資安

雙面黃琳:世界頂級女黑客,兩個孩子的遲鈍媽媽

馬上就要到兒童節了,我的同事黃琳有點“愁”——她這幾天在阿里西溪園區的文創店逛了很久,卻沒有找到送給兒子的禮物。“在那裡沒發現適合小學生的東西。”看著眼前這個戴著黑框眼鏡,穿著休閒短袖的女子,聽著她輕輕地吐槽,我完全無法想象她有著另外一重“神祕”的身份。

黑客黃琳開啟了新的征程,她決定加入支付寶,衝上最前線,只因 “這裡有大量直面黑灰產的機會”。她像個磨刀十年的將士,操練出一身本領,就等著鬼魅入侵,上陣廝殺。

“新人”黃琳其實成名許久,無論她有多不願意重複提及以往的榮光,那個2015年的夏天始終繞不開。

在拉斯維加斯,世界頂級黑客大會DEF CON上,黃琳展示GPS欺騙攻擊研究,利用硬件設備和SDR(軟件定義無線電)模擬GPS信號發射,欺騙一架禁飛區的無人機起飛,並將明明在北京的地址,錯誤顯示在西藏納木錯湖。

在這個被技術和更高的技術嚴密壘築的勇者聖殿裡,黃琳一戰成名天下知。《福布斯》率先報道,稱讚她為“第一位在DEF CON演講的女黑客”。國內的媒體給她戴上“讓地球脈搏心率失常的”桂冠。在民間黑客心裡,她有一個更通俗的稱呼——那個黑掉GPS的人。

01.png

支付寶資深安全專家黃琳

黃琳不太喜歡《福布斯》雜誌上登的照片,大紅脣配上犀利的眼神,把她照得太凶了。相反,那張手舉無人機,戴黑框眼鏡,不化妝、穿休閒衫牛仔褲,腳踩一雙白色帆布鞋的照片,才是真實的她。

沒有黑客氣質的黑客

“我的媽媽是個hacker”,有一次黃琳的兒子在英語課上,回答老師的提問,父母從事的職業是什麼?

黃琳聽說後,趕緊跟兒子商量,“咱們以後就說媽媽是engineer,千萬別說hacker,太可怕了,別把老師給嚇到了”。

絕大多數時候,黃琳都沒有攻擊性,跟人們傳統印象中,不按套路出牌的江湖黑客形象相去甚遠。甚至連生孩子遇到態度惡劣的醫生,她也不太哼哼,反而擔心醫生會不會受累。

就連黑掉GPS的瞬間,她想到的是,這麼容易就攻進去了,“很悲哀的那種感覺”。而身邊的男同事,早已激動得恨不能擊掌相慶。

別的黑客碰到一個門鎖就想開,遇到一個WiFi就想黑進去,黃琳還會站在對方的立場想:人家為什麼留這個漏洞?可能是為了兼顧功能的無奈之舉。比起攻擊,她更佩服把系統建設起來的人,因為發現一個漏洞很容易,建立一套安全的系統卻很難。

她特別希望瞭解攻擊的思路,然後根據這個思路想辦法怎麼去防禦,在看不見硝煙的網絡安全戰場,她更像持盾抵禦的戰士。

儘管被吐槽沒有黑客氣質,但黃琳身上女性獨有的浪漫氣質,賦予了她天馬行空的想象力,她曾想把GPS的演講做成柴靜的《蒼穹之下》,被男同事們否決了。

02.png

上面這幅圖,就是黃琳最近給一篇關於4G/5G中間人攻擊的技術文章畫的原理圖。為了解釋黑客惡意攻擊,冒充手機的身份,把數據包發往某個服務器的場景,手繪漫畫用簡單的線條筆繪出攻擊過程。寫完以後,她還幾次找不同的人問:“能看明白嗎?”

曾經有個年輕的女同事整理黃琳的研究成果,怎麼也搞不懂原理。黃琳告訴她,“這個GPS系統傻乎乎只知道聽衛星說什麼,所以你的欺騙設備在旁邊使勁喊,它就信了”。女同事一下就理解了,甚至覺得這個衛星很蠢萌,比那些“直男”老師們講的一套套原理好理解多了。

很“軸”的黑客

黃琳喜歡分享,生活中與兩個孩子相處的趣事,工作中一有靈光乍現的點子,或者想不通的地方,她都會記錄在博客、微博裡。

去年她在一次開車途中,電臺突然竄進推銷性保健品的內容,“這是碰上黑廣播了!”。之後她就下決心跟團隊一起,動手做了一個系統,側面打擊黑廣播。後來,黃琳還專門寫了篇文章梳理黑廣播的危害,分享無線技術打擊黑廣播的新角度,發佈在自己的微博上。

黃琳曾在自己的文章裡提到一名安全研究員小灰灰,他蹲在公司的自動售貨機前半個月,為了研究一個不花錢就能買飲料的安全漏洞;小灰灰也曾蹲在ofo前好多天,引來無數朝陽大媽的側目,為了發現能夠不花錢就騎車的漏洞;他甚至在黑客大賽上搶過黃健翔的話筒,對著現場的觀眾普及安全知識。

同類的氣質是相近的,黃琳的身上也有黑客“軸”的一面。2016年初,她和當時的團隊發現了運營商 4G 通信協議的漏洞,這個漏洞可能被壞人利用。當她公佈這個漏洞後,不乏有人質疑她小題大做。運營商覺得通信協議裡有的是漏洞,多這一條沒什麼。通信圈認為,滿大街的揹包客偽基站,手機數據被什麼盜不是盜。設備商、終端商很難為了小威脅而投入金錢對設備進行升級。

但在黃琳心裡,這是一件關係隱私的大事,寸土都不能讓。她和團隊為此奔走努力,把這個問題帶到了頂級安全會議BlackHat和DEF CON上展示。2017年尾,這個漏洞終於被官方標準組織 3GPP 修復。此時距離發現漏洞將近2年。

實現“普惠安全”的夢想

“安全是件奢侈的事”,黃琳不無遺憾的說,比如像藍牙音箱之類的小設備,最便宜的才幾十塊錢,加上安全的功能成本可能增至幾百塊錢。市面上的小公司還沒有餘力去做安全,他們首先要解決的是公司要存活下來的問題。

所以當黃琳加入支付寶後,他們小組提出某個設備有漏洞時,她並沒有對設備升級抱有希望。雖然這個漏洞還沒有被黑灰產發現和利用,但想要補救的話,需要設備商、終端商更換零件,成本高達上百萬元。

提出漏洞後,黃琳的安全團隊跟業務團隊反覆討論。沒多久,黃琳接到電話,同事興奮地向她傳遞消息,業務團隊在會上拍板了!同意花幾百萬把這些設備全部升級。

這個答案給黃琳帶來極大震撼,成了她最近最有感觸的一件事。

此前,黃琳曾在法國電信研究院工作9年,2014年加入前公司,一待就是6年,期間進行大量的無線安全研究。15年的研究沉澱積累的天賦,開始拖著黃琳,往全新的賽道飛奔。這一次,她選擇走到一線,來到黑灰產活躍的地帶,跟攻擊者們真刀實槍的對抗。

業務團隊的支持,無疑給了她底氣。她發現,支付寶是一個願意深層次為客戶安全考慮的公司,即使風險尚未出現,也願意付出極高的成本,提高安全性。這也讓黃琳感覺到,自己一直在尋求的“普惠安全”的夢想樂土,終於顯露出清晰的輪廓。

黃琳現在所在的支付寶天宸安全實驗室,聚焦在移動及IoT安全領域,致力於研究並落地下一代金融級安全防禦基礎設施。說白了,就是要解決當前的移動安全和正在到來的5G時代、IoT時代的安全防禦技術難題。

更具體一些,黃琳所領導的IoX組,就是關注各種設備底層的基礎安全問題。支付寶有各種各樣的支付設備,商場超市便利店裡隨處可見的收銀機、掃碼機,還有逐漸增加的刷臉支付設備。這些設備的安全,不管是底層的傳感器、攝像頭、系統內核問題,還是鏈路上的安全問題,都是她所在的小組關注的方向。

入職以來,黃琳見識到了幾次與黑灰產的正面交鋒。負責發現風險的團隊,報告黑灰產活動,不同專業小組的人迅速集合,儘快採取行動。有人向攻擊者發起反擊切斷鏈路;有人負責防禦;直到監測到異常流量明顯降低,攻擊者離開。

有的人在危險爆發後想對策,有的人則能提前洞察危機。處理正在發生的威脅,和處理可能發生的風險,是黃琳團隊的兩類任務。

如果不從事網絡安全工作,黃琳最想成為的人是醫生。合成作戰把她拉進無影燈下的嚮往世界:就像新冠疫情下,一堆醫生圍著情況緊急的病人,ECMO要不要更換導管,大家當下必須做一個決定,並且儘快完成手術。

職場大牛的韌與柔

比起很多事業有成的人重新出發後的不適,黃琳過度的平順,她從來沒把自己擺到特別高的位置。即使是在國內外引起關注的GPS欺騙攻擊,她做完也“並沒覺得牛”。補習《密碼學》時,還自嘲“可能還不如一個剛剛畢業的人”。為了寫好一個代碼,身為女博士的她,可以跑去向北航的普通學生請教。

加入支付寶這段時間,她一直在看、在學不同的東西,琢磨起一款名為“蜻蜓”的新型刷臉支付設備,可信計算部分怎麼實現的?人臉識別的算法又是怎麼做的?

工作上刨根問底的黃琳,一回歸生活變得有些“鈍”感。

作為兩個孩子的母親,她感慨自己和孩子們的共情不夠。有時候孩子生氣了,她還沒意識到。最近二寶頻繁問她,“媽媽為什麼我一到晚上就老生氣?” 黃琳也說不出所以然來,“跟哥哥吵架了?”“想吃的東西家裡沒有?”,女兒不滿意她的答案,氣鼓鼓跑到房裡把門一關,等氣消了又會出來。

黃琳也不想深究,她很喜歡的一本兒童繪本《氣球小熊》。裡面的主人公小熊,在不同情緒下會把自己漲得鼓鼓的,就像待爆的氣球,給小熊喝點水,喂點好吃的,它就能恢復原狀。

“給孩子一個爆掉的機會” 黃琳覺得把孩子當小熊哄也不錯,當孩子不開心的時候,讓孩子嘰裡呱啦亂作會兒,把氣爆出來。之後再摸摸頭安慰,小朋友心裡就舒服了。

她說這些話的時候,一根筋“軸軸的”女黑客不見了,中庸平和的黃琳又回到眼前。

Leave a Reply

Your email address will not be published. Required fields are marked *