有这样一个特别的实验室,借中国传统文化四象之一“玄武”为名,擅长“漏洞”挖掘,专攻安全防御。它就是被网络安全领域誉为“漏洞挖掘机”的腾讯安全玄武实验室,腾讯安全旗下联合实验室矩阵之一。这个在腾讯内部显得低调的部门,却早已蜚声国际,而战绩背后,不得不提这位光芒四溢的掌门者。
2013年,微软因他的研究设立全球安全挑战赛;2016年,他曾获“安全界奥斯卡”Pwnie Awards“最具创新性研究奖”提名,系亚洲首个获得该奖提名的黑客;2019年1月,凭借在网络安全领域做出的贡献,他又揽获国内涵盖领域最广、最具权威性的工程技术人员奖项——“杰出工程师青年奖”。
他是人称“TK教主”的于旸,我校优秀校友,2002届临床医学专业毕业生,现为腾讯安全玄武实验室负责人。从事信息安全研究工作近20载,曾任2008年奥运会信息网络安全指挥部技术专家。关于“教主”其人,江湖上流传着不少关于他的传说,临床医学生,国内顶尖白帽黑客,网络安全技术专家,知乎优秀回答者,微博段子手……当这些标签一一展开,让我们走进他的成长故事。
酷爱钻研:“单纯地喜欢科技本身”
“如果末日来临,我起码能把你们带回 19 世纪的工业文明。”从小,于旸就对自然科学和工程技术极为热爱,动手能力很强的他热衷做各种各样的实验,什么东西到手上都琢磨着拆开。儿时常爱读的书也一大半是科技类,生物、化学、物理、地理、冶金等等,即使不甚了解其中奥秘,但小小的他对书目种种充满向往,也尝试着一边看书钻研、一边动手实验。小学六年级时,于旸开始读《电工原理》,同时自己琢磨万用表的使用方法,一开始完全看不懂,但他仍坚持硬看了一个暑假,一边自己尝试捣鼓,万用表竟然基本会用了。这些潜移默化的启蒙,在于旸的心中点燃了萌芽的种子。
上初中时,一次,于旸的母亲不小心被数斤重的铁熨斗砸中脚趾,脚趾盖立刻出现黑紫色的淤血,医生建议做拔指甲盖的处理,而担心伤口更疼的于旸妈妈不知所措。回家后,于旸仔细查看伤情,判断只需把淤血放,胀痛便会减轻。当时正迷恋无线电的于旸想起了制作线路板的工具——一把钻头直径不到一毫米的微型电钻,他想尝试在母亲的趾甲盖上钻一个小孔。面对儿子的提议,妈妈信任地答应了,于旸小心翼翼开始了这场特殊的“手术”,既要把趾甲盖钻透又不能钻到肉,需要持电钻的人注意力高度集中。不一会儿,一个细小的洞口被钻开,淤血“飙”了出来,压力一释放,伤口的剧痛瞬间减轻。在于旸的成长过程中,父母的理解和信任,也为他一路的热爱和追逐倾注了力量。
事业原点:“一台计算机就是一个实验室”
1997年,于旸参加高考踏入大学时光,填报志愿时,他认准了理工科专业,原因简单又实际,理科的东西需要实验环境,不容易自学。而后,在父母的建议下,他报考了我校临床医学专业。回忆起大学时光,大学二年级开设的计算机课,成为了他日后走上安全研究领域不得不提的“原点”。当时,电脑还未在国内大规模普及,课堂上所学的计算机课程也较为简单,多为文字处理、数据库操作等,便于医学生们将来写病案、查文献、整理病例。于旸如获至宝,他惊喜地发现只要拥有一台计算机,就可以探索无穷无尽的知识。自此以后,好奇少年开始了对计算机的热爱,学校周边计算机书店一叠叠书籍和光盘,是彼时最爱的“精神食粮”。
而医学生的课业本身就并不轻松,2001年,已是大四的于旸还需进行临床实习。他常常在医院忙碌到晚9点才下班,回家后继续自学计算机到凌晨2点,第二天早上6点,再赶去医院跟着科室医生查房……一天只能睡上四个小时。也就是这段时间,于旸通过自学及网络,差不多将当时国内的所有安全漏洞信息、所有安全技术文章都学了一遍,他也开始尝试将自己的研究写成文章投稿给安全网站。2001年前后,针对在全球掀起轩然大波的“红色代码”蠕虫,于旸在自己的电脑上架设了“密罐”(一种网络安全技术),结果竟意外捕捉到了一种比“红色代码”影响还大的新型蠕虫——“尼姆达”,他将所发现写成分析报告发送给了金山毒霸,最终,这份报告不仅受到认可,它的内容框架被业内默认为写其它蠕虫分析报告的格式规范。就这样,于旸一战成名,与安全圈有了交集。
进阶之路:“艺无止境,诚惶诚恐”
7年前,在一次世界顶级安全技术峰会上,于旸宣布了一个大胆的结论:微软Windows7中使用的看似无懈可击的安全防御机制,其实有个简单的办法 “一点就破”。这对于微软安全部门负责人的触动巨大,微软很快决定设立安全挑战悬赏奖。而于旸又只花了数月时间,便将10万元最高奖收入囊中。因为于旸而设立的这个奖项,改变了微软坚持多年的不给安全研究者发奖金的规则,2016年8月,微软公布了全球黑客贡献百人榜,于旸排名第二,他也自此闻名国际黑客圈。
“要做就去做困难的事情,如果一个工作门槛低,人人做得了,那你将必然耗费大量的精力在与本职无关的事情上。”对于未知的事物,于旸有很强的探索欲,且不满足于理论层面。并非科班出身的他,其诸多研究在业内都极具影响力,包括独立破解 iPhone指纹识别,破解无线RFID通讯等等。目前,于旸所带领的腾讯安全玄武实验室,在漏洞研究领域享有盛名,曾发现并协助华为、联想、苹果、谷歌、微软等国内外知名企业修复重大安全漏洞。同时,他们还对内支持腾讯全系列产品的安全,据于旸介绍,腾讯有几亿用户体量,只要能在安全上做出一点改进,就可以让几亿人变得更安全,这样的工作同样意义非凡。而如今,以于旸为代表的中国白帽黑客在世界顶级黑客大会上越来越多地发声,不仅让中国网络安全领域的进步受到世界认可,也让世人了解到中国的网络安全。
不同于大多数不善言辞的“技术宅”,于旸还笔耕不辍,积极在知乎上解疑答惑、在微博上发表观点,新冠肺炎疫情期间,医学生出身的于旸还在自己的公众号上发表了《谈谈口罩和防疫》《谈谈上个世纪的几场流感》《口罩并不是戴4小时就得扔》等文章,深入浅出地进行科普。
新一代的安医“后浪”,正跟随时代的潮流一起茁壮成长。对于母校的后辈学子,于旸鼓励大家勇敢尝试,他说:“大学期间是你人生最后的‘作弊’机会。在大学期间,你的绝大多数同龄人思考的事情和中学时差不多,无非是上课、考试、恋爱。如果你这时就开始了解未来工作中除了专业知识还需要哪些能力,这将会大大拉开你和同龄人的距离。”
很多人好奇,拥有众多“标签”的于旸为何一直保持探索未知的热情?于旸在知乎上曾这样答道:“我从来没感到过寂寞和孤独,因为一切都有趣而值得探索。” 而这,既是初心,亦是于旸从未止步的动力。(新闻中心)