构成了身后的战场。

得知要接受采访,王婷习惯性关了电脑显示屏,笑着起身。南方城市温和淡然的气质似乎与王婷更契合,她总是笑盈盈地,轻声细语地与人对谈,举手投足中给人熨帖的感受。

计算机世界里,男性在人数上总是占压倒性优势,在信息安全领域,女生更是少之又少,“每次开会后合照,后面乌压压的男生,但第一排的女生却站不满”。而外表看上去温和可爱的王婷,更是让人难以将“黑客”的标签与之联系。组里的同学俞晨阳说,平日里的婷姐总是细致耐心地指导组员,从未见她有过激烈的情绪。

5ff2d89b50827.png

王婷参加了工业互联网安全攻防比赛,赛场上女生寥寥,王婷和队友共同经历了一天的鏖战。

王婷曾在北京的中国信息安全测评中心工作过七年,从工业物联网的工控协议分析、流量分析做起,逐渐到和国内顶尖的前辈一起参与一些国家级项目。一毕业就进入到顶尖的平台,得到前辈的赏识,似乎是爽剧女主的剧本。但在这七年里,王婷发现中国的信息安全工作任重道远。技术的齿轮每前进一格,无数矛头就会随之涌现,技术和伦理的边界变得模糊。全球数字通信系统不断完善,物联网情景下智能化升级,网络攻击事件愈演愈烈,个人隐私泄露的新闻频频曝光…

考虑了近两年,凭着一腔热爱,王婷做了一个决定。19年7月,她辞去了原本稳定的工作,来到北大信息技术高等研究院。在这里,可以将信息安全的触角伸进企业,从下至上,为物联网安全布局提供助推。那时实验室还在初始阶段,王婷的加入让实验室“挖到宝了”。

5ff2d8d0d2eb0.png

在北大信研院安全工程与云计算实验室安全攻防组工作的王婷

工作单位变化,但生活中与信息安全相关的小习惯一直伴随着王婷。看黑客电影时,她会格外留意屏幕上打出的代码,有时还会暂停截图研究,“如果是制作精良的黑客电影,你仔细看主角潜入服务器输入的命令,基本与我们日常会使用的指令和工具是相符的。”有时下载APP,她也会“抓个包”来看看。

这是“黑客”这一身份留下的痕迹,除此之外,在与淡妆更相宜的王婷身上,寻不到其他蛛丝马迹。但选择信息安全领域,象征着对一流能力的追逐,象征着与漏洞比邻而生。弥散在逻辑运算中的漏洞,隐身于黑盒中的口令和路径,看不见的,触不着的,构成了身后的战场。

B面:赛博刺客

 |生活中温和的王婷,在计算机世界里却极具“攻击性”。这样的反差,是王婷的B面人生。

攻破智能灯杆,进入控制台服务器,向广告屏插播攻击视频,王婷仅仅花了两天的时间。受托入侵智能门锁,越权访问服务器获取门锁用户信息,嗅探并逆向通信协议,破解远程开锁密码,成功开锁。工作中的王婷像是赛博空间里手握长矛的女刺客,一路披荆斩棘、所向披靡。

5ff2d95c06a60.png

王婷向梅宏院士介绍智能门锁应用系统安全评估项目

但最初走上这条道路时的错愕,王婷还历历在目。

王婷从小就对数学很感兴趣,小学时学校还没有普及奥数知识,家里只有父亲买的一本奥数书,王婷就自己啃起来,在数理逻辑里遨游的畅快感令她着迷。偶然在电视上看到黑客攻击、网络安全的基础是密码学,需要很多数学知识。于是凭着一腔兴趣,王婷报考了华中科技大学信息安全专业。

当老师第一次带着班上的四个女生进机房时,面对计算机,王婷手足无措,因为在那之前,她从没摸过电脑开机键。老师问她:“你连开机都不会,怎么选了信息安全专业?”

但王婷认定了一件事,就会一直走下去。本科和研究生阶段,她在中国航天、微软、人人网实习,接触到了当时代表国内顶尖水准的信息安全工作者。对于女生,大家也会有“技术和能力上拼不过男生”的刻板印象。但王婷身上有一股子韧劲,支撑着她在信息安全的路上笃行。作为最早几届信息安全专业的毕业生,王婷身边很多同学都转岗了,但她依旧选择在这块领域深耕。

5ff2d9cd7ed81.png

王婷是华中科技大学第三届信息安全专业的学生,毕业后一直在信息安全领域深耕。

王婷解释道:“准确来说,我们是‘白帽黑客’,是‘正义的一方’。”用时下互联网热词来说,“白帽黑客”是“讲武德”的黑客,不同于骇客(cracker)利用漏洞攫取信息、以高价出卖或实施恶意威胁,白帽子们往往受人委托,用黑客技术对系统进行攻击。最重要的是,发现漏洞后,白帽会直接报给产品方,并协助他们修补漏洞、解决问题。

无论在哪,提及“黑客”的人设无疑是最能聚集目光的方式,围绕这一身份浓墨重彩,似乎是勾勒王婷人物画像最简单的方法。但是,选择做一名信息安全工作者,黑客这个闪光的标签,只是冰山一角,王婷面对的挑战,远远比敲出几行计算机程序要复杂。

云边交锋

 |这场博弈没有起讫。攻与守之间,科技的齿轮缓缓向前推进,矛和盾交锋的火花里,技术进步的能源由此萌发。

提起“白帽黑客”的必要性,可以用这样一个比喻,想要给人开方子抓药,首先得让人意识到自己有病症。“未知攻,焉知防”,随着物联网的设备越来越多,“边缘计算”、“边缘生产”的概念兴起,传统的架构已经不适用于云边安全维护。面对新的结构,新的威胁,王婷希望带领团队通过主动攻击,找到病症,再提供整体的设备到云的防护方案。

“刚加入研究院时心里一边给自己打气,一边也有点害怕。”从单纯的技术人员转变为团队负责人意味着更大的挑战,王婷需要和团队一起主动对接企业,涉及安全的更多方面,解决更多的问题。国家层面出的题和企业出的题不一样,萧山有许多传统企业,向工业互联网和物联网转型过程中,安全被放在盈利之后,甚至被牺牲掉,在这样一个环境下去推进信息安全,充满挑战。

因此,有些人称信息安全是“数字时代的手艺活儿”,信息安全工作者更像大隐隐于市的扫地僧,他们是数字生活的守卫者。“不像研发,你没法直接说我们的工作能带来多少个效益点的提升”,小组成员候留洋说。但如果他们没有对安全风险的细细排查,对安全防护的层层垒筑,网络攻击会轻而易举,安全事件将层出不穷,个人隐私也将危如累卵。网上银行、社交媒体、股票交易,网络世界里任何视为理所当然的个体参与,都将分崩离析。

5ff2da59adaeb.png

安全攻防组合照

目前王婷团队已同北京大学软件研究所、浙江辰龙检测等高校企业在区块链、物联网、智慧城市等领域开展应用系统安全评估和检测合作并提供解决方案。

同时,团队还积极拓展研究院与传统企业的业务合作,进行实地调研,为企业提供安全咨询和评估服务,通过深化业务合作和培训交流,促进工业互联网、物联网等新领域安全检测技术的迭代创新,为新应用落地和传统企业转型提供信息安全保障。

密码和保护隐私的努力,并不是什么新鲜事物,但云场景下,需要更丰富的安全技术手段和安全协作。个人信息在云上的传输、比对,看不见,摸不着,却关系到千家万户。物联网的出现,创造了一个新的战场,安全之于物联网,如千里之堤中侦查蚁穴。

采访过程中,安全工程与云计算实验室的技术人员说的最多的话是,“安全防护是一个持续性的过程”。一边是赛博空间里默默坚守的白帽子,另一边是未知未来中不断变化的信息系统,这场博弈没有起讫。攻与守之间,科技的齿轮缓缓向前推进,矛和盾交锋的火花里,技术进步的能源由此萌发。

关闭
返回
打印