WitAwards 2017互联网安全年度评选专家评委专访:360独角兽安全团队创始人杨卿
本帖最后由 飞机飞行 于 2017-10-23 18:04 编辑由国内信息安全新媒体领导者 FreeBuf.COM 主办的 WitAwards 2017 互联网安全年度评选已经全面启动!评选周期历时3个月,评委包括顶尖行业专家、行业媒体和安全从业者,是目前国内极具公信力和影响力的行业评选活动,颁奖盛典将在FreeBuf 2018互联网安全创新大会(FIT 2018)举行。今年,组委会邀请了62位来自国内安全厂家、企业安全部门、政府相关单位、研究机构、行业协会、专业媒体的信息安全知名专家和学者组成专家评委团队,全方位、多角度综合分析、公正评判每一个参评对象。
今天介绍的专业评委是一位颜值高、技术硬、有情怀的资深安全从业者,相信将为大家带来视觉和思想上的双重冲击!评委简介杨卿,360无线电安全研究部、天巡产品部负责人。独角兽安全团队(UnicornTeam)创始人。国内首个地铁无线网 (Wireless) 与公交卡(NFC)安全漏洞的发现及报告者。BlackHat 黑帽大会 & DEFCON 黑客大会、CanSecWest、Ruxcon、HITB(HackInTheBox)、POC、IEEE、XCon、ISC 等安全峰会演讲者。杨卿还有很多头衔:DC010(DEFCON Group) 技术顾问。全球通信标准化组织 3GPP 参会代表。ANZER 安在安全新媒体荣誉顾问。国内首部黑客微电影 “I’m Here” 男主角。《东方黑客》小说人物原型。2015 年、2017 年的 315 晚会 “WiFi 安全“与”手机充电站安全“环节的技术总负责人及出镜安全专家。CCTV大型纪录片《汽车百年》出镜安全专家。《无线电安全攻防大揭密》、《硬件安全攻防大揭秘》、《智能汽车安全攻防大揭秘》等多部安全图书作者。
除了帅气的外形和过硬的技术,杨卿还是个带队有方的团队领头羊,他带领的 360 无线电安全研究部(独角兽安全团队前身)在信息安全领域拥有极丰富的攻防经验、防护专利及研究成果,拥有伪基站、GPS、4GLTE、NFC 等无线通信防御专利 50 余个。旗下拥有独角兽、天马、鲲鹏(UnicornTeam、PegasusTeam、RocTeam)等多支针对新兴威胁的安全团队。近年来培育了诸多安全人才,团队成员多次在 BlackHat USA&EUROPE&ASIA、DEFCON、Codeblue、SyScan360 等国际安全会议及 XReward、 KCon、HackPWN 等国内安全会议发表研究成果。也是现今位列全球移动通讯系统协会 GSMA 安全名人堂的首个安全团队,且获得 “CVD#0001″ 首位漏洞编号。研究成果 “Ghost Telephonist” 获得美国 BlackHat Pwnie Awards 2017 (黑客奥斯卡)最具创新研究提名。团队的众多成果被福布斯、路透社、美国国家地理、WIRED 连线、CNET、IEEE ComSoc、Hackaday、芭莎男士、程序员、中央电视台的《3·15晚会》《汽车百年》及《焦点访谈》、BTV《北京客》、湖南卫视《新闻大求真》、北京人民广播电台《FM103.9》等网络、电视及广播媒体报道。
访谈实录以下 FB = FreeBuf;杨 = 杨卿FB:杨卿大神好,首先感谢您受邀成为WIT 2017互联网安全年度评选的专家评委。请给大家一个别开生面的自我介绍吧。杨: 我喜欢做吃螃蟹的人,因为那样会有一种“发明家”的感觉,另外我人比较苛刻,做事情讲究与众不同且做到极致。做就做好,要不就不如不做始终是我的个人信条之一。让我骄傲的是我有一群伙伴,他们最早叫“独角兽团队”,也是2014年我最早在360尝试的一种组建安全团队的模式,因为我发现“名字”很重要,未见其人先闻其名嘛,名字蕴含了“志向”与“理念”,特别是搞安全的人都很要面子,所以有个响亮的名字一定是一个团队核心凝聚力的重要部分。最早想成立个“研究院”,被老板否了,不气馁,折中了下,就变成了“UnicornTeam”,现在大家从360安全团队的模式(响亮的名字、炫酷的Logo、独一无二的方向)及数量可以得出印证,当时我的这种“独角兽”模式不赖,这就是为什么我有时候会说自己是独角兽团队创始人而不是负责人,我认为这是老周说的“微创新”的一种,打造安全团队的模式微创新。FB:WIT 互联网安全年度评选今年是第三年了,主要从技术、创新、影响力等多个维度对安全行业的人物、团队、产品、服务、品牌等进行评选。您对于这样的评选有什么看法和建议呢?杨: 国内安全行业一直以来缺少具备“公信力”的奖项评选,希望WIT能在这个领域越办越好,进一步弥补空白,最终使广大安全工作者们的成就能有所评定及收获他们应有的荣誉。另外我注意到今年增添了“年度国家力量”的奖项,从这个奖项的设立我能感受到WIT自身视野的进化,我个人对这个奖项的报名是十分期待的,想看看在国内安全同仁及评委心中,做到怎样才能算是“国家力量”,让我们拭目以待吧。FB:那么在您心中,怎样做才算得上“国家力量”呢?杨:在重大时刻,能以技卫国者。(FB小记者:此处可脑补杨大神严肃、帅气的脸庞。)
FB:我们的奖项中有“年度技术变革”这一项,您觉得今年安全行业的技术变革重点体现在哪个方面呢?为什么?无线电领域如何跟新安全技术结合?变革一定不是朝夕之功,众多“微创新”造就技术真变革,所以只要一款产品的某个技术点有让评委们都耳目一新的感觉,那一定就是了。无线电领域安全未来应是WIPS这样的传感器监测防御概念的深化,现在国外像Bastille这样的公司已经在这个方向推出了一些针对IOT时代的无线安全产品,未来我们的生活会充斥着像4G&5G、WiFi、BLE、Lora、NB-IOT这样的各种无线连接,这里面的安全会有很大的空间可做。FB:此次 360 安全战队也凭借“Pwn2Own2017总冠军”的荣誉获得本年度 WIT “年度安全团队”的提名。您觉得这类 CTF 竞赛对于安全的发展有什么意义?杨: 360 安全战队不仅获得了今年 Pwn2Own 2017 的总冠军,同时也是 Pwn2Own十周年第一个 “MASTER OF PWN” 总冠军,而且还斩获了 Blackhat Pwnie Awards (行业里称其为“黑客奥斯卡”)的“史诗级成就”提名,这应该是 Blackhat 历史上首个中国团队获得此提名,要知道这种奥斯卡一向是西方安全朋友们的舞台。对CTF竞赛的理解360安全战队的带头大哥MJ一定更有发言权。我认为 CTF 是一种形式,像科举一样可以选拔人才,也带动了中国安全人员对于安全技术的兴趣与热情,所以不论是 CTF 竞赛还是其他一些竞赛形式,如今年 HackPwn2017 举行的黑客世界挑战赛(用 CTF 的形式让选手去攻击用乐高拼凑的城市、工厂及军事基地组成的“真实”世界),都将是我国安全人才培养生态中不可缺少的重要组成部分。FB:您认为想要获得 “年度安全团队” 的奖项,团队应当有哪些亮点呢?杨: 攻防技术、研究创新、人才培养、眼界视野、行业影响都出类拔萃的团队。FB: 说一说您对安全同行的寄语吧。杨: 国内安全行业是个江湖,我喜欢“侠义”,也喜欢“武林门派”,但有了派系自然就有“争斗”,重竞争轻合作终归是走不远的,未来还是希望安全同行们能携手共进,真正让中国人的网络安全能力强大起来,造福人类命运共同体。彩蛋360 独角兽团队平时都在做什么?杨: 不论是最初的无线电安全研究部还是如今的独角兽团队,我们始终致力于让未来的世界更安全,同时也一直尝试向全球安全行业展示中国人的安全技术与眼光视野,这也是我们要常年参加 Blackhat 与 DEFCON 这样的全球安全峰会的原。我们在会上发表我们作为炎黄子孙对安全理念与技术能力,是为了进一步加强在西方世界证明 “中国人在网络安全上很强,也看得很远,不要轻视我们” 的概念。我们的日常工作就是发掘我们现代社会使用的各种无线通信系统的安全。对 WiFi、NFC、RF、GPS、4G、5G 等进行各种研究分析,顺带研发一些个人、企业安全产品及专利。例如防御 RFID 信息窃取和中继攻击的 “360卡套”、“360卡防”,针对 WiFi 安全的 “360天巡”,针对 GPS 欺骗、LTE 重定向攻击的防护方法专利等。
看到这里,有人可能会问:你们搞的这些很多都赚不到钱啊,为什么还要做?首先, 360 在安全这个事情上是一家最有使命感的企业,老周也多次强调了“大安全”的概念。所以我们有责任也有义务提前做一些前瞻领域的安全研究,并将安全技术成果用来保家卫国。无线协议类漏洞挖掘难度高,危害影响面广,修复周期长,更加需要重视。但现在这个领域国内除了独角兽,并没有太多同行者。无线通信安全是信息安全领域的冷门方向,但在未来万物互联的 “连接” 时代,无线连接终将是 “基石” 一样的存在(先不提量子通信)。所以目前很多人不理解也没关系,我相信我们做的事情是 “功在当代利在千秋” 的。十年甚至更远的时候当大家回首看独角兽,看 360,能有 “幸亏当年他们最早报告了北京公交卡的漏洞,才没有让相关使用 RFID 卡片的企业消费记账时蒙受更多的损失”;“幸亏当年他们提早预警了 GPS 欺骗,使得现在的设备具备了抵抗信号欺骗的能力,不会被坏人影响”;“幸亏当年他们早早就发现了 4G 通信漏洞,并为 3GPP 提交了关于预防这些漏洞的安全标准提案,使得我们的手机5G通话、短消息不会被坏人截取” 这样的感触就够了。来源 FreeBuf
页:
[1]