首页
论坛
课程
招聘

对话Flanker | 十年饮冰,难凉热血

Editor 2020-08-04 17:58




何淇丹,江湖名号Flanker,知名互联网企业安全总监,世界顶级黑客大赛Pwn2Own Mobile 和 PC 双料冠军,Google Android Security Top Researcher ,BlackHat USA和DEFCON演讲者。

15岁进入浙大,19岁和团队一起打进有安全圈奥斯卡之称的Defcon 总决赛,便注定他这条路走的不凡。在CTF浪潮席卷高校的当下,作为最早一批弄潮儿,他已站在行业的最前端。

少年天才是他的标签,但他并未被这个标签所限制。在这样或那样的人生岔路口,是命运选择了他,亦是他选择了命运。这次我们有幸在MOSEC大会现场采访到这位年轻的极客——Flanker,聊聊他的成长之路。

编辑:小雪



因何结缘MOSEC?


Flanker:毫无疑问,MOSEC可以说是国内世界级的顶尖移动安全会议。

我平常做技术研究的时候跟盘古团队很多成员也非常熟。今年情况比较特殊,由于疫情的缘故,很多会议基本都取消了,或者改成线上了。

大家有一个线下的机会来交流、分享技术,很难得。所以当时主办方邀请我的时候,就毫不犹豫地答应了。



如何评价今天的会议?


Flanker:MOSEC本身就是一个很技术干货型的国际会议。因为是由主办方(盘古)和PoC一起办的,所以本来有很多演讲嘉宾是其他国家的知名专家。今年比较特殊,他们都来不了,很多只能云连线。

虽然这一届来现场的主要是我们国内研究的朋友,但我认为这并不影响MOSEC议题一贯维持的高质量和水平。



与你之前参加过的BLACKHAT或其他国际会议相比,在MOSEC演讲感觉有什么不同吗?


Flanker:国外会议也有很多种。毋庸置疑,BLACKHAT作为业界顶尖会议,规模也是最大的。BLACKHAT可能会一连开个4、5天,甚至有几百场演讲。所以主办方会有点流水线作业,整个过程较程式化。


(blackhat演讲现场)

MOSEC则是比较小而精。今年更是因为疫情,两天缩成一天了。总体来说,因为MOSEC是一个相对比较聚焦的领域,熟人也比较多,大家可以讨论的比较深入,所以让我感觉更加轻松随和。


另外,去国外参加BLACKHAT,很大一个原因其实是去玩的(笑)。其实把BLACKHAT的会全部听下来是很难的,而且还需要克服时间上的冲突和时差。


能否分享一下你的学习成长之路?

Flanker:我小时候所处的地方高考压力还是很大的,当时家长觉得学化学肯定有用,学计算机就是玩物丧志。所以小时候我只参加过一些比较基础的小型计算机应用竞赛,更多的是参加一些化学竞赛,拿奖后高考还加了分。


上大学后,最开始是参加了ACM的国际大学生程序设计竞赛(简称ICPC)。后来接触CTF后,就开始打CTF比赛了。


我记得2011、2012年的时候,诸葛建伟老师和段海新老师最开始把CTF引入国内高校。我们就是在那一波浪潮里面成长起来的。


当时我和蓝莲花一起打入DEFCON,成为了华人圈中首个入围到DEFCONCTF总决赛的战队。战队里的成员包括陈宇森、杨坤、朱文雷,他们现在都是长亭的联合创始人。还有其他的一些成员,slipper、宋方睿、许文、刘耕铭……现在都是一些团队里核心的研究员或技术负责人。


而且那个时候,学校还没有开设信息安全专业。我毕业后学校才开始设置相关专业,成立学院,引入了很多教授。


所以我们那时候算是先行者,在学校建立了第一个信安协会,现在还一直在运作。另外,我们还创建了浙大的AAA战队,现在已经是第三、第四任了。学弟们现在都很厉害,最近拿了很多冠军。

(Pwn2Own赛场 高手云集)



(成功攻破的激动)


我们在那个时候接触到一个比较好的入门环境。一方面,我们当时和蓝莲花一起接触到很多国际性比赛。另一方面,我们也通过自己的努力,在广度和深度上,拓展了很多这方面的知识。基本上就是在那个时候,我确定了要把安全研究员作为自己的职业。


后面也是机缘巧合,进入了keen team实验室。那时恰好赶上个好时候,在公司的大力支持下,我们在一些国际比较前沿的领域取得了非常不错的成果。 


现在我希望能够去横向拓展一下,所以又回到了业务安全领域。



对学弟学妹们,有没有什么意见和建议?
Flanker:如果你的职业发展规划是从事安全行业,包括攻防开发研究等,那么CTF是你提高水平、交友、扩大交友圈的一个方式,也是一个入门的很好途径。


但是大家一定要想清楚,它是途径不是目的,不能说是为赛而赛。你的最终目的,一定是提高你的技术水平、扩展知识面,然后有一个更好的职业发展。


很多人会希望毕业之后去深造,比如说读研读博,或者出国。在这种情况下,还是要尽可能把最重要的专业课学好,因为这些对你的GPA是一个硬性的考核。


而且我觉得专业课和CTF比赛并不冲突。像计算机基础、计算机理论、数据结构、算法这些,其实对以后做安全技术研究是一个基础。基础打好之后,后面会事半功倍。更何况,基础的牢固程度如何会限制你后面的高度。所以大家也不必抱抵触心理,最好还是尽可能平衡一下这两者。


如果你是计算机系的学生,实在觉得自己精力有限,而且毕业之后想直接工作,不想读研或者出国,那我建议还是要把几个计算机体系里面比较关键的专业课抓好。要是对自己这个专业不感兴趣的话,还是要保证毕业的。长期来讲,能够拿到一个毕业证、学位证还是非常重要的。


而对于不是计算机系的同学来说,如果你想做安全,想像TK教主一样转行,说服你的家长,得到他们的支持很重要。这样,你就可以把精力放在安全上。


就目前这个国际形势来看,我觉得是这个行业比较好的一个时间点,大家想做的东西比较多,能做东西也比较多。所以如果你能把兴趣和自己的追求、工作结合起来,去做一些自己喜欢的事情,是最好的。



网络安全学习低龄化,你如何看待?

Flanker:这是一个趋势吧,我觉得是个好事。

国外很多比较有名的人物,其实就是很小就开始接触的。但是我们那时候比较早,可能确实没这样的条件。我是1998年4岁的时候开始接触电脑,要知道2000年以前的时候,一台电脑还是很贵的。所以对90后、80后来讲,那时候整体环境没那么好,他们也很少能有机会从小就去接触计算机。但现在的话,计算机或者编程可能几乎等同于少儿必修的一个技能了。

小时候,放寒暑假我会自己玩VB。我觉得对于一个小孩来说,编程是一个很神奇的东西。只要把你的想法,按照计算机的格式正确表述出来,那么至少在这个程序的范围之内,你就可以做任何你想做的事情。可能说夸张一点,你就是这个虚拟世界的主宰。

而且这个世界非常清晰,没有那么多模糊的东西,true就是true,false就是false,这其实是一个很神奇的感觉,这个世界的科学之美如艺术一般令人沉醉。我相信很多做这方面的人或多或少都有这种感觉。

Geohot有一句名言:


I want power, not power over people, but power over nature and the destiny of technology. I just want to know how the things work.


他更感兴趣的是自然万物是怎么运行的,内部原理是怎样的,科学技术发展的未来,而不是去把精力浪费在其他事情上面。虽然这并不是说,我们就不用去关注这些事情了。但我觉得这样的观念有助于你很早地认识这个世界,树立世界观,也有助于进一步产生更深入的想法,是一个很好的事情。很希望我们也能像美国一样,诞生一些这样的大师。

但是要强调的是,初学者和从业者在这个复杂的世界里,一定要坚守底线,决不能放弃道德和法律原则,无论面临多大的诱惑,这是最重要的。为天地立心,为生民立命,为往圣继绝学,为万世开太平。



你如何看待“少年天才”这个称号?

Flanker:我确实是比很多人早上大学(15岁进入浙大),进入社会比较早。这一路上,得到了很多人的支持,包括家庭、学校的师长,还有同学。工作之后,也遇到了很多很有帮助的朋友和伙伴。


即使是天赋卓绝的人,很多时候也需要一些点拨或方向的指引,和大家有一些交流和探讨。特别是在最开始的时候,能够有人帮他少走些弯路,是很重要的。


(受邀担任GeekPwn评委)

天赋决定了你的上限,努力决定了你的下限。其实对大部分人来说,都还没有到凭天赋的程度。我觉得一个人的兴趣是比这些更重要的。只要你有兴趣,那么你自然就会去努力,都会有一个比较好的结果。

就我个人来说,一方面我确实对这个东西有爱好,这样的话,自然而然会有所进展或成果。第二方面我确实遇到了一个很好的时间点,也遇到了很多很不错的人,并且参与到了很多重要的项目中,得到很好的实践。所以这是一个多方面的东西,肯定不是一个人单打独斗就可以完成的。




那你目前是在研究哪个方向?

Flanker:目前这个行业正在更加规范化,而且整个盘子也更大了。无论是从国家政策上还是从市场上,它的重要性也得到了一些高层设计的支持。


我目前做的东西主要是分两种,大部分精力还是在企业安全的建设上,会偏业务一些。另外一部分时间,在考虑做一些系统性的研究,同时也会思考这两者能不能做一个比较好的结合。


业务安全或者安全建设,更多时候是跟人打交道。相对来说,它是另外一种形式了。从技术方面来说的话,它可能并不要求你深入的技术研究,而是更考验协调、建设、平衡各方面关系,以及和人沟通的技巧。


而技术科学之美无论什么时候都令人沉醉,也是人的立身之本,我会继续深入下去,将两者结合起来,推动更宏伟的蓝图落地。





分享到:
最新评论 (0)
登录后即可评论