欧美日韩色图_欧美国产一区二区三区_国产精品一级片_欧美区二区三区

五年前，在一次世界頂級的安全技術峰會上，于旸宣布了一個大膽的結論：微軟Windows7中使用的一套看似無懈可擊的安全防御機制，其實有個簡單的辦法 “一點就破”。微軟安全部門負責人坐在臺下大感驚訝。

因為于旸這個發現，微軟很快決定設立安全挑戰懸賞獎。而他又只花了一個月時間，就順理成章將10萬元的最高獎收入囊中。

于旸, 網名“tombkeeper”，人稱“TK教主”，騰訊安全玄武實驗室負責人，國際知名的白帽黑客。從事技術研究16年，于旸有很多這樣的發現。2016年，他獲得了有安全界奧斯卡之稱的Pwnie Awards“最具創新性研究獎”提名，成為該獎設立十年來首個獲得提名的亞洲人，而憑借的只是發在博客上的一篇文章。

于旸曾以為，在安全大會上宣布繞過微軟防御機制的時候，已是他人生中最為高光的時刻，事實證明，并非如此。

醫科出身，半路出家，知乎重度用戶，微博段子手，少年時期的無線電愛好者，資深相聲迷、同事口中的情智雙高領導……比起極具爆發力的天才型黑客，于旸更像一個頗有天賦的生活長跑選手，擅長不斷探索周遭的各式風景并與之迸發出大大小小耀眼的火花，互聯網安全或許只是其中較為耀眼的一個。

微軟寄來一張10萬美元支票

2013年3月，于旸首次參加世界頂級的安全技術峰會——CanSecWest大會，會上他關于微軟系統的重要發現引起了不小轟動，讓他聞名國際黑客圈。

從Windows XP SP2到Windows7，微軟花了十年時間不斷增加系統對漏洞攻擊的防護能力。最終當很多人都認為這套防御體系無懈可擊時，于旸一語道破：仍然有辦法，“只要知道了一個關鍵點，幾行代碼就能輕易攻破。”

于旸的研究對微軟的觸動無疑是巨大的。這讓微軟最終意識到，單靠自身想一勞永逸解決系統的漏洞防護問題并不可能。幾個月后，微軟設立了獎金高達10萬美元的安全挑戰懸賞獎。

一開始，于旸不太相信，“這是不是想忽悠大家幫忙解決問題，但實際不會買單？”直到一個英國的研究者確實拿到了這筆獎金，他才覺得靠譜。躍躍欲試的于旸再次向微軟新修復的防御系統發起挑戰。

如果把整個系統比喻為一個房子，漏洞比作窗戶，你站在屋子里，是黑客計劃瞄準的目標。微軟使用的防御方法之一是，讓你在房子里快速移動，從每個窗口一閃而過，降低被打中的概率。

但于旸最后找到的方法可以做到：“我能夠精確地知道你下一刻會出現在哪個窗口，而且一定能打到你?！?/p>

在提交了這套技術后，微軟通過DHL給于旸寄來了一張10萬美金的支票，他也成為全球第二個獲得該筆獎金的黑客。

因為于旸而設立的這個獎項，改變了微軟堅持多年的不給安全研究者發獎金的規則，并在此后每年公開致謝來自全世界的安全研究者。在2016年8月，微軟公布了全球黑客貢獻百人榜，tombkeeper排名第二。

于旸曾表示，“這十幾年來，微軟對于漏洞發現者從敵視對抗到合作尊重，其實也是整個業界對安全研究者態度轉變的代表?！?/p>

早期，不只微軟，很多廠商對于白帽黑客提交漏洞往往視而不見，態度冷漠甚至反感。隨著越來越多的安全事件發生，企業才逐步明白，如果不重視安全研究者報告的這些問題，想做壞事的人也會積極發現并利用它作惡。此后，一些公司逐步成立了專門跟安全社區溝通的部門。

這是一個正常但緩慢的轉變過程。于旸說：“就像我指出某人的缺點，人們正常的第一反應是‘你在挑我毛病’，而‘君子聞過則喜’的道理是需要經過一番修煉后才能明白的。”

和朋友打賭破解指紋鎖贏了一臺手機

曾經，于旸以為2013年在公布的繞過微軟防御措施的研究是他“一輩子所能做出最重要的發現”，結果證明并非如此。

2018年初，于旸團隊公布了“應用克隆”研究：用戶點擊一個鏈接后，隨即打開一個新聞頁面。全程看似無異常，而其實用戶的App賬戶信息、個人相冊等，已經被“克隆”到攻擊者的手機中。

這與他2016年發現的另一個微軟漏洞一樣，具備“多點復合”的特點。通俗地講，這是以一種特定的方式，把業內已知但并不認為有多大危害的安全問題串聯在一起。事實證明，循著于旸這套研究體系發現的漏洞，都是影響廣泛且威脅巨大的。

今年4月，在北京衛視的一檔節目現場，于旸演示了他2015年發現的“條碼閱讀器漏洞”的攻擊場景：一個小盒子發射出攜帶攻擊信號的激光，指向了超市里常見的掃碼器，在主持人按下小盒子上的藍色按鈕后，連接掃碼器的筆記本電腦上自動打開了存在硬盤里的照片。這是全世界80%的掃碼器普遍存在的安全隱患，一旦被利用，攻擊者可遠程在你的電腦進行任意操作。

從2016年開始，玄武實驗室和微信支付合作，對國內掃碼器產品進行檢測，并推動廠商修復?！霸谖覀兊呐ο拢F在國產掃碼器比國外產品更安全”，于旸自豪地說。

基于種種重大發現，很多人認為于旸是天才黑客。他卻說，“我只是擅長從局部把事情的各個角度觀察清楚，然后在大腦里建立起整體模型。加上我分析和獲取信息的能力比較強，所以適合從事安全研究。如果去做計算機的其他方向，可能我也做不好。”

對于未知的事物，于旸有很強的探索欲，且不滿足于理論層面，他喜歡將想法變成現實。大概2013年，蘋果手機剛推出指紋解鎖功能。當大家都在感嘆科技厲害時，于旸卻認為這可以破解。

隨后，一場好友間的打賭因此展開，賭注即試驗品——這款新出的蘋果手機。和于旸相識近20年，“知識星球”的創始人吳魯加記得，“當時群里一個朋友買了一部蘋果手機并錄入自己指紋鎖定，然后寄給于旸，同時提供了一張蓋了手印的圖片。幾天功夫，他自制的指紋模成功解鎖了手機?！?/p>

就這樣，于旸輕松贏走了這臺手機。

作為安全研究者，于旸說，他們或許更能理解“山重水復疑無路，柳暗花明又一村”的感受。他形容，發現漏洞就像在一座樹林里迷路了，你困了一天、兩天甚至一年多，每個走出樹林的方向都嘗試過了……忽然發現，原來走出去的路就在腳下。

這樣的瞬間一閃而過，要緊緊抓住，背后需要長時間的沉淀。盡管已是頂級黑客，于旸坦言，“在追求技術的道路上，可能很難說我們達到了什么高度。因為山也不斷在增長，所以我們永遠都在半山腰。”

醫院實習期間意外闖入安全圈

十幾年前，于旸剛入安全圈時，或許沒有人能想到非科班出身的他，能在這條路上走這么遠。

今天如果你在教育行業漏洞報告平臺查詢用戶貢獻排行榜，你會發現按得分高低，在“路人甲”、“見習白帽子”、“核心白帽子”之后，等級最高的就是“婦科圣手”。

這一跨界的定級與于旸分不開。因為學醫的緣故，朋友給他取了個外號叫“婦科圣手”?；赥K的影響力，“婦科圣手”在安全圈也被賦予了一定意義。有人說，“該網站相關負責人可能他的真愛粉”、“這是對TK教主的認可?！?/p>

不久前，有同事問于旸，“教主現在還給人看病嗎？” 于旸大笑道，“只要你敢，我就豁得出去?！闭勂饘W醫的經歷，于旸語氣輕松歡快起來，高考選專業時，因為家族中有不少人從醫，在父母的建議下，他報考了安徽醫科大學臨床醫學專業。

1997年至2002年，于旸在醫科大學的5年，適逢中國互聯網發展第一次浪潮。這一時期，國內互聯網巨頭企業BAT剛創立，博客、論壇、個人門戶網站也才興起。而有條件上網的人還是少數。

大二時，于旸的學校開設了計算機課。當時電腦還未在國內大規模普及，課堂里教授的計算機知識也很粗淺，比如開關機、打字等。后來于旸家里買了一臺計算機，好奇少年自然地開始了自學。

深入計算機領域，于旸發現，不同于其他自然科學，計算機技術對實驗條件的依賴特別簡單。只要有一臺計算機，便能進行無窮盡的探索。因為計算機可以通過安裝軟件不斷擴展功能，通過網絡更是能獲取無窮無盡的知識。這無疑是為于旸打開了更寬敞的知識大門。

只是單單念一門醫學，本身就不輕松。

2001年，進入大四的于旸開始到醫院實習。在醫院里，他見識了各種各樣的人——半夜耍酒瘋毆打護士的病人，因為小孩高燒不退而打醫生的家長，醫鬧也見過不少。

每天6點，他便要起床，在病人吃早餐前趕到醫院為其抽血送到化驗室。然后跟著科室醫生查房、寫病歷、開處方……直到晚上8點下班后，他才有時間鉆研計算機。當時，于旸每天只能睡上四五個小時。

然而，也就是在這段時間里，他誤打誤撞闖進了安全圈。

2001年7月，“紅色代碼”網絡蠕蟲席卷全世界，一度引起恐慌。這款蠕蟲如果稍加改造，就可以變成讓大量服務器癱瘓的惡性蠕蟲，嚴重威脅網絡安全。

為了研究紅色代碼蠕蟲，于旸在自己的電腦上架設了個密罐（一種網絡安全技術）。結果竟意外捕捉到一個比“紅色代碼”影響還大的新型蠕蟲——“尼姆達”。當即，于旸寫了一份分析報告發給殺毒軟件廠商金山毒霸。對方回信表示感謝，還贈送了一套軟件給他。

這份報告不僅受到了安全廠商的認可，它的內容框架被業內默認為寫其它蠕蟲分析報告的格式規范。至此，于旸與這個圈子有了交集。

當時伴隨互聯網的發展，中國最早的一批黑客開始出現。

1999年，國內第一個專注于信息安全的網站“安全焦點”成立，于旸和吳魯加最初就相識于這個社區。吳魯加說，一開始國內網絡攻防方面的書籍很少，研究者主要靠硬啃國外網站的資料學習。那時人們上網需要撥號，按分鐘計費。為此，他們經常快速打開幾十個網頁，然后斷網，將內容分類整理閱讀學習。

在論壇里，一群安全愛好者熱情地翻譯看到的文章，分享和討論所理解的技術?！懊慨敶蠹疫€在困惑某個問題時，他很容易就拋出作證的例子?！痹趨囚敿涌磥?，TK有足夠的好奇心，且有快速的學習能力。

左手醫生右手黑客 沒有猶豫糾結

很快，大學畢業。在醫生和黑客之間，很多人以為于旸徘徊了許久。即便在今天，人們對亦正亦邪的黑客仍有不理解。相比之下，被稱為“白衣天使”的醫者專職救死扶傷，似乎體面多了。

實際上，于旸并沒有猶豫糾結?！坝腥さ撵`魂終會相遇”，他說，“一個人跟一個行業也存在類似的吸引力。當發現一個職業方向跟自己性格相匹配，你便能找到最想做的事情?！?/p>

更重要的是，“在安全行業，有了一個想法很容易就能地去驗證和嘗試，但學醫不一樣，你必須按照教科書，按照權威的指導原則來?！?/p>

雖說如此，花了5年時間念醫科，臨畢業前轉行，是個性價比并不高的選擇，身邊的人定會感到不值。

對此，于旸先講了一個小故事。在他上初中時，一次，于旸的母親參加家庭聚會，不小心被數斤重的鐵熨斗砸中腳趾，大腳趾蓋立刻出現黑紫色的淤血。到了醫院后，醫生建議她做拔指甲蓋的處理。

“那我不拔了。”擔心傷口因此更疼的于旸媽媽決定回家?；丶液螅赣H的腳疼痛不已，于旸仔細看了母親的傷情，判斷這是由淤血帶來的脹痛。其實不一定要拔出指甲，只需把淤血放出來即可。

為此，當時正迷戀無線電的于旸操起了他制作線路板的工具——一把鉆頭直徑不到一毫米的微型電鉆，嘗試在母親的趾甲蓋上鉆一個小孔。面對著手拿電鉆上初中的兒子，母親居然同意了他的計劃。

這并不是簡單的“手術”。既要把趾甲蓋鉆透又不能鉆到肉，持電鉆的人注意力必須高度集中，尤其手要非常穩。未作遲疑，于旸小心翼翼地將微型電鉆置于母親的趾甲蓋處，不一會兒，一個細小的洞口被鉆開，淤血呈噴射狀“飆”了出來。壓力一釋放，傷口的劇痛瞬間減輕。

“雖然我那時候還是小孩，但在這些事上父母很信任我?！痹谟?#26104;的成長過程中，他幾乎不需家長操心，靠譜地做好每一件事已經是他的習慣，這種靠譜型孩子獲得父母的信任也顯得理所應當。因此，對于他畢業時的選擇，家人雖然不能完全理解，但也不反對。

于是在喜歡與更喜歡之間，于旸選擇了信息安全。盡管在那時，他還不知道自己的水平處于什么位置，究竟能做什么。

靠譜，遇到難題找TK就對了

畢業后，于旸到了綠盟科技，一呆12年。他的崗位一直沒變，但工作內容涉及技術研究、產品開發、工程服務和安全教育，“幾乎把安全行業的相關技術工作都接觸了一遍。”

曾和于旸一起在綠盟共事的吳魯加說，他的靠譜在公司內部有口皆碑。一旦有搞不定的問題，同事最先想到的是找TK幫忙。哪怕是他原先不那么擅長的技術，或是面對客戶的質疑與不信任，“每次被叫出去，他幾乎沒有失手過?！?/p>

吳魯加說，每當家里人出現大病或小情，在嘀咕是否需要去醫院之前，他習慣向于旸咨詢。因為在仔細描述完癥狀后，于旸會給出清晰的建議，有時就像家庭醫生一樣。

“遇到搞不明白的難題，請教TK就對了?！庇?#26104;現在的同事，來自騰訊安全玄武實驗室的宋凱說，“TK是個思維活躍，邏輯性很強，情商又極高的人。跟他討論問題，你不會感到壓力，而且很有收獲?！?/p>

不同于大多數不善言辭的技術宅，于旸總能把復雜問題深入淺出，說得清楚生動?；蛟S很少人知道，這位技術大拿還曾考過電臺主持人，并且打敗了一批播音專業的學生。