段海新：开放合作融合 全世界都是我们的舞台

我们培养的人才是世界性的，同时世界各国培养的人才也都可以接纳。没有必要把自己关起来，我们可以把人才引进来，我们自己也可以走出去，这样整个世界都可以是我们的舞台。

蓝莲花的由来

2010年由佐治亚大学（University of Georgia）李康教授介绍，我们组队参加美国UCSB的iCTF国际黑客大赛（一个面向全球教育领域团队的大型在线黑客竞赛），第一年我们的成绩不好，世界73个参赛队伍中我们排名第39名。在那次比赛里，我给我们的队伍起了一个名字“蓝莲花”，莲花在中国文化里意味着“出淤泥而不染”；另外许巍“蓝莲花”我也非常喜欢，其中的一句歌词特别体现着黑客精神：“没有什么能够阻挡，你对自由的向往”。

2011年下半年我出国之后，诸葛建伟接手蓝莲花的组织工作。自从他接手之后，成绩突飞猛进，这是蓝莲花“绽放”的阶段，我认为最大的成功经验是“开放”。2012年，我们决定走出清华大学，从全国吸纳成员，我们当年在全球安全领域的顶级大会Defcon（国际知名的黑客大赛）的成绩是第19名。另一个经验是“合作”。2013年，当时还处在创业阶段的“安全宝”（后被百度收购）马杰先生，在蓝莲花还没有出名时决定赞助所有国际性比赛。

2013，蓝莲花@拉斯维加斯

2013年，我们在Defcon资格赛上取得第4名（亚洲参赛队伍的第一名），并进入决赛。2014年第二次进入决赛，排名世界第5，2015年第三次进入决赛，包括我们在内，今年将有三支华人队伍和世界强队同台竞技。我们实验室的成员组成：宋方睿，清华本科生；陈宇森，当年是浙大本科；朱文雷，清华研究生，现在朱文雷和陈宇森及其他几个同学合作创办了长亭科技。何淇丹，浙大毕业，现在就职于KeenTeam；杨坤，是我的博士生，现在是Berkeley（伯克利大学）安全团队中的一员，进入了美国DARPA（美国国防部先进研究项目局）举办的CGC（赛博大挑战）决赛。他对系统安全或软件安全非常感兴趣，但是我本人的研究背景是网络安全，于是我把他送到Berkeley的Dawn Song教授那里，Dawn Song教授毕业于清华，现在是系统安全领域非常知名的研究者。王若愚，毕业于清华，也在我们实验室有过研究经历，现在是美国UCSB（加州大学圣塔芭芭拉分校）的博士生，代表UCSB进入到CGC决赛。

2014年蓝莲花团队第二次进入Defcon资格赛，现在我们的队伍越来越庞大，参加决赛共有8位队员，新人包括复旦大学的刘炎明、华中科技大学的樊栖江、浙江大学的张酉夫，等等。

在美国DARPA的CGC项目里进入到决赛的只有七支队伍，其中仅我认识的就有6个中国人或华人参加分属在三个队伍中，其中两个队伍的负责人都是华人教授。那么，从安全人才培养角度来看，是我们为美国培养了学生，还是美国为我们培养了学生？ 加州大学伯克利分校的Dawn Song 教授本科毕业于清华大学，虽然就职于Berkeley大学，但同时也是清华的兼职教授。张超博士，毕业于北大，在Berkeley大学完成博士后研究以后，将要回国发展。我的学生杨坤交流半年后也会回来。人才的培养是融合在一起的，你中有我，我中有你。我们培养的人才，整个世界都是他们的舞台。

蓝莲花是开放的，我们培养的人才是全国性、甚至是世界性的。在去年BCTF举办完之后，与杜总和其他的业界朋友商量，希望以这种形式举办成一系列的比赛，我们和上海交通大学等兄弟院校一起组织了XCTF比赛。在这一年中包括其他公司的CTF竞赛，雨后春笋一般发展起来。对我们来说，虽然是一个挑战，但是我认为对全国来说这是一个很好的现象。我今年收到一个学生发的简历，中间就列举了他参加过一系列的CTF的比赛，我也看到很多公司包括阿里公司也是用这种CTF的方式来招人，现在CTF竞赛在全国已经发展成为一种人才选拔和训练的很好模式，得到大家的公认。

DefCon2014，@清华NISL

学术型白帽子

什么是学术型白帽子？可以说基本就是在学术圈中做系统或网络漏洞的发现的这一批人，他们把发现的问题以学术论文形式发表，学术论文一般要求比较严格，需要发现的问题有创新性、普遍性和重要性。

我们组里第一个学术白帽子可以算我指导的博士生江健，也是和李康教授合作，我们发现DNS协议的一个漏洞，导致一个管理者想删除一个恶意的域名却删除不了，好比身份证虽然挂失了，可是捡到它的人依然能用它干坏事。DNS是上世纪80年代就发展起来的，虽然有各种各样的问题，但是业界没有想到有这样的漏洞。美国国家漏洞库把它收录进去，美国联邦通信委员会FCC的安全工作组将它写入2012年度报告，十多个DNS软件发布了补丁。2015年初我访问日本时，日本域名注册机构JPRS工作人员拿到我名片时，首先拼出来的是我们论文的标题。他把我们的论文翻译日文向日本全国发布，还送了我他签名的日文版。

第二个也是我指导的博士生梁锦津，去年发现CDN运营运营商在部署加密协议HTTPS时存在的问题，这可能导致攻击者可以窃听用户隐私或假冒合法网站。我们的论文发表以后，Cloudflare推出新的服务，可以说是帮助美国人民防御NSA的大规模窃听。

第三个白帽子郑晓峰是硕士生，他的这项研究是从我在课堂上布置的作业开始的，用了两年的时间，论文即将发表在Usenix Security 2015。这个漏洞威胁到众多知名网站包括Google、Amazon等，很多浏览器也受到影响。在发布这个漏洞之前，已经帮助很多中国金融机构修补了安全漏洞，腾讯公司奖励了我们10万元，这也是我们“学术型白帽子”真正从漏洞发现中拿到的一笔钱。

总结我的一些体会。第一，我认为兴趣是驱动目前安全人员一个非常关键的动力，一定要让青年教师和学生可以选择自己喜欢的研究课题。第二，从我自己的苦闷到后来的一些经验说明：需要一个学术的交流圈子。第三，导师给学生指明方向，而后还要向学生学习，因为学生在一个具体的领域中钻研四五年甚至更久，了解的一定比导师更多，导师将一届又一届的学生的知识进行积累，才能为以后的学生指点迷津。此外，与国外教授的交流、合作也是非常重要的。

开放、合作、融合，这是我的核心观点。我们培养的人才是世界性的，同时世界各国培养的人才也都可以接纳，这样整个世界都可以是我们的舞台。没有必要把自己关起来，我们可以把人才引进来，我们自己也可以走出去。回头想想我一开始编的那个故事，真的需要为了保护我们的算盘，把IBM和微软拒之国门之外吗？