P7、P8 起步跑,年薪百万各路 HR 找?白帽子揭秘真实的阿里安全

在阿里安全工作是什么样的体验? 真如吃瓜群众猜测的那样,P7、P8 起步跑,年薪百万各路 HR 找,朝九晚十周末忙,加班学习活到老吗?

这不是真实的阿里安全。

下面介绍自己亲身体验的都是在阿里安全工作了几年的技术 er,他们在进入阿里安全之前,有的是技术分享平台小有名气的 "红人",有的深藏绝技,可以轻松破解特斯拉,还有的拿顶会论文拿到手软。

这些带着光环走进阿里安全的人并非一帆风顺,但他们依然热爱这份工作,并设立了自己的 "小目标"。

"技术红人" 蒸米:要有业务嗅觉 也要有前沿视野

2014 年 11 月 11 日,即将从香港中文大学博士毕业的蒸米受邀参加线下阿里 "双 11" 购物狂欢节时,他也想知道:在阿里安全工作是一种怎样的体验。

彼时,蒸米虽还没毕业,却已是安全圈的技术网红。博士一年级时,蒸米突发奇想,写出了一个名为 "ADAM" 的病毒混淆工具——病毒文件经过这个工具简单的混淆就能改头换面,杀毒软件立刻认不出它。蒸米的系列研究还受到了乌云白帽子的喜爱,他以一个巧妙的 iOS 漏洞研究成功地引起了安全大佬们的注意。

阿里安全虽然来不及 "先下手为强",但曲线邀请了蒸米到阿里杭州园区参观:"小哥哥,来看看嘛,买卖不成情谊在,就当免费旅个游。" 然后,蒸米就被 "双 11" 巨大的交易额震撼了,加入了阿里安全。

蒸米和一则激动的朋友圈

第一年,蒸米过得十分 "舒适",他 "放养" 自己钻入了安全研究中,发现并命名了影响上亿设备的 iOS 病毒 XcodeGhost 和影响上亿设备的 Android app 漏洞 WormHole ,对安全界产生巨大影响,还帮助苹果公司修复了多处 iOS 系统安全问题。但到第二年,蒸米慢慢意识到,要想让安全研究落地,真正为业务服务,还有很远的距离。

蒸米没放弃深度研究,但开始刻意培养自己的 "业务嗅觉",因为对苹果操作系统安全的深入了解,他的一些研究成果也成为阿里安全新一代安全架构的一部分,在安全技术层为为淘宝提供更安全的服务,让社会的 "数字基建大楼" 的水泵、发电机更有力。

他也一直在思考技术和业务的关系:“可以把 20% 的精力用在对业界产生影响的研究上,它们会像一盏灯,照亮未来的路。为业务服务更注重综合能力的培养,要能让研究落地,让客户愿意使用它。对业务产生了帮助,等于对公司产生了帮助,新一代安全技术架构让数字基建更安全,等于对社会产生了影响,最后也是让世界变得更好了。”

"破解狂魔" 青惟:研发 "自动化工具" 解放自己

2014 年,浙江大学的一名大学生青惟浏览蒸米发布在乌云上的酷炫研究时,没想到两年后会与这个传说中的安全网红一样拿到阿里星,到阿里安全 "搞机"。青惟成为了 "IOT 破解狂魔",上至无人机,下到 Wi-Fi 攻击,没有他搞不定的 "机"。

其实,本科就读于自动化专业的青惟以为自己以后走的应该是研究精密仪器的路子,没想到读研时导师特别热爱网络安全,引领青惟走上了安全之路,青惟成为了一名 CTFer,甚至为此开发了一套注重用户体验的 CTF 比赛平台。

青惟还参加了 SyScan360 安全会议中的破解特斯拉大赛,他发现了汽车钥匙无线协议的漏洞,在没有钥匙的启动下,成功开走了特斯拉,成为真正意义上第一个在国内破解特斯拉的人。后来,青惟又发现了汽车的 CAN 总线漏洞,将这个破解工具在 GitHub 上开源,让大家一起探讨技术。

种子选手青惟面临的则是 "解放人力,如何复制多个’技术牛人’" 的问题。当了两年 "破解狂魔" 后,各个部门都把 IOT 硬件送过来让青惟检测安全性,他觉得这种方法太低 (累) 效(了)。“输入设备,再输出设备”,他要摆脱这种 "机械式" 操作,让工具代替人力来做这件事。

"IOT 设备种类那么多,每一个拿来重新研究一遍成本太高,老有人说 IOT 安全是伪热点安全,如果可以自动化检测,成本大大降低。" 青惟设想,做一款平台型工具,能检测一切 IOT 设备,为 IOT 安全降低门槛。

目前,他正在愉快地实现这个 "小目标" 中。

解放双手的青惟

"平平无奇" 的廷烨:拿顶会论文拿到手软

廷烨是坐着公交车参加阿里星交流会时与青惟相识的。在廷烨看来,蒸米、青惟都是天赋型选手,自己只能算靠努力和认真才能搞成研究的人。

记住,如果以后有人对你说这种话,尤其这个人还是从北大毕业的话,千万不要信。

"平平无奇" 的廷烨

廷烨上大学之前一行代码都没写过。上第一节编程课如同听天书,一头冷汗的他一下课就冲到医学部要求转专业,老师告诉他:“同学,要一年以后才能转专业,要不你再试试?”

没想到,过了一个寒假,自学试一试的廷烨就冲进了年级前十名,他开始觉得这个专业有点搞头。后来,他又被世界顶尖理工院校洛桑联邦理工学院录取,直接攻读博士,开始了基因密码数据保护方面的研究,正式踏入密码保护的领域。

毕业前廷烨拿下了三篇 CCF-A 类安全顶会,并在 SCI 生物一区期刊 Genome Research 上拿下了 12 月封面论文。进入阿里安全后,密码学研究与应用小能手廷烨与队友一起获得 2019 iDASH 国际比赛冠军,他还摘得 2019 CISC 密码学竞赛冠军。

不过,拿奖拿到手软的廷烨也遇到了难题。第一个问题是,从学术研究跨界到工业应用,总会有水土不服。"比如,我们带着技术和外部公司合作时,对方对带宽和成本有限制,我就要想到怎么在限制内最大化地实现效果。以前做研究没有实际应用条件的限制,现在得考虑合作方的需求、成本及收益的平衡。" 廷烨说。

第二个问题是,前沿密码技术高深复杂,如何让大家愿意使用它? 廷烨觉得,光做出技术远远不够,要想让技术落地,自己必须学会用最通俗的语言让大家真正理解它。于是,安全研究者廷烨化身 "技术推销员",一年跑通十多个部门,他要让 "三岁小孩" 都能看懂它,解决落地的困难,真正打破密码技术和实际应用的壁垒。

每个人只是时代的一粒沙,但廷烨、青惟、蒸米这些 "沙" 在阿里安全铸成了阿里新一代安全架构的 "技术骨骼",撑起的不仅是阿里经济体的安全,还是整个数字基建的安全,这就是他们在阿里安全工作的体验。