京東的這場“黑客趴”

京東的這場“黑客趴”

文 | 史中

有道是：事在人為。

中哥感覺，這兩年京東安全部門的“聲威”漸壯。

本來有些“小透明”的京東安全，在2018年突然成立了自己的前沿安全研究團隊“JD-OMEGA 團隊”和“牧者實驗室”，又舉辦了圈子內喜聞樂見的“黑客 Party”，吸引一票國際黑客大牛加入，又接連登上了世界頂級黑客大會 BlackHat、DEF CON，分享了騷極了騷極了的“人工智能解釋系統”和“FUZE 懟黑客神器”。

這些變化，當然是所有 JD 童鞋努力的成果，不過也和一位帥大叔加入京東有不小的關係。這位帥叔就是 Tony Lee。

京東集團首席資訊安全專家 Tony Lee

給各位女粉多提供一些資訊，Tony 從小在美國長大，所以大家都稱呼他的英文名字。他畢業於產生了107位諾獎得主的 UC Berkeley（加州大學伯克利分校），曾在美國微軟負責“跟各路頂級黑客互懟”十多年。後來回國，作為聯合創始人和另一位大牛馬傑一同創建了“安全寶”，怒拿 BAT 三家融資後被百度收購。2016年秋天，Tony 轉戰京東，成為京東首席資訊安全專家。

雖然 Tony 是個老黑客（無論年齡還是資歷），不過他永遠都是基情四射，直勾勾盯著你的眼睛，伸出雙手為你描繪世界未來的樣子。這樣一個荷爾蒙爆棚的人，能搞出剛才說的那些大手筆就不足為奇了。

最近，聽說京東安全又要搞大事情——他們要把世界頂級黑客會議 HITB（Hack In The Box）引進中國，就在北京。

前兩天我溜進了京東辦公樓。本來只想找 Tony 聊聊天要個簽名，沒想到他卻“周末大放送”，為我科普了一波他眼中的“未來安全戰場”，還拉著京東安全的大俠們展示了有助於維護世界和平的“私房黑科技”。

（一）我就問你：為神馬會有戰爭？

我在一個巨大的舊戰場上戰鬥了二十幾年，滿地彈坑傷亡慘重。到頭來發現，這個戰場本來就不該存在！

Tony 一上來就一字一頓，像個諾曼底老兵那樣，跟我說出了這句充滿哲思的話。

這讓我突然很好奇，這麽多年，這位叔到底經歷了怎樣的蹂躪？

他把自己經歷的“IT 安全戰爭史”涇渭分明地分為兩個階段。

1）1995年，我開始用電腦上網，從 Windows95，用到了 Windows 98，到 Windows 2000。後來我加入微軟，在微軟我們最擔心的就是 Windows 爆出個漏洞，利用這個漏洞做一個病毒就能搞癱整個網絡的電腦，全世界都跟著倒霉。所以我們的主要精力都花在反病毒研究上。

衝擊波病毒

2）從2010年開始，病毒背後的黑客們變了。之前他們做病毒是為搞個大新聞，揚名立萬；之後是為了搞錢，越隱秘越好。。。於是表面上病毒消失了，但網絡攻擊可絲毫沒少。於是各種安全廠商開始做了“高防防火牆”“反 APT 系統”等等聽上去很專業的防護系統。

黑客會為每一個目標專門研究一顆飛彈。

但終結戰爭的，從來不是武器。

現在各大公司標配的“全套武器庫”恨不得有上百種，但安全事件還是會時不時發生。說起來，有一種和“美國有全世界最先進的武器，卻還是乾不掉恐怖主義”類似的無奈。

這裡面有兩個立場：

1）生產安全產品的公司當然會想：我們怎樣製造出更厲害的武器來乾掉對手？

2）但是京東安全是保護用戶這些普通人的，我們得思考：為什麽會有戰爭？

Tony 說。

他按住我的 iPhone ，劃到我倆中間，問：你的手機裡安裝過殺毒軟體嗎？

我：沒有。。。

Tony：你的手機裝過各種管家嗎？

我：沒有。。。

Tony：你看，在你的手機上沒有武器，因為沒有戰場。

說罷，他把手機推還給我，就像賭場上勝利者的籌碼。

為什麽會有戰爭，是因為有戰場。為什麽會有戰場，是因為我們在系統設計之初留下了缺陷。這種“系統級缺陷”，注定了未來幾十年黑客和安全研究員的相愛相殺。而終結戰爭，需要首先終結“系統級缺陷”。

《黑客帝國》裡，之所以有這麽多“史密斯探員”，是因為這個世界存在“系統性缺陷”

他的結論可以總結為兩條：

1、安全這種屬性，有點像蛋糕裡的糖，一個蛋糕一旦烤熟，就不可能再放糖進去。而一個系統平台如果在設計的時候沒有“內置”安全性，一旦成型就很難把安全性“添加”進去。所以，在這個系統設計之初的時候就要考慮安全性，而且在更新的過程中持續考慮安全性。

2、一個蛋糕甜不甜，是蛋糕店的職責。顧客不應該從蛋糕店出來，再去買糖自己撒上去。類比到安全，一個平台的安全，應該由平台來解決，而不應該把責任壓到這麽多“第三方安全服務”上。

Tony 正在慷慨激昂之時，我弱弱地提出一個問題：事實是人們現在使用的互聯網、軟體和底層協定平台，設計的時候並沒有考慮安全性。現在的世界網絡系統已經千瘡百孔，也已經有很多安全公司靠此為生了。我們回不去了。

他笑笑說：

很多人都相信舊的世界一直存在，但其實新世界會比想象中來得更快。

人類第一波互聯網浪潮來的時候，我們從零開始搞了二十多年安全；如果新的技術浪潮來了，還要再花二十年重新搞安全，那麽之前被黑產侵害過的用戶、商家、無數普通人，他們的損失不都沒有意義了嗎？

論證了這麽多，Tony 說出了他的未來計劃：

很巧，京東就是一個平台，平台的安全要由自己負責。所以面對新技術，我們有責任把安全的能力從一開始就“內置”到新世界裡去。

（二）新世界究竟長什麽樣子？

Tony 相信，未來的新世界有三根支柱：

物聯網+人工智能+區塊鏈

聽到這，我多少有點蒙。經典的看法認為，京東是一家電商。一家電商會在神馬地方用到這三項新技術，又為神馬這麽變態地在意技術的安全性呢？

他給我詳細解釋了一下：

“物聯網”

京東可能是在國內消費領域裡，比較早的一個發布“物聯網平台”的企業了。（2014 年京東發布了“京東微聯”，很多淺友即便沒有下載過這個 App，也可能用過它的服務。九陽豆漿機、海爾冷氣機、方太油煙機等等，都可以通過它來統一控制。）

一個物聯網平台上有多少用戶不重要，重要的是，它是個平台。

簡單來理解，消費級物聯網架構分兩頭：“雲端計算中心”+“無數物聯網設備”。打個比方，就像幼稚園裡，一個老師帶著一幫小盆友。

就像老濕帶著一群小盆友做遊戲

圖片取自電影《看上去很美》

經過雲計算四五年的發展，“老師”這一側的雲端安全技術目前比較成熟；但是“小盆友”這一側的設備，五花八門，幾乎每一個都有不同版本的系統和協定，它們安全能力就比較抱歉了。

然而物聯網作為一套整體系統，任何一個點被黑客攻破，都可能讓黑客盜取用戶資訊，進而用盜竊資產、詐騙等等各種方法蹂躪用戶。

所以對於京東來說，物聯網安全是個嚴肅的課題。

“人工智能”

人工智能是個老少皆知的巨大熱門。

京東在人工智能上有多努力，大家都看到了。過去兩三年，全球頂級 AI 科學家，比如來自 IBM Watson 的首席科學家周伯文博士；前微軟亞洲研究院的梅濤博士，以及前美國微軟雷德蒙德研究院主任研究員何曉冬博士都紛紛加入了京東。

一方面，電商場景下有很多人工智能的用武之地，例如給用戶智能推薦、優化購物體驗等等；

另一方面，京東正在下大力氣搞物流和供應鏈。中國的物流經過多年改進，已經基本優化到位。未來如果還想降低調度、倉儲的成本，必須要仰仗人工智能。

然而，今天的人工智能有點像個“天才又孤僻的小孩”，它能有如神助般計算出一個問題的答案，但就是不能告訴你它得出這個答案的理由。這種“不可解釋性”讓人們倍感焦慮——假設一個人工智能被黑客攻擊，進而給出錯誤的答案，你也無法驗證這個答案的對錯。

在未來，人工智能肯定會承擔起更多的“智能推薦”或者“調度任務”，如果他們被壞人“策反”，故意給出錯誤的結果，想想就讓人汗毛倒豎。

人工智能聽話的時候這樣↓↓↓↓

人工智能不聽話的時候這樣↓↓↓↓

“區塊鏈”

毋庸置疑，京東手裡最珍貴的資產就是數億用戶的“隱私數據”。雖然這麽多年，保護這些數據就像保護一塊價值連城的“和氏璧”。這讓京東和京東安全一直倍感“鴨力”，含在嘴裡怕化了，捧在手裡怕碎了。

但是 Tony 也說得很中肯：“我們要給用戶送貨，我們要給用戶提供金融服務，不存儲用戶數據是不可能的。我們只有一條路可選，就是研究怎麽保護它。。。”

保護用戶隱私，一個終極的方案就是把控制權交到用戶手上。就像把用戶的資訊裝進保險箱，然後讓用戶自己保管鑰匙。這其實就是區塊鏈技術的領地。

另外，京東作為電商， 一個重要的任務就是對一件商品的流通過程進行“溯源”。這也是區塊鏈技術擅長處理的難題。

區塊鏈技術本來就是一個用來保護安全的工具。“一個保護我們的東西，最好自身不要有問題！” Tony 說。

（三）京東的老濕傅和俠客們

有一句話叫做：如果你因錯過太陽而流淚，那麽你將錯過繁星。

Tony 的哲學大抵如此。

IT 舊世界的問題，我們繼續尋找方法；

但與此同時，“I物聯網+人工智能+區塊鏈”的新世界，我們可得從娃娃抓起。

他們具體是怎麽做的呢？

1、“老濕傅”安全開發

從最近兩年開始，京東旗下各種新系統在開發的時候，都要從寫下第一行代碼前就考慮安全設計；在開發的過程中，要嚴格遵守一整套安全開發流程；在日常的運維中，也要在安全的架構內部運行。

Tony 告訴我，這可不是說說而已。現在京東會把“安全素質”作為工程師考核的重要依據。前兩天他剛剛給在這方面表現突出的開發團隊發了獎金。

系統開發從設計、開發、運維都遵循安全規則

這被稱為“安全開發生命周期”（SDL）

2、“俠客們”輸送彈藥

與此同時，京東內部還有一幫黑客大俠們。他們也在開足馬力，研究最新的安全問題，把找到的好方案融入到產品的開發中。

Jimmy Su（左）和邢新宇（右）

這次，我在京東北京辦公室又認識了一位新盆友。

KJ，國際著名黑客小組 HITB 核心成員，硬體安全大神。就在2018年，他也成為了京東安全的一員。剛才說的牧者安全實驗室，就是他起的名字。

推開走廊旁邊一扇普通的玻璃門，KJ 和小夥伴的實驗室赫然出現在眼前。。。

IoT 大神 KJ 和他的實驗室

他身後這些奇形怪狀的武器，全是用來研究物聯網安全的家夥事兒。

KJ 之所以不遠萬裡來到京東，因為他最近幾年正在重點研究物聯網安全，這和京東安全眼中新世界不謀而合。

他告訴我，現在人們對 IoT 設備的研究並不深入。

不深入的原因並不是人們找不到好的方法，而是沒有趁手的工具。

實際上很多傳統的研究方法，都可以用來研究 IoT 設備是不是有漏洞。問題在於 IoT 設備本身存在巨大的限制，那就是計算力不強、存儲太空很小。在逼仄的小設備裡做研究，有一種在蛐蛐籠子裡耍大刀的憋屈感，有一種在米粒上雕刻《清明上河圖》的無力感。。。

而 KJ 在做的事情，就是用電腦模擬 IoT 設備的運行環境，用電腦超強的算力和超大的存儲來運行各種經典的“模糊測試工具”，這就會讓發現問題的速度快上千倍萬倍。

鋼鐵俠，就是用機器替代掉人類逼仄的器官

和用電腦模擬 IoT 設備異曲同工

當然，像Jimmy Su、邢叫獸、KJ 一樣的京東俠客還有很多，以後中哥陸續給你介紹。

不過，單靠這些大俠們的研究，力量也是有限的。於是，Tony 這兩年一直在琢磨，怎麽讓更多的人加入到對“物聯網+人工智能+區塊鏈”的安全研究中來。

幾天之後的“京東黑客趴”（大名叫做“京東HITB安全峰會”）也是他的嘗試之一，Tony 說，一波大牛正在路上，他們會分享自己在物聯網+人工智能+區塊鏈方面的最新研究。

（四）熱血青年

怎麽說呢，Tony 應該是個資深的熱血青年。

2003年的時候，我就被邀請到國內最早的黑客大會 Xcon 上分享。那個時候我認識了很多國內的黑客，他們從事著各種奇葩的工作，有的在酒店，有的在醫院，有的在學毫不相關的專業。到後來，這些人發生了很大的轉變，他們中的大多數成了現在中國各大安全公司的骨乾，在改變著這個國家。

他回憶。

這種獨特的經歷，不僅讓 Tony，也讓那一代黑客一直堅信，每個人都有權追求自己熱愛的事業，並且能從中獲得生命價值。

“所以，我一直想組織一個”世外桃源“，讓普通人和網絡安全愛好者能輕鬆地交流。讓門外的小夥伴也能進來看看，沒準還會愛上網絡安全這一行。”他說。

恰好在 2018 年，他在美國見到了 HITB 的創始人 Dhillon。

很多淺友應該都知道，HITB 是網絡安全界最著名的三大國際會議之一。

HITB 始創於2003年，每年的主會都在荷蘭阿姆斯特丹召開，很多黑客大牛和愛好者都會去參加。比如維基解密的創始人阿桑奇、曾經乾掉 NASA 的本傑明、世界第一汽車黑客查理米勒都是這個大會的演講者。

HITB 創始人 Dhillon

關鍵在於，HITB 創始人 Dhillon 也有一顆熱血的心，他覺得所有的人都可以自由地學習一些黑客知識，所以在 HITB 上，專門設定了一個“經典曲目”——回饋社會的免費論壇 CommSec。

在 CommSec 上，每一位黑客大牛會用半小時的時間，對台下的愛好者毫無保留地分享自己的技術和對技術的理解。重點在於：無論你是不是買票的觀眾，只要你感興趣，就可以免費進來旁聽。

這是2018 阿姆斯特丹 HITB 上的 CommSec，

相信中國的 CommSec 上也會來一些中國大牛。

HITB 這種“草根”“平等”的理想讓 Tony 仿佛回到了記憶中的熱血時代。他和 Dhillon 一拍即合，把 HITB 引進中國！

這就是京東HITB安全峰會的來歷。

這屆大會有哪些大牛會來呢？篇幅有限，簡單介紹幾位：

Hugo Teso

這位老哥是傳奇黑客，曾經演示用一部安卓機控制民航飛機的騷操作。（僅僅是展示技術，沒有真乾掉飛機，不要緊張。）

不過，中哥並不覺得他有多厲害，畢竟我是看過國產神劇的人。

這次 Hugo 會來講《手機取證當中的最新騷操作》。

Hendrik Scholz

這位老哥其實是個旅行家。他的經典騷操作就是通過各種“中老年網上衝浪操作”找到便宜的機票和酒店。。。

Stefano Zanero

這是位意大利帥哥，他會在現場講述《如何乾掉一個工業機器人》

David Rodriguez

這位哥就厲害了，他是一位人工智能專家。這次他來講述怎麽用人工智能從海量的進攻日誌裡分析出壞人的蹤跡。

Don A. Bailey

這是一位奶爸黑客。他人生的最愛是他兒子，IoT，還有剛認識的區塊鏈。。。這次他就會給觀眾講一下他在很多區塊鏈應用裡發現的各種細思恐極的技術缺陷。

當然，中國人民的好朋友，邢新宇邢叫獸也會來講述他經典的“人工智能解釋系統”的最新進展。

當然，一睹剛才幾位大牛的芳容是要票的。

我特意幫淺友問了一下，熱血的 CommSec 免費論壇也會按照慣例同時舉辦（2018.11.1-2018.11.2），二十多位大牛會在那裡公開演講。感興趣的童鞋到時候可以過來，提中哥直接進（不提中哥也能直接進）。（給你個鏈接，裡面有往屆 CommSec 的完整影片，https://conference.hitb.org/hitbsecconf2018pek/zh/commsec-track/溫馨提示：請自備梯子。）

CommSec 上還附帶一個炫酷的科技展（也是免費的），給你看幾張圖片：

聊了許久，畫面又回到眼前。

Tony 所描繪的未來，一邊漫坐著和他一樣的俠客，一邊矗立著和曾經的他一樣的熱血青年。在時光岸邊，這個老男孩也期待著一次重逢。

臨近中午，Tony 和我告別。他抓住我的手，像八路軍戰士那樣緊緊握了一下，又熱情洋溢地奔赴下一個內部會議了。

我仍能記起他說的一句話：

“我能看到未來世界的戰場就在眼前，所以我們需要更多熱血的年輕人。我們做這一切，並不僅僅為了京東，而是為了一個新世界。”

嗷對了，想要來這次“京東黑客趴”的童鞋，給你個小小碼：

再自我介紹一下吧。我叫史中，是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友，

或者關注微博：@史中方槍槍 @淺黑科技

不想走丟的話，你也可以關注我的公眾號“淺黑科技”。（記得給淺黑加星標哦）

↓

新世界總會到來