DNSPod十问TK教主于旸:从妇科圣手到顶级黑客， T5技术大神的传奇之路

问答时间：2021年01月28日

嘉宾简介：

于旸：人称“TK教主”，腾讯安全玄武实验室负责人，教育部高等学校信息安全专业教学指导委员会委员，工信部通信科学技术委员会业务及管理专家资讯组专家，国家密码管理局第二届密码行业标准化技术委员会委员；曾获国家互联网应急中心 “奥运信息安全保障支持个人一等奖”、中华国际科学交流基金会“杰出工程师青年奖”；是微软漏洞缓解技术绕过悬赏十万美元大奖全球三个获得者之一、“Pwnie Awards 最具创新性研究奖”设立十年来亚洲唯一获提名者。 

主持人简介：

吴洪声(人称:奶罩)：腾讯云中小企业产品中心总经理，DNSPod创始人，洋葱令牌创始人，网络安全专家，域名及DNS技术专家，知名个人站长，中欧国际工商学院校友。

以下为对话原文整理：

吴洪声：你从医学院毕业，按正常轨迹走你应该是一名治病救人的医生，但现在却成为了一位安全领域的技术大拿，在黑客圈人送外号“妇科圣手”，是什么原因让你放弃了医学这条路转而投身于网络安全？这两者之间有没有什么共通点？

于旸：网络安全或者医学，我感兴趣的都是其作为科技的一面。所以这两者对我来说没有太大不同。只是作为科技来对待的话，医学的研究条件太难以获得，而网络安全只需要一台电脑就可以。这是我选择网络安全最重要的原因。

医学其实就是人体的网络安全，网络安全就是电脑的医学。所以医学和网络安全还是有非常多共通点的。比如在给人看病需要诊断，而处理网络安全问题也需要诊断，两者的诊断中所用的思维方式也多有相似之处。再比如网络安全产品是通过攻击特征来建立防御的，疫苗也是通过病原微生物里特征来建立防御。

吴洪声：最近九章量子计算机的新闻引发了广泛关注，量子计算机超高算力或许会给信息技术带来新一轮革命。未来会不会因为量子计算机的出现而导致现有安全机制变得不堪一击？针对这个问题，你是怎么看待安全技术的发展方向的？

于旸：目前来看量子计算对网络安全最重要的威胁就是破解非对称加密。如果量子计算能实用化，现有的RSA等算法可能会变得很脆弱。不过倒也不用担心。因为相关防御技术也早就有人开始研究了。比如后量子密码，也就是能对抗量子计算的加密算法，这个已经有很多备选方案。

不过需要注意，如果等实用化的量子计算机面世，我们再去把算法切换为后量子密码就晚了。不能等到那个时候，需要提前，而且是要提前相当长的时间。因为虽然现在的加密通信数据攻击者截取了也破解不了，但攻击者可以把数据存下来，等量子计算机出现之后再破解。所以我们需要对实用化的量子计算机什么时候出现有一个预判，要提前足够长时间切换到后量子密码。确保等攻击者能破解的时候，数据的价值也已经不大了。

吴洪声：前几个月，搭载M1处理器的Macbook Air 刚一上市，就被你发现了能秒级获取root权限的严重系统安全漏洞，这也是第一个被发现的能影响苹果Apple Silicon芯片设备的安全漏洞。可以聊聊你和你的团队是如何又快又准找到这个漏洞的？对于广大果粉又有什么建议？

于旸：这个漏洞其实并不是  M1 版 Macbook Air 上市后才发现的。我们在稍早一些的时候就发现了这个漏洞，而且分析后发现这个漏洞不止影响 macOS，甚至也影响 iOS。所以我们判断这个漏洞可能也会影响 M1 版 Macbook Air。在 M1 版 Macbook Air 上市后，我们实际测试发现之前的判断果然是对的，确实也受影响。

这个漏洞的发现和处理主要是漏洞研究者和产品开发者之间的事情。对果粉来说，就当作苹果相关的科技新闻了解一下就行了。不用太担心，也不需要做什么特殊的事，及时更新系统即可。

吴洪声：安全无小事，在研发和部署系统的过程中我们都想尽量提升系统的安全性，但安全的投入又不可能不考虑时间和人力成本，尤其对于中小企业而言，成本的投入更需要进行严格控制。那如何评估目前系统的安全性是否足够？在安全方面有没有所谓的“及格线”？你有什么建议吗？

于旸：安全防护力度和面临的威胁有关。而面临的威胁和攻击者的感兴趣程度有关。一般来说，大企业的数据多，价值高，所以攻击者也更感兴趣一些。但攻击者的兴趣也不是一定和企业规模大小成正比。比如说，数字币相关的企业，可能规模并不大，但攻击者非常感兴趣，所以面临的威胁也非常大。

所以很难有一种精密的方法去评估安全性的绝对值是否足够。但相对来看的话，比如和欧美国家相比，中国企业的网络安全投入在 IT 成本中的占比是偏低的。

吴洪声：你曾经引用过温瑞安的一句话：“一个人若要暗杀另一个人，只要他足够耐心，够狠够绝够时机，武功再高的人也防范不着”。在你看来，是不是现在所有的系统都是存在缺陷的？做安全最大的挑战是什么？我们应该以什么样的心态去看待安全？

于旸：现在行业里评价一个系统的安全性的时候，都是指此时此刻的情况，没有时间这个维度。但对攻击者来说并不一定需要此时此刻攻击成功。能在三个月内，或者一年内两年内成功入侵，对攻击者来说都是胜利。

而在这么久的时间里，系统是不是会有新漏洞被发现？是不是会出现新的攻击方法？是不是可以通过供应链渗透进来？

这就是做防御最大的挑战，不光需要跟技术搏斗，还要跟时间搏斗。所以做安全最难的不是把某时某刻的安全做到一个非常高的水平，而是能在一个相当长的时间段里做到长治久安。

吴洪声：最近成都新冠确诊女孩被网暴，其姓名、身份证号码、家庭住址、照片等信息被泄漏，并在网络各大平台上被网友疯狂流传。从网络安全角度你怎么看待这个事件？你们如何保证普通人的信息安全？

于旸：这首先当然是管理的问题，是人的问题。接触到这些数据的人把信息给泄露了，所以需要加强对相关人的教育和管理。但另一方面，从技术角度是不是也可以有一些思考？

前些年你发快递，发件人和收件人的姓名、地址、电话所有信息都在快递单上。但近些年很多快递公司逐渐开始解决这个问题，快递单上没那么多信息了。再比如前几年网约车司机可以直接在系统里看到乘客的电话，现在也看不到了。为了防疫工作，收集一些个人信息是必要的，但是不是可以不要让太多人都能随意直接接触到这些信息？这在技术上应该是能改进的。

吴洪声：安全领域一直是热门信息技术的热门，似乎这个领域的从业者是“越老越香”。玄武实验室作为目前最顶尖的安全团队之一，你们团队的平均年龄大概是多少？你们作为这个领域的佼佼者也会有年龄焦虑吗？

于旸：玄武实验室绝大多数成员都是校招进来的，所以团队非常年轻，平均年龄可能还不到 30。

安全行业确实是一个需要经验和积累的行业。IT 领域很多工作都可以拆解，像制造业一样去运作。但安全工作很多时候都需要有整体的理解。见过的东西足够多，才能有成有体系的认知。所以在这个行业里，老工程师的价值无可取代。

我是团队里年龄是最大的。但我至今仍然可以对实验室的工作有比较直接的输出。比如我们去年的快速充电器安全研究，就是我先做了预研工作，然后交给团队。后来团队做了一阵子，很沮丧地来跟我汇报，说研究做失败了。我听完告诉他们：“你们其实已经成功了”。从局部看是此路不通，但如果对安全有更体系化的理解，就会发现只要把技术路线调整一下就了。

我相信团队里的年轻人们到了我这个年龄后一定也仍然可以在行业里发挥重要作用。

吴洪声：你的团队涉猎广泛，从软件到硬件，从应用到网络，无所不能。在这么多的领域中，你和你的团队是怎么选择“下一个”目标的？对于一些尚不熟悉领域的目标，你是否会担心团队出现投入太多又无法取得成果的情况？

于旸：我们做研究的原则是：价值牵引，面向实用。在选择研究方向时，首先会看对腾讯的价值和对社会的价值。所以我们的工作内容里，直接面向腾讯业务的大约占 60%，不过由于安全工作的特殊性，这部分大家一般不知道。另外有 40% 是面向社会的，大家能看到的主要是这 40%。

做安全研究就是需要不断学习新知识，学习能力是做这行最重要的能力。所以不熟悉的领域对我们来说完全不是问题。前面提到的快速充电器研究，在这个研究里焊芯片设计电路板的同学在进玄武实验室前就从未搞过硬件。

做研究肯定需要面对做不出来的风险。当然我们也有一系列方法对风险进行管理。比如充分预研、定期回顾、及时止损等等。当然最重要的还是最初对目标可行性的判断。玄武实验室自成立至今，选错方向的情况只出现过 0.5 次。之所以说 0.5 次，是因为那个研究虽然没做出预期结果，但我们把“此路不通”的结论写了一篇 Blog，这篇 Blog 对很多相关领域的研究者仍然很有参考价值，还被一篇顶会论文引用了。

吴洪声：领导风格决定团队风格，不仅你带领的团队无所不能，你本人也是个全才——一个“混迹”于网络安全领域，医学专业毕业会讲段子，在微博、知乎拥有大几万粉丝的“技术男”。能和广大年轻人分享下你的学习经验吗？怎么做到干一行像一行的？

于旸：我确实是一个兴趣爱好比较广泛的人。但人不一定都得爱好广泛。每个人有自己的特点，包括能力上的特点和性格上的特点。立足自己的特点，找到自己的长处，把长处发挥出来，就能在团队里找到自己的位置，在社会上找到自己的位置。

谈到学习，最核心的是获取信息的能力和吸收信息的能力。所以可以多重视这两方面能力的培养。比如去学习一下如何使用搜索引擎、如何快速阅读。这些能力提高了，对以后学习各种知识都会有帮助。

吴洪声：过去十年，中国互联网从“上古时代”逐步走向文明，作为亲历者、见证者，你认为在这样的大背景下，过去十年中国网络安全之战在技术上发生了怎么的变化？未来十年网络安全的发展方向又是什么？

于旸：这个话题非常大，这里只能简单谈一下。网络安全的变化逻辑可以归纳为：随数字技术的变化而演进，受攻防形势的驱动而发展。

过去十年数字技术最大的变化是桌面到移动，从终端到云端。所以网络安全热点也随之变化，移动安全和云安全成为了重要的内容。同时，勒索软件、供应链攻击等新模式的出现，也推动了网络安全关注点的变化。

未来十年一定仍然遵循这个逻辑。如果我们认为 5G、AI、物联网是未来十年数字技术的方向，那么未来十年安全的发展方向一定是和这些有关的。

栏目介绍：

大家好，我是吴洪声。

不知不觉，《DNSPod十问》这个栏目，已经做了第三十四期。本来这个栏目叫洪声十问，一期十个问题。然而细心的读者可以发现，问题逐渐变为十一问，十二问。因为在实际采访过程中我发现，十个问题的答案不足以将嘉宾思考上的高度展示给大众。

此外，这个栏目受邀嘉宾的领域也在逐渐的扩大，从域名圈，站长圈到程序员圈，创业者圈。腾讯副总裁丁珂、CSDN董事长蒋涛、Discuz!创始人戴志康、知识星球吴鲁加、腾讯安全学院副院长杨卿等技术大咖、行业领军人物都在这个栏目留下了他们的真知灼见。比如易名中国金小刚说的：“别想着持有对社会有不良影响的域名，这是一个底线。”比如CSDN创始人蒋涛说的：“对于一个技术驱动的公司而言，不断更换新人并不是好事，技术要有一个积累的过程，应该鼓励这些技术人去提升，对技术人员的回报或薪酬、等级要相应地跟管理平行。”

《DNSPod十问》在腾讯云生态圈也极具影响力和活跃度。我们在腾讯内部平台——DNSPod公众号、Discuz! Q公众号、腾讯中小企业服务公众号、腾讯云公众号、腾讯云主机公众号、腾讯云服务器公众号、腾讯云助手、腾讯乐问、腾讯码客圈、腾讯KM平台、腾讯云+社区、腾讯云+大学等平台累计关注度高达数十万，同时我们积极开拓与外部媒体的合作，如腾讯科技、腾讯新闻、新浪微博机构号、CSDN社区技术专栏、知乎机构号、企鹅号、搜狐号、头条号、开源中国技术社区、IT之家、InfoQ社区资讯站点、Twitter机构号、Facebook机构号等媒体阅读总量逾百万。

未来我们希望这个栏目的影响力会覆盖更加多元的受众。把更多正确的理念去对外传递。所以也欢迎各位在评论区留下你想看到我对话哪位嘉宾，还有你想问的问题，我们邀请你共同成为“吴洪声十问”栏目的提问者，发声者。（栏目统筹：赵九州 责任编辑：张洁  曾一  胡琼文）

SMB

腾讯云中小企业产品中心

    腾讯云中小企业产品中心（简称SMB），作为腾讯云体系中唯一专业服务于8000万中小企业的业务线，致力于为中小微企业提供全面完善贴心的数字化解决方案。产品线覆盖了企业客户从创业起步期、规范治理期、规模化增长期、战略升级期等全生命周期，针对性的解决企业的信息化、数字化、智能化的生产力升级需求。本中心还拥有两大独立腾讯子品牌：DNSPod与Discuz!，在过去15年间，为超过500万企业级客户提供了强大、优质、稳定的IT服务。

    SMB团队成员大多都有过创业经历，有获得过知名VC数千万投资的，有被一线互联网巨头以数千万全资收购的，也有开设数十家分公司后技术转型而失败倒闭的，我们成功过，也失败过，我们深知创办企业的难处与痛点，深刻的理解中小企业该如何敏捷起步、规范治理、规模化增长与数字化升级发展，我们会用自己踩坑的经验给出最适合你的答案。

    腾讯云中小企业产品中心，助力中小企业数字化升级的好伙伴。

▼点击直达DNSPod官方社区