对话Flanker | 十年饮冰，难凉热血

发布者：Editor

发布于：2020-08-04 17:58

何淇丹，江湖名号Flanker，知名互联网企业安全总监，世界顶级黑客大赛Pwn2Own Mobile 和 PC 双料冠军，Google Android Security Top Researcher ，BlackHat USA和DEFCON演讲者。

15岁进入浙大，19岁和团队一起打进有安全圈奥斯卡之称的Defcon 总决赛，便注定他这条路走的不凡。在CTF浪潮席卷高校的当下，作为最早一批弄潮儿，他已站在行业的最前端。

少年天才是他的标签，但他并未被这个标签所限制。在这样或那样的人生岔路口，是命运选择了他，亦是他选择了命运。这次我们有幸在MOSEC大会现场采访到这位年轻的极客——Flanker，聊聊他的成长之路。

编辑：小雪

因何结缘MOSEC？

Flanker：毫无疑问，MOSEC可以说是国内世界级的顶尖移动安全会议。

我平常做技术研究的时候跟盘古团队很多成员也非常熟。今年情况比较特殊，由于疫情的缘故，很多会议基本都取消了，或者改成线上了。

大家有一个线下的机会来交流、分享技术，很难得。所以当时主办方邀请我的时候，就毫不犹豫地答应了。

如何评价今天的会议？

Flanker：MOSEC本身就是一个很技术干货型的国际会议。因为是由主办方（盘古）和PoC一起办的，所以本来有很多演讲嘉宾是其他国家的知名专家。今年比较特殊，他们都来不了，很多只能云连线。

虽然这一届来现场的主要是我们国内研究的朋友，但我认为这并不影响MOSEC议题一贯维持的高质量和水平。

与你之前参加过的BLACKHAT或其他国际会议相比，在MOSEC演讲感觉有什么不同吗？

Flanker：国外会议也有很多种。毋庸置疑，BLACKHAT作为业界顶尖会议，规模也是最大的。BLACKHAT可能会一连开个4、5天，甚至有几百场演讲。所以主办方会有点流水线作业，整个过程较程式化。

（blackhat演讲现场）

MOSEC则是比较小而精。今年更是因为疫情，两天缩成一天了。总体来说，因为MOSEC是一个相对比较聚焦的领域，熟人也比较多，大家可以讨论的比较深入，所以让我感觉更加轻松随和。

另外，去国外参加BLACKHAT，很大一个原因其实是去玩的（笑）。其实把BLACKHAT的会全部听下来是很难的，而且还需要克服时间上的冲突和时差。

能否分享一下你的学习成长之路？

Flanker：我小时候所处的地方高考压力还是很大的，当时家长觉得学化学肯定有用，学计算机就是玩物丧志。所以小时候我只参加过一些比较基础的小型计算机应用竞赛，更多的是参加一些化学竞赛，拿奖后高考还加了分。

上大学后，最开始是参加了ACM的国际大学生程序设计竞赛（简称ICPC）。后来接触CTF后，就开始打CTF比赛了。

我记得2011、2012年的时候，诸葛建伟老师和段海新老师最开始把CTF引入国内高校。我们就是在那一波浪潮里面成长起来的。

当时我和蓝莲花一起打入DEFCON，成为了华人圈中首个入围到DEFCONCTF总决赛的战队。战队里的成员包括陈宇森、杨坤、朱文雷，他们现在都是长亭的联合创始人。还有其他的一些成员，slipper、宋方睿、许文、刘耕铭……现在都是一些团队里核心的研究员或技术负责人。

而且那个时候，学校还没有开设信息安全专业。我毕业后学校才开始设置相关专业，成立学院，引入了很多教授。

所以我们那时候算是先行者，在学校建立了第一个信安协会，现在还一直在运作。另外，我们还创建了浙大的AAA战队，现在已经是第三、第四任了。学弟们现在都很厉害，最近拿了很多冠军。

（Pwn2Own赛场高手云集）

（成功攻破的激动）

我们在那个时候接触到一个比较好的入门环境。一方面，我们当时和蓝莲花一起接触到很多国际性比赛。另一方面，我们也通过自己的努力，在广度和深度上，拓展了很多这方面的知识。基本上就是在那个时候，我确定了要把安全研究员作为自己的职业。

后面也是机缘巧合，进入了keen team实验室。那时恰好赶上个好时候，在公司的大力支持下，我们在一些国际比较前沿的领域取得了非常不错的成果。

现在我希望能够去横向拓展一下，所以又回到了业务安全领域。

对学弟学妹们，有没有什么意见和建议？
Flanker：如果你的职业发展规划是从事安全行业，包括攻防开发研究等，那么CTF是你提高水平、交友、扩大交友圈的一个方式，也是一个入门的很好途径。

但是大家一定要想清楚，它是途径不是目的，不能说是为赛而赛。你的最终目的，一定是提高你的技术水平、扩展知识面，然后有一个更好的职业发展。

很多人会希望毕业之后去深造，比如说读研读博，或者出国。在这种情况下，还是要尽可能把最重要的专业课学好，因为这些对你的GPA是一个硬性的考核。

而且我觉得专业课和CTF比赛并不冲突。像计算机基础、计算机理论、数据结构、算法这些，其实对以后做安全技术研究是一个基础。基础打好之后，后面会事半功倍。更何况，基础的牢固程度如何会限制你后面的高度。所以大家也不必抱抵触心理，最好还是尽可能平衡一下这两者。

如果你是计算机系的学生，实在觉得自己精力有限，而且毕业之后想直接工作，不想读研或者出国，那我建议还是要把几个计算机体系里面比较关键的专业课抓好。要是对自己这个专业不感兴趣的话，还是要保证毕业的。长期来讲，能够拿到一个毕业证、学位证还是非常重要的。

而对于不是计算机系的同学来说，如果你想做安全，想像TK教主一样转行,说服你的家长，得到他们的支持很重要。这样，你就可以把精力放在安全上。

就目前这个国际形势来看，我觉得是这个行业比较好的一个时间点，大家想做的东西比较多，能做东西也比较多。所以如果你能把兴趣和自己的追求、工作结合起来，去做一些自己喜欢的事情，是最好的。

网络安全学习低龄化，你如何看待？

Flanker：这是一个趋势吧，我觉得是个好事。

国外很多比较有名的人物，其实就是很小就开始接触的。但是我们那时候比较早，可能确实没这样的条件。我是1998年4岁的时候开始接触电脑，要知道2000年以前的时候，一台电脑还是很贵的。所以对90后、80后来讲，那时候整体环境没那么好，他们也很少能有机会从小就去接触计算机。但现在的话，计算机或者编程可能几乎等同于少儿必修的一个技能了。

小时候，放寒暑假我会自己玩VB。我觉得对于一个小孩来说，编程是一个很神奇的东西。只要把你的想法，按照计算机的格式正确表述出来，那么至少在这个程序的范围之内，你就可以做任何你想做的事情。可能说夸张一点，你就是这个虚拟世界的主宰。

而且这个世界非常清晰，没有那么多模糊的东西，true就是true，false就是false，这其实是一个很神奇的感觉，这个世界的科学之美如艺术一般令人沉醉。我相信很多做这方面的人或多或少都有这种感觉。

Geohot有一句名言：

I want power, not power over people, but power over nature and the destiny of technology. I just want to know how the things work.

他更感兴趣的是自然万物是怎么运行的，内部原理是怎样的，科学技术发展的未来，而不是去把精力浪费在其他事情上面。虽然这并不是说，我们就不用去关注这些事情了。但我觉得这样的观念有助于你很早地认识这个世界，树立世界观，也有助于进一步产生更深入的想法，是一个很好的事情。很希望我们也能像美国一样，诞生一些这样的大师。

但是要强调的是，初学者和从业者在这个复杂的世界里，一定要坚守底线，决不能放弃道德和法律原则，无论面临多大的诱惑，这是最重要的。为天地立心，为生民立命，为往圣继绝学，为万世开太平。

你如何看待“少年天才”这个称号？

Flanker：我确实是比很多人早上大学（15岁进入浙大），进入社会比较早。这一路上，得到了很多人的支持，包括家庭、学校的师长，还有同学。工作之后，也遇到了很多很有帮助的朋友和伙伴。

即使是天赋卓绝的人，很多时候也需要一些点拨或方向的指引，和大家有一些交流和探讨。特别是在最开始的时候，能够有人帮他少走些弯路，是很重要的。

（受邀担任GeekPwn评委）

天赋决定了你的上限，努力决定了你的下限。其实对大部分人来说，都还没有到凭天赋的程度。我觉得一个人的兴趣是比这些更重要的。只要你有兴趣，那么你自然就会去努力，都会有一个比较好的结果。

就我个人来说，一方面我确实对这个东西有爱好，这样的话，自然而然会有所进展或成果。第二方面我确实遇到了一个很好的时间点，也遇到了很多很不错的人，并且参与到了很多重要的项目中，得到很好的实践。所以这是一个多方面的东西，肯定不是一个人单打独斗就可以完成的。

那你目前是在研究哪个方向？

Flanker：目前这个行业正在更加规范化，而且整个盘子也更大了。无论是从国家政策上还是从市场上，它的重要性也得到了一些高层设计的支持。

我目前做的东西主要是分两种，大部分精力还是在企业安全的建设上，会偏业务一些。另外一部分时间，在考虑做一些系统性的研究，同时也会思考这两者能不能做一个比较好的结合。

业务安全或者安全建设，更多时候是跟人打交道。相对来说，它是另外一种形式了。从技术方面来说的话，它可能并不要求你深入的技术研究，而是更考验协调、建设、平衡各方面关系，以及和人沟通的技巧。

而技术科学之美无论什么时候都令人沉醉，也是人的立身之本，我会继续深入下去，将两者结合起来，推动更宏伟的蓝图落地。

声明：该文观点仅代表作者本人，转载请注明来自看雪