90 后黑客法师：数据泄露大多源于安全意识薄弱

我最早在一家做云安全的公司，当时我组建了一支安全团队，这个团队在14年的时候被阿里收购，我也随之加入阿里巴巴。我们团队在阿里主要负责攻击这块的事情，在这段时间里成功授权入侵过国内大几十家行业top的公司，因为团队内部有非常明确地分工，而且每个人能力都非常强，所以入侵的成功率一直是 100%。

15年底的时候我离开了阿里，创建了君安天下。这家公司是国内第一家也是唯一一家围绕人的维度去做安全的公司。公司在2016年年底被深圳Sobug收购，我作为技术合伙人的身份加入Sobug，现在在Sobug主要负责安全方面的工作。

在这期间，我写过一本书，叫《代码审计：企业级web代码安全架构》，这也是国内第一本专门讲代码安全的书。

 其实我在刚毕业的时候就决定了我一定要创业！当时我还创建了一个公众号“互联网安全与创业”。

我觉得在公司打工的话，成长空间不大。当自己真正做过一家公司，真正体会怎么去带领团队之后，才会有更好地执行力，能力会比在公司上班要强得多。即使创业失败了，我再去大公司，能力也会比别人强，或者比我一直待在大公司要强。所以我希望挑战一下自己，也是在给自己的能力做投资。

另外我觉得人是一切问题的根本，比如一个程序员写出来一个漏洞，通过扫描器或者渗透测试发现并且修复之后，过两天同一个人还会写出来同一个漏洞，为什么呢？因为修复掉的是漏洞而不是人，人是漏洞的制造者，这是大多数企业在修复的时候修错了对象，所以漏洞一直在不断产生，这是很多企业做安全都做错的事情，没有人意识到这个事情，我觉得有市场有机会，我应该出来做这么一件有价值的事情。

创业该准备什么取决于做的事情吧，一般来说团队为先，一定要准备好一个非常靠谱的团队，团队决定了事儿成不成。

做安全这些年大部分的时间是在给企业做入侵测试，所以印象最深刻的事情基本都在这段时间里面，我能想都不用想讲出来一大堆入侵的故事，从这些入侵测试经历来看，绝大多数人和企业的安全意识不够。

在早几年的入侵测试中，大多数黑客的目标都是放在寻找主机和应用的漏洞上，但是现在更多的时候是针对人。因为2012年之后企业数据大规模泄漏，地下黑客手中掌握上百亿条个人隐私数据，所以如果利用这些数据去入侵企业的话，只要看这些企业有哪些员工，从泄露的数据去查看他们的密码，然后去登录云笔记或者邮箱，很容易就入侵进去了。

这样的故事有很多，比如我们在入侵一家国内最大的平台的时候，发现很多的员工都把那些公司的服务器的私钥、密码，还有阿里云控制台的密码，全部都放在印象笔记里面，所以我们在很短的时间就把整家公司数据都入侵掉了。还有一些大的物流公司，数据有上几十亿条的数据。如果员工没有足够的安全意识，这些数据很容易就会泄露。

“乌云”曾是国内最大漏洞收取的第三方平台，帮很多企业去收他们的漏洞，然后通知这些企业让他们过来认领。在去年7月份的时候这家公司被端了，有不少人被抓了。这些都是在国内安全领域比较有名望的人。

安全是个需要刺激的东西，因为不断地有这么一个平台去刺激他们，所以企业对安全会越来越重视，但是乌云倒闭了之后，我们所有做安全的人都感觉安全领域忽然少了个东西，感觉这个行业落寞了，所以我们最近造了一个更好的乌云，更规范更标准社区，我们相信这是个有意义有价值的事情。

另外很多年以前只有大公司才对安全有需求，但是在近两年我们在跑客户的时候，发现有一些刚成立的公司也会找我们做安全，说明这些企业对安全的重视程度有一个很大的提高。

其实数据泄露是个很正常的事情。我以前讲过一句话，“国内 95% 以上的比较有名的企业数据库都被拖了，这个数据量甚至到了百亿条的规模。”像之前曝光出来的京东的数据泄露、网易的数据泄露，这些数据在很多年前安全行业的人就知道已经泄露了，但是在很多年之后才曝光给大众。所以这些东西在大众看来很恐怖，但是在我们看来都是很平常的事情，有这样的事件去刺激行业是不一定是坏事。

像在早几年其实很多做黑产的，特别猖獗，现在慢慢地少，今年会推出《网络安全法》，说明国家在网络安全上面是越来越重视。

企业做安全有四个阶段：从救火阶段，到建体系阶段，再到自己研发安全工具的阶段，到最后安全工具的商业化四个阶段，很多小企业已经开始踏上救火阶段，说明企业对安全也越来越重视。

不管从企业角度还是国家角度，整个大环境是在向一个更好的方向发展，不过从我们最近这几年做渗透测试的角度来看，网络安全形势仍仍非常非常严峻，还是非常容易被入侵。

黑产行业是一个暴利的行业。比如说诈骗、偷数据、流量劫持、盗刷、洗号甚至是黑吃黑入侵博彩和黄网等等，流水大到一般人想都不敢想，这里面的诱惑非常大，不过大多数安全从业者都有坚守职业道德，这些事情我们能做到但我们不会去做。最近这几年黑客被抓的新闻越来越多，国家在加大打击，这个行业里面的人也在由早几年的猖獗变得谨慎低调，未来黑产一定会越来越少。 

刚才我讲过，人有一个习惯，使用云服务。我们在入侵的过程中发现，有些公司50% 以上的技术岗位员工会把公司服务器的账号密码、后台地址和项目文档这种东西放到云服务里面去，印象笔记、百度云网盘、360网盘、有道云笔记这些都是重灾区，所以建议大家尽量不要把东西往外面放，往里面放就相当于是给黑客。

第二个是全网通用的密码。很多人淘宝、京东、QQ什么的密码都是一样的，一旦一家企业被入侵之后，黑客拿到这个密码然后登你的印象笔记这些，就很快能拿到你在里面的存储的东西。

还有一个就是密码规则可以猜得到，特别是企业内部的邮箱跟 OA 系统。我们去爆破一家企业，基本上能爆破10%~20%的员工的密码，他们的密码结构通常就是名字拼音、生日等等这些个人信息，或者加123、520、521、1314这样的规则。

还有一些人密码很多年都不改，这些都会很容易就造成数据泄露。

开源程序相比于其他程序来说入侵的点不一样，从开源程序的代码里更容易发现0-day漏洞，就是没有公开的漏洞，我那本书也有讲到怎么去挖 0-day 。0-day的威力非常大，这个漏洞一旦出现之后，别人也不知道，很多厂商也还在继续用这套程序，然后利用关键字到Google一搜，一下就能爬到很多网站的域名地址，再放到工具里面批量打过去，一晚上可能就能入侵好几千个或者上万个网站。

所以其实企业应该在代码安全这块多加一点重视。我们做安全这些年发现，其实代码安全的需求是有的，但企业规模不大的话，很容易就会被忽略掉。

我的ID 叫“法师”，因为我觉得在整个互联网上面，安全的领域的人像是有魔法的人，你可以干很多别人干不了的事情，但是这些事情你可以做但不一定要去做。在这个行业上走，还是要遵循这个行业的规则，遵循职业的操守，不该做的事情还是不要去做，不然就很容易就“进去了”。

我想用自己的创业经历告诉大家，不要踏上安全创业这条路。

我们在做客户的时候发现，大客户对安全的需求才比较大，安全这方面的预算也才会更多，一年的预算可能达到几千万甚至更多。但这样的客户有一个问题，它的需求非常重，在使用你的产品之后，它会不断地提需求让你改，签合同的话还要经过法务、财务等等，到签完合同可能要花上半年的时间，从签完合同到回款又是一两年的时间，特别是政府行业。对于创业公司来说，除非你有很强的背景，否则这是非常耗不起的，钱还没给你，你公司就死了。

中型的公司的预算一般不多，如果你做的这个项目的利润率和适用度都不是很高的话，不能覆盖到很多行业的需求，你的客单价又提不上去，就很难养活自己。除非你的利润率和适用度都非常高，很多企业都能用到你这个产品，然后可以把客单价调低一点，通过走量去赚钱。

还有一个就是小客户。一般行业的小客户对安全的需求是很弱的，而且他们没钱，小客户唯一可以做做的就是金融行业。

所以安全创业是一条非常难走的路。