简介: 哪一面才是真实的她?
马上就要到儿童节了,我的同事黄琳有点“愁”——她这几天在阿里西溪园区的文创店逛了很久,却没有找到送给儿子的礼物。“在那里没发现适合小学生的东西。”看着眼前这个戴着黑框眼镜,穿着休闲短袖的女子,听着她轻轻地吐槽,我完全无法想象她有着另外一重“神秘”的身份。
黑客黄琳开启了新的征程,她决定加入支付宝,冲上最前线,只因 “这里有大量直面黑灰产的机会”。她像个磨刀十年的将士,操练出一身本领,就等着鬼魅入侵,上阵厮杀。
“新人”黄琳其实成名许久,无论她有多不愿意重复提及以往的荣光,那个2015年的夏天始终绕不开。
在拉斯维加斯,世界*黑客大会DEF CON上,黄琳展示GPS欺骗攻击研究,利用硬件设备和SDR(软件定义无线电)模拟GPS信号发射,欺骗一架禁飞区的无人机起飞,并将明明在北京的地址,错误显示在*纳木错湖。
在这个被技术和更高的技术严密垒筑的勇者圣殿里,黄琳一战成名天下知。《福布斯》率先报道,称赞她为“第一位在DEF CON演讲的女黑客”。国内的媒体给她戴上“让地球脉搏心率失常的”桂冠。在民间黑客心里,她有一个更通俗的称呼——那个黑掉GPS的人。
支付宝资深安全专家黄琳
黄琳不太喜欢《福布斯》杂志上登的照片,大红唇配上犀利的眼神,把她照得太凶了。相反,那张手举无人机,戴黑框眼镜,不化妆、穿休闲衫牛仔裤,脚踩一双白色帆布鞋的照片,才是真实的她。
没有黑客气质的黑客
“我的妈妈是个hacker”,有一次黄琳的儿子在英语课上,回答老师的提问,父母从事的职业是什么?
黄琳听说后,赶紧跟儿子商量,“咱们以后就说妈妈是engineer,千万别说hacker,太可怕了,别把老师给吓到了”。
绝大多数时候,黄琳都没有攻击性,跟人们传统印象中,不按套路出牌的江湖黑客形象相去甚远。甚至连生孩子遇到态度恶劣的医生,她也不太哼哼,反而担心医生会不会受累。
就连黑掉GPS的瞬间,她想到的是,这么容易就攻进去了,“很悲哀的那种感觉”。而身边的男同事,早已激动得恨不能击掌相庆。
别的黑客碰到一个门锁就想开,遇到一个WiFi就想黑进去,黄琳还会站在对方的立场想:人家为什么留这个漏洞?可能是为了兼顾功能的无奈之举。比起攻击,她更佩服把系统建设起来的人,因为发现一个漏洞很容易,建立一套安全的系统却很难。
她特别希望了解攻击的思路,然后根据这个思路想办法怎么去防御,在看不见硝烟的网络安全战场,她更像持盾抵御的战士。
尽管被吐槽没有黑客气质,但黄琳身上女性独有的浪漫气质,赋予了她天马行空的想象力,她曾想把GPS的演讲做成柴静的《苍穹之下》,被男同事们否决了。
上面这幅图,就是黄琳最近给一篇关于4G/5G中间人攻击的技术文章画的原理图。为了解释黑客恶意攻击,冒充手机的身份,把数据包发往某个服务器的场景,手绘漫画用简单的线条笔绘出攻击过程。写完以后,她还几次找不同的人问:“能看明白吗?”
曾经有个年轻的女同事整理黄琳的研究成果,怎么也搞不懂原理。黄琳告诉她,“这个GPS系统傻乎乎只知道听卫星说什么,所以你的欺骗设备在旁边使劲喊,它就信了”。女同事一下就理解了,甚至觉得这个卫星很蠢萌,比那些“直男”老师们讲的一套套原理好理解多了。
很“轴”的黑客
黄琳喜欢分享,生活中与两个孩子相处的趣事,工作中一有灵光乍现的点子,或者想不通的地方,她都会记录在博客、微博里。
去年她在一次开车途中,电台突然窜进推销性保健品的内容,“这是碰上黑广播了!”。之后她就下决心跟团队一起,动手做了一个系统,侧面打击黑广播。后来,黄琳还专门写了篇文章梳理黑广播的危害,分享无线技术打击黑广播的新角度,发布在自己的微博上。
黄琳曾在自己的文章里提到一名安全研究员小灰灰,他蹲在公司的自动售货机前半个月,为了研究一个不花钱就能买饮料的安全漏洞;小灰灰也曾蹲在ofo前好多天,引来无数朝阳大妈的侧目,为了发现能够不花钱就骑车的漏洞;他甚至在黑客大赛上抢过黄健翔的话筒,对着现场的观众普及安全知识。
同类的气质是相近的,黄琳的身上也有黑客“轴”的一面。2016年初,她和当时的团队发现了运营商 4G 通信协议的漏洞,这个漏洞可能被坏人利用。当她公布这个漏洞后,不乏有人质疑她小题大做。运营商觉得通信协议里有的是漏洞,多这一条没什么。通信圈认为,满大街的背包客伪基站,手机数据被什么盗不是盗。设备商、终端商很难为了小威胁而投入金钱对设备进行升级。
但在黄琳心里,这是一件关系隐私的大事,寸土都不能让。她和团队为此奔走努力,把这个问题带到了*安全会议BlackHat和DEF CON上展示。2017年尾,这个漏洞终于被官方标准组织 3GPP 修复。此时距离发现漏洞将近2年。
实现“普惠安全”的梦想
“安全是件奢侈的事”,黄琳不无遗憾的说,比如像蓝牙音箱之类的小设备,最便宜的才几十块钱,加上安全的功能成本可能增至几百块钱。市面上的小公司还没有余力去做安全,他们首先要解决的是公司要存活下来的问题。
所以当黄琳加入支付宝后,他们小组提出某个设备有漏洞时,她并没有对设备升级抱有希望。虽然这个漏洞还没有被黑灰产发现和利用,但想要补救的话,需要设备商、终端商更换零件,成本高达上百万元。
提出漏洞后,黄琳的安全团队跟业务团队反复讨论。没多久,黄琳接到电话,同事兴奋地向她传递消息,业务团队在会上拍板了!同意花几百万把这些设备全部升级。
这个答案给黄琳带来极大震撼,成了她最近最有感触的一件事。
此前,黄琳曾在法国电信研究院工作9年,2014年加入前公司,一待就是6年,期间进行大量的无线安全研究。15年的研究沉淀积累的天赋,开始拖着黄琳,往全新的赛道飞奔。这一次,她选择走到一线,来到黑灰产活跃的地带,跟攻击者们真刀实枪的对抗。
业务团队的支持,无疑给了她底气。她发现,支付宝是一个愿意深层次为客户安全考虑的公司,即使风险尚未出现,也愿意付出极高的成本,提高安全性。这也让黄琳感觉到,自己一直在寻求的“普惠安全”的梦想乐土,终于显露出清晰的轮廓。
黄琳现在所在的支付宝天宸安全实验室,聚焦在移动及IoT安全领域,致力于研究并落地下一代金融级安全防御基础设施。说白了,就是要解决当前的移动安全和正在到来的5G时代、IoT时代的安全防御技术难题。
更具体一些,黄琳所领导的IoX组,就是关注各种设备底层的基础安全问题。支付宝有各种各样的支付设备,商场超市便利店里随处可见的收银机、扫码机,还有逐渐增加的刷脸支付设备。这些设备的安全,不管是底层的传感器、摄像头、系统内核问题,还是链路上的安全问题,都是她所在的小组关注的方向。
入职以来,黄琳见识到了几次与黑灰产的正面交锋。负责发现风险的团队,报告黑灰产活动,不同专业小组的人迅速集合,尽快采取行动。有人向攻击者发起反击切断链路;有人负责防御;直到监测到异常流量明显降低,攻击者离开。
有的人在危险爆发后想对策,有的人则能提前洞察危机。处理正在发生的威胁,和处理可能发生的风险,是黄琳团队的两类任务。
如果不从事网络安全工作,黄琳最想成为的人是医生。合成作战把她拉进无影灯下的向往世界:就像新冠疫情下,一堆医生围着情况紧急的病人,ECMO要不要更换导管,大家当下必须做一个决定,并且尽快完成手术。
职场大牛的韧与柔
比起很多事业有成的人重新出发后的不适,黄琳过度的平顺,她从来没把自己摆到特别高的位置。即使是在国内外引起关注的GPS欺骗攻击,她做完也“并没觉得牛”。补习《密码学》时,还自嘲“可能还不如一个刚刚毕业的人”。为了写好一个代码,身为女博士的她,可以跑去向北航的普通学生请教。
加入支付宝这段时间,她一直在看、在学不同的东西,琢磨起一款名为“蜻蜓”的新型刷脸支付设备,可信计算部分怎么实现的?人脸识别的算法又是怎么做的?
工作上刨根问底的黄琳,一回归生活变得有些“钝”感。
作为两个孩子的母亲,她感慨自己和孩子们的共情不够。有时候孩子生气了,她还没意识到。最近二宝频繁问她,“妈妈为什么我一到晚上就老生气?” 黄琳也说不出所以然来,“跟哥哥吵架了?”“想吃的东西家里没有?”,女儿不满意她的答案,气鼓鼓跑到房里把门一关,等气消了又会出来。
黄琳也不想深究,她很喜欢的一本儿童绘本《气球小熊》。里面的主人公小熊,在不同情绪下会把自己涨得鼓鼓的,就像待爆的气球,给小熊喝点水,喂点好吃的,它就能恢复原状。
“给孩子一个爆掉的机会” 黄琳觉得把孩子当小熊哄也不错,当孩子不开心的时候,让孩子叽里呱啦乱作会儿,把气爆出来。之后再摸摸头安慰,小朋友心里就舒服了。
她说这些话的时候,一根筋“轴轴的”女黑客不见了,中庸平和的黄琳又回到眼前。