2 月 28 日),腾讯信息安全争霸赛(TCTF)品牌发布会为接下来激烈的“黑客游戏”CTF 比赛拉开了帷幕,而"TK 教主”于旸作为腾讯玄武实验室的负责人,自然少不了他的演讲,毕竟他的“作品”可是 2016 年亚洲唯一入选“奥斯卡奖”提名的作品。没错,我说的就是有“安全届奥斯卡”之称的 Pwnie Awards 。
会上,这位对安全技术颇有研究的"TK 教主"通过几个小故事,向大家讲述了他眼中的"互联网安全人才进化论。"
以下是 TK 演讲全文:
大家下午好,今天我讲的内容叫“安全人才的进化论”。
首先,我来给大家讲个小故事:
喜欢看美剧的朋友可能看过部叫《生活大爆炸》的电视剧,画面的右侧是《生活大爆炸的主人公》sheldon 正在弹奏了一种乐器让室友很烦,神奇的是,他演奏乐器时候不需要触碰就发出声音。
这件乐器很有历史,它是苏联物理学家利夫·特雷门在 1928 年发明的。至今依然是世上唯一不需要身体接触的电子乐器。
介于当时的国际关系,利夫·特雷门换了一个名字才来到美国加州,并用他的电子管发明了这件乐器。他运用电磁技术制造了特雷门琴,它的原理是利用两个感应人体与大地的分布电容的 LC 振荡器工作单元分别产生震荡的频率与大小变化而工作,最后发出声音。从当时在波士顿的一个报纸上的售价来看,当时收费是非常昂贵的。
接下来这张照片是美国非常著名的U—2 侦察机,军事爱好者对这个应该是非常熟悉了。
在冷战期间,美国部署侦查机,使用U—2 飞到苏联领空进行侦查,苏联毫无应对办法。因为U—2 侦察机飞得实在是太高了,而且速度比所有的导弹都快。
后来好不容易打下来打下来一架,苏联人就拿着这个侦察机的残骸就到联合国安理会去控诉美国,说你对我搞间谍活动,指控美国企图侵略他们,理由就是用美国用U—2 来侦查我们。
然而美国人是有备而来的。他们在安理会的现场拿出了这样一个东西 —— 这是一个木制的美国国徽,雕刻的非常精美。
【安理会现场照片】
这个国徽是 1945 年二战结束时,在雅塔尔会议上开会的时候,苏联克格勃精心制作出来这样的理论,作为礼物送赠送给美国大使的。那时几大国刚打败德国人,表面上大家非常友好。
这个国徽是什么呢?大家可能已经猜到了,是一个窃听器。克格勃很智慧,他知道在西方文化里面对于小孩子提出的要求是不能拒绝的,于是找了八个少先队员扛着这个东西送给美国人。当然,美国人也不傻,他们肯定对这个东西做了非常严格的检查,用当时的技术检测里头有没有什么电磁波发出来,查了之后发现没有任何的问题,然后美国大使就欣然接受。因为确实雕刻的很精美,而且苏联雕了一个美国国徽送给他们,非常有意义。因此他不但把国徽挂在自己的办公室里,而且他甚至把窗帘换了,把墙重新刷了一遍,让颜色能够跟国徽相匹配。
这个国徽在大使的办公室里一放就是八年。最后,终于被一个英国的无线电操作员在一次偶然的情况下发现蹊跷:当时他耳机里面听到了大使办公室说话的声音,他发现不对呀,我怎么听说的话是美国大使说的话,这个声音从哪儿来的,于是就报告给美国大使,结果一查,把这个国徽拆开,发现了这么一个小小的装置。
这个装置,就是一块金属制作的圆头,上面有一个导电的金属薄膜,底下托了一个金属棒,没了,整个就是这样的装置东西。一共 31 克,没有一个鸡蛋重,里面没有电子管。我们知道一个电子管大概就是像小灯泡那么大,而且里头没有电池,更没有晶体管,这也难怪美国人没有发现它。
克格勃在 1945 年把这个窃听器藏在了国徽当中送给了美国大使馆,送的时候做了检查,而大使馆又定期要做窃听器检查,但是八年从没有查出来。甚至找到这个东西之后,美国人也只是怀疑它肯定有问题,但究竟怎么回事儿,搞不清楚,不知道是个什么东西。最后还是个英国人帮了忙,一个英国的科学家帮助他们分析了这个原理:它本身确实不需要电源,通过无线电波给它提供能量,这样一个非常简单的装置,它能够完全能把无线电波转发,再释放出无线电波的声律,同时还调整携带信号的无线电波发出去,所有过程就通过这样一个简单的小装置。
这个装置是谁做的呢?就是刚才我说的 sheldon 弹的那个琴的发明人 —— 利夫特雷门。而且 70 年前特雷门所制作的这个窃听器的技术原理,在今天演变成了大家的公交卡,我们的身份证所使用的 FID 技术、手机用的 NFC 技术,都是从这个窃听器的技术衍化出来的。
讲这个故事,我们从中能够体会到什么呢?信息安全的攻防对抗本质上是技术的对抗和人才的对抗。在这个战场上,如果你不具备相应的技术和人才,就可能连对抗的入场券都没了,根本没有办法去对抗。
在刚才的案例中,美国在二战时期那是要人有人要钱有钱,非常强大,但即使如此,缺乏刚才所说的技术,首先发现不了敌人的窃听器,别人帮他发现了,他还是搞不清楚这是什么东西。
第二,在信息安全的战场上,我们需要向军勤五处的那个科学家专业高端人才,同时也需要查询异常电波的这样的人。我们说信息安全的攻防是一场高科技战争,也是一场硬战争。我们一方面需要高端的人才,同时也需要让信息安全知识尽可能多的被大家所了解,让更多的人掌握一些基础的知识。
刚才几位的演讲中也提到,信息安全人才的缺乏是全世界的共识,不只是发生在中国。
毕马威对英国大企业的调查显示,一半以上的企业主管说我为了要招到信息安全人才,有犯罪前科我也在所不惜。美国的兰德公司发布的一份智库报告里面也指出,美国高端信息安全人才的短缺,尤其是联邦政府人才短缺对国家安全造成不利影响,建议联邦政府放宽雇佣规则,投资信息安全培育人才的建议。
这些年,大家也对 CTF 安全人才的培养方式逐渐了解。
2015 年我在 Google 里翻译了 CTF Contests 的英文,它给我翻译成了“周大福",因为周大福英文缩写就是 CTF。在 2015 年那个时候 CTF 对于 Google 翻译来说首先认为是周大福。但是今年我们看 Google 翻译做了改版,2017 年的界面版面改了,内容也不一样了,当我们输入 CTF 的时候,它已经知道 CTF Contests 是 CTF,不再是周大福了。
在今天,我们谈到信息安全人才,我们知道无论是 IT 技术也好,还是信息安全技术也好,日新月异,每天都在变化,我们今天需要的人才,和十年前需要的安全人才,可能是不一样的。
今天我们会发现在今天的我们需要的人才看起来仿佛存在一些矛盾之处。
第一,信息技术和安全技术的发展,随着发展,专业分工越来越细,你想去成为一个安全通才越来越困难。就像在 100、200 年前我们有牛顿、笛卡儿、高斯在每个领域都成为卓越的科学家是很难了,当这个学科发展到后来的时候,越来越细,很难再成才。
但是另外一方面,跨领域的安全问题成为问题。我在 2016 年中国信息安全领袖峰会上做的演讲就是讲这个问题,我们今天看到越来越多的信息安全企业、跨省、跨行业,几家企业各自非常正常的业务结合在一起的时候,会出现被网络犯罪分子利用。
在这样的形势下,我们说日趋复杂的环境,需要人才去处理这种跨协议、跨业务的问题,同时我们说人才本身又已经高度专业化了,看似是一种矛盾。
在这个背景下,我们一方面,当然我们还是需要专业的高端人才,但是我们对人才提出了新的要求,你需要有合作能力。第二,在这个背景下我们还需要有跨界,能够整合信息和资源,去解决跨领域安全问题的复合型人才。
在当年邓小平同志给北京的景山中学题词的时候,我们小平同志写了三个面向,讲“教育要面向世界、面向未来、面向现代化”,实际上我们今天看信息安全人才的培养,实际上也是有几个面向,我们需要适应当前的网络信息安全的发展,适应技术的变化,适应威胁。因为环境在进化,攻击者在进化,我们安全人才随时进化,才能够适应环境,才能够做好我们的信息安全工作。
好,谢谢大家!
---
以上为“TK 教主”于旸的现场演讲实录,由雷锋网编辑发布,微信公众号首发于雷锋网(公众号:雷锋网)旗下专注网络安全报道的公众号:宅客频道(ID:letshome)。