第一位出現在世界黑客大會上的中國女博士：黃琳

2015-07-01 09:51:41 安全牛　點擊量：評論 (0)

8月6至9日，23屆Defcon世界黑客大會將在美國拉斯維加斯舉行，Defcon是安全界的全球盛宴，影響力居全球之最。但今年尤為值得國人關注的是，首名來自中國的女黑客作為演講嘉賓亮相Defcon。360獨角獸團隊的黃琳博士

8月6至9日，23屆Defcon世界黑客大會將在美國拉斯維加斯舉行，Defcon是安全界的全球盛宴，影響力居全球之最。但今年尤為值得國人關注的是，首名來自中國的女黑客作為演講嘉賓亮相Defcon。

360獨角獸團隊的黃琳博士

作為圈內赫赫有名的無線安全資深專家，黃琳本人的經歷引起了安全牛的好奇。與很多半路出家的黑客不同，黃琳是標準的學霸，高考狀元、碩士保送，獎學金拿到手軟……眾所周知，信息安全行業的女性如大熊貓般珍惜，而能夠有所建樹的更是鳳毛麟角，這種性別上的極度失衡非常不利于信息安全產業的發展，而吸引更多女性投身信息安全行業也成了業界近來的熱門話題，為此，安全牛特地采訪了頭戴“女學霸”、“女狀元”、“女博士”和“女黑客”等多頂帽子的黃琳女士。

安全牛：眾所周知，在信息安全行業中人士中，女性的比例非常之低，幾如貴團隊的名稱一樣為罕見之物（）。請問作為第一位即將首次出現在DEFCON講臺上的中國女黑客，您如何看待信息安全領域女性稀缺的問題？另外您對有意進入信息安全領域工作的女性有什么建議？

黃琳：我覺得在其他技術領域，女性的比例同樣很低，比如編程人員。也許測試工程師里，女性會稍微多一些。很多女性會在年級大一些的時候，轉到市場、銷售、行政人力之類的領域。但我真的是第一個在DEFCON演講的中國女黑客嗎？要不要向會務組求證一下？（安全牛可以負責任的告訴黃老師，是的。）

我最近看了一遍謝麗爾·桑德伯格的《LEAN IN》，感受就是，女性真的可以勇敢一點，自信一點，向前一步，做自己喜歡的事情。最重要的是，你喜歡這個事情。

安全牛：思科有一份調查顯示，從事信息安全工作的女性比男性更加容易放棄職業道路，您認為原因在哪里呢？再一個，你是否知道中國目前還有哪些信息安全領域的杰出女性或者“女黑客”是可以作為榜樣提及的？

黃琳：我還真的不太了解信息安全領域有哪些杰出的女性。浙大的徐文淵老師？我認為女性更容易放棄職業道路的原因，主要是家庭和事業難以平衡。女性沒有在這方面找到榜樣做范例，也缺乏指導，因此會在家庭和事業中向家庭傾斜。女性很難在工作上付出與男性同等的時間，她們必須分出一部分時間去照顧家庭。在現在的社會價值觀中，如果家庭一團糟，孩子照顧得不好，一般挨批評的是媽媽，而不是爸爸。例如我在我們團隊中工作時間是最短的，我幾乎每天都按時下班，而我們組的男生很多都工作到9點以后，甚至夜里一兩點。我只能在晚上11點孩子睡著以后，再加一會班。

安全牛：您認為女性從事信息安全工作的挑戰和優勢是什么？女性成員的存在對一個企業的信息安全團隊有哪些價值？

黃琳：一般來說，女性的特質是更細致，更溫和，因此在攻擊性上會弱一些。我在我們團隊中就是一個攻擊性很弱的人。優勢大概是，會把團隊中過于強的攻擊性中和一下吧，呵呵。例如，我實現了GPS攻擊的時候，我心里想的是，哦原來這么容易就被攻擊了，很悲哀的感覺。但是我們組里的男生就完全不一樣，他們只會說，太牛B了！我曾經想把這個GPS的演講做成類似柴靜的《穹頂之下》那種風格，呵呵，結果立刻被否了。

安全牛：您在DEFCON上的演講主題與GPS安全有關，這是一個容易被非專業人士忽視的問題。請問在中國，GPS的安全問題會對個人、企業和關鍵基礎設施造成哪些威脅，業界需要從哪些方面去改進？這方面您帶領的團隊目前主要的研究方向有哪些？

黃琳：我覺得GPS的安全問題，更偏向于國家安全層面，會對軍事系統、船舶飛機、基礎通信設施，產生嚴重的影響。我之前曾寫過一篇GPS的科普（http://www.freebuf.com/articles/wireless/70578.html），談到伊朗利用GPS欺騙讓美國的無人機完好無損的降落在本地，以供軍方研究。這種攻擊屬于“損人不利己”的行為，不是黑產能夠變現的手段，更多的是國家之間對抗的手段。因此這些相關的行業需要重視這個問題。除了以上這些領域，在消費電子領域，在開發使用GPS定位的設備時，開發者們也需要“記得”這種攻擊場景，在產品邏輯上要避免“被攻擊時，產生很嚴重的后果”。

我們目前的大的研究方向就是無線系統安全，GPS只是一個課題。我關注的其他課題還有：汽車上的無線系統安全，基站通信安全等等。

安全牛：與偽基站有關的移動網絡犯罪目前非常猖獗，您認為造成這種現狀的原因是什么？有關部門和企業應該從哪些方面入手遏制移動網絡犯罪不斷增長的勢頭？

黃琳：原因是有利可圖。黑產一定會考慮成本和收益，收益明顯大于成本，他們才會做。我覺得政府和運營商在這方面的打擊力度還不夠，但打擊活動涉及的政府部門太多，也是一個原因。目前北京市政府已經有計劃，要聯合多個部門，和360等一些手機安全軟件的公司，共同打擊偽基站犯罪。

安全牛：您對物聯網相關無線技術（包括4G、WiFi、NFC、藍牙等）的安全現狀有何看法，對于那些指責物聯網網絡缺乏安全根基的指責，您有哪些意見？

黃琳：安全的門檻高低，和產品成本的高低，差不多是成正比的。所以相對來說，4G的芯片比后面3G要貴，安全性上也會做得更好。而低成本，低功耗的設備，自然就選擇安全門檻低的芯片。就像最近黑客圈流行的電影，“沒有絕對安全的系統”。我個人認為，隨著萬物互聯，各種系統都變得越來越復雜，與外界的聯系越來越多，防御肯定會越來越困難。建造一幢大樓很難，想要攻入這幢大樓，卻容易得多。

另外一個原因，我認為是物聯網網絡還沒有出現一個一統天下的標準。各家都在自己做，研發力量有限，因此在安全方面的投入不足。不知道Google的Brillo能不能復制Android的成功。

安全牛：最后一個問題，您此次出席Defcon的演講主題是？

黃琳：關于低成本GPS模擬器，使用SDR工具進行GPS欺詐。

安全牛：明白。就是如何使用成本低廉的設備，讓GPS定位裝置發生偏差。祝您在國際黑客講壇上，展示出中國女性安全人員的風采！

黃琳：謝謝！

專業履歷：

2009年，編寫《GNU Radio入門》。在網絡上公開，是國內第一本完整的GNU Radio入門教材。

2011年，撰寫技術博客，介紹SDR項目的開發經驗，受到業內重視。

2007年至2010年，北京郵電大學博士，專業為通信與信息系統。

2013年，創立GeeFlex實驗室(www.geeflex.com)，擔任技術顧問，專注于SDR技術實踐與推廣。研究LTE基站軟件，偽基站、捕號軟件。進行LTE軟基站的外場試驗。指導基于USRP平臺的各類項目開發。

2005年至2014年，Orange（法國電信）北京研發中心高級研究員。

2014年至今，360獨角獸團隊高級研究員。