【访谈】80 后博士黑客创业的这一年
六道口也在北京海淀。
它同样像上一个更为知名的道口一样,被诸多本地大学环绕。从地铁站出来,混在一对对理论上正朝气蓬勃的格子衬衫和背包组合里过了马路,竖穿一家基本不会有人打招呼的超市,就进入了一个安静的小区。
进电梯,出电梯,拐弯,开门。正对大门的客厅里是作为工位的电脑们,以及电脑屏幕后面可能被来访者打扰了也可能没有的人。这是网络安全公司长亭科技的办公室。 一年前,几位快离开校门的年轻人凑了二十万成立了他们的公司,未来尚不确定,这个距离中关村创业热点稍远的小区就成了当时最符合预算的场地选择。
今天,他们赚了些钱,拿到了投资,确定了发展方向,也即将把办公室搬到另一处去。不过在介绍那些前,让我们先回顾一下历史。
历史在正对客厅左手直走到底处的储藏间里,一个箱子密密麻麻地塞着各种奖牌奖碑,其中一些大概来自大大小小的 CTF(Capture The Flag),安全界的夺旗竞赛)比赛。那是创始团队成员们会认识彼此,对网络攻防产生浓厚兴趣,甚至最终决定一起创业的原因。
起源:非天才的成长之路
创始人之一是杨坤。 当然除了这个“之一”外,他还有很多更独特的头衔,比如目前成员中年纪最大的(出生于惊人的上个世纪八十年代末年),同时是仅有的还没毕业的(博士在读)。或者对本文来说更重要的是,他是那个下午创始人里唯一有空到楼下咖啡厅坐着聊聊的。
杨坤不是歌手,也不是典型的少年天才型黑客。 如果问他为什么要从事这一行,回答没准是因为当时保研正好选了这个方向。 但严谨地按时间顺序来推算,他的兴趣起源于高中时代,那个时候他开始在自己的文曲星上编程,写一些游戏。
*对于可能不清楚的读者,文曲星是一种世纪之交时很流行的电子辞典。长得大致如下图。
彼时“计算机要从娃娃抓起”的口号已经出现,少年杨坤也在初中参加过奥林匹克信息竞赛,至于为什么高中反而要用文曲星而不是电脑编程,则有非常具备中国特色的两个原因:1. 电脑家里管得严。2.文曲星可以藏在课本后面玩。
他在文曲星上开发过简单的 RPG(Role-Playing Game,角色扮演游戏),剧情都是找朋友帮忙写的。 但这小小的兴趣还是让他打算去全面地了解计算机,并为此在大学选择了电子工程系。
据说选择此专业有利有弊,必备的基础理论和派不上用场的学问都有。其间让人(或者说让笔者本人)印象深刻的有两点:一个是他会不断开发各种项目去在实践中摸索运行原理,这似乎是日后这群人因研究 CTF 而了解甚至选择安全业的预兆。另一个则是和将来成为鲜明对比的安全水平与意识,当时他建的协会网站上有明显漏洞,时不时会被人挂个弹窗。 而据这位当事人话讲,他一开始考虑过修复,不过发现对方也就是弹弹窗没干其他什么事儿,所以就算了。
总而言之,原本对网络攻防并无特别兴趣的清华工科生杨坤听从前辈建议没有出国,又出于对母校的喜爱保研留校,阴错阳差地和这个议题挂上了钩。他又在研究生阶段接触了 CTF,此后势头一发不可收拾。和同伴组建了蓝莲花(Blue-Lotus)战队征战各大国内国际比赛,不仅让非此专业的学生因其魅力转头加入了安全业,还因为钻研比赛时展现的诡异狂热和恒心吸引了日后长亭科技的早期成员。
发展:从丁方到乙方
毕业在即,几位在 CTF 比赛中打得难舍难分的队友已经对这个行业产生了浓厚的兴趣,也不想就此分离。 当时大环境正在改善,政策正在重视网络安全,看起来此领域的事业大有可为。
他们决定成立公司做些和安全有关的事。
不过这一整句话里最简单的只有“成立公司”那个部分。 “决定”很难,要说服联合创始人从山清水秀的杭州搬到以不宜居住为居住特色的北京。“做些事”很难,当时毫无资历名气的几人最窘迫时连软件外包的活都做过,但更常见的是从传统安全厂商那接客户转了几手的项目,所谓乙方的乙方的乙方——丁方。
回忆这段经历时,看起来比实际年龄还要年轻的杨坤笑个不停,或许是因为那都是过去时,现在通过口耳相传的声誉,他们至少当上单纯的乙方了。
那乙方到底在做什么?
用一句话定义,是通过自身团队为企业进行渗透测试(Penetration Testing, 有时简称为 pentest ),并提供之后的修复建议。 不过,和近年国内安全界比较热门的安全众测概念*相反,他们完全通过公司内的技术人员对服务的企业进行针对性检测。据说在某些案例下,他们的内部团队找出的漏洞甚至多于厂商交给安全社区检测后发现的。
*注:众包(crowdsourcing)在漏洞检测上的应用。有的平台由白帽黑客自主提交漏洞—如乌云,ZDI;有的由厂商发布项目交由社区测试—如漏洞盒子,Bugcrowd。
而另一个特点则是 0 元起步检测。 这个在互联网创业圈非常普遍的免费+增值收费概念对他们而言是艰辛的一步,毕竟团队为每次检测需要付出的成本太高。 不过,在提出后也被视为创业以来做过的最正确决定之一,据说鲜有厂商看到免费检测的报告后仍决定不购买后续服务的。比起向不了解安全防护的企业科普可能的后果,一次模拟真实的攻击或许直观生动得多。
同步:蓝莲花和 SQLChop
蓝莲花不等于长亭科技。
对于在创业之余兼顾学位的杨坤来说,培养蓝莲花(Blue-Lotus)的新血也是偶尔需要关注的事。 这个在国际赛事上排行前列*的 CTF 战队基本是长亭团队的源头,却因为太过小众并没有为这个公司带来商业上的便利。不过发生在夺旗世界的传说也只用在那个世界流传,至少,这个队伍还在取得不错的成绩,或许也在同时吸引下一批打算扎根的新人。
注:排名这种东西可以在 CTFtime.org 这个网站上查看。
比起蓝莲花,SQLChop 和他们的主业关联度高得多。 他们出于某种原因开发了这个基于词法和语法分析的无规则 SQL 注入检测引擎,却发现既难以整合到别的项目里,也没到可以作为商业产品单独推出的地步,所以干脆用它投石问路,顺便为这个成立不久的公司找点关注度。
效果似乎很成功,这个工具被今年 Black Hat 大会 Arsenal 分会场收录。相关媒体在转载介绍时,也提到了他们这家一年前还默默无闻的公司。
不过,关注度的又一次暴涨可能来自不久前在上海举行的 GeekPwn。他们取得的奖章也正躺在储藏间的箱子里,但和名次比起来,让大众印象深刻的应该是生活中的智能摄像头被他们一一顺手攻破的景象。 或者按杨坤的话说,这种比赛让原来难以理解的黑客行为“可视化了”。
番外:科班生,不要忘了锁门
从被当作工作间的客厅穿过去,还有个会议室。 一侧是长桌子,另一侧是床垫,开会前还需要整理下房间。据说床垫是给那些工作到太晚或熬夜的人使用,有实习生的时候偶尔还要占领阳台。又据说这种情况很少发生,除非是碰上急事。
说这话时杨坤认真强调他们注重的是效率,一般工作时间就是早上九十点到晚上六点。 不过认真后紧接着的是八卦环节,比如因为工作时间特别人性化,这个目前成员刚过两位数,仅有一位女生的公司竟然实现了极高的非单身率(> 72%),着实感人。
说到成员,除了和业内平均相较而言的非常年轻之外,就是和业内传说相较而言的科班出身(名校+计算机相关)。 没有常见的黑客洗白,没有带着神秘的野路子手法人物。
那他们是不是难以从攻击者的角度考虑问题?
访谈过程中,杨坤在讲自己并非天才型黑客时,顺便也表示成员中都没有像这样的人物。而在那之后的某个时刻,他提到了科班出身的优点,对软硬件都有全面的了解,逻辑严密等等。或许那才是这个团队最看重的素质。
从储藏间转身,回客厅,出门,在开门拉门的那一刹那,某个从眼前掠过的图案可能会突然抓住你(或者就是笔者我)的注意:
在那扇公寓门的内侧,学生宿舍一般的值日职责表的下面,贴了这么一张纸。 当然了,它真的没怎么发挥作用。
附录|一些没在正文中提到的问答
问:CTF 比赛的心得(&DEFCON,HITCON 等不同地区比赛之间以及国内 CTF 竞赛的区别)
先说说 CTF 的优点。CTF 形式的竞赛十分有趣,能够很好地培养学生对网路安全技术的兴趣;同时,CTF 竞赛一般都由经验丰富的安全专家来命题,里面考察的技术都是与真实环境当中所涉及的技术相通的;CTF 竞赛是与时俱进的,业内研究的热点和流行的新技术都会出现在比赛中;CTF 竞赛非常多,现在每年可打的比赛有好几十个,如果想参加,几乎每周都有 CTF 可打。我们打了三年多的国内外 CTF,最大的心得就是坚持参赛,因为 CTF 中实在有太多的宝藏可以挖掘。说起国内外 CTF 的差别,相比国内比赛,国际比赛考察的知识面比较广,解题需要靠 扎实的计算机基础,比如密码学、算法、网络协议、操作系统、体系结构等等,而不仅仅是攻击的技巧或者工具使用。另外在二进制安全方面,难度要大很多。近年来,我们和 上海交通大学的 0ops 等经常参加国际比赛的战队正在努力把国际风格的比赛引入到国内,相信不久之后,二者的差距会越来越小。
问:创业以来有没有做过非常正确或者非常错误的决定,有的话是什么? 非常正确的决定与非常错误的决定都很多,选定中小型互联网企业作为我们的目标客户和方向、选择真格基金作为我们的投资方都是非常正确的决定。选择“0 元起步的网络安全服务”作为切入口也是非常正确的做法。之前的时候我们甚至把免费用户转化为付费用户的转化率定得比较低,但是实际情况比我们预想中好太多。大概这也是因为企业对待网络安全问题的态度转变,以及对长亭科技的技术的认可。
至于非常错误的决定,我们曾经走过不少弯路,都属于非常错误的决定,但是没有这些弯路带来的经验,我们也不会成长,所以这样看来非常错误的决定不一定是坏的决定。
*注: 杨坤在访谈时补充的又一特别正确决定:没有接受某公司的股权互换收购要求。
问:对有志从事网络安全/企业信息安全的人的建议。 对于想要从事安全行业的人,技术方面唯一的建议就是一定要坚持学下去,不要轻易放弃不要浮躁。另外,希望他们能抵挡诱惑。这个行业里的诱惑太多,如果不能抵挡诱惑很容易走上歪路,我们希望网络安全这个行业发展越来越好,不仅仅是技术越来越好。所以希望更多的年轻人是走正确的道路。
问:如果不从事网络安全业的话,会希望去做什么?
*注:此回答来自联合创始人陈宇森,主要是真的发了很多图过来,不贴一些出来不好意思。
也许想去当个厨师,晒点图咯~
完。致谢:肉肉,杨坤,所有工作时被来访者打断还能接着码代码的长亭成员。
题图来自:allpics