科幻小说中描绘的黑客,需要戴墨镜,外加黑色肃穆装扮,面无表情、气质冷酷、言语精炼。这应该是为了配合代码的未来主义气息。如果这群人回到家专司种花种草,养猫养鱼,还在阳台上种些做菜的小黄瓜,这样有文艺精神的黑客,是否让人感觉更加深不可测?如《黑客帝国》中的Oracle。
这类人就存在现实世界中,比如百度安全实验室的资深安全工程师黄正。我们这次有机会采访黄正,是因为在前不久结束的Black Hat USA 2016大会上,微软公布的的MSRC Top 100榜单上,他在其中排名第8——这张榜单云集了全球各地的黑客高手。他一边笑谈自己回家会试着种花种草,也提及种死了不要紧,关键是要不停地尝试,“第一次浇过水,之后就知道怎么控制浇水的量”,是不是有了点黑客帝国先知Oracle的味道?
顺带在本次采访中,FreeBuf还能稍稍窥见百度安全实验室在整个百度,乃至安全界是怎样的一种角色存在。
百度安全实验室X-Team负责人 黄正
拿下第8名并不容易
早在黄正还在上高中的时候,他跟同龄少年一样,都热衷往网吧跑,玩当时正热的《传奇》和《冒险岛》(大概可以推测他的年纪了)。故事的开局一般都是很相似的,黄正的《冒险岛》游戏帐号被盗,而且还是等级颇高的那一个。这是引发他成为“黑客”,乃至此后进入安全行业的契机。
不过在那个时间,他最想搞清楚的是,那群人究竟是怎么将游戏帐号盗走的。黄正并不避讳谈这段历史,修炼至稍有黑客功力的时候,那个时候“网吧不是一般都有还原卡吗?我把还原卡破了之后,就把木马给植上去,然后再把还原卡给恢复起来。于是网吧的这台电脑中,木马就一直存在,清也清不掉。”这是他践行恶作剧的一点小手段,提起这段历史,他还有点儿小得意,“以前小的时候胆子非常大。”
所以2010年,他还没有从大学毕业的时候,就已经在百度从事安全工作了——这实际上和很多安全从业者,或者黑客们的经历看起来,多少都有点儿异曲同工的意思。
以兴趣为支点,在微软MSRC Top 100黑客贡献榜上拿到第8的位置,大概也就并不奇怪了。昔日可破还原卡,如今是在给IE/Edge挖洞。绝大部分同学对微软的这个榜单可能并不熟悉,所以黄正也花了些时间向我们解释这份榜单的存在价值。在他心目中,MSRC Top 100是相当有分量的一份排名。
MSRC是指微软应急响应中心,而Top 100就是在这个年度,对微软贡献最大的100名安全研究人员。MSRC本身也包含了一些针对白帽子的奖励计划,比如提交微软的在线服务漏洞(XSS、CSRF、SQL注入等)可获得500-15000美元的奖励;突破微软漏洞利用缓解机制的奖励,比如攻破ASLR,可获得10万美元的奖励(此处黄正有特别提到玄武实验室的TK);还有一类限时测试版本漏洞奖励,比如Windows 10在正式发布之前,从测试版本中找到漏洞,可以获得5000美元-15000美元的奖励。
当然,针对微软产品,比如Windows/Office/IE等的漏洞发现不限于以上的奖励计划,针对发现漏洞的个人或团体,MSRC采用漏洞积分制的原则,针对不同级别的漏洞,给予不同的积分奖励。采用积分累计的方式,积分越高,则在MSRC Top 100榜单上的排名也就越高。而且听黄正所说,这种积分累计并不会在第二年清零,所以持续挖洞,就有更大的机会获得靠前的排名(虽然较早的漏洞积分会随时间推移,逐渐衰减)。
黄正在朋友圈晒的MSRC小奖章,这枚奖章是去年上榜时得的
实际上黄正去年就向微软提交了6个漏洞,在MSRC Top 100黑客贡献榜上排名第61位;“今年排到第8,这两年总共提交了40多个漏洞”。似乎是怕我们太过轻视这个成绩,黄正几次补充说,以微软产品的用户基数,及其现如今内部安全团队对安全的重视,哪怕只是发现4个漏洞,就已经相当不错。
“我说下我的观点:Windows的市场份额很大,所以出个漏洞的话,影响力也会非常大。所以全世界的安全研究者和微软自己的研究人员,都在盯着微软的产品。黑客甚至愿意花很高很高的价格去购买微软的漏洞,比如说5万美元一个。从这个价格来看,要想真正找到并利用微软的漏洞,其实是很有难度的。我的意思是,即便只是找到4个漏洞,其实也很不简单。”
“我不觉得IE/Edge安全性比Chrome差”
黄正针对微软产品挖洞方向,主要在浏览器这块,包括各个版本的IE,以及最新的Edge。他个人似乎很喜欢类型混淆的漏洞,谈起来都有点儿津津有味的意思:“仅仅通过一个漏洞就能实现浏览器进程的内存读写,这种漏洞非常容易利用,只花很少的时间,就能实现这样的效果:就是你打开一个网页,你的电脑可能就被我种上了木马。”
甚而有件令他耿耿于怀的事,就与之相关:“比如CVE-2015-6142,这是去年10月份的时候发现的一个类型混淆漏洞,非常好利用,我们只花了一点时间,就实现了只需要打开一个网站、IE11执行流程就被完全控制、弹出计算器。这个漏洞当时我没有上报给微软,心想着哪天能派上更大的用场,可惜年底跟人撞洞了,被补了。”
我们也简单去了解了这一漏洞,该漏洞的确已经在去年12月份修复:这是IE和Edge浏览器的高危漏洞,是个远程内存损坏漏洞,也是引诱用户去点击特制的页面,攻击者能够利用这样的漏洞在用户上下文中执行任意代码,甚至获得当前用户相同的用户权限。
不过黄正虽然为IE/Edge挖洞,但在他看来,其安全性现如今并不比竞争对手的产品差:“我觉得以前微软在安全方面做得不怎么样,但是它现在加上各种保护机制的话,安全是在不断增强的。我也去看过其他浏览器,比如Chrome,我并不觉得微软的安全比他们的差。”
“而且Windows 10有更先进的保护模型,所以Edge肯定比其他版本Windows上的IE要安全得多。随着微软保护机制逐渐完善,一般的UAF漏洞即便存在,也很难利用了。这个对于IE和Edge来说是一样的,现在的IE不是往日的IE,比原来要安全得多了。”
“Chrome漏洞的POC是公开的,我反倒觉得Chrome不安全,尤其我国Chrome不能自动更新,各种国产浏览器其实是在老版本的Chrome上套个壳。有了POC之后,真的很危险,国产浏览器的升级会滞后Chrome好几个月。”
低调的百度安全实验室与X-Team
所以在黄正看来,虽然MSRC Top 100这个榜单才做了2年,在行业内却有着举足轻重的分量。我们对于百度是否有意将MSRC Top 100榜作为营销策略这一点,很感兴趣,因为黄正作为百度安全实验室的一员,在这个榜单上作为中国的第一名似乎很有看点。
黄正对这一点不以为然,即便在得到第8这个名次后,他没忘记在微信朋友圈和微博做宣传,但他在接受采访时仍然强调:针对MSRC Top 100的名次,“百度实验室没有特别关注这个事情”。
“其实从一开始,百度安全实验室最早是‘百度攻防实验室’,这是在2年之前,我们的云安全部,内部成立的一个虚拟小组。我们几个团队创始人坐在一起讨论,成立安全实验室究竟能做什么。我之前是做挂马测试的,我就说,我能不能去做这个浏览器漏洞的挖掘。因为我先前一直都是做浏览器漏洞的分析和检测,没有做挖掘。我觉得别人能做,我们也可以做,就尝试往这方面去做了。当时还没有MSRC Top 100。我们当时纯粹凭着兴趣,说想去研究这个方向,提升团队攻防能力——就是冲着这个去的,并不是冲着排名。”
而且百度安全实验室内部的安全研究人员,给微软提交漏洞的流程也很“松散”,“我们不会整体把这个漏洞收集上来。如果你自己发现了漏洞,就自己写封邮件,描述清楚这个漏洞在什么样的环境下,什么样的POC,经过哪些操作能够重现,把漏洞分析和POC打包,发到MSRC邮箱。”
在黄正看来,百度安全实验室之所以相较竞争对手如此“低调”,在于其技术研究领域比较注重踏实做研究,在宣传上做的其实并不多:“我觉得有种解释,比如我做微软相关的漏洞,其实要跟咱们的产品结合起来才有好的宣传效果。同类型的竞品,他可以去对外宣传说,他们发现了多少个漏洞,帮助微软修复了多少问题;而百度是一家技术风格的公司,作为我个人来说其实不需要PR这样一些东西。”
其实在采访黄正之前,我们并不知道黄正指挥着一个名叫X-Team的团队。听黄正说,X-Team是百度安全实验室旗下的一个团队,内部大约有十多个人。“X-Team这个名字,其实是延续我们2年之前,在云安全部的时候,当时那个虚拟组织的名字。安全实验室的规划就是从X-Team开始的,这是安全实验室的第一个团队。”
X-Team所司职务并不单在Windows的漏洞挖掘,还有web相关的漏洞挖掘与利用、渗透测试和应急响应、全网DDoS监控,黑产的跟踪与打击等。黄正倒是很坦然地表示,在Windows的漏洞挖掘方面,X-Team有在深度上加强的必要性,“国内的几家BAT在这方面的研究,积累做的相对而言都比较好。”
于是这个问题变得很有趣,既然在Windows漏洞挖掘方面百度安全一直很低调,那么百度安全实验室,以及X-Team存在的价值究竟是什么?
对百度自身更具价值的安全实验室
黄正针对这个问题的解读让我们明白了,百度安全实验室,或者更确切地说是X-Team存在的价值,现阶段是为百度的其他产品做安全配合服务的。他举了些例子,比如说X-Team除了挖洞,还专注黑产的跟踪和打击——我们“需要处理各种跟百度相关的安全事件,比如说,我们会去打击黑色产业链,就是我们最近在做的一个庞大的数据分析处理工作。”
“最近我们收到反馈最多的,或者被骂最多的一个事情,是用户在用百度移动搜索打开某个网站之后,用户并没有填写自己的手机号,但他们却收到了这些网站的营销电话。这些营销电话会告诉用户说,手机号就是百度给的。但其实百度并没有做这种事,我们就需要去分析当中的技术原理,摸清黑产的规模,分析他们到底怎么获利。这件事我们最终发现是某国内运营商的某些省公司与外部勾结。那么我们发现这样的问题,就将它从百度搜索中屏蔽。”
实际上,百度安全早期的一些职责也基本能说明这个问题,“最早我在加入百度的时候,从事安全研发工作,做的是钓鱼检测、钓鱼欺诈、挂马这样一些事。主要是为百度内部安全,百度的安全产品做服务的。比如说你用百度搜索的时候,有些网页会有个风险标,点进去弹出警告说这个网站存在某种风险,这是我当时的工作。后来我又去做病毒木马方面的事,比如有人在百度网盘上传带病毒的文件,这个链接很快就会失效,这个也是我做的。”
“还有后来转向做安全研究,比如说做伪基站的研究,将其中的方案应用到百度手机卫士,效果还是相当好的。”
从这席话中,我们不难发现,百度作为一家互联网公司,为用户提供大量服务,比如搜索、云盘等,这些服务本身是需要百度安全协力的。这与360、腾讯着力服务安全产品的安全实验室,的确不在一个比对的层面上。
可能到这里会有很多人想问,给IE/Edge挖洞,对百度自身有何价值?首先“挖漏洞,也不是我们主要精力放的地方”,另外“我的团队掌握的这些安全技能,可以在安全事件发生的时候,去分析溯源,帮公司定位哪个地方有问题,并针对性地修复。我们做浏览器漏洞这块,就可以把我们了解的漏洞挖掘的方法,挖掘出来的漏洞,还有怎么利用的,跟百度浏览器,或者我们的手机浏览器合作,指导他们做安全上的改进。”
所以百度安全实验室,和别家安全实验室“应该没有直接的竞争对手关系”,“跟我们实验室的职责,要解决的问题、方向,没有对等性”。这么说来,百度安全实验室的“低调”也就完全可以理解了。
但也许这么说也并不尽然,虽然黄正没有直接告诉我们现如今百度内部安全团队的完整组成,不过百度安全实验室后期经过了各种重组。而且除了X-Team之外,另外还有做Root、威胁情报、安全防护类产品的团队,这些团队在形态上或许也有提供安全服务的倾向。
另一方面,在展望未来的时候,黄正提到X-Team未来可能会把经历投向Android、iOS,还有PHP、MySQL这些服务端的软件漏洞挖掘和利用;还有风控、黑产的跟踪打击、内部安全攻防等。
“把我老婆教成一个女黑客”
犹如我们文首所述,安全技术之外的黄正也沾点儿文艺,除了种多肉、种薄荷,也玩儿摄影。这种黑客才在MSRC Top 100排位第八这个数字之外,更接地气。不过我们在采访的最后,还有个意外收获——无意间在询问黄正有关交通工具的过程中,他说当初为了将老婆从天津接来北京,“我花了1年时间,把我老婆教成了一个女黑客”,“现在也从事安全行业”,甚至两人回家后都还会讨论黑客技术。
黄正养的植物
这当真是将安全技术写进了生活中,当初“我老婆在天津工作”,但“两个人不能一辈子分居,所以我就做了这辈子最有意义的事情”。或许在这件事面前,MSRC Top 100根本就只是小场面。