360獨(dú)角獸團(tuán)隊(duì)的黃琳博士

 

作為圈內(nèi)赫赫有名的無(wú)線安全資深專家，黃琳本人的經(jīng)歷引起了安全牛的好奇。與很多半路出家的黑客不同，黃琳是標(biāo)準(zhǔn)的學(xué)霸，高考狀元、碩士保送，獎(jiǎng)學(xué)金拿到手軟……眾所周知，信息安全行業(yè)的女性如大熊貓般珍惜，而能夠有所建樹(shù)的更是鳳毛麟角，這種性別上的極度失衡非常不利于信息安全產(chǎn)業(yè)的發(fā)展，而吸引更多女性投身信息安全行業(yè)也成了業(yè)界近來(lái)的熱門話題，為此，安全牛特地采訪了頭戴“女學(xué)霸”、“女狀元”、“女博士”和“女黑客”等多頂帽子的黃琳女士。

 

安全牛：眾所周知，在信息安全行業(yè)中人士中，女性的比例非常之低，幾如貴團(tuán)隊(duì)的名稱一樣為罕見(jiàn)之物（）。請(qǐng)問(wèn)作為第一位即將首次出現(xiàn)在DEFCON講臺(tái)上的中國(guó)女黑客，您如何看待信息安全領(lǐng)域女性稀缺的問(wèn)題？另外您對(duì)有意進(jìn)入信息安全領(lǐng)域工作的女性有什么建議？

 

黃琳：我覺(jué)得在其他技術(shù)領(lǐng)域，女性的比例同樣很低，比如編程人員。也許測(cè)試工程師里，女性會(huì)稍微多一些。很多女性會(huì)在年級(jí)大一些的時(shí)候，轉(zhuǎn)到市場(chǎng)、銷售、行政人力之類的領(lǐng)域。但我真的是第一個(gè)在DEFCON演講的中國(guó)女黑客嗎？要不要向會(huì)務(wù)組求證一下？（安全?？梢载?fù)責(zé)任的告訴黃老師，是的。）

 

我最近看了一遍謝麗爾·桑德伯格的《LEAN IN》，感受就是，女性真的可以勇敢一點(diǎn)，自信一點(diǎn)，向前一步，做自己喜歡的事情。最重要的是，你喜歡這個(gè)事情。

 

安全牛：思科有一份調(diào)查顯示，從事信息安全工作的女性比男性更加容易放棄職業(yè)道路，您認(rèn)為原因在哪里呢？再一個(gè)，你是否知道中國(guó)目前還有哪些信息安全領(lǐng)域的杰出女性或者“女黑客”是可以作為榜樣提及的？

 

黃琳：我還真的不太了解信息安全領(lǐng)域有哪些杰出的女性。浙大的徐文淵老師？我認(rèn)為女性更容易放棄職業(yè)道路的原因，主要是家庭和事業(yè)難以平衡。女性沒(méi)有在這方面找到榜樣做范例，也缺乏指導(dǎo)，因此會(huì)在家庭和事業(yè)中向家庭傾斜。女性很難在工作上付出與男性同等的時(shí)間，她們必須分出一部分時(shí)間去照顧家庭。在現(xiàn)在的社會(huì)價(jià)值觀中，如果家庭一團(tuán)糟，孩子照顧得不好，一般挨批評(píng)的是媽媽，而不是爸爸。例如我在我們團(tuán)隊(duì)中工作時(shí)間是最短的，我?guī)缀趺刻於及磿r(shí)下班，而我們組的男生很多都工作到9點(diǎn)以后，甚至夜里一兩點(diǎn)。我只能在晚上11點(diǎn)孩子睡著以后，再加一會(huì)班。

 

安全牛：您認(rèn)為女性從事信息安全工作的挑戰(zhàn)和優(yōu)勢(shì)是什么？女性成員的存在對(duì)一個(gè)企業(yè)的信息安全團(tuán)隊(duì)有哪些價(jià)值？

 

黃琳：一般來(lái)說(shuō)，女性的特質(zhì)是更細(xì)致，更溫和，因此在攻擊性上會(huì)弱一些。我在我們團(tuán)隊(duì)中就是一個(gè)攻擊性很弱的人。優(yōu)勢(shì)大概是，會(huì)把團(tuán)隊(duì)中過(guò)于強(qiáng)的攻擊性中和一下吧，呵呵。例如，我實(shí)現(xiàn)了GPS攻擊的時(shí)候，我心里想的是，哦原來(lái)這么容易就被攻擊了，很悲哀的感覺(jué)。但是我們組里的男生就完全不一樣，他們只會(huì)說(shuō)，太牛B了！我曾經(jīng)想把這個(gè)GPS的演講做成類似柴靜的《穹頂之下》那種風(fēng)格，呵呵，結(jié)果立刻被否了。

 

安全牛：您在DEFCON上的演講主題與GPS安全有關(guān)，這是一個(gè)容易被非專業(yè)人士忽視的問(wèn)題。請(qǐng)問(wèn)在中國(guó)，GPS的安全問(wèn)題會(huì)對(duì)個(gè)人、企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施造成哪些威脅，業(yè)界需要從哪些方面去改進(jìn)？這方面您帶領(lǐng)的團(tuán)隊(duì)目前主要的研究方向有哪些？

 

黃琳：我覺(jué)得GPS的安全問(wèn)題，更偏向于國(guó)家安全層面，會(huì)對(duì)軍事系統(tǒng)、船舶飛機(jī)、基礎(chǔ)通信設(shè)施，產(chǎn)生嚴(yán)重的影響。我之前曾寫(xiě)過(guò)一篇GPS的科普（http://www.freebuf.com/articles/wireless/70578.html），談到伊朗利用GPS欺騙讓美國(guó)的無(wú)人機(jī)完好無(wú)損的降落在本地，以供軍方研究。這種攻擊屬于“損人不利己”的行為，不是黑產(chǎn)能夠變現(xiàn)的手段，更多的是國(guó)家之間對(duì)抗的手段。因此這些相關(guān)的行業(yè)需要重視這個(gè)問(wèn)題。除了以上這些領(lǐng)域，在消費(fèi)電子領(lǐng)域，在開(kāi)發(fā)使用GPS定位的設(shè)備時(shí)，開(kāi)發(fā)者們也需要“記得”這種攻擊場(chǎng)景，在產(chǎn)品邏輯上要避免“被攻擊時(shí)，產(chǎn)生很嚴(yán)重的后果”。

 

我們目前的大的研究方向就是無(wú)線系統(tǒng)安全，GPS只是一個(gè)課題。我關(guān)注的其他課題還有：汽車上的無(wú)線系統(tǒng)安全，基站通信安全等等。

 

安全牛：與偽基站有關(guān)的移動(dòng)網(wǎng)絡(luò)犯罪目前非常猖獗，您認(rèn)為造成這種現(xiàn)狀的原因是什么？有關(guān)部門和企業(yè)應(yīng)該從哪些方面入手遏制移動(dòng)網(wǎng)絡(luò)犯罪不斷增長(zhǎng)的勢(shì)頭？

 

黃琳：原因是有利可圖。黑產(chǎn)一定會(huì)考慮成本和收益，收益明顯大于成本，他們才會(huì)做。我覺(jué)得政府和運(yùn)營(yíng)商在這方面的打擊力度還不夠，但打擊活動(dòng)涉及的政府部門太多，也是一個(gè)原因。目前北京市政府已經(jīng)有計(jì)劃，要聯(lián)合多個(gè)部門，和360等一些手機(jī)安全軟件的公司，共同打擊偽基站犯罪。

 

安全牛：您對(duì)物聯(lián)網(wǎng)相關(guān)無(wú)線技術(shù)（包括4G、WiFi、NFC、藍(lán)牙等）的安全現(xiàn)狀有何看法，對(duì)于那些指責(zé)物聯(lián)網(wǎng)網(wǎng)絡(luò)缺乏安全根基的指責(zé)，您有哪些意見(jiàn)？

 

黃琳：安全的門檻高低，和產(chǎn)品成本的高低，差不多是成正比的。所以相對(duì)來(lái)說(shuō)，4G的芯片比后面3G要貴，安全性上也會(huì)做得更好。而低成本，低功耗的設(shè)備，自然就選擇安全門檻低的芯片。就像最近黑客圈流行的電影，“沒(méi)有絕對(duì)安全的系統(tǒng)”。我個(gè)人認(rèn)為，隨著萬(wàn)物互聯(lián)，各種系統(tǒng)都變得越來(lái)越復(fù)雜，與外界的聯(lián)系越來(lái)越多，防御肯定會(huì)越來(lái)越困難。建造一幢大樓很難，想要攻入這幢大樓，卻容易得多。

 

另外一個(gè)原因，我認(rèn)為是物聯(lián)網(wǎng)網(wǎng)絡(luò)還沒(méi)有出現(xiàn)一個(gè)一統(tǒng)天下的標(biāo)準(zhǔn)。各家都在自己做，研發(fā)力量有限，因此在安全方面的投入不足。不知道Google的Brillo能不能復(fù)制Android的成功。

 

安全牛：最后一個(gè)問(wèn)題，您此次出席Defcon的演講主題是？

 

黃琳：關(guān)于低成本GPS模擬器，使用SDR工具進(jìn)行GPS欺詐。

 

安全牛：明白。就是如何使用成本低廉的設(shè)備，讓GPS定位裝置發(fā)生偏差。祝您在國(guó)際黑客講壇上，展示出中國(guó)女性安全人員的風(fēng)采！

 

黃琳：謝謝！