开启左侧

京东的这场“黑客趴”

[复制链接]
626 0

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
京东的这场“黑客趴”-1.jpg

浅友们大家好~我是史中,我的日常生活是开撩五湖四海的科技大牛,我会尝试各种姿势,把他们的无边脑洞和温情故事讲给你听。如果你特别想听到谁的故事,不妨加微信(微信号:shizhongok)告诉我。

文 | 史中

有道是:事在人为。

中哥感觉,这两年京东安全部门的“声威”渐壮。

本来有些“小透明”的京东安全,在2018年突然成立了自己的前沿安全研究团队“JD-OMEGA 团队”和“牧者实验室”,又举办了圈子内喜闻乐见的“黑客 Party”,吸引一票国际黑客大牛加入,又接连登上了世界顶级黑客大会 BlackHat、DEF CON,分享了骚极了骚极了的“人工智能解释系统”和“FUZE 怼黑客神器”。

这些变化,当然是所有 JD 童鞋努力的成果,不过也和一位帅大叔加入京东有不小的关系。这位帅叔就是 Tony Lee。

京东的这场“黑客趴”-2.jpg

京东集团首席信息安全专家 Tony Lee

给各位女粉多提供一些信息,Tony 从小在美国长大,所以大家都称呼他的英文名字。他毕业于产生了107位诺奖得主的 UC Berkeley(加州大学伯克利分校),曾在美国微软负责“跟各路顶级黑客互怼”十多年。后来回国,作为联合创始人和另一位大牛马杰一同创建了“安全宝”,怒拿 BAT 三家融资后被百度收购。2016年秋天,Tony 转战京东,成为京东首席信息安全专家。

虽然 Tony 是个老黑客(无论年龄还是资历),不过他永远都是基情四射,直勾勾盯着你的眼睛,伸出双手为你描绘世界未来的样子。这样一个荷尔蒙爆棚的人,能搞出刚才说的那些大手笔就不足为奇了。

最近,听说京东安全又要搞大事情——他们要把世界顶级黑客会议 HITB(Hack In The Box)引进中国,就在北京。

前两天我溜进了京东办公楼。本来只想找 Tony 聊聊天要个签名,没想到他却“周末大放送”,为我科普了一波他眼中的“未来安全战场”,还拉着京东安全的大侠们展示了有助于维护世界和平的“私房黑科技”

(一)我就问你:为神马会有战争?

我在一个巨大的旧战场上战斗了二十几年,满地弹坑伤亡惨重。到头来发现,这个战场本来就不该存在!

Tony 一上来就一字一顿,像个诺曼底老兵那样,跟我说出了这句充满哲思的话。

京东的这场“黑客趴”-3.jpg

这让我突然很好奇,这么多年,这位叔到底经历了怎样的蹂躏?

他把自己经历的“IT 安全战争史”泾渭分明地分为两个阶段。

1)1995年,我开始用电脑上网,从 Windows95,用到了 Windows 98,到 Windows 2000。后来我加入微软,在微软我们最担心的就是 Windows 爆出个漏洞,利用这个漏洞做一个病毒就能搞瘫整个网络的计算机,全世界都跟着倒霉。所以我们的主要精力都花在反病毒研究上。


京东的这场“黑客趴”-4.jpg

冲击波病毒

2)从2010年开始,病毒背后的黑客们变了。之前他们做病毒是为搞个大新闻,扬名立万;之后是为了搞钱,越隐秘越好。。。于是表面上病毒消失了,但网络攻击可丝毫没少。于是各种安全厂商开始做了“高防防火墙”“反 APT 系统”等等听上去很专业的防护系统。


京东的这场“黑客趴”-5.jpg

黑客会为每一个目标专门研究一颗导弹。

但终结战争的,从来不是武器。

现在各大公司标配的“全套武器库”恨不得有上百种,但安全事件还是会时不时发生。说起来,有一种和“美国有全世界最先进的武器,却还是干不掉恐怖主义”类似的无奈。

这里面有两个立场:

1)生产安全产品的公司当然会想:我们怎样制造出更厉害的武器来干掉对手?

2)但是京东安全是保护用户这些普通人的,我们得思考:为什么会有战争?

Tony 说。

他按住我的 iPhone ,划到我俩中间,问:你的手机里安装过杀毒软件吗?

我:没有。。。

Tony:你的手机装过各种管家吗?

我:没有。。。

Tony:你看,在你的手机上没有武器,因为没有战场。

说罢,他把手机推还给我,就像赌场上胜利者的筹码。

为什么会有战争,是因为有战场。为什么会有战场,是因为我们在系统设计之初留下了缺陷。这种“系统级缺陷”,注定了未来几十年黑客和安全研究员的相爱相杀。而终结战争,需要首先终结“系统级缺陷”。

京东的这场“黑客趴”-6.jpg

《黑客帝国》里,之所以有这么多“史密斯探员”,是因为这个世界存在“系统性缺陷”

他的结论可以总结为两条:

1、安全这种属性,有点像蛋糕里的糖,一个蛋糕一旦烤熟,就不可能再放糖进去。而一个系统平台如果在设计的时候没有“内置”安全性,一旦成型就很难把安全性“添加”进去。所以,在这个系统设计之初的时候就要考虑安全性,而且在升级的过程中持续考虑安全性。


京东的这场“黑客趴”-7.jpg

2、一个蛋糕甜不甜,是蛋糕店的职责。顾客不应该从蛋糕店出来,再去买糖自己撒上去。类比到安全,一个平台的安全,应该由平台来解决,而不应该把责任压到这么多“第三方安全服务”上。


京东的这场“黑客趴”-8.jpg


Tony 正在慷慨激昂之时,我弱弱地提出一个问题:事实是人们现在使用的互联网、软件和底层协议平台,设计的时候并没有考虑安全性。现在的世界网络系统已经千疮百孔,也已经有很多安全公司靠此为生了。我们回不去了。

他笑笑说:

很多人都相信旧的世界一直存在,但其实新世界会比想象中来得更快。

人类第一波互联网浪潮来的时候,我们从零开始搞了二十多年安全;如果新的技术浪潮来了,还要再花二十年重新搞安全,那么之前被黑产侵害过的用户、商家、无数普通人,他们的损失不都没有意义了吗?

论证了这么多,Tony 说出了他的未来计划:

很巧,京东就是一个平台,平台的安全要由自己负责。所以面对新技术,我们有责任把安全的能力从一开始就“内置”到新世界里去。

京东的这场“黑客趴”-9.jpg

(二)新世界究竟长什么样子?

Tony 相信,未来的新世界有三根支柱:

物联网+人工智能+区块链

听到这,我多少有点蒙。经典的看法认为,京东是一家电商。一家电商会在神马地方用到这三项新技术,又为神马这么变态地在意技术的安全性呢?

他给我详细解释了一下:

“物联网”

京东可能是在国内消费领域里,比较早的一个发布“物联网平台”的企业了。(2014 年京东发布了“京东微联”,很多浅友即便没有下载过这个 App,也可能用过它的服务。九阳豆浆机、海尔空调、方太油烟机等等,都可以通过它来统一控制。)

一个物联网平台上有多少用户不重要,重要的是,它是个平台。

简单来理解,消费级物联网架构分两头:“云端计算中心”+“无数物联网设备”。打个比方,就像幼儿园里,一个老师带着一帮小盆友。

京东的这场“黑客趴”-10.jpg

就像老湿带着一群小盆友做游戏

图片取自电影《看上去很美》

经过云计算四五年的发展,“老师”这一侧的云端安全技术目前比较成熟;但是“小盆友”这一侧的设备,五花八门,几乎每一个都有不同版本的系统和协议,它们安全能力就比较抱歉了。

然而物联网作为一套整体系统,任何一个点被黑客攻破,都可能让黑客盗取用户信息,进而用盗窃资产、诈骗等等各种方法蹂躏用户。

所以对于京东来说,物联网安全是个严肃的课题。

京东的这场“黑客趴”-11.jpg

“人工智能”

人工智能是个老少皆知的巨大热门。

京东在人工智能上有多努力,大家都看到了。过去两三年,全球顶级 AI 科学家,比如来自 IBM Watson 的首席科学家周伯文博士;前微软亚洲研究院的梅涛博士,以及前美国微软雷德蒙德研究院主任研究员何晓冬博士都纷纷加入了京东。

一方面,电商场景下有很多人工智能的用武之地,例如给用户智能推荐、优化购物体验等等;

另一方面,京东正在下大力气搞物流和供应链。中国的物流经过多年改进,已经基本优化到位。未来如果还想降低调度、仓储的成本,必须要仰仗人工智能。

然而,今天的人工智能有点像个“天才又孤僻的小孩”,它能有如神助般计算出一个问题的答案,但就是不能告诉你它得出这个答案的理由。这种“不可解释性”让人们倍感焦虑——假设一个人工智能被黑客攻击,进而给出错误的答案,你也无法验证这个答案的对错。

在未来,人工智能肯定会承担起更多的“智能推荐”或者“调度任务”,如果他们被坏人“策反”,故意给出错误的结果,想想就让人汗毛倒竖。

人工智能听话的时候这样↓↓↓↓

京东的这场“黑客趴”-12.jpg

人工智能不听话的时候这样↓↓↓↓

京东的这场“黑客趴”-13.jpg

“区块链”

毋庸置疑,京东手里最珍贵的资产就是数亿用户的“隐私数据”。虽然这么多年,保护这些数据就像保护一块价值连城的“和氏璧”。这让京东和京东安全一直倍感“鸭力”,含在嘴里怕化了,捧在手里怕碎了。

但是 Tony 也说得很中肯:“我们要给用户送货,我们要给用户提供金融服务,不存储用户数据是不可能的。我们只有一条路可选,就是研究怎么保护它。。。”

保护用户隐私,一个终极的方案就是把控制权交到用户手上。就像把用户的信息装进保险箱,然后让用户自己保管钥匙。这其实就是区块链技术的领地。

另外,京东作为电商, 一个重要的任务就是对一件商品的流通过程进行“溯源”。这也是区块链技术擅长处理的难题。

区块链技术本来就是一个用来保护安全的工具。“一个保护我们的东西,最好自身不要有问题!” Tony 说。

京东的这场“黑客趴”-14.jpg

(三)京东的老湿傅和侠客们

有一句话叫做:如果你因错过太阳而流泪,那么你将错过繁星。

Tony 的哲学大抵如此。

IT 旧世界的问题,我们继续寻找方法;

但与此同时,“I物联网+人工智能+区块链”的新世界,我们可得从娃娃抓起。

他们具体是怎么做的呢?

1、“老湿傅”安全开发

从最近两年开始,京东旗下各种新系统在开发的时候,都要从写下第一行代码前就考虑安全设计;在开发的过程中,要严格遵守一整套安全开发流程;在日常的运维中,也要在安全的架构内部运行。

Tony 告诉我,这可不是说说而已。现在京东会把“安全素质”作为工程师考核的重要依据。前两天他刚刚给在这方面表现突出的开发团队发了奖金。

京东的这场“黑客趴”-15.jpg

系统开发从设计、开发、运维都遵循安全规则

这被称为“安全开发生命周期”(SDL)

2、“侠客们”输送弹药

与此同时,京东内部还有一帮黑客大侠们。他们也在开足马力,研究最新的安全问题,把找到的好方案融入到产品的开发中。

之前中哥跟你们聊过,京东安全硅谷研究院的 Jimmy Su 和他的好基友宾州州立大学的邢叫兽就在带领团队做人工智能安全方面的研究。(中哥之前介绍过他们研究的两个“神器”,感兴趣的同学戳这里:人工智能解释系统、怼黑客神器)

京东的这场“黑客趴”-16.jpg

Jimmy Su(左)和邢新宇(右)

这次,我在京东北京办公室又认识了一位新盆友。

KJ,国际著名黑客小组 HITB 核心成员,硬件安全大神。就在2018年,他也成为了京东安全的一员。刚才说的牧者安全实验室,就是他起的名字。

推开走廊旁边一扇普通的玻璃门,KJ 和小伙伴的实验室赫然出现在眼前。。。

京东的这场“黑客趴”-17.jpg

IoT 大神 KJ 和他的实验室

他身后这些奇形怪状的武器,全是用来研究物联网安全的家伙事儿。

KJ 之所以不远万里来到京东,因为他最近几年正在重点研究物联网安全,这和京东安全眼中新世界不谋而合。

他告诉我,现在人们对 IoT 设备的研究并不深入。

不深入的原因并不是人们找不到好的方法,而是没有趁手的工具。

实际上很多传统的研究方法,都可以用来研究 IoT 设备是不是有漏洞。问题在于 IoT 设备本身存在巨大的限制,那就是计算力不强、存储空间很小。在逼仄的小设备里做研究,有一种在蛐蛐笼子里耍大刀的憋屈感,有一种在米粒上雕刻《清明上河图》的无力感。。。

而 KJ 在做的事情,就是用电脑模拟 IoT 设备的运行环境,用电脑超强的算力和超大的存储来运行各种经典的“模糊测试工具”,这就会让发现问题的速度快上千倍万倍。

京东的这场“黑客趴”-18.jpg

钢铁侠,就是用机器替代掉人类逼仄的器官

和用电脑模拟 IoT 设备异曲同工

当然,像Jimmy Su、邢叫兽、KJ 一样的京东侠客还有很多,以后中哥陆续给你介绍。

不过,单靠这些大侠们的研究,力量也是有限的。于是,Tony 这两年一直在琢磨,怎么让更多的人加入到对“物联网+人工智能+区块链”的安全研究中来。

几天之后的“京东黑客趴”(大名叫做“京东HITB安全峰会”)也是他的尝试之一,Tony 说,一波大牛正在路上,他们会分享自己在 物联网+人工智能+区块链 方面的最新研究。

(四)热血青年

怎么说呢,Tony 应该是个资深的热血青年。

2003年的时候,我就被邀请到国内最早的黑客大会 Xcon 上分享。那个时候我认识了很多国内的黑客,他们从事着各种奇葩的工作,有的在酒店,有的在医院,有的在学毫不相关的专业。到后来,这些人发生了很大的转变,他们中的大多数成了现在中国各大安全公司的骨干,在改变着这个国家。

他回忆。

这种独特的经历,不仅让 Tony,也让那一代黑客一直坚信,每个人都有权追求自己热爱的事业,并且能从中获得生命价值。

“所以,我一直想组织一个”世外桃源“,让普通人和网络安全爱好者能轻松地交流。让门外的小伙伴也能进来看看,没准还会爱上网络安全这一行。”他说。

恰好在 2018 年,他在美国见到了 HITB 的创始人 Dhillon。

京东的这场“黑客趴”-19.jpg

很多浅友应该都知道,HITB 是网络安全界最著名的三大国际会议之一。

HITB 始创于2003年,每年的主会都在荷兰阿姆斯特丹召开,很多黑客大牛和爱好者都会去参加。比如维基解密的创始人阿桑奇、曾经干掉 NASA 的本杰明、世界第一汽车黑客查理米勒都是这个大会的演讲者。

京东的这场“黑客趴”-20.jpg

HITB 创始人 Dhillon

关键在于,HITB 创始人 Dhillon 也有一颗热血的心,他觉得所有的人都可以自由地学习一些黑客知识,所以在 HITB 上,专门设置了一个“经典曲目”——回馈社会的免费论坛 CommSec。

在 CommSec 上,每一位黑客大牛会用半小时的时间,对台下的爱好者毫无保留地分享自己的技术和对技术的理解。重点在于:无论你是不是买票的观众,只要你感兴趣,就可以免费进来旁听。

京东的这场“黑客趴”-21.jpg

这是2018 阿姆斯特丹 HITB 上的 CommSec,

相信中国的 CommSec 上也会来一些中国大牛。

HITB 这种“草根”“平等”的理想让 Tony 仿佛回到了记忆中的热血时代。他和 Dhillon 一拍即合,把 HITB 引进中国!

这就是京东HITB安全峰会的来历。

这届大会有哪些大牛会来呢?篇幅有限,简单介绍几位:

Hugo Teso

京东的这场“黑客趴”-22.jpg

这位老哥是传奇黑客,曾经演示用一部安卓机控制民航飞机的骚操作。(仅仅是展示技术,没有真干掉飞机,不要紧张。)

不过,中哥并不觉得他有多厉害,毕竟我是看过国产神剧的人。

京东的这场“黑客趴”-23.jpg

这次 Hugo 会来讲《手机取证当中的最新骚操作》。

Hendrik Scholz

京东的这场“黑客趴”-24.jpg

这位老哥其实是个旅行家。他的经典骚操作就是通过各种“中老年网上冲浪操作”找到便宜的机票和酒店。。。

京东的这场“黑客趴”-25.jpg

Stefano Zanero

京东的这场“黑客趴”-26.jpg

这是位意大利帅哥,他会在现场讲述《如何干掉一个工业机器人》

David Rodriguez

京东的这场“黑客趴”-27.jpg

这位哥就厉害了,他是一位人工智能专家。这次他来讲述怎么用人工智能从海量的进攻日志里分析出坏人的踪迹。

Don A. Bailey

京东的这场“黑客趴”-28.jpg

这是一位奶爸黑客。他人生的最爱是他儿子,IoT,还有刚认识的区块链。。。这次他就会给观众讲一下他在很多区块链应用里发现的各种细思恐极的技术缺陷。

当然,中国人民的好朋友,邢新宇邢叫兽也会来讲述他经典的“人工智能解释系统”的最新进展。

当然,一睹刚才几位大牛的芳容是要票的。

我特意帮浅友问了一下,热血的 CommSec 免费论坛也会按照惯例同时举办(2018.11.1-2018.11.2),二十多位大牛会在那里公开演讲。感兴趣的童鞋到时候可以过来,提中哥直接进(不提中哥也能直接进)。(给你个链接,里面有往届 CommSec 的完整视频,https://conference.hitb.org/hitbsecconf2018pek/zh/commsec-track/ 温馨提示:请自备梯子。)

CommSec 上还附带一个炫酷的科技展(也是免费的),给你看几张图片:

京东的这场“黑客趴”-29.jpg

京东的这场“黑客趴”-30.jpg

京东的这场“黑客趴”-31.jpg

京东的这场“黑客趴”-32.jpg

聊了许久,画面又回到眼前。

Tony 所描绘的未来,一边漫坐着和他一样的侠客,一边矗立着和曾经的他一样的热血青年。在时光岸边,这个老男孩也期待着一次重逢。

临近中午,Tony 和我告别。他抓住我的手,像八路军战士那样紧紧握了一下,又热情洋溢地奔赴下一个内部会议了。

我仍能记起他说的一句话:

“我能看到未来世界的战场就在眼前,所以我们需要更多热血的年轻人。我们做这一切,并不仅仅为了京东,而是为了一个新世界。”

嗷对了,想要来这次“京东黑客趴”的童鞋,给你个小小码:

京东的这场“黑客趴”-33.jpg

再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,

可以搜索微信:shizhongok

或者关注微博:@史中方枪枪 @浅黑科技

不想走丢的话,你也可以关注我的公众号“浅黑科技”。(记得给浅黑加星标哦)



京东的这场“黑客趴”-34.jpg

新世界总会到来

举报 使用道具

回复
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

搜索
热搜: 活动 交友 discuz

图文热点

更多

社区学堂

更多

客服中心

400-800-8888 周一至周日 8:30-20:30 仅收市话费

关注我们

  • 手机客户端
  • 关注官方微信
关于我们
关于我们
友情链接
联系我们
帮助中心
网友中心
购买须知
支付方式
服务支持
资源下载
售后服务
定制流程
关注我们
官方微博
官方空间
官方微信
快速回复 返回顶部 返回列表