MSRC全球白帽贡献榜第8的奥义：FreeBuf专访百度安全实验室X-Team负责人黄正

科幻小说中描绘的黑客，需要戴墨镜，外加黑色肃穆装扮，面无表情、气质冷酷、言语精炼。这应该是为了配合代码的未来主义气息。如果这群人回到家专司种花种草，养猫养鱼，还在阳台上种些做菜的小黄瓜，这样有文艺精神的黑客，是否让人感觉更加深不可测?如《黑客帝国》中的Oracle。

这类人就存在现实世界中，比如百度安全实验室的资深安全工程师黄正。我们这次有机会采访黄正，是因为在前不久结束的Black Hat USA 2016大会上，微软公布的的MSRC Top 100榜单上，他在其中排名第8——这张榜单云集了全球各地的黑客高手。他一边笑谈自己回家会试着种花种草，也提及种死了不要紧，关键是要不停地尝试，“第一次浇过水，之后就知道怎么控制浇水的量”，是不是有了点黑客帝国先知Oracle的味道?

顺带在本次采访中，FreeBuf还能稍稍窥见百度安全实验室在整个百度，乃至安全界是怎样的一种角色存在。

百度安全实验室X-Team负责人 黄正

拿下第8名并不容易

早在黄正还在上高中的时候，他跟同龄少年一样，都热衷往网吧跑，玩当时正热的《传奇》和《冒险岛》(大概可以推测他的年纪了)。故事的开局一般都是很相似的，黄正的《冒险岛》游戏帐号被盗，而且还是等级颇高的那一个。这是引发他成为“黑客”，乃至此后进入安全行业的契机。

不过在那个时间，他最想搞清楚的是，那群人究竟是怎么将游戏帐号盗走的。黄正并不避讳谈这段历史，修炼至稍有黑客功力的时候，那个时候“网吧不是一般都有还原卡吗?我把还原卡破了之后，就把木马给植上去，然后再把还原卡给恢复起来。于是网吧的这台电脑中，木马就一直存在，清也清不掉。”这是他践行恶作剧的一点小手段，提起这段历史，他还有点儿小得意，“以前小的时候胆子非常大。”

所以2010年，他还没有从大学毕业的时候，就已经在百度从事安全工作了——这实际上和很多安全从业者，或者黑客们的经历看起来，多少都有点儿异曲同工的意思。

以兴趣为支点，在微软MSRC Top 100黑客贡献榜上拿到第8的位置，大概也就并不奇怪了。昔日可破还原卡，如今是在给IE/Edge挖洞。绝大部分同学对微软的这个榜单可能并不熟悉，所以黄正也花了些时间向我们解释这份榜单的存在价值。在他心目中，MSRC Top 100是相当有分量的一份排名。

MSRC是指微软应急响应中心，而Top 100就是在这个年度，对微软贡献最大的100名安全研究人员。MSRC本身也包含了一些针对白帽子的奖励计划，比如提交微软的在线服务漏洞(XSS、CSRF、SQL注入等)可获得500-15000美元的奖励;突破微软漏洞利用缓解机制的奖励，比如攻破ASLR，可获得10万美元的奖励(此处黄正有特别提到玄武实验室的TK);还有一类限时测试版本漏洞奖励，比如Windows 10在正式发布之前，从测试版本中找到漏洞，可以获得5000美元-15000美元的奖励。

当然，针对微软产品，比如Windows/Office/IE等的漏洞发现不限于以上的奖励计划，针对发现漏洞的个人或团体，MSRC采用漏洞积分制的原则，针对不同级别的漏洞，给予不同的积分奖励。采用积分累计的方式，积分越高，则在MSRC Top 100榜单上的排名也就越高。而且听黄正所说，这种积分累计并不会在第二年清零，所以持续挖洞，就有更大的机会获得靠前的排名(虽然较早的漏洞积分会随时间推移，逐渐衰减)。

黄正在朋友圈晒的MSRC小奖章，这枚奖章是去年上榜时得的

实际上黄正去年就向微软提交了6个漏洞，在MSRC Top 100黑客贡献榜上排名第61位;“今年排到第8，这两年总共提交了40多个漏洞”。似乎是怕我们太过轻视这个成绩，黄正几次补充说，以微软产品的用户基数，及其现如今内部安全团队对安全的重视，哪怕只是发现4个漏洞，就已经相当不错。

“我说下我的观点：Windows的市场份额很大，所以出个漏洞的话，影响力也会非常大。所以全世界的安全研究者和微软自己的研究人员，都在盯着微软的产品。黑客甚至愿意花很高很高的价格去购买微软的漏洞，比如说5万美元一个。从这个价格来看，要想真正找到并利用微软的漏洞，其实是很有难度的。我的意思是，即便只是找到4个漏洞，其实也很不简单。”

“我不觉得IE/Edge安全性比Chrome差”

黄正针对微软产品挖洞方向，主要在浏览器这块，包括各个版本的IE，以及最新的Edge。他个人似乎很喜欢类型混淆的漏洞，谈起来都有点儿津津有味的意思：“仅仅通过一个漏洞就能实现浏览器进程的内存读写，这种漏洞非常容易利用，只花很少的时间，就能实现这样的效果：就是你打开一个网页，你的电脑可能就被我种上了木马。”

甚而有件令他耿耿于怀的事，就与之相关：“比如CVE-2015-6142，这是去年10月份的时候发现的一个类型混淆漏洞，非常好利用，我们只花了一点时间，就实现了只需要打开一个网站、IE11执行流程就被完全控制、弹出计算器。这个漏洞当时我没有上报给微软，心想着哪天能派上更大的用场，可惜年底跟人撞洞了，被补了。”

我们也简单去了解了这一漏洞，该漏洞的确已经在去年12月份修复：这是IE和Edge浏览器的高危漏洞，是个远程内存损坏漏洞，也是引诱用户去点击特制的页面，攻击者能够利用这样的漏洞在用户上下文中执行任意代码，甚至获得当前用户相同的用户权限。

不过黄正虽然为IE/Edge挖洞，但在他看来，其安全性现如今并不比竞争对手的产品差：“我觉得以前微软在安全方面做得不怎么样，但是它现在加上各种保护机制的话，安全是在不断增强的。我也去看过其他浏览器，比如Chrome，我并不觉得微软的安全比他们的差。”

“而且Windows 10有更先进的保护模型，所以Edge肯定比其他版本Windows上的IE要安全得多。随着微软保护机制逐渐完善，一般的UAF漏洞即便存在，也很难利用了。这个对于IE和Edge来说是一样的，现在的IE不是往日的IE，比原来要安全得多了。”

“Chrome漏洞的POC是公开的，我反倒觉得Chrome不安全，尤其我国Chrome不能自动更新，各种国产浏览器其实是在老版本的Chrome上套个壳。有了POC之后，真的很危险，国产浏览器的升级会滞后Chrome好几个月。”

低调的百度安全实验室与X-Team

所以在黄正看来，虽然MSRC Top 100这个榜单才做了2年，在行业内却有着举足轻重的分量。我们对于百度是否有意将MSRC Top 100榜作为营销策略这一点，很感兴趣，因为黄正作为百度安全实验室的一员，在这个榜单上作为中国的第一名似乎很有看点。

黄正对这一点不以为然，即便在得到第8这个名次后，他没忘记在微信朋友圈和微博做宣传，但他在接受采访时仍然强调：针对MSRC Top 100的名次，“百度实验室没有特别关注这个事情”。

“其实从一开始，百度安全实验室最早是‘百度攻防实验室’，这是在2年之前，我们的云安全部，内部成立的一个虚拟小组。我们几个团队创始人坐在一起讨论，成立安全实验室究竟能做什么。我之前是做挂马测试的，我就说，我能不能去做这个浏览器漏洞的挖掘。因为我先前一直都是做浏览器漏洞的分析和检测，没有做挖掘。我觉得别人能做，我们也可以做，就尝试往这方面去做了。当时还没有MSRC Top 100。我们当时纯粹凭着兴趣，说想去研究这个方向，提升团队攻防能力——就是冲着这个去的，并不是冲着排名。”

而且百度安全实验室内部的安全研究人员，给微软提交漏洞的流程也很“松散”，“我们不会整体把这个漏洞收集上来。如果你自己发现了漏洞，就自己写封邮件，描述清楚这个漏洞在什么样的环境下，什么样的POC，经过哪些操作能够重现，把漏洞分析和POC打包，发到MSRC邮箱。”

在黄正看来，百度安全实验室之所以相较竞争对手如此“低调”，在于其技术研究领域比较注重踏实做研究，在宣传上做的其实并不多：“我觉得有种解释，比如我做微软相关的漏洞，其实要跟咱们的产品结合起来才有好的宣传效果。同类型的竞品，他可以去对外宣传说，他们发现了多少个漏洞，帮助微软修复了多少问题;而百度是一家技术风格的公司，作为我个人来说其实不需要PR这样一些东西。”

其实在采访黄正之前，我们并不知道黄正指挥着一个名叫X-Team的团队。听黄正说，X-Team是百度安全实验室旗下的一个团队，内部大约有十多个人。“X-Team这个名字，其实是延续我们2年之前，在云安全部的时候，当时那个虚拟组织的名字。安全实验室的规划就是从X-Team开始的，这是安全实验室的第一个团队。”

X-Team所司职务并不单在Windows的漏洞挖掘，还有web相关的漏洞挖掘与利用、渗透测试和应急响应、全网DDoS监控，黑产的跟踪与打击等。黄正倒是很坦然地表示，在Windows的漏洞挖掘方面，X-Team有在深度上加强的必要性，“国内的几家BAT在这方面的研究，积累做的相对而言都比较好。”

于是这个问题变得很有趣，既然在Windows漏洞挖掘方面百度安全一直很低调，那么百度安全实验室，以及X-Team存在的价值究竟是什么?

对百度自身更具价值的安全实验室

黄正针对这个问题的解读让我们明白了，百度安全实验室，或者更确切地说是X-Team存在的价值，现阶段是为百度的其他产品做安全配合服务的。他举了些例子，比如说X-Team除了挖洞，还专注黑产的跟踪和打击——我们“需要处理各种跟百度相关的安全事件，比如说，我们会去打击黑色产业链，就是我们最近在做的一个庞大的数据分析处理工作。”

“最近我们收到反馈最多的，或者被骂最多的一个事情，是用户在用百度移动搜索打开某个网站之后，用户并没有填写自己的手机号，但他们却收到了这些网站的营销电话。这些营销电话会告诉用户说，手机号就是百度给的。但其实百度并没有做这种事，我们就需要去分析当中的技术原理，摸清黑产的规模，分析他们到底怎么获利。这件事我们最终发现是某国内运营商的某些省公司与外部勾结。那么我们发现这样的问题，就将它从百度搜索中屏蔽。”

实际上，百度安全早期的一些职责也基本能说明这个问题，“最早我在加入百度的时候，从事安全研发工作，做的是钓鱼检测、钓鱼欺诈、挂马这样一些事。主要是为百度内部安全，百度的安全产品做服务的。比如说你用百度搜索的时候，有些网页会有个风险标，点进去弹出警告说这个网站存在某种风险，这是我当时的工作。后来我又去做病毒木马方面的事，比如有人在百度网盘上传带病毒的文件，这个链接很快就会失效，这个也是我做的。”

“还有后来转向做安全研究，比如说做伪基站的研究，将其中的方案应用到百度手机卫士，效果还是相当好的。”

从这席话中，我们不难发现，百度作为一家互联网公司，为用户提供大量服务，比如搜索、云盘等，这些服务本身是需要百度安全协力的。这与360、腾讯着力服务安全产品的安全实验室，的确不在一个比对的层面上。

可能到这里会有很多人想问，给IE/Edge挖洞，对百度自身有何价值?首先“挖漏洞，也不是我们主要精力放的地方”，另外“我的团队掌握的这些安全技能，可以在安全事件发生的时候，去分析溯源，帮公司定位哪个地方有问题，并针对性地修复。我们做浏览器漏洞这块，就可以把我们了解的漏洞挖掘的方法，挖掘出来的漏洞，还有怎么利用的，跟百度浏览器，或者我们的手机浏览器合作，指导他们做安全上的改进。”

所以百度安全实验室，和别家安全实验室“应该没有直接的竞争对手关系”，“跟我们实验室的职责，要解决的问题、方向，没有对等性”。这么说来，百度安全实验室的“低调”也就完全可以理解了。

但也许这么说也并不尽然，虽然黄正没有直接告诉我们现如今百度内部安全团队的完整组成，不过百度安全实验室后期经过了各种重组。而且除了X-Team之外，另外还有做Root、威胁情报、安全防护类产品的团队，这些团队在形态上或许也有提供安全服务的倾向。

另一方面，在展望未来的时候，黄正提到X-Team未来可能会把经历投向Android、iOS，还有PHP、MySQL这些服务端的软件漏洞挖掘和利用;还有风控、黑产的跟踪打击、内部安全攻防等。

“把我老婆教成一个女黑客”

犹如我们文首所述，安全技术之外的黄正也沾点儿文艺，除了种多肉、种薄荷，也玩儿摄影。这种黑客才在MSRC Top 100排位第八这个数字之外，更接地气。不过我们在采访的最后，还有个意外收获——无意间在询问黄正有关交通工具的过程中，他说当初为了将老婆从天津接来北京，“我花了1年时间，把我老婆教成了一个女黑客”，“现在也从事安全行业”，甚至两人回家后都还会讨论黑客技术。

黄正养的植物

这当真是将安全技术写进了生活中，当初“我老婆在天津工作”，但“两个人不能一辈子分居，所以我就做了这辈子最有意义的事情”。或许在这件事面前，MSRC Top 100根本就只是小场面。