杨坤是一个有技术的男人。他和几位同样技术高超的青年男女愉快地生活在一起。他们的技术是:从看似平静如水的网站环境中找到漏洞的暗流。
目前杨坤有三个身份:
- 蓝莲花网络安全竞技战队队长
- 清华大学计算机系在读博士
- 安全公司长亭科技创始人之一
这三个头衔听起来不甚性感,不过这几个身份之下,隐藏着一个相同的任务——撕开面前的网络结构,在黑暗森林般的赛博世界擎起火把,开启“为所欲为”的上帝模式。眼前这个吃吃笑着的童鞋竟然是能够在虚拟世界纵横捭阖的“诸神”之一。意识到这个事实,让人顿感神清气爽。
【长亭科技创始人全家福 刘超 杨坤 朱文雷 陈宇森】
根正苗红的蓝莲花
“我对于网络安全的认识,都是通过黑客大赛得来的。”即使已经创业一年,杨坤仍然对自己“蓝莲花队长”这个身份非常看重。
蓝莲花,这个听起来素雅且超然的组织,主要任务是和各国黑客撕逼。这种撕逼采取了一种相对友好的方式,名曰“CTF”。CTF是很多国内外黑客大赛的高潮环节。主办方搭建好一个网络环境,然后设定若干目标,让战队们施展各自不同的姿势进行渗透攻击,最后以积分论英雄。
世界顶级黑客大会DefCon上的CTF是黑客界的“世界杯”。2012年杨坤加入蓝莲花之后,这支队伍便成了“世界杯”上的常客。
2012年,蓝莲花以丝毫之差未能进入决赛。
2013年,蓝莲花杀进决赛,排名11位。
2014年,蓝莲花在总决赛中获得第5名的成绩。
这几年间,战队还在各类国内外的其他黑客大赛中获得了好成绩。虽然成绩斐然,但说起来本科学电子的杨坤算是半路出家的黑客。在清华读研究生的时候加入蓝莲花,是他接触互联网安全的开始。新兵干得比科班选手更加风生水起,这种事还挺让人恼火的。
【蓝莲花战队在 2014年DefCon上的CTF比赛】
虽然是半路出家,但杨坤并不认为自己是“野路子”,相反,他对自己的计算机基础知识有相当的信心。
像这种国际比赛,它的专业性就在于不可能用现成的工具破解。必须自己有着非常强的底层基础知识。野路子不仅没办法做安全技术,也同样没办法做产品开发。
在2014年取得Defcon CTF好成绩的队员中,杨坤和同样来自清华的朱文雷、刘超,还有浙江大学的陈宇森是主力选手,这些原班人马顺理成章地成为了长亭科技的创始人。专业参赛选手自然水平了得,但这些“奥赛大咖”选择面对企业安全的实战,还是招来了不少人怀疑的目光。杨坤倒是一脸淡定。“竞赛最大的意义是开拓人的思维方式。”他相信这种思维方式在网络世界里是通吃的。
但是由一群初出茅庐的学生组成的公司,真的会像许巍《蓝莲花》里唱的那样,“没有什么能够阻挡”吗?
人肉排雷的“手艺人”
长亭科技走上正轨,应该就是2015年中的事情。而且四个创始人基本都处于博士、硕士在读状态,足以说明队伍有多年轻。互联网“先烈”教育我们说,没有经历十次失败是不可能创业成功的。而让人有些“失望”的是,这几个学霸组建的公司,从第一年开始就不仅实现了收支平衡,还颇有盈利。
其实,长亭科技能够自负盈亏的关键法宝在于“省钱”。杨坤回忆:“我们几个创始人每个月就领1000块的生活费。”一间民居、除了创始人之外的几个人员工资,就构成了这家公司初创期间的所有支出。不需要大量的金钱投入,这算是靠技术吃饭的“手艺人”的先天优势。
经历了“只要给钱什么活都干”的原始时期,长亭科技把业务聚焦在了企业安全上。专门为企业排查漏洞风险,避免重要资料被窃取、网站被攻击等安全问题。他们的产品特点就是,全人工安全排查。他们对企业的服务可以理解为以企业为目标进行“CTF”,把自己在CTF中积累的渗透经验全部用于测试企业的安全性。“别人能发现的问题,我们一定能发现;我们发现的问题,别人不一定能发现。”杨坤如此概括长亭的优势。
【长亭科技的童鞋在进行漏洞排查】
即便是支出较小,实现盈亏平衡也远没有说起来那么简单。本以为蓝莲花的巨大光环可以加持长亭科技所向披靡,但是四处谈客户的杨坤被问到的最多的问题,就是:“蓝莲花战队是什么?”
现实世界比网络世界沉重得多,不可能轻易玩转。长亭科技经历的坑大概分为如下几种类型:
1、刷脸失败型。生于1989年的杨坤是团队里年龄最大的一个,而正因为他这个老人存在,才把团队的平均出生年份拉到了1990年。面对一群嘴上没毛稚气未脱的年轻人,要把十几万甚至几十万的单子交给他们,还真的需要好好说服自己。
2、报完价后悔型。咬牙报价十几万之后,发现对方爽快地答应。回过头来研究同类服务的时候,才发现友商们的报价都是自己的三四倍。而实际操作的过程中,他们才发现所花的人力成本和时间成本要远远高于预计。
3、要账无门型。此处省略一万字。
面对很多客户不了解长亭科技这样一个“悲伤的现实”,团队推出了“免费安全测试”的业务。只要企业提交申请,并且授权给长亭科技,他们就会对企业进行渗透测试,进而出具一份40页以上详尽的检测报告。如果企业选择进一步修复,再来谈收费的问题。这种“先尝后买”的模式勾勒出了“手艺人”的技术自信,也隐隐展现出新兴安全公司争夺市场过程中所面临的血雨腥风。
用老罗的话来说,“跟前辈企业家们比,我们的创业过程只有些磨难,远谈不上血泪。”长亭科技大抵如此。雷锋网(公众号:雷锋网)探访时,他们刚刚从民居搬到了新的办公地点——某餐馆的二楼空间。这个看起来绝谈不上体面的办公环境里聚集了列位创始人,还有团队挖来的各路大牛,以及少许经过审核的慕名而来的热血青年。几位创始人白天承担CXO的角色,到了晚上基本上全部变身码农。
平均每次测试大概要花费两个人一周的精力。
杨坤告诉雷锋网,目前他们已经服务了46家客户,还有许多更大的业务在洽谈中。而杨坤一众并没有抛弃蓝莲花的身份,在创业之余还继续参加了2015年的DefCon CTF大赛,顺便又拿了第五名的成绩。一切看起来非常顺利。让杨坤引以为豪的是,公司里聚集了在他眼里最优秀的一众网络安全大牛。这些“手艺人”在某些方面像极了村庄里的老泥瓦匠,对待自己热爱的活计精益求精,不知疲倦。凭借旺盛的精力,这些年轻的网络安全“匠人”可以整日驰骋在网络空间中。
然而,老工匠难逃一个悲伤的现实——林立的工厂。这不禁让人联想:互联网安全的“手艺人”是否更加速朽呢?在被赞叹服务水平惊人的同时,长亭科技也不止一次面对行业观察者对于“人工排雷”商业模式的残酷吐槽:状态不稳定,不容易做大。
工具是美丽还是哀愁?
作为从各类CTF摸爬滚打成长起来的安全研究员,杨坤一众比任何人都了解工具的魔力。然而他们的专业知识却告诉自己,对待工具需要极为警惕。
很多时候我们也会用到工具,比如漏洞扫描器。但是它只能找到最简单的漏洞。因为工具不智能,它不会思考。而且工具有时会产生很大的副作用,比如有些自动化检测SQL注入的工具是会清空数据库的。
对生产工具的崇拜和对工具智慧的不信任,构成了杨坤心中的矛盾。他并不是反对工具智慧的人,相反,他在热切期盼“高度可用的”互联网安全“机器大生产”时代。只不过在创业的阶段,为了对客户负责,他更愿意相信自己的大脑和双手。
【长亭科技官网上的SQLChop 介绍页面】
“SQLChop”是长亭科技推出的第一款工具。它的功能很简洁,就是探测目标是否被SQL注入。出于谨慎,杨坤并没有把它包装成为产品,而是以技术引擎的方式提供服务。杨坤说,够得上“产品”资格的成果,还在研发之中。
然而,时间并不等人。乌云团队开发的漏洞检测工具“TangScan”经过半年的试运行,已经在2015年12月发布正式商用。360等老牌厂商也大力宣传自己的检测工具。在漏洞检测领域,智慧工具的市场争夺初见雏形。
对于这款在研发中的产品,杨坤显得异常谨慎。他透露,这款安全检测产品主打“高度定制化”,相当于为每一家客户单独编写程序。这种深度的安全介入自然需要摸清企业的网络环境,进而根据独特的企业环境去做定制化的工作。当然,在其中必然还会涉及到大量的人工工作。从描述来看,这款自动化产品因为需要深度人工适配而打上了“手艺人”的烙印,的确很有辨识度。至于这款产品的名字和技术细节,还要等到推出时才能知晓。
让自己的技术智慧实现自动化,某种程度上说是黑客的自我颠覆。然而,对于自动化产品的无限期冀和对实际效果的谨慎,更多地融进了杨坤的欲说还休。不过,这看起来并不是坏事。认可长亭科技技术的人,觉得他们的谨慎中恰恰传递出了专业的气质。
安全界像是一个生命体。一旦进入,便成为了其中的一个器官。你的血管自动枝蔓纵横,最终连通心跳,一举一动,都可以感觉到实实在在的牵绊。如此深刻地嵌入中国安全的血肉之躯,恐怕是三年前在CTF上驰骋纵横的杨坤没有想到的。
本文作者:史中
本文转自雷锋网禁止二次转载,原文链接