8月6至9日,23届Defcon世界黑客大会将在美国拉斯维加斯举行,Defcon是安全界的全球盛宴,影响力居全球之最。但今年尤为值得国人关注的是,首名来自中国的女黑客作为演讲嘉宾亮相Defcon。
作为圈内赫赫有名的无线安全资深专家,黄琳本人的经历引起了安全牛的好奇。与很多半路出家的黑客不同,黄琳是标准的学霸,高考状元、硕士保送,奖学金拿到手软……众所周知,信息安全行业的女性如大熊猫般珍惜,而能够有所建树的更是凤毛麟角,这种性别上的极度失衡非常不利于信息安全产业的发展,而吸引更多女性投身信息安全行业也成了业界近来的热门话题,为此,安全牛特地采访了头戴“女学霸”、“女状元”、“女博士”和“女黑客”等多顶帽子的黄琳女士。
安全牛:众所周知,在信息安全行业中人士中,女性的比例非常之低,几如贵团队的名称一样为罕见之物()。请问作为第一位即将首次出现在DEFCON讲台上的中国女黑客,您如何看待信息安全领域女性稀缺的问题?另外您对有意进入信息安全领域工作的女性有什么建议?
黄琳:我觉得在其他技术领域,女性的比例同样很低,比如编程人员。也许测试工程师里,女性会稍微多一些。很多女性会在年级大一些的时候,转到市场、销售、行政人力之类的领域。但我真的是第一个在DEFCON演讲的中国女黑客吗?要不要向会务组求证一下?(安全牛可以负责任的告诉黄老师,是的。)
我最近看了一遍谢丽尔·桑德伯格的《LEAN IN》,感受就是,女性真的可以勇敢一点,自信一点,向前一步,做自己喜欢的事情。最重要的是,你喜欢这个事情。
安全牛:思科有一份调查显示,从事信息安全工作的女性比男性更加容易放弃职业道路,您认为原因在哪里呢?再一个,你是否知道中国目前还有哪些信息安全领域的杰出女性或者“女黑客”是可以作为榜样提及的?
黄琳:我还真的不太了解信息安全领域有哪些杰出的女性。浙大的徐文渊老师?我认为女性更容易放弃职业道路的原因,主要是家庭和事业难以平衡。女性没有在这方面找到榜样做范例,也缺乏指导,因此会在家庭和事业中向家庭倾斜。女性很难在工作上付出与男性同等的时间,她们必须分出一部分时间去照顾家庭。在现在的社会价值观中,如果家庭一团糟,孩子照顾得不好,一般挨批评的是妈妈,而不是爸爸。例如我在我们团队中工作时间是最短的,我几乎每天都按时下班,而我们组的男生很多都工作到9点以后,甚至夜里一两点。我只能在晚上11点孩子睡着以后,再加一会班。
安全牛:您认为女性从事信息安全工作的挑战和优势是什么?女性成员的存在对一个企业的信息安全团队有哪些价值?
黄琳:一般来说,女性的特质是更细致,更温和,因此在攻击性上会弱一些。我在我们团队中就是一个攻击性很弱的人。优势大概是,会把团队中过于强的攻击性中和一下吧,呵呵。例如,我实现了GPS攻击的时候,我心里想的是,哦原来这么容易就被攻击了,很悲哀的感觉。但是我们组里的男生就完全不一样,他们只会说,太牛B了!我曾经想把这个GPS的演讲做成类似柴静的《穹顶之下》那种风格,呵呵,结果立刻被否了。
安全牛:您在DEFCON上的演讲主题与GPS安全有关,这是一个容易被非专业人士忽视的问题。请问在中国,GPS的安全问题会对个人、企业和关键基础设施造成哪些威胁,业界需要从哪些方面去改进?这方面您带领的团队目前主要的研究方向有哪些?
黄琳:我觉得GPS的安全问题,更偏向于国家安全层面,会对军事系统、船舶飞机、基础通信设施,产生严重的影响。我之前曾写过一篇GPS的科普(http://www.freebuf.com/articles/wireless/70578.html),谈到伊朗利用GPS欺骗让美国的无人机完好无损的降落在本地,以供军方研究。这种攻击属于“损人不利己”的行为,不是黑产能够变现的手段,更多的是国家之间对抗的手段。因此这些相关的行业需要重视这个问题。除了以上这些领域,在消费电子领域,在开发使用GPS定位的设备时,开发者们也需要“记得”这种攻击场景,在产品逻辑上要避免“被攻击时,产生很严重的后果”。
我们目前的大的研究方向就是无线系统安全,GPS只是一个课题。我关注的其他课题还有:汽车上的无线系统安全,基站通信安全等等。
安全牛:与伪基站有关的移动网络犯罪目前非常猖獗,您认为造成这种现状的原因是什么?有关部门和企业应该从哪些方面入手遏制移动网络犯罪不断增长的势头?
黄琳:原因是有利可图。黑产一定会考虑成本和收益,收益明显大于成本,他们才会做。我觉得政府和运营商在这方面的打击力度还不够,但打击活动涉及的政府部门太多,也是一个原因。目前北京市政府已经有计划,要联合多个部门,和360等一些手机安全软件的公司,共同打击伪基站犯罪。
安全牛:您对物联网相关无线技术(包括4G、WiFi、NFC、蓝牙等)的安全现状有何看法,对于那些指责物联网网络缺乏安全根基的指责,您有哪些意见?
黄琳:安全的门槛高低,和产品成本的高低,差不多是成正比的。所以相对来说,4G的芯片比后面3G要贵,安全性上也会做得更好。而低成本,低功耗的设备,自然就选择安全门槛低的芯片。就像最近黑客圈流行的电影,“没有绝对安全的系统”。我个人认为,随着万物互联,各种系统都变得越来越复杂,与外界的联系越来越多,防御肯定会越来越困难。建造一幢大楼很难,想要攻入这幢大楼,却容易得多。
另外一个原因,我认为是物联网网络还没有出现一个一统天下的标准。各家都在自己做,研发力量有限,因此在安全方面的投入不足。不知道Google的Brillo能不能复制Android的成功。
安全牛:最后一个问题,您此次出席Defcon的演讲主题是?
黄琳:关于低成本GPS模拟器,使用SDR工具进行GPS欺诈。
安全牛:明白。就是如何使用成本低廉的设备,让GPS定位装置发生偏差。祝您在国际黑客讲坛上,展示出中国女性安全人员的风采!
黄琳:谢谢!
2009年,编写《GNU Radio入门》。在网络上公开,是国内第一本完整的GNU Radio入门教材。
2011年,撰写技术博客,介绍SDR项目的开发经验,受到业内重视。
2007年至2010年,北京邮电大学博士,专业为通信与信息系统。
2013年,创立GeeFlex实验室(www.geeflex.com),担任技术顾问,专注于SDR技术实践与推广。研究LTE基站软件,伪基站、捕号软件。进行LTE软基站的外场试验。指导基于USRP平台的各类项目开发。
2005年至2014年,Orange(法国电信)北京研发中心高级研究员。
2014年至今,360独角兽团队高级研究员。