黑客“手艺人”的美丽与哀愁

   

   杨坤是一个有技术的男人。他和几位同样技术高超的青年男女愉快地生活在一起。他们的技术是:从看似平静如水的网站环境中找到漏洞的暗流。

目前杨坤有三个身份:

  • 蓝莲花网络安全竞技战队队长
  • 清华大学计算机系在读博士
  • 安全公司长亭科技创始人之一

这三个头衔听起来不甚性感,不过这几个身份之下,隐藏着一个相同的任务——撕开面前的网络结构,在黑暗森林般的赛博世界擎起火把,开启“为所欲为”的上帝模式。眼前这个吃吃笑着的童鞋竟然是能够在虚拟世界纵横捭阖的“诸神”之一。意识到这个事实,让人顿感神清气爽。

【长亭科技创始人全家福  刘超 杨坤  朱文雷 陈宇森】

根正苗红的蓝莲花

“我对于网络安全的认识,都是通过黑客大赛得来的。”即使已经创业一年,杨坤仍然对自己“蓝莲花队长”这个身份非常看重。

蓝莲花,这个听起来素雅且超然的组织,主要任务是和各国黑客撕逼。这种撕逼采取了一种相对友好的方式,名曰“CTF”。CTF是很多国内外黑客大赛的高潮环节。主办方搭建好一个网络环境,然后设定若干目标,让战队们施展各自不同的姿势进行渗透攻击,最后以积分论英雄。

世界顶级黑客大会DefCon上的CTF是黑客界的“世界杯”。2012年杨坤加入蓝莲花之后,这支队伍便成了“世界杯”上的常客。

2012年,蓝莲花以丝毫之差未能进入决赛。

2013年,蓝莲花杀进决赛,排名11位。

2014年,蓝莲花在总决赛中获得第5名的成绩。

这几年间,战队还在各类国内外的其他黑客大赛中获得了好成绩。虽然成绩斐然,但说起来本科学电子的杨坤算是半路出家的黑客。在清华读研究生的时候加入蓝莲花,是他接触互联网安全的开始。新兵干得比科班选手更加风生水起,这种事还挺让人恼火的。

【蓝莲花战队在 2014年DefCon上的CTF比赛】

虽然是半路出家,但杨坤并不认为自己是“野路子”,相反,他对自己的计算机基础知识有相当的信心。

像这种国际比赛,它的专业性就在于不可能用现成的工具破解。必须自己有着非常强的底层基础知识。野路子不仅没办法做安全技术,也同样没办法做产品开发。

在2014年取得Defcon CTF好成绩的队员中,杨坤和同样来自清华的朱文雷、刘超,还有浙江大学的陈宇森是主力选手,这些原班人马顺理成章地成为了长亭科技的创始人。专业参赛选手自然水平了得,但这些“奥赛大咖”选择面对企业安全的实战,还是招来了不少人怀疑的目光。杨坤倒是一脸淡定。“竞赛最大的意义是开拓人的思维方式。”他相信这种思维方式在网络世界里是通吃的。

但是由一群初出茅庐的学生组成的公司,真的会像许巍《蓝莲花》里唱的那样,“没有什么能够阻挡”吗?

人肉排雷的“手艺人”

长亭科技走上正轨,应该就是2015年中的事情。而且四个创始人基本都处于博士、硕士在读状态,足以说明队伍有多年轻。互联网“先烈”教育我们说,没有经历十次失败是不可能创业成功的。而让人有些“失望”的是,这几个学霸组建的公司,从第一年开始就不仅实现了收支平衡,还颇有盈利。

其实,长亭科技能够自负盈亏的关键法宝在于“省钱”。杨坤回忆:“我们几个创始人每个月就领1000块的生活费。”一间民居、除了创始人之外的几个人员工资,就构成了这家公司初创期间的所有支出。不需要大量的金钱投入,这算是靠技术吃饭的“手艺人”的先天优势。

经历了“只要给钱什么活都干”的原始时期,长亭科技把业务聚焦在了企业安全上。专门为企业排查漏洞风险,避免重要资料被窃取、网站被攻击等安全问题。他们的产品特点就是,全人工安全排查。他们对企业的服务可以理解为以企业为目标进行“CTF”,把自己在CTF中积累的渗透经验全部用于测试企业的安全性。“别人能发现的问题,我们一定能发现;我们发现的问题,别人不一定能发现。”杨坤如此概括长亭的优势。

【长亭科技的童鞋在进行漏洞排查】

即便是支出较小,实现盈亏平衡也远没有说起来那么简单。本以为蓝莲花的巨大光环可以加持长亭科技所向披靡,但是四处谈客户的杨坤被问到的最多的问题,就是:“蓝莲花战队是什么?”

现实世界比网络世界沉重得多,不可能轻易玩转。长亭科技经历的坑大概分为如下几种类型:

1、刷脸失败型。生于1989年的杨坤是团队里年龄最大的一个,而正因为他这个老人存在,才把团队的平均出生年份拉到了1990年。面对一群嘴上没毛稚气未脱的年轻人,要把十几万甚至几十万的单子交给他们,还真的需要好好说服自己。


2、报完价后悔型。咬牙报价十几万之后,发现对方爽快地答应。回过头来研究同类服务的时候,才发现友商们的报价都是自己的三四倍。而实际操作的过程中,他们才发现所花的人力成本和时间成本要远远高于预计。


3、要账无门型。此处省略一万字。

面对很多客户不了解长亭科技这样一个“悲伤的现实”,团队推出了“免费安全测试”的业务。只要企业提交申请,并且授权给长亭科技,他们就会对企业进行渗透测试,进而出具一份40页以上详尽的检测报告。如果企业选择进一步修复,再来谈收费的问题。这种“先尝后买”的模式勾勒出了“手艺人”的技术自信,也隐隐展现出新兴安全公司争夺市场过程中所面临的血雨腥风。

用老罗的话来说,“跟前辈企业家们比,我们的创业过程只有些磨难,远谈不上血泪。”长亭科技大抵如此。雷锋网(公众号:雷锋网)探访时,他们刚刚从民居搬到了新的办公地点——某餐馆的二楼空间。这个看起来绝谈不上体面的办公环境里聚集了列位创始人,还有团队挖来的各路大牛,以及少许经过审核的慕名而来的热血青年。几位创始人白天承担CXO的角色,到了晚上基本上全部变身码农。

平均每次测试大概要花费两个人一周的精力。

杨坤告诉雷锋网,目前他们已经服务了46家客户,还有许多更大的业务在洽谈中。而杨坤一众并没有抛弃蓝莲花的身份,在创业之余还继续参加了2015年的DefCon CTF大赛,顺便又拿了第五名的成绩。一切看起来非常顺利。让杨坤引以为豪的是,公司里聚集了在他眼里最优秀的一众网络安全大牛。这些“手艺人”在某些方面像极了村庄里的老泥瓦匠,对待自己热爱的活计精益求精,不知疲倦。凭借旺盛的精力,这些年轻的网络安全“匠人”可以整日驰骋在网络空间中。

然而,老工匠难逃一个悲伤的现实——林立的工厂。这不禁让人联想:互联网安全的“手艺人”是否更加速朽呢?在被赞叹服务水平惊人的同时,长亭科技也不止一次面对行业观察者对于“人工排雷”商业模式的残酷吐槽:状态不稳定,不容易做大。

工具是美丽还是哀愁?

作为从各类CTF摸爬滚打成长起来的安全研究员,杨坤一众比任何人都了解工具的魔力。然而他们的专业知识却告诉自己,对待工具需要极为警惕。

很多时候我们也会用到工具,比如漏洞扫描器。但是它只能找到最简单的漏洞。因为工具不智能,它不会思考。而且工具有时会产生很大的副作用,比如有些自动化检测SQL注入的工具是会清空数据库的。

对生产工具的崇拜和对工具智慧的不信任,构成了杨坤心中的矛盾。他并不是反对工具智慧的人,相反,他在热切期盼“高度可用的”互联网安全“机器大生产”时代。只不过在创业的阶段,为了对客户负责,他更愿意相信自己的大脑和双手。

【长亭科技官网上的SQLChop 介绍页面】

“SQLChop”是长亭科技推出的第一款工具。它的功能很简洁,就是探测目标是否被SQL注入。出于谨慎,杨坤并没有把它包装成为产品,而是以技术引擎的方式提供服务。杨坤说,够得上“产品”资格的成果,还在研发之中。

然而,时间并不等人。乌云团队开发的漏洞检测工具“TangScan”经过半年的试运行,已经在2015年12月发布正式商用。360等老牌厂商也大力宣传自己的检测工具。在漏洞检测领域,智慧工具的市场争夺初见雏形。

对于这款在研发中的产品,杨坤显得异常谨慎。他透露,这款安全检测产品主打“高度定制化”,相当于为每一家客户单独编写程序。这种深度的安全介入自然需要摸清企业的网络环境,进而根据独特的企业环境去做定制化的工作。当然,在其中必然还会涉及到大量的人工工作。从描述来看,这款自动化产品因为需要深度人工适配而打上了“手艺人”的烙印,的确很有辨识度。至于这款产品的名字和技术细节,还要等到推出时才能知晓。

让自己的技术智慧实现自动化,某种程度上说是黑客的自我颠覆。然而,对于自动化产品的无限期冀和对实际效果的谨慎,更多地融进了杨坤的欲说还休。不过,这看起来并不是坏事。认可长亭科技技术的人,觉得他们的谨慎中恰恰传递出了专业的气质。

安全界像是一个生命体。一旦进入,便成为了其中的一个器官。你的血管自动枝蔓纵横,最终连通心跳,一举一动,都可以感觉到实实在在的牵绊。如此深刻地嵌入中国安全的血肉之躯,恐怕是三年前在CTF上驰骋纵横的杨坤没有想到的。

   

 

  本文作者:史中

本文转自雷锋网禁止二次转载,原文链接

时间: 2024-09-29 09:49:53

黑客“手艺人”的美丽与哀愁的相关文章

黑客爆料Hacking Team入侵细节

近日,黑客PhineasFisher透露了当初如何侵入了意大利安全公司 Hacking Team的相关细节.     2015年7月,意大利安全公司 Hacking Team 由于严重的安全漏洞,遭到了黑客的入侵,400 GB 的内部电邮.文件和程序源代码等大量数据泄漏.当时,并没有黑客如何入侵公司的相关细节报道. 现在,在攻击发生将近一年之后,黑客化名Phineas Fisher在 PasteBin 上公开了入侵 Hacking Team 服务器的细节. PhineasFisher还曾于201

Ajax开发20个问题

让我们一网打尽所有关于Ajax的问题,帮助你打通任督二脉,快速了解Ajax美丽与哀愁. 历经多年的发展,Web仍停留在点选.换页的浏览方式. Ajax出现后,改写了此种网页必须不断重新载入的互动模式,运用非同步技术,网页只更新局部的内容,因此提供使用者更顺畅.即时的互动模式. 少了「重新载入」的动作,Ajax呈现的是比传统更酷炫效果,但是否该全面采用Ajax,企业除了看热闹外,更想了解「门道」. Ajax会不会拖慢效能?主要的学习门槛是什么?搜寻引擎会不会因此找不到网页内容,而影响了网站曝光度?

唯品会宣布将投资1.125亿美元,收购乐蜂网75%的股份

摘要: 查看最新行情 媒体人出身的李静在情人节卖掉了自己亲手创办的乐蜂网.就在当日,乐蜂网最大的竞争对手――聚美优品CEO陈欧在微博上发表感言:战争结束,胜利,只是新的启程!双 查看最新行情 媒体人出身的李静在情人节卖掉了自己亲手创办的乐蜂网.就在当日,乐蜂网最大的竞争对手――聚美优品CEO陈欧在微博上发表感言:战争结束,胜利,只是新的启程!双方的口水战伴随着乐蜂网归于唯品会而暂告一段落.对创业者李静而言,在这个时机选择卖掉乐蜂网,或许不失为一个最佳选择. 2月14日,北京街头四处叫卖的鲜花不断

李静在情人节卖掉了自己亲手创办的乐蜂网

摘要: 查看最新行情 媒体人出身的李静在情人节卖掉了自己亲手创办的乐蜂网.就在当日,乐蜂网最大的竞争对手――聚美优品CEO陈欧在微博上发表感言:战争结束,胜利,只是新的启程!双 查看最新行情 媒体人出身的李静在情人节卖掉了自己亲手创办的乐蜂网.就在当日,乐蜂网最大的竞争对手――聚美优品CEO陈欧在微博上发表感言:战争结束,胜利,只是新的启程!双方的口水战伴随着乐蜂网归于唯品会而暂告一段落.对创业者李静而言,在这个时机选择卖掉乐蜂网,或许不失为一个最佳选择. 2月14日,北京街头四处叫卖的鲜花不断

媒体人出身的李静在情人节卖掉了自己亲手创办的乐蜂网

媒体人出身的李静在情人节卖掉了自己亲手创办的乐蜂网.就在当日,乐蜂网最大的竞争对手--聚美优品CEO陈欧在微博上发表感言:战争结束,胜利,只是新的启程!双方的口水战伴随着乐蜂网归于唯品会而暂告一段落.对创业者李静而言,在这个时机选择卖掉乐蜂网,或许不失为一个最佳选择. 2月14日,北京街头四处叫卖的鲜花不断渲染着情人节的氛围,而距离北京两千多公里以外的香港,一对"情人"正式宣告结合. 特卖网站唯品会宣布,将投资1.125亿美元,收购乐蜂网75%的股份.乐蜂网创始人李静在给员工的一份邮件

“站队”到时候了!李静卖掉乐蜂网是最佳选择

编者按/ 媒体人出身的李静在情人节卖掉了自己亲手创办的乐蜂网.就在当日,乐蜂网最大的竞争对手--聚美优品CEO陈欧在微博上发表感言:战争结束,胜利,只是新的启程!双方的口水战伴随着乐蜂网归于唯品会而暂告一段落.对创业者李静而言,在这个时机选择卖掉乐蜂网,或许不失为一个最佳选择. 2月14日,北京街头四处叫卖的鲜花不断渲染着情人节的氛围,而距离北京两千多公里以外的香港,一对"情人"正式宣告结合. 特卖网站唯品会宣布,将投资1.125亿美元,收购乐蜂网75%的股份.乐蜂网创始人李静在给员工

B2C时代的选择:网店VS实体店谁更盈利

  依稀记得有一句广告语:"时代在变,好东西不变",但是这句话在电子商务不断发展的今天,变得有点地位尴尬--做得再好的实体店也有关门的一天,即使拥有再多的实体店,企业还是躲不过开网店兼营的命运. 企业网店:B2C时代的选择? 随着电子商务的发展,越来越多的传统企业开始启用电子商务手段作为创收渠道. 2008年,鞋业品牌连锁百丽国际(01880.HK)与上海商派(shopex)合作建立网站,实现旗下产品的网上销售. 2009年中粮集团"触电"创立"中粮我买网

克鲁姆洛夫:古堡里的岁月回响

克鲁姆洛夫是文艺复兴与洛可可艺术的结晶,给人的感觉就像波西米亚的花纹,用简洁的线条和简单的装饰,去承载那些悠悠漫漫的美丽与哀愁 文/冀军 如果可以用味道和颜色来形容,拥有"世界文化和自然双重遗产"头衔的克鲁姆洛夫,那一定是芳醇的橙黄,一种令人突然间心里涌起丝丝柔意的颜色.在淡雅的白桃花中,在浓郁的咖啡香里,岁月就像流淌过城区的伏尔塔瓦河水一样波光粼粼.克鲁姆洛夫栖身于波希米亚南部森林河谷之中,S形的伏尔塔瓦河穿城而过,大部分哥特式和巴洛克式风格的城市建筑依据蜿蜒的河流在两岸伸展,布局紧

鸿海苦战100天纪实:郭台铭铁皮屋内亲自督军

郭台铭 北京时间9月17日早间消息,台湾<今周刊>16日以封面文章形式报道五月底到九月初这100天里,郭台铭独居深圳龙华厂区铁皮屋办公的纪实.以下为文章全文. 八月,在鸿海誓师大会现场中,集团副总程天纵颇有感触地说,经过跳楼事件,"我们都变了."当时没人料想得到,他所谓的"变",会是如此的戏剧性. "腰斩说"震撼市场/台湾电子产业面临大挑战 九月,郭台铭在接受<彭博商业周刊>专访时抛出"成长腰斩说",表