訪談|楊坤&長亭科技,駭客創業的這一年


國際上卓有聲譽的CTF戰隊,黑客盛會Black Hat上的發佈者,成立一年多的安全檢測公司,從丁方做到乙方,不久前剛拿到投資。成員大約都是90後,基本注意衛生,可能夜間很喜歡反鎖公司的門。

六道口也在北京海淀。

它同樣像上一個更為知名的道口一樣,被諸多本地大學環繞。從地鐵站出來,混在一對對理論上正朝氣蓬勃的格子襯衫和背包組合裡過了馬路,豎穿一家基本不會有人打招呼的超市,就進入了一個安靜的小區。

進電梯,出電梯,拐彎,開門。正對大門的客廳裡是作為工位的電腦們,以及電腦屏幕後面可能被來訪者打擾了也可能沒有的人。這是網絡安全公司長亭科技的辦公室。 一年前,幾位快離開校門的年輕人湊了二十萬成立了他們的公司,未來尚不確定,這個距離中關村創業熱點稍遠的小區就成了當時最符合預算的場地選擇。

今天,他們賺了些錢,拿到了投資,確定了發展方向,也即將把辦公室搬到另一處去。不過在介紹那些前,讓我們先回顧一下歷史。

歷史在正對客廳左手直走到底處的儲藏間裡,一個箱子密密麻麻地塞着各種獎牌獎碑,其中一些大概來自大大小小的CTF(Capture The Flag,安全界的奪旗競賽)比賽。那是創始團隊成員們會認識彼此,對網絡攻防產生濃厚興趣,甚至最終決定一起創業的原因。

||起源|非天才的成長之路||

創始人之一是楊坤。 當然除了這個“之一”外,他還有很多更獨特的頭銜,比如目前成員中年紀最大的(出生於驚人的上個世紀八十年代末年),同時是僅有的還沒畢業的(博士在讀)。或者對本文來說更重要的是,他是那個下午創始人裡唯一有空到樓下咖啡廳坐著聊聊的。

楊坤不是歌手,也不是典型的少年天才型黑客。 如果問他為什麼要從事這一行,回答沒準是因為當時保研正好選了這個方向。 但嚴謹地按時間順序來推算,他的興趣起源於高中時代,那個時候他開始在自己的文曲星上編程,寫一些遊戲。

*對於可能不清楚的讀者,文曲星是一種世紀之交時很流行的電子辭典。長得大致如下圖。

彼時“計算機要從娃娃抓起”的口號已經出現,少年楊坤也在初中參加過奧林匹克信息競賽,至於為什麼高中反而要用文曲星而不是電腦編程,則有非常具備中國特色的兩個原因:1. 電腦家裡管得嚴。2.文曲星可以藏在課本後面玩。

他在文曲星上開發過簡單的RPG(Role-Playing Game,角色扮演遊戲),劇情都是找朋友幫忙寫的。 但這小小的興趣還是讓他打算去全面地瞭解計算機,併為此在大學選擇了電子工程系。

據說選擇此專業有利有弊,必備的基礎理論和派不上用場的學問都有。其間讓人(或者說讓筆者本人)印象深刻的有兩點:一個是他會不斷開發各種項目去在實踐中摸索運行原理,這似乎是日後這群人因研究CTF而瞭解甚至選擇安全業的預兆。另一個則是和將來成為鮮明對比的安全水平與意識,當時他建的協會網站上有明顯漏洞,時不時會被人掛個彈窗。 而據這位當事人話講,他一開始考慮過修復,不過發現對方也就是彈彈窗沒幹其他什麼事兒,所以就算了。

總而言之,原本對網絡攻防並無特別興趣的清華工科生楊坤聽從前輩建議沒有出國,又出於對母校的喜愛保研留校,陰錯陽差地和這個議題掛上了鈎。他又在研究生階段接觸了CTF,此後勢頭一發不可收拾。和同伴組建了藍蓮花(Blue-Lotus)戰隊征戰各大國內國際比賽,不僅讓非此專業的學生因其魅力轉頭加入了安全業,還因為鑽研比賽時展現的詭異狂熱和恆心吸引了日後長亭科技的早期成員。

[DEFCON合影]

||發展|從丁方到乙方||

畢業在即,幾位在CTF比賽中打得難捨難分的隊友已經對這個行業產生了濃厚的興趣,也不想就此分離。 當時大環境正在改善,政策正在重視網絡安全,看起來此領域的事業大有可為。

他們決定成立公司做些和安全有關的事。

不過這一整句話裡最簡單的只有“成立公司”那個部分。 “決定”很難,要說服聯合創始人從山清水秀的杭州搬到以不宜居住為居住特色的北京。“做些事”很難,當時毫無資歷名氣的幾人最窘迫時連軟件外包的活都做過,但更常見的是從傳統安全廠商那接客戶轉了幾手的項目,所謂乙方的乙方的乙方——丁方。

回憶這段經歷時,看起來比實際年齡還要年輕的楊坤笑個不停,或許是因為那都是過去時,現在通過口耳相傳的聲譽,他們至少當上單純的乙方了。

那乙方到底在做什麼?

[上下圖均來自長亭科技網站]

用一句話定義,是通過自身團隊為企業進行滲透測試(Penetration Testing, 有時簡稱為pentest ),並提供之後的修復建議。 不過,和近年國內安全界比較熱門的安全眾測概念*相反,他們完全通過公司內的技術人員對服務的企業進行針對性檢測。據說在某些案例下,他們的內部團隊找出的漏洞甚至多於廠商交給安全社區檢測後發現的。

*註:眾包(crowdsourcing)在漏洞檢測上的應用。有的平台由白帽黑客自主提交漏洞—如烏雲,ZDI;有的由廠商發佈項目交由社區測試—如漏洞盒子,Bugcrowd。

而另一個特點則是0元起步檢測。 這個在互聯網創業圈非常普遍的免費+增值收費概念對他們而言是艱辛的一步,畢竟團隊為每次檢測需要付出的成本太高。 不過,在提出後也被視為創業以來做過的最正確決定之一,據說鮮有廠商看到免費檢測的報告後仍決定不購買後續服務的。比起向不瞭解安全防護的企業科普可能的後果,一次模擬真實的攻擊或許直觀生動得多。

||同步|藍蓮花和SQLChop||

藍蓮花不等於長亭科技。

對於在創業之餘兼顧學位的楊坤來說,培養藍蓮花(Blue-Lotus)的新血也是偶爾需要關注的事。 這個在國際賽事上排行前列*的CTF戰隊基本是長亭團隊的源頭,卻因為太過小眾並沒有為這個公司帶來商業上的便利。不過發生在奪旗世界的傳說也只用在那個世界流傳,至少,這個隊伍還在取得不錯的成績,或許也在同時吸引下一批打算紮根的新人。

註:排名這種東西可以在CTFtime.org這個網站上查看。

比起藍蓮花,SQLChop和他們的主業關聯度高得多。 他們出於某種原因開發了這個基於詞法和語法分析的無規則SQL注入檢測引擎,卻發現既難以整合到別的項目裡,也沒到可以作為商業產品單獨推出的地步,所以乾脆用它投石問路,順便為這個成立不久的公司找點關注度。

[上圖為SQLChop demo頁面,下圖為團隊成員在會場合影]

效果似乎很成功,這個工具被今年Black Hat大會Arsenal分會場收錄。相關媒體在轉載介紹時,也提到了他們這家一年前還默默無聞的公司。

不過,關注度的又一次暴漲可能來自不久前在上海舉行的GeekPwn。他們取得的獎章也正躺在儲藏間的箱子裡,但和名次比起來,讓大眾印象深刻的應該是生活中的智能攝像頭被他們一一順手攻破的景象。 或者按楊坤的話說,這種比賽讓原來難以理解的黑客行為“可視化了”。

||番外|科班生,不要忘了鎖門||

從被當作工作間的客廳穿過去,還有個會議室。 一側是長桌子,另一側是床墊,開會前還需要整理下房間。據說床墊是給那些工作到太晚或熬夜的人使用,有實習生的時候偶爾還要佔領陽台。又據說這種情況很少發生,除非是碰上急事。

說這話時楊坤認真強調他們注重的是效率,一般工作時間就是早上九十點到晚上六點。 不過認真後緊接着的是八卦環節,比如因為工作時間特別人性化,這個目前成員剛過兩位數,僅有一位女生的公司竟然實現了極高的非單身率(> 72%),着實感人。

說到成員,除了和業內平均相較而言的非常年輕之外,就是和業內傳說相較而言的科班出身(名校+計算機相關)。 沒有常見的黑客洗白,沒有帶著神秘的野路子手法人物。

那他們是不是難以從攻擊者的角度考慮問題?

訪談過程中,楊坤在講自己並非天才型黑客時,順便也表示成員中都沒有像這樣的人物。而在那之後的某個時刻,他提到了科班出身的優點,對軟硬件都有全面的瞭解,邏輯嚴密等等。或許那才是這個團隊最看重的素質。

從儲藏間轉身,回客廳,出門,在開門拉門的那一剎那,某個從眼前掠過的圖案可能會突然抓住你(或者就是筆者我)的注意:

在那扇公寓門的內側,學生宿舍一般的值日職責表的下面,貼了這麼一張紙。 當然了,它真的沒怎麼發揮作用。

||附錄|一些沒在正文中提到的問答||

問:CTF比賽的心得(&DEFCON,HITCON等不同地區比賽之間以及國內CTF競賽的區別)

先說說CTF的優點。CTF形式的競賽十分有趣,能夠很好地培養學生對網路安全技術的興趣;同時,CTF競賽一般都由經驗豐富的安全專家來命題,裡面考察的技術都是與真實環境當中所涉及的技術相通的;CTF競賽是與時俱進的,業內研究的熱點和流行的新技術都會出現在比賽中;CTF競賽非常多,現在每年可打的比賽有好幾十個,如果想參加,幾乎每週都有CTF可打。我們打了三年多的國內外CTF,最大的心得就是堅持參賽,因為CTF中實在有太多的寶藏可以挖掘。說起國內外CTF的差別,相比國內比賽,國際比賽考察的知識面比較廣,解題需要靠紮實的計算機基礎,比如密碼學、算法、網絡協議、操作系統、體系結構等等,而不僅僅是攻擊的技巧或者工具使用。另外在二進制安全方面,難度要大很多。近年來,我們和 上海交通大學的0ops等經常參加國際比賽的戰隊正在努力把國際風格的比賽引入到國內,相信不久之後,二者的差距會越來越小。

問:創業以來有沒有做過非常正確或者非常錯誤的決定,有的話是什麼?

非常正確的決定與非常錯誤的決定都很多,選定中小型互聯網企業作為我們的目標客戶和方向、選擇真格基金作為我們的投資方都是非常正確的決定。選擇“0元起步的網絡安全服務”作為切入口也是非常正確的做法。之前的時候我們甚至把免費用戶轉化為付費用戶的轉化率定得比較低,但是實際情況比我們預想中好太多。大概這也是因為企業對待網絡安全問題的態度轉變,以及對長亭科技的技術的認可。

至於非常錯誤的決定,我們曾經走過不少彎路,都屬於非常錯誤的決定,但是沒有這些彎路帶來的經驗,我們也不會成長,所以這樣看來非常錯誤的決定不一定是壞的決定。

*註: 楊坤在訪談時補充的又一特別正確決定:沒有接受某公司的股權互換收購要求。

問:對有志從事網絡安全/企業信息安全的人的建議。

對於想要從事安全行業的人,技術方面唯一的建議就是一定要堅持學下去,不要輕易放棄不要浮躁。另外,希望他們能抵擋誘惑。這個行業裡的誘惑太多,如果不能抵擋誘惑很容易走上歪路,我們希望網絡安全這個行業發展越來越好,不僅僅是技術越來越好。所以希望更多的年輕人是走正確的道路。

問:如果不從事網絡安全業的話,會希望去做什麼?

*註:此回答來自聯合創始人陳宇森,主要是真的發了很多圖過來,不貼一些出來不好意思。

也許想去當個廚師,曬點圖咯~

完。致謝:肉肉,楊坤,所有工作時被來訪者打斷還能接着碼代碼的長亭成員

#chaitin #訪談 #cybersecurity

Just a Hi!
Recent Posts
Search By Tags
No tags yet.