乌云飘散后,一群白帽子这样成长-阿里云开发者社区

开发者社区> boxti> 正文

乌云飘散后,一群白帽子这样成长

简介:
+关注继续查看
  本文作者:雷锋网网络安全专栏作者,李勤。

乌云飘散,风铃安全这个白帽子队伍突然慌了。

2016年7月20日,是让 Snake 和黑色键盘此生都难以忘记的日子。

这一天,乌云平台宣布暂时关闭后,再也没有回来。四个月前,因为乌云而凝聚、向技术出发的风铃安全团队正干得风生水起时,前路似乎没有了盼头。

这个 25人、人均年龄十七八岁的白帽子队伍有一个热闹的挖漏洞讨论小组,平时头像不停地跳动,有人大喊一声开挖,大家就会激情群涌。这一天,他们格外沉寂,就算有人说了几句话,也是情绪异常低落。

乌云网,是一个位于厂商和安全研究者之间的安全问题反馈的漏洞平台。这样平淡地形容它也许不太好,可以说,在2016年7月前,乌云是大大小小的黑客学习的圣地,在这里,漏洞详情被公开,一个个如饥似渴的人在这里汲取最新的知识,打磨技术。

风铃安全的白帽子们在来乌云之前,其实也去过别的漏洞平台。团队的技术担当黑色键盘沉浸在回忆里:别的平台都没有这种能够学习和交流的感觉,乌云没了,大家都很伤心。

是的,乌云关闭后,他们没有太多心情组织团队挖漏洞了,一直到2016年12月底,他们东一榔头、西一棒头地在一些厂商的SRC(安全应急响应中心)、漏洞平台挖一挖。

乌云飘散后,一群白帽子这样成长


他们原本对团队的构想并不是这样。

1996 年生的 Snake 和 1998 年生的黑色键盘是风铃安全最早的核心成员之一。

黑色键盘从小对黑客颇有憧憬。“当时年纪小,觉得太牛逼了,黑客好厉害,分分钟把你的密码给盗了,把网站入侵了,黑客又很神秘,我上初一时就想,以后要做一个技术比较牛逼的黑客,我就跟爸妈说,我以后肯定要学技术。”

虽然,黑色键盘对学习没有兴趣,但是爸妈很支持他找到自己的兴趣爱好,在表达了自己强烈的爱好后,父母在他初一时购置了电脑。

Snake 真正走上这条道路,却是因为一场大病。

2014年,Snake 高中毕业,本应该去上学,但生了一场病,在家呆了足足有四个月,导致10月才去学校报到,前两个月他一直在治病,两个月后,病情稍微缓和,但依然需要静养,Snake 觉得养病太没意思了,想着研究点什么好呢?于是,钻研起了黑客技术。

病好后,已经耽误不少课程的 Snake 到了学校后,学校决定让他自己换个专业。

“在学校读什么专业可以以后当黑客?”Snake 直接问。

教务处的老师相视一笑,跟Snake 说,那你就学“软件开发”吧。

到学校后的 Snake 在迷雾之中依稀找到灯塔后,黑色键盘也开始上路。

16 岁的黑色键盘对学校已然没有兴趣,接触到了乌云,但是此时还是菜鸟的他觉得乌云门槛太高,代码审计的漏洞几乎都是 PHP,他看不太懂,自学编程的话又感觉有困难。

在急切的求知下,黑色键盘还在网上拜师,单纯的他把钱打给对方后,迅速被拉黑了。最后,他向朋友打听好北京有专门的 PHP 培训学校后,从浙江跑到北京,开始了学习。

他还是进了一所学校。

这时,几路出发的黑色键盘与 Snake 成功在同一个QQ群“会师”,成了志趣相投的“同志”。

在“风铃安全”之前,Snake 还创建了一个团队,名叫“K.A.O”,这个队伍由年龄更小的一群人组成,都是一群突然闯进黑客世界兴奋得不知所措的孩子,每天以黑站、挂帖、社工为荣,用 Snake 的话来说,是“娱乐圈”氛围浓厚。

黑掉一个站后,有些年纪更小的成员会使劲在各个群得瑟,黑色键盘忍不了了:“菜鸟整天想着装X,逛黑页,没意思。”

一段时间后,Snake 、黑色键盘和另一个成员 Sea 与“K.A.O”的其他人产生了不同的追求:前三者想在黑客技术上有更高的追求,不想天天在娱乐圈混。

他们想要创建一个新团队,一个能够不断提升黑客技能,互相交流、学习,但又不是浮夸炫技的团队。

乌云飘散后,一群白帽子这样成长

【黑色键盘(上),童年版的Snake(下),让人惊讶的是,两位认识好几年的朋友居然没有一张合照】

建立新团队的心愿在 2016 年 3 月开始达成,一群少年还小有所成。

黑色键盘和 Snake 一边学习,一边开始实战——既然乌云门槛稍高,他们就到某漏洞平台开始练手,但是漏洞详情在漏洞平台上不会被公开,这种实战学习的难度有点大。

他们只好自己组队互相培训,突然有一天,发现以前在乌云上看不懂的东西突然能看懂了。

自此,如牛饮水。

2016年3月,乌云开启“团战”模式,Snake 为了扩大战斗实力,“广发英雄帖”。

Snake 说,要像“风铃”一样,敏锐地感知世界的变化,“风铃安全”应运而生,凑齐了12个人(团战要求不高于15个人)。

乌云飘散后,一群白帽子这样成长

团战开始后,黑色键盘作为团队的技术担当,猛烈地、密集地召集小伙伴一起挖漏洞,交流心得。

刚开始,他们每天组团挖,跟打了鸡血一样。后来,因为频率太高,持续时间太长,有一些小伙伴坚持不下来,黑色键盘才把每周五晚上定为“挖漏洞团战日”,在放学或放假后通宵挖漏洞,和相约打游戏一样,在讨论组里把视频一开,大家线上相聚。

“团战模式下,每个漏洞积分必须大于五分,相当于位于乌云首页上的那些漏洞才会计入团队的积分中,团队第一名要1200分,再给团队一些奖励什么的。当时感觉每天的目标就是要上首页挖高危漏洞,设置了一个小目标——一个月要搞 1200 分,但这种高危漏洞一个是几十分,刚开始感觉好难,后来挖顺手了,觉得漏洞挖挖总会有的,还是挖了出来,一个月挖了一千七八百分。”

在打败了很多 15 人组成的团队后,“风铃安全”在团战月榜上稳居第一。

随后,他们又连续几个月占据月榜第一。

首先,被这个成绩吸引来的是乌云里的大大小小的白帽子,不少人慕名想加入团队,Snake 高兴地吸纳了那些和团队精神相符的人,风铃安全从 12 个人迅速扩充到 25 人。

然后,黑色键盘没有想到,乌云众测平台的工作人员也找过来,邀请他参加乌云众测。

黑色键盘刚开始心里还有点打鼓:“我没参加的时候就听说,乌云众测的老司机手速特别快,一般人参加乌云众测基本挖到的漏洞都会重复。”

2016 年 5 月1日后,黑色键盘在众测试了把水,发现并没有老司机说得那么难,于是开开心心地在上面挖洞赚钱,将奖金累计到了 3.3 万元。

一切顺风顺水。

2016 年 7 月,乌云峰会召开,主办方给了成绩不错的风铃安全团队一个免费展位。

风铃安全团队凭借与各个厂商的友好关系,还被厂商赞助了“一小卡车”的礼品,在一些团队展位里,他们的礼品略显丰富,Snake 相当开心,他做好了宣传标语和二维码,扫码派礼物。Snake 觉得这是一个宣传团队的好时机,还印了许多团队的名片发送,“说不定会有厂商来找团队进行深度测试”。

此时,团队的很多人自费从各地跑过来相聚,广州、吉林、成都……这也是风铃安全团队的第一次线下相聚。

他们意气风发,相约吃了一顿晚饭,谋划未来的发展大计。

没想到,吃完这顿饭的十几天后,风云变色,他们打算大展拳脚的乌云居然没了。

黑色键盘一想到,自己在众测平台上辛辛苦苦挖了漏洞的 3.3 万元奖金还没到手,乌云就关闭了,越发伤心了。整个团队一直到 2016年12月底,都深受这次影响。他们又回到了原来的漏洞平台上开始挖挖漏洞,但是大家都不是特别积极,在一些平台的排名都不太高。

Snake 不想放弃,积极地帮大家找活,承接各种挖漏洞的任务,他不忍心看到一手筹建的像亲人一样的团队就此松散。

Snake 、黑色键盘等人不得不再次为风铃安全团队规划新的发展路径。

乌云飘散后的网安江湖,各大 SRC 、漏洞平台在这半年兴起。

黑色键盘重燃了希望,此时,他已经在浙江一家互联网公司任职,白天上班,一到下班就开始挖漏洞,每天给自己规定了要挖的漏洞数量,没有挖完绝不回家。

这个才 19 岁的少年开着玩笑说,为了挖漏洞我都不想着找女朋友这回事了,漏洞就是我的女朋友。Snake 连忙佐证:“是的,你看他清明节三天假期,每天在家不出门,就守着漏洞挖。”

他们甚至会信誓旦旦地许下承诺:“今天要是挖的漏洞没有上首页就要去吃 X(雷锋网(公众号:雷锋网)编辑注:一种不可名状的东西,有时有种动物把它当做食物)。”

重燃斗志后,风铃安全又重新调整了团队的发展策略——继续在各大 SRC 刷名气,先跟一些厂商合作,甚至可以考虑组团打打 CTF,再往下走,也许能成立公司。

今年 4 月,在百度 SRC 开启“团战”奖励后,风铃安全团队的一员 bigcow 一人拿下了月榜的 3273 分,名列第一。黑色键盘因为主要挖掘漏洞的平台在京东 SRC,只在百度 SRC 拿下了470分,但也位列第二名。

黑色键盘受到了鼓舞,他给风铃安全团队制定了个小计划——这个月要在百度SRC获得“女娲补天队”称号,要想拿下这项荣誉,需要三名以上队员出现在荣誉榜前 5,且总计二十个以上高危漏洞,总分需大于8000
。他对此充满了信心——集合团队之力应该没有什么问题,尤其擅长注入的 bigcow 发话,如果最后还差一点分,他会放大招,把分补齐。

一切都按照既定的计划走,但最近,他们遭遇了一个“小挫折”,让 Snake 思考良多 。

2017 年 3 月,风铃安全又在阿里的先知白帽大会上支起了展台送礼物搞宣传,他们积极地和各方接触,希望继续打响团队名气。

他们和一个天使机构在展台互换了名片后,Snake 看到了这一幕:“谁知道他在我们展位没走出两步,就把我们的名片扔在地上,当时我和键盘一脸蒙圈,我瞅着键盘,键盘也瞅着我。我说,你看见了吗?他说嗯,我说,是真的吗?他说嗯,我们非常非常沮丧,因为我们也没说要他投资什么的,只是出于礼貌交换名片,结果他就把名片扔在了海报下。”

其实,这家公司以前也和风铃安全接触过,Snake 说,以前也很傲气。当时,该公司的工作人员找到风铃安全,说了一句“你们风铃挖漏洞也不怎么行”。黑色键盘听到后很生气,当下就挖了几个漏洞以示证明。遭遇“丢名片”事件后,Snake 和黑色键盘虽然生气,但不想再去挖几个漏洞证明一下了——“报一扔之仇?这不是帮助他们么?”

通过与“资本”的短兵相接,Snake 陷入了深深的思考中,他有自己崇拜的黑客团队,觉得风铃可以效仿对方的发展,按照之前的策略走,又担心引入资本后,团队“变了感觉”。

“感觉大家在一起,都是出于提升技术,想法比较纯粹,如果团队真的成立一家公司,就会牵扯到利益、钱,很多东西就变了感觉,我们现在这种状态也挺好的。如果我们真的在一起走过十年、二十年、三十年,还是各自干各自的,每年来一两次聚会,感觉也挺好。”Snake 说。

但是,Snake 又表示,如果有 VC 过来,他们也会聊聊,认识一下。

Snake 身处在了不同想法的矛盾中,他十分忧心,万一做错了选择,就是对队友的不负责任。

这位陷入忧思的 21 岁的青年,与几年前经历大病后一样,又走进了迷雾,只是,这次他的身后,已不再是空无一人,他的背后,伫立着 24 个支持他的队友。

采访结束时,雷锋网编辑无意瞟了一眼黑色键盘浏览器的收藏文件夹,被关闭了的乌云依然在他收藏夹的第一位……

乌云飘散后,一群白帽子这样成长

本文作者:雷锋网网络安全专栏作者,李勤。



  本文作者:李勤

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
6403 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7623 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
4998 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
9325 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
2032 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
16309 0
+关注
boxti
12535
10037
文章
1327
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载