乌云飘散,风铃安全这个白帽子队伍突然慌了。
2016年7月20日,是让 Snake 和黑色键盘此生都难以忘记的日子。
这一天,乌云平台宣布暂时关闭后,再也没有回来。四个月前,因为乌云而凝聚、向技术出发的风铃安全团队正干得风生水起时,前路似乎没有了盼头。
这个 25人、人均年龄十七八岁的白帽子队伍有一个热闹的挖漏洞讨论小组,平时头像不停地跳动,有人大喊一声开挖,大家就会激情群涌。这一天,他们格外沉寂,就算有人说了几句话,也是情绪异常低落。
乌云网,是一个位于厂商和安全研究者之间的安全问题反馈的漏洞平台。这样平淡地形容它也许不太好,可以说,在2016年7月前,乌云是大大小小的黑客学习的圣地,在这里,漏洞详情被公开,一个个如饥似渴的人在这里汲取最新的知识,打磨技术。
风铃安全的白帽子们在来乌云之前,其实也去过别的漏洞平台。团队的技术担当黑色键盘沉浸在回忆里:别的平台都没有这种能够学习和交流的感觉,乌云没了,大家都很伤心。
是的,乌云关闭后,他们没有太多心情组织团队挖漏洞了,一直到2016年12月底,他们东一榔头、西一棒头地在一些厂商的SRC(安全应急响应中心)、漏洞平台挖一挖。
一
他们原本对团队的构想并不是这样。
1996 年生的 Snake 和 1998 年生的黑色键盘是风铃安全最早的核心成员之一。
黑色键盘从小对黑客颇有憧憬。“当时年纪小,觉得太牛逼了,黑客好厉害,分分钟把你的密码给盗了,把网站入侵了,黑客又很神秘,我上初一时就想,以后要做一个技术比较牛逼的黑客,我就跟爸妈说,我以后肯定要学技术。”
虽然,黑色键盘对学习没有兴趣,但是爸妈很支持他找到自己的兴趣爱好,在表达了自己强烈的爱好后,父母在他初一时购置了电脑。
Snake 真正走上这条道路,却是因为一场大病。
2014年,Snake 高中毕业,本应该去上学,但生了一场病,在家呆了足足有四个月,导致10月才去学校报到,前两个月他一直在治病,两个月后,病情稍微缓和,但依然需要静养,Snake 觉得养病太没意思了,想着研究点什么好呢?于是,钻研起了黑客技术。
病好后,已经耽误不少课程的 Snake 到了学校后,学校决定让他自己换个专业。
“在学校读什么专业可以以后当黑客?”Snake 直接问。
教务处的老师相视一笑,跟Snake 说,那你就学“软件开发”吧。
到学校后的 Snake 在迷雾之中依稀找到灯塔后,黑色键盘也开始上路。
16 岁的黑色键盘对学校已然没有兴趣,接触到了乌云,但是此时还是菜鸟的他觉得乌云门槛太高,代码审计的漏洞几乎都是 PHP,他看不太懂,自学编程的话又感觉有困难。
在急切的求知下,黑色键盘还在网上拜师,单纯的他把钱打给对方后,迅速被拉黑了。最后,他向朋友打听好北京有专门的 PHP 培训学校后,从浙江跑到北京,开始了学习。
他还是进了一所学校。
这时,几路出发的黑色键盘与 Snake 成功在同一个QQ群“会师”,成了志趣相投的“同志”。
在“风铃安全”之前,Snake 还创建了一个团队,名叫“K.A.O”,这个队伍由年龄更小的一群人组成,都是一群突然闯进黑客世界兴奋得不知所措的孩子,每天以黑站、挂帖、社工为荣,用 Snake 的话来说,是“娱乐圈”氛围浓厚。
黑掉一个站后,有些年纪更小的成员会使劲在各个群得瑟,黑色键盘忍不了了:“菜鸟整天想着装X,逛黑页,没意思。”
一段时间后,Snake 、黑色键盘和另一个成员 Sea 与“K.A.O”的其他人产生了不同的追求:前三者想在黑客技术上有更高的追求,不想天天在娱乐圈混。
他们想要创建一个新团队,一个能够不断提升黑客技能,互相交流、学习,但又不是浮夸炫技的团队。
【黑色键盘(上),童年版的Snake(下),让人惊讶的是,两位认识好几年的朋友居然没有一张合照】
二
建立新团队的心愿在 2016 年 3 月开始达成,一群少年还小有所成。
黑色键盘和 Snake 一边学习,一边开始实战——既然乌云门槛稍高,他们就到某漏洞平台开始练手,但是漏洞详情在漏洞平台上不会被公开,这种实战学习的难度有点大。
他们只好自己组队互相培训,突然有一天,发现以前在乌云上看不懂的东西突然能看懂了。
自此,如牛饮水。
2016年3月,乌云开启“团战”模式,Snake 为了扩大战斗实力,“广发英雄帖”。
Snake 说,要像“风铃”一样,敏锐地感知世界的变化,“风铃安全”应运而生,凑齐了12个人(团战要求不高于15个人)。
团战开始后,黑色键盘作为团队的技术担当,猛烈地、密集地召集小伙伴一起挖漏洞,交流心得。
刚开始,他们每天组团挖,跟打了鸡血一样。后来,因为频率太高,持续时间太长,有一些小伙伴坚持不下来,黑色键盘才把每周五晚上定为“挖漏洞团战日”,在放学或放假后通宵挖漏洞,和相约打游戏一样,在讨论组里把视频一开,大家线上相聚。
“团战模式下,每个漏洞积分必须大于五分,相当于位于乌云首页上的那些漏洞才会计入团队的积分中,团队第一名要1200分,再给团队一些奖励什么的。当时感觉每天的目标就是要上首页挖高危漏洞,设置了一个小目标——一个月要搞 1200 分,但这种高危漏洞一个是几十分,刚开始感觉好难,后来挖顺手了,觉得漏洞挖挖总会有的,还是挖了出来,一个月挖了一千七八百分。”
在打败了很多 15 人组成的团队后,“风铃安全”在团战月榜上稳居第一。
随后,他们又连续几个月占据月榜第一。
首先,被这个成绩吸引来的是乌云里的大大小小的白帽子,不少人慕名想加入团队,Snake 高兴地吸纳了那些和团队精神相符的人,风铃安全从 12 个人迅速扩充到 25 人。
然后,黑色键盘没有想到,乌云众测平台的工作人员也找过来,邀请他参加乌云众测。
黑色键盘刚开始心里还有点打鼓:“我没参加的时候就听说,乌云众测的老司机手速特别快,一般人参加乌云众测基本挖到的漏洞都会重复。”
2016 年 5 月1日后,黑色键盘在众测试了把水,发现并没有老司机说得那么难,于是开开心心地在上面挖洞赚钱,将奖金累计到了 3.3 万元。
一切顺风顺水。
2016 年 7 月,乌云峰会召开,主办方给了成绩不错的风铃安全团队一个免费展位。
风铃安全团队凭借与各个厂商的友好关系,还被厂商赞助了“一小卡车”的礼品,在一些团队展位里,他们的礼品略显丰富,Snake 相当开心,他做好了宣传标语和二维码,扫码派礼物。Snake 觉得这是一个宣传团队的好时机,还印了许多团队的名片发送,“说不定会有厂商来找团队进行深度测试”。
此时,团队的很多人自费从各地跑过来相聚,广州、吉林、成都……这也是风铃安全团队的第一次线下相聚。
他们意气风发,相约吃了一顿晚饭,谋划未来的发展大计。
没想到,吃完这顿饭的十几天后,风云变色,他们打算大展拳脚的乌云居然没了。
黑色键盘一想到,自己在众测平台上辛辛苦苦挖了漏洞的 3.3 万元奖金还没到手,乌云就关闭了,越发伤心了。整个团队一直到 2016年12月底,都深受这次影响。他们又回到了原来的漏洞平台上开始挖挖漏洞,但是大家都不是特别积极,在一些平台的排名都不太高。
Snake 不想放弃,积极地帮大家找活,承接各种挖漏洞的任务,他不忍心看到一手筹建的像亲人一样的团队就此松散。
三
Snake 、黑色键盘等人不得不再次为风铃安全团队规划新的发展路径。
乌云飘散后的网安江湖,各大 SRC 、漏洞平台在这半年兴起。
黑色键盘重燃了希望,此时,他已经在浙江一家互联网公司任职,白天上班,一到下班就开始挖漏洞,每天给自己规定了要挖的漏洞数量,没有挖完绝不回家。
这个才 19 岁的少年开着玩笑说,为了挖漏洞我都不想着找女朋友这回事了,漏洞就是我的女朋友。Snake 连忙佐证:“是的,你看他清明节三天假期,每天在家不出门,就守着漏洞挖。”
他们甚至会信誓旦旦地许下承诺:“今天要是挖的漏洞没有上首页就要去吃 X(雷锋网(公众号:雷锋网)编辑注:一种不可名状的东西,有时有种动物把它当做食物)。”
重燃斗志后,风铃安全又重新调整了团队的发展策略——继续在各大 SRC 刷名气,先跟一些厂商合作,甚至可以考虑组团打打 CTF,再往下走,也许能成立公司。
今年 4 月,在百度 SRC 开启“团战”奖励后,风铃安全团队的一员 bigcow 一人拿下了月榜的 3273 分,名列第一。黑色键盘因为主要挖掘漏洞的平台在京东 SRC,只在百度 SRC 拿下了470分,但也位列第二名。
黑色键盘受到了鼓舞,他给风铃安全团队制定了个小计划——这个月要在百度SRC获得“女娲补天队”称号,要想拿下这项荣誉,需要三名以上队员出现在荣誉榜前 5,且总计二十个以上高危漏洞,总分需大于8000 。他对此充满了信心——集合团队之力应该没有什么问题,尤其擅长注入的 bigcow 发话,如果最后还差一点分,他会放大招,把分补齐。
一切都按照既定的计划走,但最近,他们遭遇了一个“小挫折”,让 Snake 思考良多 。
2017 年 3 月,风铃安全又在阿里的先知白帽大会上支起了展台送礼物搞宣传,他们积极地和各方接触,希望继续打响团队名气。
他们和一个天使机构在展台互换了名片后,Snake 看到了这一幕:“谁知道他在我们展位没走出两步,就把我们的名片扔在地上,当时我和键盘一脸蒙圈,我瞅着键盘,键盘也瞅着我。我说,你看见了吗?他说嗯,我说,是真的吗?他说嗯,我们非常非常沮丧,因为我们也没说要他投资什么的,只是出于礼貌交换名片,结果他就把名片扔在了海报下。”
其实,这家公司以前也和风铃安全接触过,Snake 说,以前也很傲气。当时,该公司的工作人员找到风铃安全,说了一句“你们风铃挖漏洞也不怎么行”。黑色键盘听到后很生气,当下就挖了几个漏洞以示证明。遭遇“丢名片”事件后,Snake 和黑色键盘虽然生气,但不想再去挖几个漏洞证明一下了——“报一扔之仇?这不是帮助他们么?”
通过与“资本”的短兵相接,Snake 陷入了深深的思考中,他有自己崇拜的黑客团队,觉得风铃可以效仿对方的发展,按照之前的策略走,又担心引入资本后,团队“变了感觉”。
“感觉大家在一起,都是出于提升技术,想法比较纯粹,如果团队真的成立一家公司,就会牵扯到利益、钱,很多东西就变了感觉,我们现在这种状态也挺好的。如果我们真的在一起走过十年、二十年、三十年,还是各自干各自的,每年来一两次聚会,感觉也挺好。”Snake 说。
但是,Snake 又表示,如果有 VC 过来,他们也会聊聊,认识一下。
Snake 身处在了不同想法的矛盾中,他十分忧心,万一做错了选择,就是对队友的不负责任。
这位陷入忧思的 21 岁的青年,与几年前经历大病后一样,又走进了迷雾,只是,这次他的身后,已不再是空无一人,他的背后,伫立着 24 个支持他的队友。
采访结束时,雷锋网编辑无意瞟了一眼黑色键盘浏览器的收藏文件夹,被关闭了的乌云依然在他收藏夹的第一位……
本文作者:雷锋网网络安全专栏作者,李勤。