当笑然(阿里云先知平台负责人,详见:【白帽】圈里圈外,笑然面对)联系我,说想请我在先知白帽大会上主持个圆桌,我有点蒙,我这么个只会务虚不懂技术的“老头子”,在一帮技术高超的年轻后生堆里,似乎有点不搭调?
不过,当听到坐在台上的,是Xundi、云舒、黑哥、薛锋这四位“老江湖”,其中云舒和薛锋都曾上过“安在访谈”,我这心里多少踏实了些。都是熟面孔,不大可能给我冷脸。“不用讲技术,就是论一下白帽子成长、发展之类的。”主办方进一步给我宽心,好吧,那就硬着头皮上吧。
先说说与我同台这四位,个顶个的英雄好汉。
云舒,前阿里资深专家,创业默安科技后担任CTO,一位信奉在网络世界里有1说1有0说0、嫉恶如仇且敢作敢当的知乎大V。
(详见:云舒,一个技术至上者的理想主义)
黑哥,知道创宇CSO,一位丢掉手术刀捧起键盘鼠标的传奇黑客。
Xundi,安全焦点没人不知道吧?作为曾经的安焦掌门人,现为阿里巴巴高级安全专家,是影响过一代古典黑客的教父级人物。
薛锋,微步在线创始人,有着“情报薛”美誉的创业新锐,曾经身着微软、亚马逊等一连串的闪光履历。
(详见 :贵人相助,创业微步,薛锋成就网络安全007)
四位大咖,各个都不是“省油的灯”,我该如何面对?妻儿
主办方事先拉群,问要不要做些准备?我嘴上说不用,其实私底下还是老老实实做了功课的。查阅网上资料,复习之前访谈,提炼各自特点,再结合白帽子成长与发展之主题,突然觉得,好像又是在做一场安在访谈了,只不过这次,一来台下几百观众,二来台上以一对四,加上限定1个小时,“螺丝壳”里怎么做出既风光又实惠的“四居室”呢?
斟酌再三翻来覆去,最终心里落定,就看五点:
话题1,关于出身。对白帽子来说,科班与野路子,是各领风骚还是殊途同归?
话题2,关于社群。孤胆英雄式的自我发展,与社群交流式的互动成长,此一时彼一时,抑或正当其时?
话题3,关于表达。白帽子们真的只能是“键盘侠”?但如何让自己人前也能从容而自如?
话题4,关于成长。陶醉于挖漏找洞等技术钻研的海洋,白帽子如何还能更好地规划自己的职业发展?毕竟,“江湖”,不同于职场。
话题5,关于法律。无可回避地,白帽子必须面对网络与现实世界、特长与施展尺度、道德与法律边界等一系列问题。
如上每一点若深入下去,都会是一连串的话题。一个小时的“访谈”,又是同时面对四位,只能是蜻蜓点水了。
接下来,我就以整理修订后的现场笔录为证,点到为止,看这场特殊的“安在访谈”究竟如何吧。
英雄不问出处
张耀疆:来参加白帽大会的年轻人居多,台上这几位作为“老皮”,都是偶像级人物。不过,我提醒一下在座各位,别盲目学习,他们未必是好榜样。说实话,如果我是家长,我肯定不让我的小孩学他们。为什么?这也是我提出的第一个问题,你们几位,都是什么学校什么专业毕业的?以及,究竟毕业了没有?
黑哥:我是学医的,南华大学临床医学,我高三读了两次,复读才考上一本,不过,当初梦想也是清华北大,可惜空有热心。我本科五年,学习成绩是比较差的,大学期间,对网络安全很感兴趣,但纯靠自学。
张耀疆:毕业后从事过本职吗?忍不住八卦一下,听说你曾经是割皮包哦不,割包皮的?是真是假?
黑哥:当然,一开始就是从医。不过,不管皮包还是包皮,割起来都是一刀下。我们是临床医学,什么都学,内外妇儿必须都学,毕业工作分配到医院后,再根据自己方向或者意愿,结合当地医院科室缺口以及医术,决定进什么科。我待过很多科,到离职时候是在泌尿外科,所以你说割包皮,也OK,我承认!
张耀疆:安全圈有两个学医的,你一个,还有TK,人称“妇科圣手”,从医学转向网络安全,跨度如此之大,还都如此成功,有什么内在玄机吗?
黑哥:安全圈其实学医的很多,可能因为我和TK平时站出来比较多,所以大家都只记得我俩了。怎么说呢?其实没什么玄机,只能说当初我们没其他选择吧,毕竟早年间还没有信息安全这个行当。对我来说,家里希望我有个铁饭碗,就学医了。其实搞安全的,最根本的还是看个人兴趣,昨天我们吃火锅,闲聊起来,发现一桌子里头没一个是科班出身,当时没这个专业,入行全靠兴趣。
张耀疆:你说的是过去的时代背景,假如说那个时候就像现在,有信息安全一级学科,你一定会选吗?
黑哥:也不一定。我在中学时候就有计算机课了,每周一节,统一机房,穿鞋套,上网是八块、十块一小时,我那时候一个月才30块零用钱,上网对我是很奢侈的,当时看人五笔打字都能站旁边看半天,觉得很神奇。不过,那时候我的梦想是当一个发明家,爱迪生那样的,所以就看了很多发明类的书。因为条件所限,直到读了大学以后,网吧兴起,上网条件改善,我才开始接触网络安全的。
张耀疆:不管怎么说黑哥算是正经毕业了的,接下来说说云舒,据我了解,云舒可是绝对的“坏学生”,因为压根就没毕业。
云舒:对。我大学是学经济的,本来应该可以成为一个经济学学士,但我没上完。是到大四,我知道自己肯定毕不了业,干脆就先走了,所以就没有学位。我大学比较一般,但我高中很厉害的,估计很多人做过黄冈秘卷,那可是我们的“特产”。
张耀疆:回头看,没有毕业,对你来说算是败笔还是算英雄事迹?
云舒:没毕业这事儿当时还是让我很担心和迷茫的,且不说对自己以后发展心里没底,至少也无法跟家里人交待,所以离开学校后我很长时间都没跟家里人讲,直到两年以后,去雅虎工作,做的还可以,才敢跟家里说,家里人也才稍微放心一些。
张耀疆:其实云舒是个特例,我们都知道,“坏学生”很多,但真正能华丽转身变成英雄,像云舒这样的,就很少了,所以,再次提醒,大家可别学哦。接下来,我要问薛锋了,听说你学校不错,但好像也不算个好学生?
薛锋:我本科是同济大学,热能与动力专业,以前接受耀疆采访时讲过,大学期间挂了很多科,最后能毕业,也是很幸运的,用了点小技巧。
张耀疆:嗯,这里面就体现出薛锋的聪明。当然,技巧应该不包括黑学校系统、改成绩这样的吧?之前我采访过的很多同学,好像都曾经用过黑系统改成绩的“小技巧”,薛锋干过这事吗?
薛锋:还真没有。
张耀疆:接下来问一下Xundi,你的背景是怎样的?
Xundi:这问题你挖的有些深,这里头算我年纪最大吧,说起来都是93年的事了。当时高考成绩不好,刚好浙江大学有个是专科招录,计算机应用,我就报了,没想到就被录取了。当时觉得浙江大学是个好学校,对于选专业倒没什么,只读了三年,东西学的也不多。那会儿还没有互联网,只有机房,这大概就算我的学习背景吧。
张耀疆:四位还是比较谦虚的,讲得都比较简单。但不管是学校、专业还是毕业后所从事的工作,一开始都跟网络安全不是太相关,但有一点是共同的,既然能够走到今天,取得突出的成绩,都是受强烈的兴趣驱动,自己钻进来的。说到这里,我又想起谭校长讲过的一句话:“一个真正的白帽子黑客,不是别人怎么样带领你,而是自己,靠着强烈的兴趣驱动,就能够发展起来。你只需要给他开一扇窗,连摸带爬得他都要自己钻过去。”我想,英雄不问出处,这就是白帽子。
白帽社区今何在?
张耀疆:在我印象里,2000年前后,国内网络安全圈的氛围还是相对单一的,包括交流的渠道,IRC、论坛这样的,安全焦点和绿色兵团,作为当时最知名的黑客组织,曾经培育出一代的网络安的精英。也许是属于我们的时代翻篇了,现在的氛围就觉得稍微陌生了些。昨天颁奖典礼时,看到那么多团队,名字不大能记住,真的是百花齐放呀。我想问一下Xundi,十年前和现在,黑客或者说白帽子社群交流的氛围,有什么异同?
Xundi:肯定有差异性。我们以前基本上是用论坛交流的方式,而且开放性也没有现在强。当然,现在你要找一些安全资料,除了搜索引擎外,只有一些所谓的安全媒体,像以前那样提供学习的论坛或者圈子是比较少了。倒不是说现在不如当初,而是说学习方式变化了。原来基本上只能自己折腾,现在呢,谷歌搜索就能找到大量论文和技术资料,比以前美好多了。我们当时很痛苦的,花大量时间从网上拖资料,然后翻译,整理,实践。根本上,对自我驱动能力的要求都差不多,只不过是分享和交流的系统发生了变化。
张耀疆:也就是说,不管怎样,白帽子群体还是非常渴望有一个除了工作之外的平台或机制,能够提供一种社群交流的氛围,那这方面,现在倒是个空白了?
Xundi:肯定少了很多。不过,现在走进这个会场的年轻人这么多,其实也都有自己的小圈子,像以前乌云的QQ群,小圈子还是有频繁交流的,只不过圈子和圈子不一样,你很难广泛接触。当然,我有时候也会潜水,看到有些东西也会交流,但交流的方式和沟通的理念会不大一样。在我看来,真要找还是能找到的,就看自己有没有用心去找圈子吧。
张耀疆:提到白帽社群,昨天笑然讲过,先知平台要搭建起技术交流的社区,这个说法我很认同。为什么刚才我说有个空档期呢?大家都知道,自从乌云事件之后,广泛意义上的白帽子交流社区是缺失了的,但不代表没有需要。如果我们能把平台的概念逐渐转向社区的概念,这里面的交流和互动可能就会体现得更充分一些。关于这一点,Xundi作为安焦早期创始人,有什么经验可以分享?
Xundi:其实我一直有参与笑然的项目,以后还会更积极地参与社群和众测项目,我觉得挺好。笑然搞了钉钉群和微信群,我都加了,互动非常活跃,几千条信息在里面,是一种很好的沟通氛围。
从兴趣爱好到职业发展
张耀疆:之所以提社群这个概念,是因为关系到白帽子成长,而关于成长,又不仅仅是技术交流,毕竟和职业发展还有区别。白帽基于平台或社区做技术交流,提高挖漏能力,但自身身处的,会是某家公司,无论你是网络安全工程师,还是程序员,你需要考虑的是未来怎样做职业规划。相对而言,现在的平台或社区这方面体现的少了点。就这一点,我想问一下薛锋。当初采访薛锋时印象很深刻,就是感觉你一路走来都很顺,从体制内,到体制外,从微软到亚马逊,现在创业,基本上没走弯路,那这是有意设计的?还是怎样的?
薛锋:这个话题很大,云舒他们几位其实都可以分享。就我个人而言,从2000年开始接触网络安全,那时候选择特别少,国内安焦、绿盟是比较活跃的论坛,还有《黑客防线》这样的杂志,其他就没什么了。现在不一样了,不是怎么找资料,而是找到太多资料,要怎么选。
我最早也是自学网络安全,当时的兴趣就是搞好技术。后来以技术研究的想法到微软,却转向做技术管理,只能说是阴差阳错的机会。当时招我的老板说,愿意不愿意来微软?说是来搞研究,我说搞研究就有兴趣,结果去了后再也没搞过研究。我去微软前是搞漏洞研究的,去微软后开始做项目管理、技术管理,但一路走来规划的成份并不很多。总体上,我觉得还是兴趣比较重要,还要勤奋和踏实。
不管什么岗位,往往是很难规划的,我在微软时有位导师说过一句话,我们大部分人都习惯于高估短期可以做的事情,却特别容易低估长期,比如三年、五年可以做的事情。现在社会变化这么快,如果说规划,还是把当前的事情规划好,去做好。相信今天在座的,不管是年长还是年轻的朋友,很多人的职业是无法规划的,网络安全更是如此,作为很新的行业,我相信很多人都很难预料短时间内的变化,从甲方到乙方,又从乙方到甲方。还是跟着兴趣走吧,并且足够勤奋,就好了。
张耀疆:整个听下来,一种活在当下的感觉。不过,在职业发展过程中,难免面临选择,比如一直搞技术的,如果要脱离技术一线,心里就会不踏实。像有些人,就是事情推动在发展的,最早搞技术,后来做售前,再做销售,到管理。关于选择,薛锋怎么看?
薛锋:我记得道哥以前专门写过职业道路选择的文章,大家可以去看看。
据我的经验,微软等大公司,很早就提出P序列和M序列,两条道路的选择跟个人的兴趣和机遇都有关。如果搞技术工作让自己兴奋,就沿着技术路线走好了,其实搞技术也有进阶,比如做技术架构和技术管理。至于是否有成就感,就看所做的事情有没有发自内心的兴奋。比如我,早年间,每找到一个漏洞,都迫不及待想和人分享,好像我突然发现了世界上一个大秘密似的,有这种感觉,就比较适合搞技术。后来到微软,在更大的平台上,突然觉得,就算你找了100个CVE再找另100个又能怎样?首先微软内部聪明人太多了,很多你只能仰望,再走这条路,其实个人没什么发展,其次觉得有这样的平台和用户基础,做一些技术含量虽低但影响面很广的事情可能更有成就感,这时候,很自然我就转到非技术的管理类岗位上去了。
基于价值观的表达
张耀疆:昨天听笑然演讲,提到白帽子群体的特点,看到有一个白帽写的个人目标,我还蛮感触的,其中有一条是锻炼自己的表达能力。安在走访过很多人,包括年轻人,很多年轻人技术上很厉害,很有特点,生活中也不乏情趣,但最大的问题就是不善表达。
比如你问他的本来是个开放式问题,但得到的反馈往往是“嗯,还好”、“这个我没想过”类似的封闭式解答。其实,如果表达好,往往加分很厉害的。我也经常给年轻人建议,除了钻研技术,不要封闭自己,要多与人交流,多做分享,有意识去锻炼自己的表达能力。
当然,交流和表达并不仅仅是语言沟通,还在于思维方式和文笔书写等,这方面不得不提一下云舒。公众认识的云舒,是一个非常有个性的知乎大V,而在我看来,云舒一方面是非常开放,乐于分享,另一方面,又有很强的表达能力,支撑这种表达的不仅仅是技术,更是一种价值观。作为一个技术分享者,我们与人交流不仅仅是让人知道我善谈能写,更是要表达出,我坚持什么?什么理念?要输出什么价值观?对此,云舒给我留下非常深刻的印象,接下来,就请云舒谈谈个人感受。
云舒:黑哥当年说过,从阿里出来的人都比较能忽悠,我估计说的是我和道哥吧。我自己觉得,我的出发点蛮简单的,之所以表达分享,只是想把一件事讲清楚,呈现出原貌。我一直很认同TK说过的一句话,是在很多年前一次安焦论坛上,TK当时回复一个人的提问,说计算机的好处就是1就是1、0就是0,打印出来看一下就可以了。我就是这样,我在微博或者知乎上和人讨论,并没有特别目的,只是想呈现技术原貌,从技术上把事情说清楚,搞明白到底是对还是错。我并不带有任何感情色彩,比如以特定公司身份或从它的角度出发。所以有时候大家会觉得,我写文章态度会差一些。其实态度本身并不重要,价值观也不需要高大上,原原本本呈现世界的原貌,对技术人员来说就是最好的价值观。
张耀疆:在我印象里,你已经无数次说过要离开知乎了,可又一次次地回来了,是什么原因让你留在知乎?或者说,是什么驱使你不断地不吐不快?
云舒:其实离不离开对我来说没啥区别。前天还有人给我发了私信,说以前看你有很多观点,现在怎么天天关注美女和好看的照片呢?我就讲,关注美好的东西本身不就是一件很好的事情吗?也许从技术角度讲,我确实是离开了,因为以前我会和人讨论很多技术方面的东西,现在就不会再去讲这些了。我本来是想说,技术的东西很清楚的,1就是1,0就是0,但跟很多人讲不通。现在创业了,很辛苦,很累,头痛更心痛,那在知乎上看看段子和美女,就会很开心。这种轻松的状态,像喝茶聊天一样,不像以前那样子,所以说我离开也没有错,但其实我并没离开,还很活跃,其实也没错。
张耀疆:这话说得很圆滑(笑),离开也可以,不离开也可以。但不管怎样,都是在分享。从个人表达能力提升上讲,分享的愿望和持续性非常重要,我是觉得,在座的年轻的白帽子们,如果想持续提升并完善自己,除了挖漏的技术以外,也多去做一些分享,包括在社群里,也包括跟安全无关的一些其他平台,比如微博、知乎等。通过分享,你会觉得面越来越宽,得到的积极反馈也会越来越多,也能更好地激励你朝着更广泛的机会路径上去发展。
情与法
张耀疆:对白帽子以及众测平台来说,大家绕不开的一个话题,就是法律。甚至可以说,这是白帽子们必须补上的一块短板。白帽子们沉浸在纯粹的技术世界里,有情有义,但殊不知现实世界充满了坑——说的好听叫规则,说得不好听就是坑,搞不好就载进去。像之前的乌云事件,不少人心里其实是打鼓的。前阵子我曾走访过一位网警,从他那里也了解到很多现实法律问题,但相比而言,很多白帽子们之前觉得很单纯很无意的做法,现在看来都是走在高压线上的,往往不是不违法,而是没被追究而已。比如对于漏洞测试,只要是非授权,严格意义上就是违法的,还有就是黑客技术和工具的传授,基于利益获取考虑,也是违法的。就此问题,早前我曾和黑哥有过简短交流,那现在,还是想听听黑哥有什么看法?
黑哥:我没犯过事,这问题为什么找我回答?(笑)是这样的,其实我不太想提白帽子、红帽子、绿帽子,我只有一个观点,颜色我不管,我只看很单纯的从事网络安全研究的这么一个人,或者说从业者。
首先说法律(《网络安全法》)颁布了,肯定是好事,任何事物都是从无到有的过程,以前是以江湖来形容网络安全这个行当的,江湖也有江湖的规则,那现在,国家层面颁布了法律,就有了正规的机制,是一个好的开端。但也要看到,任何事物的发展都是变化的,法律也不是一成不变的,也会在实践中不断去完善的。
就实践而言,很多细节其实很难界定,这就需要大家一起PK,我平时很喜欢PK,从中会引发很多思考。比如你说只要是非授权的测试都可能违法,那问题就来了,我访问一个URL,一不小心输入了一个逗号,结果报错了,说明它有问题,这种情况下,我是报还是不报?我没有得到授权,可这个问题是我发现的,我是先要申请授权再做这事?还是发现问题了瞒着不说?可也许后续影响会非常大呢。所以说,很多事情如果只是生搬硬套,你会发现,连这个行业都不可能存在了,网络安全整个就可能成为一个笑话,因为你什么都做不了。
沟通其实是一个问题。发现漏洞,比如随便输入一个逗号发现有注入漏洞,去和厂商沟通,厂商可能不认可,说不能说明什么,看起来是按流程来的,但其实双方理解上并不一致。如果企业有能力验证漏洞还好,可如果没有这个技术力量,就会产生问题,比如评分低了,甚至不承认等等。当然,SRC机制一定程度上促进了沟通,但目前来看,很多SRC和平台其实是不具备这个漏洞验证能力的。
还有一个法律解读的问题,有些解读是看获取数据达到多少多少条,有些则看到底有没有造成经济损失,损失多大,还有要看出发点,比如是想通过技术手段获得经济利益。法律评定,是要基于出发点和最终效果来的,不是简单对照条条框框来机械解读。
技术要进步,整个行业要发展,不可能让一些机械教条的东西成为绊脚石。像滴滴,刚出来时也没什么运营资质,算是非法的吧,但后来逐渐变化,改进完善。所以说,事物发展一定是要经历一个过程的,当然,中间难免会有一些趟雷的成了牺牲品,关键是要注意掌握一个度。
总体上,法律健全是必然的,但对白帽子们来说,也要放宽心态,不是说法律出来了就什么都不能做了,法律绝不会冤枉一个好人,也不会放过坏人。只是在操作过程中注意“度”的问题,尽可能表现出好心,告诉别人你只是从安全角度思考,希望整个环境能OK起来。
张耀疆:黑哥的意思其实很明白了,我的理解是,不忘初心加有效沟通。在这样的心态下,让自己继续在基于兴趣的技术钻研道路上前进,同时少掉一些坑。
当然,除了对白帽子个人,另一方面,对平台而言,确实也该发挥更大的作用。漏洞平台发展初期,总体上沟通连接的作用很不够。从白帽子这边看,平台你不能做甩手掌柜;从企业端来看,你不能做挡箭牌。两个方面其实都有质疑,这就表明,平台无论在覆盖面还是深度上,连接都不够通畅。其实,真正连接通畅的平台,应该是桥梁和润滑剂,你不能仅仅停留在注册和报漏的阶段,而要不断提升和完善。
就此而言,我觉得先知平台做了很多好的尝试,一些机制建立得恰到好处。比如针对各SRC的“代运营”模式。刚才黑哥也收了,很多SRC是不具运营能力的,包括简单的漏洞识别和验证,而先知作为一个大平台,有能力其实也有责任承担这样的支撑角色。另外,像可信众测这种新的模式,把众测从三方(企业、白帽子、平台)关系提升到四方甚至多方关系,这让众测的公信度大大提升。当然,作为平台,还应该考虑把包括法律、社会机构等引入进来,针对更广泛的领域做互动交流,而不仅仅只是漏洞挖掘技术,这对扩展无论平台还是个人视野及能力都很有必要。
时间差不多了。短短一个小时,对一次深入访谈来说远远不够,今天就当是起个头吧,后续更深入的探讨,我会再约台上大咖,也希望和台下朋友们持续交流。
谢谢大家。
