提到石肖雄这个名字,知道的人或许寥寥无几。而在补天众测平台上,冠以这个名字之上,却有一个响当当ID:jkgh006。
自去年被封神24万哥和众测第一人的名号之后,虽然jkgh006这一ID慢慢倾向于蛰伏与低调,但只要登录平台,依然可以在风云白帽的排行里,找寻到他的踪迹。
见到石肖雄,其实是在上周在北京举行的中国互联网安全大会(ISC)上。作为白帽中的大咖,除了以嘉宾的身份参加会议以外,同时还在补天白帽的沙龙上担当讲师的角色。
匆匆地来又匆匆地去,我们之间的对话,也随着他黝黑的额头溢满汗珠,气喘吁吁着、憨憨微笑着,打着招呼走进安在的采访间,开始了。
- 1 -
罕见的80后科班出身“白帽子”
成为一名白帽子,用石肖雄自己的话说,是“万万没想到”的。毕竟在他上学的年代,漏洞是不值钱的。
就读于西安邮电大学网络工程专业,对信息安全的热衷,让他总是在闲暇时间,自学一些信息安全相关的专业知识。如果说一定要找寻这段“孽缘”的伊始,便是这“科班生”的身份了。
几年前,网络安全方向的大环境其实并不理想。没有所谓信息安全的概念,也没有漏洞的奖励机制。回忆起那时的自己,石肖雄觉得更像是在“过家家”。
追溯自己的启蒙之路,石肖雄很感谢一个人,那就是当时的一名研究生导师,也是学校网络安全专业的系主任。石肖雄回忆道,当时导师在名额不多的情况下,挑选了自己,一同参与校园网一些程序的学习与研发。
而正是过程中对于校园网的接触,让自己完成了生涯中第一次挖洞。
在学习与应用的过程中,石肖雄检测到校园网可能存在的安全漏洞。通过自己那时认为自学的“三脚猫”功夫,第一次真正完成了对漏洞的挖掘。
石肖雄笑着表示,虽然那次的挖洞行为是不可以被学校知道的,但也确实在偷着乐的同时,真正为自己日后成为一名“白帽子”开了篇。
大学毕业以后的石肖雄,顺利地进入了一家行业内鼎鼎有名的乙方公司,开始了产品研发的工作。巧的是,当时团队研发的产品,正是一款漏洞检测软件。
对于石肖雄而言,漏测软件研发的经历,让自己漏洞挖掘的能力更趋于成熟。而正经地做挖漏这件事,似乎可以让自己把这款产品做得更好。
“漏洞检测这种东西,就是把人工挖漏洞的过程转化成软件自动挖的过程。我本身就是在干这个,所以我就必须去亲自了解。”
从此,石肖雄开始活跃于各个漏洞平台,jkgh006也开启梦游仙境。这件最初“万万没想到”的事情,也慢慢成为了生活中最大的兴趣来源,以及知识汲取的渠道。
当被问询是否有情怀支撑自己,一直在补天众测发光发热的时候,石肖雄不好意思地摸了摸头,讪笑道:“我算是一个老人,我到底还有没有情怀,我还真的不知道。”
随即又告诉安在:“站在我的角度,我觉得补天提供了我们这样一个平台,我们能够在这上面获得一部分报酬的时候,也能够提升个人IP,也能够对自己的公司做一定的宣传,对我来说动力蛮大的。”
这人还真是实诚啊。
- 2 -
月入24万是一种怎样的体验
除了补天众测第一人的封号以外,就在寥寥数语的交谈间,安在又对石肖雄有了新的别号:24万哥。其实行业内的人或多或少也听说过,jkgh006在2016年的某一个月,挖了24万。
而在谈论24万那个月发生了什么之前,石肖雄忽然间正色起来。“现在的互联网安全环境其实挺差的。”这就是他眼下最迫切想要表达的看法。
对于现在的企业、单位而言,最直接、最简单便捷甚至最无脑的方式,就是购买防御设备,而这种行为是无法从根本上解决安全问题的。防御产品不是万能的,至少依石肖雄的经验来看,90%都是可以绕过的。
没有错,因为他真的绕过。
在去年的某一期测试中,对于某大型金融机构的漏洞挖掘工作一直处于零开展状态,平台上的诸多同行也表示一筹莫展。而在石肖雄绕过了该家机构的防御机制之后,等待他的也只剩数量庞大的安全漏洞了。而这一次的奖励,便正是24万。
面对四下充斥着的互联网安全良好的氛围,石肖雄第一次皱起了眉头:“如果防御机制被搞定了,那漏洞可就全都暴露出来了。”
而被问及这24万的奖励,能给自己带来什么时候。石肖雄陷入了沉思,几经斟酌之后,他搓着双手,似乎有些不好意思地说道:“你也知道,在杭州,好像什么都做不了。”
你真的不是来搞笑的吗?
可能是看到安在难以言喻的表情,石肖雄才意识到似乎抓错了重点。对于自己而言,这24万的意义,远高于金额本身的价值。
除了补天众测平台的肯定之外,一夜成名带给自己困扰与苦恼的同时,也让自己意识到自己可能所承担的责任,还不仅如此。
如今除了每月平均30左右的挖漏量以及六七万左右的奖励以外,石肖雄在补天众测还有了新的身份,这个我们后面再说。
- 3 -
从“补天白帽”到“创业者”
除了文章之前所提到的名头以外,石肖雄也确实还有一个全新的称谓:杭州敏信科技创始人之一。而这家刚刚成立一年多的公司,特色项目正是代码审计。
提到创业,就不得不聊石肖雄传奇般的工作经历。
石肖雄在毕业之初,就进入了一家行业内鼎鼎有名的乙方企业进行漏测产品的开发。不做过多阐述,想必大家也或多或少可以猜测到这家企业的身份。
如果一定要提及情怀,石肖雄表示,可能正是对那年那人那些事的那种怀念吧。
四个刚毕业的年轻人,用了不到20天的时间,完成了同等资源、同等质量下,三个月的工作。产品研发与应用的成功,是石肖雄认为,迄今为止个人成就感最大的满足。
几个年轻人的友谊上的升华,也是他至今一直铭记于心的情感。
石肖雄说,他打算一条路走到底,可是这条路也不好走。而自己最终选择创业,十足的勇气来自于当年伙伴的鼓励与帮助,迷茫时那种无话不说、一个团队的状态,正是让自己依旧选择了去经营与当年研发有关内容的原因。
而在创业之前,石肖雄还顺便好奇地去了甲方企业转了转。而他给出的理由是:想看看甲方的安全到底缺什么。
正是基于从甲方到乙方,在整个安全体系内工作的经历,才让石肖雄深切体会到在信息安全中,企业所暴露出真正的为题在哪里。
而也正是因为在补天众测的挖漏经历,更让石肖雄认识到,抵御挖漏,怎样的办法最有效;企业安全,怎样的服务最必要。
石肖雄总结道:“一般企业在对于安全产品上,都不会自主研发,而是直接找第三方使用。那么第三方的产品安全性能如何得到保证,谁来解决这个问题,这个就是我现在目前要做的事情。我就是要做第三方业务的代码审计,来监管第三方的产品和服务的根源。”
石肖雄说,既然还冠以“补天众测第一人的名号”,既然还将这“白帽”戴上,每一次的举动就不仅仅是自己的行为。
而既然代表了“补天白帽”这一团体,除了个人价值的实现,更多地要肩负起这一群体应当在行业内承担的责任。
作为一名老男孩,他把最后的激情全都投入到了创业中来。因为“白帽子”某些不可描述的现状,能够真正为企业安全做点什么,只能将自己规范化、合法化。自己所创的业是在做这件事,补天众测也一直都在做这件事。
- 4 -
正义是“白帽”的坚守
其实,早在四年多以前,jkgh006就已经在补天平台被注册了,而这一ID真正开始活跃于补天众测之上,却迟到了一年之久。
石肖雄告诉安在,最初基于兴趣爱好,而没有选择将挖漏真正看成一件事情去做。之后架不住补天这边朋友的软磨硬泡,还是半推半就开始了开放式的挖掘。
不过从今天看来,真的应当说一声感谢。
感谢的不仅仅是平台与机会,更多的是创业的启蒙,是行业的认识。
石肖雄说,自己更愿被称作“信息安全从业者”,而非“白帽子”。所谓“白帽子”似乎已经被曲解,已经变了味。
正是因为这个行业里诸多难以启齿的问题,才让越来越多的企业不愿意做众测以及授权,归根结底,丢失的是“信任”。
补天众测的合法性和规范性,让为企业安全做点事的想法有了继续的可能。不论是创业也好,还是继续活跃于补天众测也罢,石肖雄想要的,是把信任重新建立起来。“是不是很天真?”他笑道。
而对于“白帽子”们想说的话,石肖雄只说了八个字:守住底线、坚守正义。
石肖雄认为,其实很多我们身边不曾留意的小人物,也许在电脑面前,都有可能变换成另一种模样。他很希望这些有能力改变世界的人,不要浪费自己的能力与责任,还是投入到信息安全行业来。
如果一定要具体化,那就是乙方。他表示,乙方在推动信息安全发展中,所占的比重更大,但乙方的人才环境,实在太差了。
说完他又想了想,告诉安在,还是不要把这句话写到文稿里。“因为我觉得肯定会有很多人骂我。”
承接前文所提到的新的身份,那就是补天众测的“白帽讲师”。自24万之后,他的微信便被好友申请刷爆了。(在这里安在公示下,这个人的微信号就是jkgh006 jkgh006 jkgh006,重要的事说三遍)而在慕名的人中,有很多已经成为“白帽”的同行,前来取经与讨教。
在私下的交流与沟通中,石肖雄发现,这些所谓的“白帽子”,安全知识略为单一。这也让他产生了传道、授业、解惑的念头。
石肖雄说,自己的业余爱好是钓鱼,他笑称为“老年人的生活”。而他的一位钓友,正是一名网校的老师。
石肖雄便询问他,能否到他的课堂上,去对学生进行信息安全方面的科普与授课。当初这一愿景,最终在补天众测的沙龙上得以实现。
而对于授业的执念,除了基于自身责任的感触、知识的普及与分享,更多的是对于“白帽”现状的担忧。他想找回的“信任”,不仅仅是对行业肩负的使命,更像是敲响每个“白帽”坚守正义的警钟。
他想能够在自己的努力下,在不久的将来,当人们再次提起“白帽子”这三个字的时候,仍然会理所应当认为这个群体是正义的代名词。
所以,当安在玩笑般的称呼了一声“石老师”后,回应是整场采访最幸福的笑容。
石肖雄说,与补天众测情缘,这辈子可能是解不开了。而即便蜕去“补天众测第一人”的荣耀,自己也依然会在前进的路上坚守“白帽子”的正义。
也许,未来某一天,我们不再看到jkgh006活跃的身影,但那绝不是结束,一定是另一个新故事的开始。
- 推荐阅读 -
☞【安在专访】陈树华:当安全遇到AI,他要让安全认知无边界|新锐
