黃琳不太喜歡那張被刊登在美國商業媒體《福布斯》裡的照片。
照片裡的她眼神犀利,抹著大紅唇,跟平時戴框架眼鏡,幾乎不化妝,T恤牛仔褲的打扮大相徑庭。照片下方的圖說寫道:“第一位在DEF CON演講的女黑客”。
2015年,她第一次代表奇虎360公司參加世界頂級黑客大會DEF CON,發佈了一項關於如何低成本地實現GPS欺騙的研究,被國內外媒體爭相報道。
“我們市場部的人給了他們(《福布斯》)一張圖片,然後他們就用了。”她覺得,照片把她拍得“太兇了”,豔麗的大紅唇也完全不符合自己低調的性格。但她當時沒有提出異議——從另一個角度來看,“他們就是美國的那種報道風格”。
凡事看兩面的習慣,賦予了黃琳一種在現代都市人群中罕見的平和心態——儘管一般人很難想象,一個在北京居住、有兩個孩子的國內頂尖互聯網公司中層,是如何做到不焦慮的。
順
黃琳。圖自受訪者
與大眾對黑客的普遍認知——年紀小、偏科、攻擊性強相比,黃琳似乎站在了完全對立的另一面。高考狀元和博士頭銜傍身,35歲才轉行踏入網絡安全行業,還對挖漏洞興趣不大,怎麼看都是黑客中的異類。
黃琳的大學專業是通信,畢業以後也一直從事相關工作。緩慢的工作節奏逐漸讓她感到倦怠。
2014年,阿里巴巴、京東、新浪微博先後赴美上市,互聯網行業氣勢高漲,身邊不少人都跳槽去了互聯網公司。她也覺得,這或許是個不錯的選擇。
機會很快就來了。
工作之餘,黃琳會在個人博客上記錄一些研究心得。柴坤哲就是在網上搜索資料的時候,成了她的“小迷弟”。
彼時360的安全團隊只有兩個,柴坤哲所在的信息安全部是其中之一。“那時候大概是五年前,資料很少。我找到第一個比較重要的資料,就是黃老師翻譯的一本國外文獻,然後我還從新浪博客看了她的很多資料。”
柴坤哲形容自己抱著“粉絲追星”的心態開始聯繫黃琳,不但在網上向她請教問題,還會關注她的行程。終於,在一次國內某創客論壇的線下沙龍上,柴坤哲見到了作為演講嘉賓的黃琳。
短暫聊過之後,柴坤哲起了邀請黃琳加入360的念頭。“我們在當時是真的比較迫切地需要一個引路人”,他說,團隊不缺好想法,但如何把漏洞的危害具象化、精細化,如何聯結通信相關的官方資源,都讓他們一籌莫展。而這些剛好就是黃琳擅長的。
黃琳也清晰地記得這次促成自己職業生涯轉折點的見面。她回憶,當時她想體驗互聯網公司快節奏的工作風格,剛好360又離家近。“後來我就隨口問他,我說你們那招不招人?他說招,我說行,我給你投個簡歷。”
沒有糾結,沒有坎坷,機會來了便順勢而為,結果卻往往是好的,甚至是超出預期的。黃琳人生中其他的重要節點似乎無一例外。
殷婕和黃琳高中時住在同一個寢室。她說,黃琳成績一直很好,但絕不是個拼命的人,也不是那種“說考得不好結果考很高,或者默默複習又說沒複習”的人。學習之外,黃琳的體育、文藝樣樣拿得出手,唱歌更是在班裡“數一數二”,但又“完全不花俏”。
黃琳也說,那時候她並不是年級裡最拔尖的學生,很少能在一、二名。結果高考的時候,“最厲害的那幾個人沒有考到那麼好,我又可能稍微考好了一點,再加了一個少數民族分(5分)”,意料之外地成了全市第一。
而讓她一舉成名的GPS欺騙攻擊研究,看上去更是順利得令人羨慕。那時距離她踏入網絡安全行業才不過半年,是她入職360以後接手的第一個大項目。
GPS欺騙攻擊不是一個新鮮的議題,國內外都有團隊在做,而且都有做導航出身的科班人員加入。而黃琳從未接觸過衛星導航,一切都得從頭學起。為此,她專門借了幾本書,其中一本是同事鄭玉偉帶給她的。
左二為鄭玉偉,右一為黃琳。受訪者供圖
鄭玉偉說,這個項目最重要的是建立數據模型,但現有的公開資料基本都是講怎麼接收衛星信號的,關於怎麼造出衛星信號的寥寥無幾。
所以,整個項目做了半年多時間,其中一半時間黃琳都在學習理論知識和寫代碼。得知北航的一個學生也寫過類似的代碼,她就特地跑去學校請教了他好幾次。“學一段,寫一段,再學一段,寫一段”,硬是啃下了最核心的代碼部分。
不過,黃琳印象最深的還是在屏蔽室裡調試代碼的場景。那是一間約4平米大的屋子,四周用十釐米厚的鐵板圍起來,能完全隔絕外界信號干擾。由於通風部分損壞,密閉的空氣裡常常瀰漫著一股難聞的氣味。
這樣的日子一直持續到項目後期,才出現一絲曙光。鄭玉偉很佩服黃琳,他知道,這份堅持和定力在安全圈有多難得。
“其實安全的圈子,總體還是比較浮的這種感覺,因為這圈子裡有很多人可能弄一點看起來的成果拿出去講,很少說是把東西做得很踏實的一個研究”,鄭玉偉說,“像黃老師花了半年的時間,但大部分人估計三個月甚至兩個月出不了成果,就開始考慮換個方向。這其實是需要有一定的定力在那裡。”
2015年,美國拉斯維加斯,DEF CON現場。黃琳展示了攻擊演示的視頻:把無線電設備連上電腦上,運行一段代碼,就成功地遠程讓一輛停在360公司北京總部樓下停車場的汽車被定位在西藏納木錯湖的中心。
整個設備使用了通用的軟件無線電平臺和網絡上免費的開源代碼,這使得攻擊成本接近於0。這項研究證明,假GPS信號的製作成本可以很低,不需要用到價值幾十萬甚至上百萬的專門的GPS信號模擬器,而這種便宜簡單的攻擊方法可能造成的危害卻是巨大的。
還有一次,市場部同事小琪需要整理發表黃琳團隊的研究成果,但怎麼也搞不懂其中的原理。“後來黃老師說,這個GPS系統‘傻乎乎只知道聽衛星說什麼’,所以你的欺騙設備在它旁邊使勁喊,它就信了。我一下子就理解了,讓我覺得這個衛星是個小可愛,跟那些‘直男’研究員們跟我說的完全不一樣。”
柴坤哲用了“華麗轉身”形容黃琳從學術圈轉到黑客圈的過程。“我覺得人到一定年齡的時候,人的思維是很難轉變的”,但比他年長十幾歲的黃琳讓他意外。
“她能從一個我們提供想法、只負責實踐的人,直接變成自己能產生攻擊點,然後甚至不僅能發現這個攻擊點,還能再去想該怎麼去修復,該怎麼去落地,這就是我覺得她最牛的一點。”柴坤哲說。
規矩感
和許多互聯網公司一樣,黃琳的工位是一個敞開的格子間,和360獨角獸團隊的同事坐在一塊兒。
她的桌子太好認了。柴坤哲說,黃琳習慣把東西擺在四角,顯得整個桌子非常空又非常整齊,要是哪天帶電腦回家了,桌子的整潔程度“就感覺這個人好像已經離職了”。
黃琳。受訪者供圖
另一個明顯區別於其他人的,是很少遲到和加班——黃琳的好幾個同事都提到了這一點。在互聯網公司,做到這一點不容易,對於以不守常規著稱的黑客來說,更是罕見。
黃琳一般九點半到公司,晚上七點下班,十二點前睡覺,幾乎很少加班。按時上下班的前提是,她利用工作時間就能把工作處理得很好。
“像我們這種人其實一般情況下,早上有極大概率會遲到,然後晚上都會加到很晚,我們雖然在公司裡面能待八九個小時,但其實我是那種一會兒摸魚去了,一會兒下樓抽根菸,一會兒又出去買個吃的……我們的工作效率其實是不高的。”柴坤哲說,“但黃老師就能充分利用這八九個小時的時間,我只要一瞄她電腦,基本上就是工作的內容。”
在作息自由、流行“996”的互聯網公司,不受外界影響,保持自己的節奏,需要強大的自律和自信來支撐,尤其對於有兩個孩子的黃琳來說。
黃琳註冊了兩個微博和兩個微信,工作和生活被嚴格地切割開。她也很少把工作帶回家,如果實在不得已,也會盡量在陪伴完孩子之後,晚一點再工作。
殷婕曾在她家借住過一個禮拜。“我就看她陪她女兒,很有耐心,給了很多關注……她是挺忙的,但她不會用工作找藉口,該給什麼就給什麼。”最讓殷婕佩服的是,黃琳的陪伴是非常投入和高質量的,不看手機,不會抱怨,全心全意把自己降到孩子視角。
“從工作和生活中各個地方去看,她就會是一個很乾淨,很規矩,很整齊的一個感覺。”柴坤哲覺得,這或許是因為“書讀得多”。
“我們很多做安全的人都是讀書讀得少的,對吧?其實像這種讀書讀得少的人跟讀書多的人,多少會有一些很大的區別,就是讀書讀得少的人是不講規矩的,但是黃老師她有很明顯的規矩感,安排的非常妥當。”柴坤哲說。
這種滴水不漏的規矩感也表露在情緒上。
在絕大多數情況下,黃琳幾乎永遠是平和、包容的。這種狀態能帶給自認做事急躁的鄭玉偉一種“事情總會解決”的安心感。曾經“得罪”過黃琳的柴坤哲則笑言她是個“毫無波瀾的人”。
剛成為同事的時候,黃琳請柴坤哲幫忙一起做個小實驗,柴坤哲滿口答應,中途卻因為一些原因耽誤了,最後乾脆沒有出現,也沒有回覆消息。第二天見面,他能感覺到黃琳有點生氣,但最後只是得到一句“你這傢伙也太不靠譜了!”便再無下文。
“她是那種有壓力我感覺也不太能感覺出來的人,她真的會把所有的情緒以及所有東西……說藏起來也好,就是從她平時的狀態以及談吐,情緒什麼的都是完全看不出來的”,柴坤哲說,“她真的是一個能管理好一切的人,就這種感覺你知道嗎?”
黃琳卻完全是另一番感受:“從那以後我就知道,黑客的工作風格是什麼樣的:非常隨性,不按套路來。” 而她的規矩感和多年從事學術研究養成的書卷氣,似乎和自帶江湖氣的黑客圈格格不入。
360有一些被黃琳稱為有“黑客感”的同事。他們熱衷於做攻擊,“碰到一個門鎖就想開,遇到一個Wi-Fi就想‘黑’進去”,但她沒興趣,反而覺得怎麼這麼容易就被攻破了,“很悲哀的那種感覺”。
“這可能跟我之前在通信圈有關係,通信是以功能為主導的,其實很多時候安全都是個輔助的角色。”她還會站在對方的立場想:人家為什麼留這個漏洞?可能是為了兼顧功能的無奈之舉。
這種情緒反差經常發生。柴坤哲覺得,黃琳是一個“不太熱衷於做攻擊的人,但她特別希望瞭解攻擊的思路,然後根據這個思路想辦法怎麼去防禦”,女性特有的“柔”能恰到好處地填補原安全團隊缺乏防禦觀念的短板。
DEF CON會後,黃琳以“第一位在DEF CON演講的女黑客”的身份被美國《福布斯》報道,照片裡的她罕見地化了妝。回憶起首次登上外媒的經歷,黃琳難得地流露出一絲懊惱的情緒:“那張照片把我拍得太兇了。”
不爭
被《福布斯》報道後,黃琳身邊的親戚朋友開始叫她“女黑客”,但她並不享受這個稱呼。
黃琳曾經跟小琪聊到,自己正在補習《密碼學》和一些安全領域裡的基礎課程。小琪說,當時黃琳已經頗有名氣,卻還在自嘲說自己“可能還不如一個剛剛畢業的人”,這讓她非常意外。
“我覺得黑客應該是一個非常優秀的程序員,我還沒有那麼優秀。”黃琳很崇拜同公司的鄭文彬和鄭玉偉,認為他們才是真正的黑客,“技術上很紮實,然後能鑽得很深”,而自己只能在已有代碼的基礎上改成需要的樣子,也缺乏架構大批量代碼的能力。
即使是在國內外引起關注的GPS欺騙攻擊,她做完的時候也“並沒覺得牛”,後來回頭看也就是“還不錯”、“實際上也沒有那麼厲害”。原因是,當時不只她們團隊在做,國外有一個學者寫出來的代碼甚至比她的“好太多”。
黃琳。受訪者供圖
與其用“謙虛”來形容黃琳,不如說她有一套嚴密的評價標準和清晰的自我認知,能時時保持自省,絕不會為了提升自己的形象而誇大其詞。
她跟老公Key曾經聊過想在別人面前樹立一個什麼樣的形象,結論是“靠譜”,所以講話往往都會“收著說”。
舉個例子來說,一件事情如果能做到八分,就直說能做到八分,而且如果出現不好的情況,可能只能做到六分或者七分;而絕對不會是隻能做到八分,卻誇下海口說能做到十分。
不過,在一個“狼性文化”濃烈的互聯網公司裡,低調溫和的行事風格可能並不討喜。
到黃琳接手時,360獨角獸安全團隊已經躋身國內一線的安全團隊,頻頻在世界級黑客大會上亮相。柴坤哲覺得,整個團隊的名氣可能已經到達了一個頂峰,而這幾年,360也有了一些變化,越來越看重落地能力。
“以前不怎麼要求產出,你只需要在國際上給我們打造360的品牌影響力,對吧?然後養著一批做安全的人”,柴坤哲說,“但是現在可能多少會有一些要求,比如說這個團隊你每年要掙多少錢。”
進入管理崗位之後,黃琳開始承擔一定的收入壓力,得主動找項目。這讓她明顯地感受到了性格不夠強勢帶來的負面影響,比如有時候爭取不到團隊需要的資源,或者在團隊管理上遇到瓶頸。
“我不是很強勢,就比較希望說下面的人做的是自己有興趣的事,但有些人他可能什麼都不感興趣,怎麼辦?我逼你幹這件事,你就能幹好嗎?我也不知道。”她說。
柴坤哲覺得,黃琳的柔性管理方式對於齊心協力做一件事的精英團隊來說十分受用,但隨著一些個性鮮明、很有自己想法的人加入,這種管理方式不一定還能奏效。
黃琳至今也沒想清楚要不要改變自己的管理風格,但她覺得“可能挺難的”。
有時候,她會把工作上的煩惱說給Key聽,但Key覺得沒什麼好想的。在他眼裡,黃琳不太會“經營”,也沒有特別大的野心——“你都沒有那麼強烈的願望去爭,當然就得認可人家選擇的結果”。
“對我們來說,最好的狀態就是有一個自己願意去從事的領域,願意花時間去做,然後根據自己的能力還能做出一點點的成績來,並不是說我要當一個什麼組長,當什麼部長,當什麼所長之類的或者什麼領導”,Key說,“我們不認為那是我們自己的一個比較好的狀態。”
中庸
黃琳很喜歡旅遊,出差的間隙常常會在周邊找個地方轉轉。但她不會刻意地把行程安排得特別細緻,“如果你很隨意的話,可能會發現一些有意思的東西。”
黃琳。受訪者供圖
鬆弛,是她工作生活中的常態。她的所有決定看似隨遇而安,卻是絕對自洽的,外界評價很少能撼動她自己構建的評價標準。
Key說,黃琳有時候看到別人住的房子很好之類的,也會覺得羨慕,但僅限於“如果有,當然也可以”的程度。“我們家換房子都是我張羅著換的,她從來不想這些問題”。
黃琳生二胎的時候,遇到了態度非常惡劣的醫生,只能邊忍著劇痛邊看醫生眼色,不停地說對不起,連哼哼幾聲也要被罵。
事後,她在博客裡詳細記錄了整個生產過程,寫到醫生的態度時,卻頗有些為其開脫的味道:“像我這樣脾氣好的產婦應該不多吧”,“順產的價格一定是太低了,低得醫生一點也不願意接生了。”
遠高於一般水準的情緒爆發點,被黃琳歸結於“天生的”。她的心率比較慢,70次/分鐘左右,而且稍微有點甲減(一種常見的由甲狀腺分泌的甲狀腺素不足導致的內分泌疾病),所以“整個人的新陳代謝不是特別興奮,情緒很穩定”。
但更大程度上,可能還是歸功於她的思考習慣:同理心和批判性思維兼具。“兩邊都看,你就不會特別地焦慮”——這是她多年琢磨出來的“中庸之道”。
她說,她希望未來有一個網站或者媒體能在展示一篇新聞報道的時候同時呈現雙方觀點,讓讀者可以充分地瞭解事件全貌,而不是偏激地選邊站。工作上,她也會在同事興奮地討論如何把一個剛找出來的新漏洞用作攻擊手段時,冷靜地指出修復這個漏洞可能影響到的功能,試圖在兩者之間找到平衡。
這種平衡感貫穿了黃琳的生活、工作,即使是小孩的教育問題也沒有破例。
在一線城市,教育資源分配不均是個大問題,家長往往會為了孩子在學區附近的房子租住。黃琳一家卻早早地達成了共識:留在朝陽區。
Key說,他們不是沒有想過搬去教育資源更好的西城區和海淀區,但那樣一來,全家老小未來十年甚至更長時間的生活質量可能都會降低,他們不能接受。“孩子是家庭的一部分,但是我們自己、我們的父母也是家庭的一部分,我們不會把所有的期望或者說全部的重心堆在孩子那”,他說。
另一方面,如果大家都不再削尖了腦袋去爭奪其他學區的上學名額,朝陽區的教育水平說不定能有所提升。雖然不知道是不是正確,但目前黃琳和老公都認同並踐行著這個似乎有些天真的想法。
“雖然我生活在一個戾氣很重的時代,但是我會盡量讓自己活得更自由,活得更隨性。”黃琳是這麼說的,也是這麼做的。
她曾在接受採訪時說過,不喜歡曝光自己以往的成績,更不喜歡在黑客前面加個“女”字,“你看很少有人會說‘我國女科學家屠呦呦獲得諾貝爾獎’”。
她覺得,真正的“牛”是在所有人裡面做到最好,不分性別不分國別。但她自認做不到。“有時候會有一些羨慕,但我會覺得說,現在這樣有兒有女,老人身體都很好,家離公司這麼近,工作不錯,薪水也挺好的,就已經很不錯了。”
作家郝景芳曾在一次演講中談到現代女性面臨的焦慮時說,最有效的解決辦法不是想盡辦法讓工作家庭都完美,而是接受兩者都不完美。黃琳深以為然,“那怎麼辦?就這樣唄,不完美就不完美,對吧?”
採寫:南都記者蔣琳
閱讀更多 南方都市報 的文章
