“教主”TK ：在网络安全领域讲段子的人

“在社交媒体上，总有两种人寻求我的帮助，一种是大学生，考砸了，希望我入侵教务处电脑，帮他修改成绩；另一种则是恋爱中的青年男女，希望我能入侵对方微信账户，调取聊天记录。拜托，我在腾讯工作，让我帮你盗取微信账户？”

说罢，于旸停顿了一下，迎接台下的笑声。

2020年11月15日，一场科学脱口秀X-Talk让于旸这样鲜少在公众前露面的网络安全科学家从幕后走到台前，通过年轻人喜欢的脱口秀形式进行科普。

在他看来，社会需要一个生动的科学普及平台，让更多人了解到最前沿的科学动态。

半路出家的网络安全大神

在网络安全领域，提到“于旸”这个名字也许大家不知道，但是提到“TK教主”，几乎人尽皆知，TK是于旸网名“tombkeeper”的缩写，他是国内顶尖白帽黑客之一，上能给奥运会信息网络安全指挥部当技术专家，下能接地气在社交媒体当一名网红科普博主，由于他学医的教育背景，网友又附赠了他一个称号——“妇科圣手”。

于旸从事信息安全研究工作十余年，主要研究方向聚焦在针对各类型漏洞的挖掘、利用、检测、防御，以及涉及硬件、无线等方面的复合安全风险。他曾发现并报告了思科、微软等公司产品的多个安全漏洞，是微软安全挑战悬赏10万美元大奖的全球三个获得者之一。这样一位大神级的科学家，竟然是半路出家。

于旸的童年大部分时间都花在了探索世界上，他会把家里的收音机、挂钟甚至是电视拆掉，但和一般熊孩子不同的是，他可以原样装回去，不会因手中多了一把螺丝而换来一顿胖揍。采集植物标本、在厨房里做化学实验、研究手榴弹拉线的原理……构成了于旸的“缤纷童年”。“当接触一个事物的时候，自然就想去探索它背后的逻辑，这成了一种习惯。”

1997年，在父母建议下，于旸考取了安徽医科大学临床医学专业。直到这个时候，他还没有接触过计算机。

大学二年级的时候，学校开设了计算机课程，那个年代，电脑没有大规模普及，课堂中的知识也非常粗浅，甚至都还是从开关机、打字等计算机基础开始教学，于旸至今还记得自己当时的计算机老师。“他不会重装系统，如果计算机出了故障，他会掏出一个笔记本，上面密密麻麻记录着重装系统的步骤，但如果没有那个笔记本，他就完全无法应对故障了。”

于旸发现，计算机很适合自学，对物质条件要求比较低，只要一台电脑就可以研究很多东西。

“我如果要研究一片树叶，不可能用树叶研究树叶，至少需要一台显微镜，但我用计算机就可以研究计算机。”

而真正促成于旸走上职业道路的是“尼姆达蠕虫”事件。那是2001年，一个名为“红色代码”的网络蠕虫引起了全世界的恐慌，稍加改造的蠕虫便可以让大量服务器瘫痪，严重威胁网络安全。

为了研究“红色代码”，于旸在自己的电脑上架设了蜜罐（一种网络安全技术），结果意外捕捉到了比“红色代码”影响力还大的尼姆达蠕虫，并撰写了一份报告，虽然现在看来那份报告非常稚嫩青涩，但却是国内第一份对蠕虫这种新型安全威胁做出多角度分析的报告。有一家安全公司因为于旸提交的报告，赠送了他一套杀毒软件，这让于旸感到自豪，并收获了信心。

最终，在读了5年医科大学后，于旸决定放弃医学专业，转向信息安全行业。

人生很小，世界很大

毕业后，于旸加入了绿盟科技研究院，正式开始了他信息安全的工作，工作内容涉及技术研究、产品开发、工程服务和安全教育等多个方面。

2013年，在世界顶级安全技术峰会上，于旸大胆指出，微软Windows7中使用的一套看似无懈可击的安全防御机制，其实有个简单的办法一点就破。

于旸的研究对微软的触动无疑是巨大的。这让微软最终意识到，单靠自身就一劳永逸解决系统漏洞防护问题并不可能。几个月后，微软设立了高达10万美元的安全挑战悬赏奖金。

此前，业内并不相信微软真的会给奖金，毕竟他们已经坚持了十几年不为漏洞付钱的原则。直到有一位英国科学家获得了该奖，于旸才相信，可能是自己提出的技术促成了这个奖项。

又过了几个月，于旸将研究的另一些漏洞利用技术做了实现，发给微软。他成为全世界第二个拿到微软安全挑战悬赏奖金的科学家。

2016年8月，微软公布全球黑客贡献百人榜，于旸排名第二。

“当拿到微软的10万美金时，我觉得可能这个研究是我职业生涯中做出的最重要的一个研究，但后来很快发现并不是。”

于旸于2014年发起腾讯玄武实验室项目，他发现，随着研究的深入和科技的发展，有更多有意思的挑战在等着自己。

在X-Talk的现场，于旸为观众介绍了玄武实验室的一个研究，仅仅通过一张便签纸，便可以一秒解锁屏下指纹手机。

这个研究的时间是在2017年年底，那时屏下指纹技术刚刚推向市场。

于旸和同事发现，用户用指纹解锁手机屏幕的同时，会在屏幕上留下一些痕迹，如果利用光学原理让指纹识别系统认为有一个真的手指按在手机上，就能绕过指纹识别系统。

发现漏洞后，玄武实验室通知了所有厂商，在技术刚投入市场的时候发现并且解决了它。“不管哪个牌子的手机，只要用到屏下指纹技术，就有我们实验室的成果在里面。”

在于旸看来，在万物互联的今天，以及未来，受到安全问题威胁的可能不再只是账号、数据、隐私，可能会超越这些。

“如同汽车安全带的发明，要落后于汽车的发明一样，信息安全的研究曾经也是滞后于信息技术的研究的，但吸收几十年的经验教训后，业界认识到，安全不能像曾经那样跟在后面走，而是要前置，以便尽早避免后续可能发生的问题。我们需要赶在坏人利用漏洞前去发现它。”

除了科研，于旸在社交媒体上也异常活跃，微博、知乎都有他的段子，他也被称为网络安全领域最会讲段子的人。而在于旸看来，使用社交媒体，是自己观察生活、与世界连接的方式。

“人生很小，但这个世界是很大的。互联网提供了一种途径，能够让我们这些很渺小的人，跟整个世界发生连接。我们生于这样的时代，一定不能放过这样的机会。”

在X-Talk的活动中，于旸轻松愉悦的演讲风格，迅速缩小了技术所带来的陌生感和距离感，在他看来，15分钟的演讲能让大家对信息安全有基本认知，自己的目的就达到了。

毕竟一个科技向善、向美、向未来的社会，是由每一个怀着好奇心、关注科学的平凡人组成的，而我们的共同想象，就是未来的方向。

（千百度摘自“中国新闻周刊”微信公众号）