今天为大家介绍的这位工程师,可以说「没女朋友」「长相平平」「并不修电脑」,这些大家对工程师的刻板印象,统统与他无关。
这位青年才俊,就是受邀参加DEF CON大会并在大会上发表演讲的两位安全工程师之一,王沛宇。CertiK安全工程师。于乔治亚理工大学电子系获得学士学位,于约翰霍普金斯大学获得信息安全硕士学位。目前居住于纽约。王沛宇在网页应用,移动端应用以及网络渗透测试有着丰富经验。在以往的客户项目以及参与的Bug Bounty Program中发现众多高危漏洞,并提出有效的修复方案,避免了漏洞被恶意黑客利用。在加入CertiK之前,他曾在Harbor Labs以及NCC Group担任安全工程师,参与软件开发,安全测试以及医疗设备相关的安全研究。现持有OSWE(Offensive Security Web Expert)以及 OSCP(Offensive Security Certified Professional)安全证书。进入区块链安全领域其实是一个非常机缘巧合的事情。读高中时,我就发现了我在理科方面的天赋,物理化的成绩远远优于地史政。对于计算机方面的兴趣是当时我报考计算机专业最大的理由。在繁重的学业之余,游戏成为了本科期间我最大的消遣娱乐方式。一个游戏的火爆,必定伴随着外挂软件的横行。有些人利用电脑技术针对软件进行非原设操作,篡改游戏原本正常的设定和规则,通过不正当途径为玩家谋取利益。是这样的作弊程序或软件激起了我最初的求知欲,慢慢就接触到了网络与信息安全。(在此提醒大家玩游戏务必遵守规则,尊重知识产权及游戏设计团队的劳动。)
选修安全方面的课程,阅读安全方面的书籍为我踏入这一领域搭起了桥梁。自身的技术偏好外加浓烈的兴趣,最终促使我选择了就读信息安全学硕士。正式踏足这一领域后,我发现这个行业满足了我对职业和理想各方面的要求。如果说除兴趣以外,还有什么是影响我职业规划与学术道路的,不得不提起引我入门的几位导师。很多时候,年轻的人怀揣着对前路的勇气和一知半解,并不会太过于信任除他们自己以外的其他人,哪怕是一位专业、睿智的长者。但是导师经历过你的阶段,面对过你的困难,他们可以为你带来的是拨云见日。他曾于FBI工作超过十年,工作中的主要任务包括从罪犯的电子产品或者网络痕迹中找到蛛丝马迹的证据来帮助受害者。无论是从损坏的手机还是从罪犯刻意隐藏犯罪活动而有意加密的电脑中提取证据,都属于他的研究范畴。这位教授的最终选择回到了讲堂上。学术教研的热爱是大部分教授日复一日坚持在岗的一大原因,他的许多独特的见解和缜密的思维方式令我至今受益匪浅。更重要的是,这个世界总有一些作恶者无时无刻蠢蠢欲动,教授希望能够有更多的人致力于网络安全的研究,就像他曾经可以帮助那些受害者一样帮助减少网络中的犯罪行为。我想如果有机会我能够阻挡在这些黑客面前,成为白帽黑客而去制止他们这些恶意行为,是非常有价值和意义的。他于知天命的年纪,可以专注于自己做的每一件事,花大半夜的时间仔细阅读一份几百页的繁冗资料。就算可提升的只是1%,他也一定精益求精图以趋近完美,这是我当时非常佩服的一点。不仅如此,他严谨敬业,欣赏自己的工作甚至是每一个细节。他给了我很多启发,目前依旧是我各方面的榜样。这句话是我从他身上学到的。很多人认为工程师是一个非常有意思而且很酷的职业,但这其中的学习过程就像学钢琴一样,在未有所建树的时候可以用“十分枯燥”来形容。无论是在学校,还是步入社会后,他们都时刻督促着我的前进,更是引领和指导我人生方向并且以身作则的导师和榜样。
很多人以为程序员等于工程师,其实并非如此。作为一名安全工程师,我敲代码的时间与程序员相比屈指可数,尤其是涉及到渗透测试方面。安全测试,网站或是移动端应用安全测试主要还是攻击测试和分析代码构成及细节。相比于「写」,其实用「审」这个字形容会更加合适。也不是这样。作为一个需要精通代码的安全工程师来说,敲代码更是一个实践和验证的手段。比如某项目方A是我们之前的客户。对方有网站测试的需求,在渗透测试的过程中,我们尝试了某种攻击,成功找到了可利用的漏洞,使得网站数据出现异常。接受到反馈后,项目方着手修复,紧接着开始第二次复审。我们再次成功攻入了网站,客户十分无奈,只好说“We have no way to stop u”。当然最终客户的问题还是得到了解决。一个项目的开始到结束,沟通都是一个非常重要的点,它的作用同样占据很大的比重。沟通会涉及到许多除技术以外的其他内容,而我们很难用话术来让客户感到如沐春风。对于我们这些终日面对电脑的物种来说,与人的交流和沟通是我们最不擅长的事情。并不是我们无法清晰的表达我们的意思,而是我们无法像大多数人那样懂得“说话的艺术”。对于我个人来说,绝对不满足止步于某一固定领域。拓宽知识面,了解更多的领域和道路是我一直追求的事情。不仅仅是自己不熟悉的东西,行业中其他人未曾涉足的地方,我都希望去进行挑战和突破。在建立了非常专业的技能之后,我短期内的目标更倾向于漏洞方面知识的精进。「知己知彼百战百胜」:我会通过各种途径,想办法研究当前已有的漏洞是否可以有新的方式去利用,是否可以有更多的方式可以绕过安全保护措施去进行攻击,从而挖掘更多的安全解决方案。因此除了白天紧凑的工作以外,晚上在家还会阅读大量的论文以及专业的文章。在每天的汲取知识过后,我都会打开我的电脑,看一看hacking的视频,再将所学验证一下(听起来哪里有点不对)。不是去黑别人的网站或者是app,只是会去观察他们存在的可被利用的漏洞,探究利用的手法,从而研究解决方案。
当然,作为一个十年的dota老手了,游戏肯定是我业余时间少不了的组成部分。1. 听到你是学计算机的,有没有人让你帮忙修电脑啊?女生多吗?
这是肯定的,什么性别的求助者都有,虽然我不太记得有没有因此脱单过,但是前女友们基本上都有请过我帮忙修电脑,解决电脑运行程序之类的问题....
2. 刚才提到不太懂“语言的艺术”,有因为这些气到女朋友吗?
哈哈哈有的时候女朋友会说可能我讲话比较直接,会有一点点吧,觉得我比较执着。
3. 看到你头像抱着猫咪,是不是你敲代码时候陪伴你的好伙伴?其实我在国内家里还养了一只狗狗,猫咪比较安静而且打扫收拾起来简单,可以让我更加潜心进行研究。所有看起来木讷呆滞的工程师,内里藏的都是有趣的灵魂,他们梦想着以一己之力改变世界。
如今才知道工程师结合了各项难能可贵的品质,成长伴随着无数个苦熬的深夜。没有什么「典型」的工程师,每一位都是独一无二的创造者。