【白帽】強大也是一種習(xí)慣，MJ和360VulCan小記

2019.09.01

前陣子出過一件大事，代表人類的李世石被代表機器的AlphaGo擊敗了。

前陣子信息安全圈也出過一個事，AlphaGo的“親兄弟”沒撐住，被某人類代表給收拾了，而且收拾得干脆利落，前后不過11秒。

當(dāng)然，AlphaGo的“親兄弟”并不會下圍棋，它只能在網(wǎng)上搜羅信息資訊，它就是被Google精心打造并重甲防護的Chrome瀏覽器。別小看這個瀏覽器， Google可是動用了超過4000臺服務(wù)器對其做長期持續(xù)漏洞測試的，單從計算能力來看，Chrome并不亞于AlphaGo，所謂一龍生九子九子各不同，Chrome的安全強度，在安全圈一直是有口皆碑的。

就是這么個得到重重防護的厲害家伙，在不久前剛結(jié)束的Pwn2Own大賽上，被一支來自中國的團隊成功突破，歷時僅11秒，算是給我們?nèi)祟惓隽丝凇皭簹狻?。這支團隊就是360VulCan。

作為信息安全新媒體，安在怎能錯過第一時間的“八卦”？趁著360Vulcan轉(zhuǎn)戰(zhàn)新加坡SyScan大會，安在跟蹤追擊，第一時間“踩”了360VulCan的領(lǐng)隊——業(yè)界大名鼎鼎的鄭文彬。

MJ其人

鄭文彬網(wǎng)上ID是MJ，是360首席工程師、反木馬專家及360Vulcan團隊負責(zé)人。作為微軟Windows “DirectShow視頻開發(fā)包”漏洞的發(fā)現(xiàn)者，MJ曾被微軟官方公開致謝，并有國內(nèi)內(nèi)核第一人、“驅(qū)動神童”之美稱。

“目前在360，我負責(zé)管理的有十多個團隊，分別做不同方向的研究。”開門見山的MJ語速平緩，聲調(diào)沉穩(wěn)而踏實，給人一種很“靠得住”的感覺。

MJ于2006年加入360，幾乎是和360一起成長起來的。

以殺毒起步的360，當(dāng)年也曾走過步履蹣跚的階段。2008年，360推出第一版殺毒軟件，“那個版本其實并不成熟，收到的負面反饋不少”，情急之下，老周臨時抽調(diào)一批核心技術(shù)人員，組成“殺毒突擊組”，希望能夠扭轉(zhuǎn)局面，MJ就在其中。

“要知道，那時候360規(guī)模還不大，一個產(chǎn)品成敗可能就決定了未來的發(fā)展?！睔⒍就粨艚M臨危受命，奮戰(zhàn)一個月以改善殺毒軟件，“那段時間，常常是24小時在公司里，用戶評價有一點點問題，我們就立即去修正和改進?！?/section>

艱苦奮戰(zhàn)終有成效，突擊組沒有辜負老周期望，新推出的360殺毒軟件一舉扭轉(zhuǎn)局面，收到了良好的反饋。正是基于那段時間的成果，360殺毒以及安全衛(wèi)士，為360后來快速成為國內(nèi)知名安全廠商而奠定了基礎(chǔ)。在這中間，MJ無疑立下了汗馬功勞。

作為一名典型的技術(shù)工程師，360同樣成就了MJ。伴隨著360一路走來，MJ從能力強悍的單兵，到能影響一方的首席工程師，再到現(xiàn)如今的領(lǐng)導(dǎo)角色，MJ也步步為營幾經(jīng)蛻變。當(dāng)然，就像很多技術(shù)人員并不樂于脫離一線從事管理一樣，當(dāng)公司首次任命MJ為團隊領(lǐng)導(dǎo)時，MJ是很猶豫的。

也許這就是幾乎所有技術(shù)人員的潛在心理：技術(shù)和管理截然不同，技術(shù)鉆研需要執(zhí)著和專注，勝在在某個方向不斷精進和深耕之后的豁然開朗和心理滿足；而管理，則強調(diào)溝通與協(xié)調(diào)，重在與人打交道。對技術(shù)人員來說，若要轉(zhuǎn)向管理，往往顧慮兩點：一是擔(dān)心自己不能勝任；二是對“疏遠”了技術(shù)后的依依不舍?！澳軌蜃巫尾痪脬@研技術(shù)的，通常都是非常喜歡，我也是這樣，所以，要讓我偏離了自己喜歡的道路，多少會覺得不大舒服?！盡J如是說。

就在幾乎沒人說服MJ的情況下，齊向東親自出馬了。

“齊總是個很有說服力的人。他對我講，他有一系列的計劃，由我來領(lǐng)導(dǎo)團隊在安全技術(shù)上做更深入的開拓和創(chuàng)新，這不僅僅是個人的事情，也是公司戰(zhàn)略的需要?！迸c其說老齊是在說服MJ，不如說老齊是在向MJ展示一個宏圖，如此一番，MJ不是被說服了，而是被真的打動了。

事實證明，無論老齊還是MJ，對于當(dāng)初的選擇都是無比正確的。

轉(zhuǎn)型做了管理者后,MJ發(fā)現(xiàn)其實并沒有想象中那么困難。“畢竟還是由純技術(shù)人員構(gòu)成的team，大家一起的交流，更多還是技術(shù)，加上環(huán)境又沒什么變化，對我來說基本上沒有所謂的適應(yīng)期?！碑?dāng)然，骨灰級技術(shù)愛好者無論什么時候都不會忘了鉆研技術(shù)，哪怕時間相對稀缺?！凹夹g(shù)人員習(xí)慣的節(jié)奏是三到四個小時集中出活，但轉(zhuǎn)型做管理后就不能奢望這樣了，需要做些改變。”MJ的方法是，把自己的研究分割到碎片時間里去。“2015年，我在韓國演講，主題是微軟Windows 10的多個安全漏洞和攻破最新的Edge瀏覽器的0day漏洞，這些相關(guān)的漏洞，都是在碎片時間里發(fā)現(xiàn)并積累起來的?！?/section>

從技術(shù)到管理，MJ一步步平穩(wěn)進階，經(jīng)他手帶出來的團隊也個個出色，這其中就包括360VulCan。

360VulCan其事

提到360VulCan，MJ語帶興奮，且透著一股子自豪。

“Pwn2Own歷史悠久，已經(jīng)有七、八年時間了。能在那里展示自己，是全球安全界精英共同的心愿。2011年的時候，我就曾想帶隊參與，可惜沒有成行，等到15年，終于能夠真正參與，而且努力還最終得償所愿，心里當(dāng)然是很激動的?！?/section>

首次參賽，初出茅廬的360VulCan頗多緊張：“當(dāng)時已經(jīng)在去往溫哥華的飛機上了，我們還在調(diào)試，畢竟是第一次，擔(dān)心做出來的東西不穩(wěn)定?！焙迷诮Y(jié)果還不錯，既“見了世面”，又展示了自己的實力。及至2016年的本屆比賽，雖然難度大大提高，360VulCan已不再有任何忐忑，而是躊躇滿志了。

“這次比賽難度提升了不少，也增加了很多限制。比如時間上，以前是三十分鐘內(nèi)可以無限重試，現(xiàn)在則變成了十五分鐘，只允許重試三次?！?/section>

如此嚴苛的條件，360VulCan自然是嚴陣以待，“其實也挺緊張的，擔(dān)心墨菲定律會作怪，比如說即使方方面面都想到了，可能比賽時還會出現(xiàn)一些意外。我們有一個程序員，在配置時輸入一個指令，好幾次都輸不對，手抖得厲害。不過，到了第二場，情況就好多了。”

最終，他們成功了，他們在11秒內(nèi)，讓AlphaGo的“親兄弟”——Chrome瀏覽器俯首就擒。

提及360VulCan的優(yōu)勢，MJ說貴于實力的均衡。我們知道，通常安全圈人才可分為“江湖派”和“學(xué)院派”，前者擁有豐富的實戰(zhàn)經(jīng)驗和極佳的攻防意識，而后者勝在扎實的學(xué)術(shù)研究和技術(shù)功底，問題在于，對很多組織來說，這兩派往往各居其一實難兩全。而在360，確切說在360VulCan，兩者同時存在且水乳交融?！啊畬W(xué)院派’即使前期并沒有接觸過漏洞挖掘，但由于技術(shù)功底扎實，上手非?？?，最重要是他們有很好的思維方式和研究方法，后勁會非常足。而‘江湖派’則可以在前期提出好的更具落地性的想法，起到開拓者的作用。對于團隊，二者都不可或缺?！碧岬阶约旱膱F隊，MJ自然有著最到位的評價?！捌鋵嵍呤窍嗷⒄詹⑹馔就瑲w的，‘江湖派’在公司里一方面能持續(xù)磨練技術(shù)，同時也能補充系統(tǒng)研究的方法，而‘學(xué)院派’因為有足夠的基礎(chǔ)，多了漏洞挖掘的實踐，后面會發(fā)展得更全面。”

就是這樣一支強悍的團隊，名字卻是臨時起意湊出來的。

其實在正式參賽之前，還沒有360VulCan這個隊名。MJ笑著解釋其中原委：“Vulcan這個名字是我隨便起的，靈感來源于《星際迷航》里一個科技最發(fā)達、也是最理性的同名的種族，在我看來，我們就該是這樣一群人。當(dāng)時已經(jīng)上飛機了，再不向組委會報名字人家就不收了。靈機一動，我就說，那就360VulCan吧，大家沒什么意見，然后就那么定了?！?/section>

在古羅馬，Vulcan是火神。他的相貌并不出眾，但卻心靈手巧，能鍛造出各式各樣精妙而鋒利的武器，眾神手中的武器，一大半是他打造的。也許在潛意識里，MJ就一直希望并努力去鍛造出像火神一樣的團隊——低調(diào)而內(nèi)斂，技藝高超，智慧超群。

還在路上

當(dāng)360這艘巨艦乘風(fēng)破浪時，艦隊里的每一個成員都豪情萬丈。

讓MJ感到欣慰的是，已經(jīng)取得了不錯戰(zhàn)績的360VulCan并未停步，相反，他們正以更大的熱情奮步前行。

在3月23日舉行的亞洲地區(qū)信息安全領(lǐng)域技術(shù)發(fā)展風(fēng)向標(biāo)——SyScan360大會上，組委會同期舉辦了Pwn0rama亞太手機安全挑戰(zhàn)賽，360軍團再次上演拿手好戲：360手機衛(wèi)士安全研究員龔廣開賽首日就攻破了Google最新版本的Nexus6p手機，全程用時不到8秒。要知道，此次Pwn0rama亞太手機安全挑戰(zhàn)賽無論規(guī)模還是難度，都遠超上屆的東京挑戰(zhàn)賽，破解10款時下最流行手機的懸賞金額更是高達50萬美元，堪稱手機安全領(lǐng)域全球最高規(guī)格的黑客破解賽事。

其實一切并非偶然。論技術(shù)實力，龔廣早已業(yè)界聞名。2015年11月，在日本東京舉辦的PacSec太平洋安全大會上，龔廣在兩分鐘內(nèi)破解了Nexus 6，成為全球破解N6第一人。而今年的Pwn2Own大賽上，正是龔廣助力360 VulCan，成功破解Chrome，完成了這項“不可能”的任務(wù)。

MJ看在眼里樂在心中，當(dāng)一個團隊的強大成為習(xí)慣，那對它最好的嘉獎，就是讓他一如既往并更加全面地強大下去。

“接下來我有個心愿，就是讓我的團隊不僅僅在技術(shù)上，也要在生活上均衡發(fā)展，這才能保證我們團隊持久的戰(zhàn)斗力和堅韌的耐受力?！碑?dāng)我們以為MJ只會講技術(shù)時，他卻來了個180度的大轉(zhuǎn)彎?！拔覀儓F隊的成員都是專注于技術(shù)的人，這也有點‘副作用’，有幾次我想叫上大家一起玩，可似乎大家都提不起興趣。其實，人生不能僅技術(shù)，技術(shù)之外也有很多樂趣，偶爾唱唱歌，搞點小情調(diào)，這樣才叫生活嘛?！?/section>

說到這里，MJ似乎心里已經(jīng)有了“使壞”的招兒，竟至忍不住笑出了聲來。

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。

打開APP，閱讀全文并永久保存查看更多類似文章

360攻破IE“獨角獸”獲Pwn2Own攻防大賽世界冠軍

中國黑客有多牛：只用11秒就攻破谷歌瀏覽器

Pwn2Own世界黑客大賽：中國戰(zhàn)隊表現(xiàn)出色

2018WCTF世界黑客大師賽（第一天精彩直播戰(zhàn)報）

中國黑客贏得世界大賽：11秒攻破谷歌最強防線！

黑得漂亮！SyScan360黑客大會展示17秒攻陷IE

更多類似文章 >>

免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版