六道口也在北京海淀�。
它同樣像上一個(gè)更為知名的道口一樣,被諸多本地大學(xué)環(huán)繞。
從地鐵站出來(lái)����,混在一對(duì)對(duì)理論上正朝氣蓬勃的格子襯衫和背包組合里過(guò)了馬路����,豎穿一家基本不會(huì)有人打招呼的超市,就進(jìn)入了一個(gè)安靜的小區(qū)��。
進(jìn)電梯���,出電梯�,拐彎����,開(kāi)門��。
正對(duì)大門的客廳里是作為工位的電腦們���,以及電腦屏幕后面可能被來(lái)訪者打擾了也可能沒(méi)有的人。
這是網(wǎng)絡(luò)安全公司長(zhǎng)亭科技的辦公室���。
一年前�����,幾位快離開(kāi)校門的年輕人湊了二十萬(wàn)成立了他們的公司����,未來(lái)尚不確定�����,這個(gè)距離中關(guān)村創(chuàng)業(yè)熱點(diǎn)稍遠(yuǎn)的小區(qū)就成了當(dāng)時(shí)最符合預(yù)算的場(chǎng)地選擇�。
今天,他們賺了些錢���,拿到了投資,確定了發(fā)展方向,也即將把辦公室搬到另一處去���。
不過(guò)在介紹那些前�,讓我們先回顧一下歷史���。
歷史在正對(duì)客廳左手直走到底處的儲(chǔ)藏間里��,一個(gè)箱子密密麻麻地塞著各種獎(jiǎng)牌獎(jiǎng)碑���,其中一些大概來(lái)自大大小小的 CTF(Capture The Flag),安全界的奪旗競(jìng)賽)比賽�����。
那是創(chuàng)始團(tuán)隊(duì)成員們會(huì)認(rèn)識(shí)彼此�,對(duì)網(wǎng)絡(luò)攻防產(chǎn)生濃厚興趣,甚至最終決定一起創(chuàng)業(yè)的原因���。
起源:非天才的成長(zhǎng)之路創(chuàng)始人之一是楊坤�����。
當(dāng)然除了這個(gè)“之一”外��,他還有很多更獨(dú)特的頭銜���,比如目前成員中年紀(jì)最大的(出生于驚人的上個(gè)世紀(jì)八十年代末年)��,同時(shí)是僅有的還沒(méi)畢業(yè)的(博士在讀)���。
或者對(duì)本文來(lái)說(shuō)更重要的是,他是那個(gè)下午創(chuàng)始人里唯一有空到樓下咖啡廳坐著聊聊的����。
楊坤不是歌手,也不是典型的少年天才型黑客����。
如果問(wèn)他為什么要從事這一行,回答沒(méi)準(zhǔn)是因?yàn)楫?dāng)時(shí)保研正好選了這個(gè)方向��。
但嚴(yán)謹(jǐn)?shù)匕磿r(shí)間順序來(lái)推算�����,他的興趣起源于高中時(shí)代����,那個(gè)時(shí)候他開(kāi)始在自己的文曲星上編程��,寫(xiě)一些游戲。
*對(duì)于可能不清楚的讀者�����,文曲星是一種世紀(jì)之交時(shí)很流行的電子辭典����。
長(zhǎng)得大致如下圖。
彼時(shí)“計(jì)算機(jī)要從娃娃抓起”的口號(hào)已經(jīng)出現(xiàn)��,少年楊坤也在初中參加過(guò)奧林匹克信息競(jìng)賽����,至于為什么高中反而要用文曲星而不是電腦編程,則有非常具備中國(guó)特色的兩個(gè)原因:1. 電腦家里管得嚴(yán)�。
2.文曲星可以藏在課本后面玩。
他在文曲星上開(kāi)發(fā)過(guò)簡(jiǎn)單的 RPG(Role-Playing Game�,角色扮演游戲),劇情都是找朋友幫忙寫(xiě)的�����。
但這小小的興趣還是讓他打算去全面地了解計(jì)算機(jī)�,并為此在大學(xué)選擇了電子工程系�����。
據(jù)說(shuō)選擇此專業(yè)有利有弊���,必備的基礎(chǔ)理論和派不上用場(chǎng)的學(xué)問(wèn)都有。
其間讓人(或者說(shuō)讓筆者本人)印象深刻的有兩點(diǎn):一個(gè)是他會(huì)不斷開(kāi)發(fā)各種項(xiàng)目去在實(shí)踐中摸索運(yùn)行原理����,這似乎是日后這群人因研究 CTF 而了解甚至選擇安全業(yè)的預(yù)兆。
另一個(gè)則是和將來(lái)成為鮮明對(duì)比的安全水平與意識(shí)����,當(dāng)時(shí)他建的協(xié)會(huì)網(wǎng)站上有明顯漏洞,時(shí)不時(shí)會(huì)被人掛個(gè)彈窗�����。
而據(jù)這位當(dāng)事人話講���,他一開(kāi)始考慮過(guò)修復(fù)���,不過(guò)發(fā)現(xiàn)對(duì)方也就是彈彈窗沒(méi)干其他什么事兒,所以就算了�����。
總而言之,原本對(duì)網(wǎng)絡(luò)攻防并無(wú)特別興趣的清華工科生楊坤聽(tīng)從前輩建議沒(méi)有出國(guó)��,又出于對(duì)母校的喜愛(ài)保研留校�,陰錯(cuò)陽(yáng)差地和這個(gè)議題掛上了鉤�。
他又在研究生階段接觸了 CTF,此后勢(shì)頭一發(fā)不可收拾���。
和同伴組建了藍(lán)蓮花(Blue-Lotus)戰(zhàn)隊(duì)征戰(zhàn)各大國(guó)內(nèi)國(guó)際比賽�����,不僅讓非此專業(yè)的學(xué)生因其魅力轉(zhuǎn)頭加入了安全業(yè)�,還因?yàn)殂@研比賽時(shí)展現(xiàn)的詭異狂熱和恒心吸引了日后長(zhǎng)亭科技的早期成員���。
發(fā)展:從丁方到乙方畢業(yè)在即����,幾位在 CTF 比賽中打得難舍難分的隊(duì)友已經(jīng)對(duì)這個(gè)行業(yè)產(chǎn)生了濃厚的興趣�,也不想就此分離。
當(dāng)時(shí)大環(huán)境正在改善����,政策正在重視網(wǎng)絡(luò)安全�����,看起來(lái)此領(lǐng)域的事業(yè)大有可為�����。
他們決定成立公司做些和安全有關(guān)的事�����。
不過(guò)這一整句話里最簡(jiǎn)單的只有“成立公司”那個(gè)部分�。
“決定”很難��,要說(shuō)服聯(lián)合創(chuàng)始人從山清水秀的杭州搬到以不宜居住為居住特色的北京���。
“做些事”很難���,當(dāng)時(shí)毫無(wú)資歷名氣的幾人最窘迫時(shí)連軟件外包的活都做過(guò),但更常見(jiàn)的是從傳統(tǒng)安全廠商那接客戶轉(zhuǎn)了幾手的項(xiàng)目�����,所謂乙方的乙方的乙方——丁方。
回憶這段經(jīng)歷時(shí)���,看起來(lái)比實(shí)際年齡還要年輕的楊坤笑個(gè)不停�����,或許是因?yàn)槟嵌际沁^(guò)去時(shí)���,現(xiàn)在通過(guò)口耳相傳的聲譽(yù)�,他們至少當(dāng)上單純的乙方了。
那乙方到底在做什么��?用一句話定義�����,是通過(guò)自身團(tuán)隊(duì)為企業(yè)進(jìn)行滲透測(cè)試(Penetration Testing, 有時(shí)簡(jiǎn)稱為 pentest )���,并提供之后的修復(fù)建議����。
不過(guò)���,和近年國(guó)內(nèi)安全界比較熱門的安全眾測(cè)概念*相反�,他們完全通過(guò)公司內(nèi)的技術(shù)人員對(duì)服務(wù)的企業(yè)進(jìn)行針對(duì)性檢測(cè)。
據(jù)說(shuō)在某些案例下���,他們的內(nèi)部團(tuán)隊(duì)找出的漏洞甚至多于廠商交給安全社區(qū)檢測(cè)后發(fā)現(xiàn)的���。
*注:眾包(crowdsourcing)在漏洞檢測(cè)上的應(yīng)用。
有的平臺(tái)由白帽黑客自主提交漏洞—如烏云�,ZDI;有的由廠商發(fā)布項(xiàng)目交由社區(qū)測(cè)試—如漏洞盒子���,Bugcrowd����。
而另一個(gè)特點(diǎn)則是 0 元起步檢測(cè)����。
這個(gè)在互聯(lián)網(wǎng)創(chuàng)業(yè)圈非常普遍的免費(fèi)+增值收費(fèi)概念對(duì)他們而言是艱辛的一步,畢竟團(tuán)隊(duì)為每次檢測(cè)需要付出的成本太高�����。
不過(guò),在提出后也被視為創(chuàng)業(yè)以來(lái)做過(guò)的最正確決定之一�����,據(jù)說(shuō)鮮有廠商看到免費(fèi)檢測(cè)的報(bào)告后仍決定不購(gòu)買后續(xù)服務(wù)的���。
比起向不了解安全防護(hù)的企業(yè)科普可能的后果�,一次模擬真實(shí)的攻擊或許直觀生動(dòng)得多���。
同步:藍(lán)蓮花和 SQLChop藍(lán)蓮花不等于長(zhǎng)亭科技���。
對(duì)于在創(chuàng)業(yè)之余兼顧學(xué)位的楊坤來(lái)說(shuō),培養(yǎng)藍(lán)蓮花(Blue-Lotus)的新血也是偶爾需要關(guān)注的事���。
這個(gè)在國(guó)際賽事上排行前列*的 CTF 戰(zhàn)隊(duì)基本是長(zhǎng)亭團(tuán)隊(duì)的源頭,卻因?yàn)樘^(guò)小眾并沒(méi)有為這個(gè)公司帶來(lái)商業(yè)上的便利����。
不過(guò)發(fā)生在奪旗世界的傳說(shuō)也只用在那個(gè)世界流傳,至少����,這個(gè)隊(duì)伍還在取得不錯(cuò)的成績(jī),或許也在同時(shí)吸引下一批打算扎根的新人。
注:排名這種東西可以在 CTFtime.org 這個(gè)網(wǎng)站上查看�����。
比起藍(lán)蓮花�,SQLChop 和他們的主業(yè)關(guān)聯(lián)度高得多。
他們出于某種原因開(kāi)發(fā)了這個(gè)基于詞法和語(yǔ)法分析的無(wú)規(guī)則 SQL 注入檢測(cè)引擎���,卻發(fā)現(xiàn)既難以整合到別的項(xiàng)目里��,也沒(méi)到可以作為商業(yè)產(chǎn)品單獨(dú)推出的地步,所以干脆用它投石問(wèn)路���,順便為這個(gè)成立不久的公司找點(diǎn)關(guān)注度����。
效果似乎很成功,這個(gè)工具被今年 Black Hat 大會(huì) Arsenal 分會(huì)場(chǎng)收錄�。
相關(guān)媒體在轉(zhuǎn)載介紹時(shí)��,也提到了他們這家一年前還默默無(wú)聞的公司�����。
不過(guò)���,關(guān)注度的又一次暴漲可能來(lái)自不久前在上海舉行的 GeekPwn。
他們?nèi)〉玫莫?jiǎng)?wù)乱舱稍趦?chǔ)藏間的箱子里��,但和名次比起來(lái),讓大眾印象深刻的應(yīng)該是生活中的智能攝像頭被他們一一順手攻破的景象���。
或者按楊坤的話說(shuō),這種比賽讓原來(lái)難以理解的黑客行為“可視化了”。
番外:科班生,不要忘了鎖門從被當(dāng)作工作間的客廳穿過(guò)去����,還有個(gè)會(huì)議室。
一側(cè)是長(zhǎng)桌子����,另一側(cè)是床墊,開(kāi)會(huì)前還需要整理下房間�。
據(jù)說(shuō)床墊是給那些工作到太晚或熬夜的人使用�����,有實(shí)習(xí)生的時(shí)候偶爾還要占領(lǐng)陽(yáng)臺(tái)�����。
又據(jù)說(shuō)這種情況很少發(fā)生�����,除非是碰上急事��。
說(shuō)這話時(shí)楊坤認(rèn)真強(qiáng)調(diào)他們注重的是效率,一般工作時(shí)間就是早上九十點(diǎn)到晚上六點(diǎn)�。
不過(guò)認(rèn)真后緊接著的是八卦環(huán)節(jié)���,比如因?yàn)楣ぷ鲿r(shí)間特別人性化���,這個(gè)目前成員剛過(guò)兩位數(shù)����,僅有一位女生的公司竟然實(shí)現(xiàn)了極高的非單身率(> 72%)��,著實(shí)感人���。
說(shuō)到成員,除了和業(yè)內(nèi)平均相較而言的非常年輕之外�����,就是和業(yè)內(nèi)傳說(shuō)相較而言的科班出身(名校+計(jì)算機(jī)相關(guān))�。
沒(méi)有常見(jiàn)的黑客洗白��,沒(méi)有帶著神秘的野路子手法人物�。
那他們是不是難以從攻擊者的角度考慮問(wèn)題?訪談過(guò)程中�,楊坤在講自己并非天才型黑客時(shí),順便也表示成員中都沒(méi)有像這樣的人物���。
而在那之后的某個(gè)時(shí)刻,他提到了科班出身的優(yōu)點(diǎn),對(duì)軟硬件都有全面的了解�����,邏輯嚴(yán)密等等����。
或許那才是這個(gè)團(tuán)隊(duì)最看重的素質(zhì)���。
從儲(chǔ)藏間轉(zhuǎn)身�,回客廳���,出門,在開(kāi)門拉門的那一剎那,某個(gè)從眼前掠過(guò)的圖案可能會(huì)突然抓住你(或者就是筆者我)的注意:在那扇公寓門的內(nèi)側(cè)�,學(xué)生宿舍一般的值日職責(zé)表的下面,貼了這么一張紙����。
當(dāng)然了��,它真的沒(méi)怎么發(fā)揮作用�。
附錄|一些沒(méi)在正文中提到的問(wèn)答問(wèn):CTF 比賽的心得(&DEFCON�����,HITCON 等不同地區(qū)比賽之間以及國(guó)內(nèi) CTF 競(jìng)賽的區(qū)別)先說(shuō)說(shuō) CTF 的優(yōu)點(diǎn)���。
CTF 形式的競(jìng)賽十分有趣,能夠很好地培養(yǎng)學(xué)生對(duì)網(wǎng)路安全技術(shù)的興趣�����;同時(shí),CTF 競(jìng)賽一般都由經(jīng)驗(yàn)豐富的安全專家來(lái)命題����,里面考察的技術(shù)都是與真實(shí)環(huán)境當(dāng)中所涉及的技術(shù)相通的���;CTF 競(jìng)賽是與時(shí)俱進(jìn)的���,業(yè)內(nèi)研究的熱點(diǎn)和流行的新技術(shù)都會(huì)出現(xiàn)在比賽中;CTF 競(jìng)賽非常多���,現(xiàn)在每年可打的比賽有好幾十個(gè)�����,如果想?yún)⒓樱瑤缀趺恐芏加?CTF 可打���。
我們打了三年多的國(guó)內(nèi)外 CTF,最大的心得就是堅(jiān)持參賽��,因?yàn)?CTF 中實(shí)在有太多的寶藏可以挖掘����。
說(shuō)起國(guó)內(nèi)外 CTF 的差別�,相比國(guó)內(nèi)比賽�,國(guó)際比賽考察的知識(shí)面比較廣,解題需要靠 扎實(shí)的計(jì)算機(jī)基礎(chǔ)����,比如密碼學(xué)���、算法�����、網(wǎng)絡(luò)協(xié)議�、操作系統(tǒng)��、體系結(jié)構(gòu)等等���,而不僅僅是攻擊的技巧或者工具使用�。
另外在二進(jìn)制安全方面���,難度要大很多。
近年來(lái)���,我們和 上海交通大學(xué)的 0ops 等經(jīng)常參加國(guó)際比賽的戰(zhàn)隊(duì)正在努力把國(guó)際風(fēng)格的比賽引入到國(guó)內(nèi)���,相信不久之后����,二者的差距會(huì)越來(lái)越小���。
問(wèn):創(chuàng)業(yè)以來(lái)有沒(méi)有做過(guò)非常正確或者非常錯(cuò)誤的決定���,有的話是什么�? 非常正確的決定與非常錯(cuò)誤的決定都很多���,選定中小型互聯(lián)網(wǎng)企業(yè)作為我們的目標(biāo)客戶和方向�����、選擇真格基金作為我們的投資方都是非常正確的決定�����。
選擇“0 元起步的網(wǎng)絡(luò)安全服務(wù)”作為切入口也是非常正確的做法�。
之前的時(shí)候我們甚至把免費(fèi)用戶轉(zhuǎn)化為付費(fèi)用戶的轉(zhuǎn)化率定得比較低�,但是實(shí)際情況比我們預(yù)想中好太多�����。
大概這也是因?yàn)槠髽I(yè)對(duì)待網(wǎng)絡(luò)安全問(wèn)題的態(tài)度轉(zhuǎn)變����,以及對(duì)長(zhǎng)亭科技的技術(shù)的認(rèn)可。
至于非常錯(cuò)誤的決定�����,我們?cè)?jīng)走過(guò)不少?gòu)澛?��,都屬于非常錯(cuò)誤的決定�,但是沒(méi)有這些彎路帶來(lái)的經(jīng)驗(yàn),我們也不會(huì)成長(zhǎng)�����,所以這樣看來(lái)非常錯(cuò)誤的決定不一定是壞的決定�。
*注: 楊坤在訪談時(shí)補(bǔ)充的又一特別正確決定:沒(méi)有接受某公司的股權(quán)互換收購(gòu)要求。
問(wèn):對(duì)有志從事網(wǎng)絡(luò)安全/企業(yè)信息安全的人的建議����。
對(duì)于想要從事安全行業(yè)的人,技術(shù)方面唯一的建議就是一定要堅(jiān)持學(xué)下去�,不要輕易放棄不要浮躁。
另外�����,希望他們能抵擋誘惑����。
這個(gè)行業(yè)里的誘惑太多���,如果不能抵擋誘惑很容易走上歪路�����,我們希望網(wǎng)絡(luò)安全這個(gè)行業(yè)發(fā)展越來(lái)越好�,不僅僅是技術(shù)越來(lái)越好。
所以希望更多的年輕人是走正確的道路����。
問(wèn):如果不從事網(wǎng)絡(luò)安全業(yè)的話,會(huì)希望去做什么���?*注:此回答來(lái)自聯(lián)合創(chuàng)始人陳宇森��,主要是真的發(fā)了很多圖過(guò)來(lái)��,不貼一些出來(lái)不好意思�����。
也許想去當(dāng)個(gè)廚師��,曬點(diǎn)圖咯~完�。
致謝:肉肉��,楊坤�,所有工作時(shí)被來(lái)訪者打斷還能接著碼代碼的長(zhǎng)亭成員���。
