????“二分之一是各地的歷年高考狀元,二分之一是數(shù)學(xué)專業(yè),二分之一來(lái)自微軟。”
????Keen這樣的團(tuán)隊(duì)是堅(jiān)決與黑產(chǎn)劃清界限的,這也是圈內(nèi)的“道德潔癖”,一個(gè)人一旦有意涉足過(guò)黑產(chǎn),便再也不會(huì)被信息安全圈內(nèi)接受。
????15秒你能做什么?
????來(lái)自上海的Keen安全團(tuán)隊(duì),用15秒攻破最新的蘋(píng)果桌面操作系統(tǒng)MacOS X。同時(shí)被他們攻破的還有Windows8.1,耗時(shí)僅20秒。
????在眾多世界級(jí)高手面前,Keen安全團(tuán)隊(duì)被“雙冠”加冕,這樣的成績(jī)證實(shí)了中國(guó)安全團(tuán)隊(duì)在技術(shù)上已走到世界領(lǐng)先的位置。
????但是,在國(guó)內(nèi)現(xiàn)實(shí)的產(chǎn)業(yè)化之路上,他們走得并不輕松,僅僅處在“活下來(lái)”的階段。寶劍鋒已磨礪出,為何四顧心茫然?
????登上信息安全之巔
????北京時(shí)間2014年3月14日凌晨,加拿大溫哥華,Pwn2Own比賽現(xiàn)場(chǎng)。在這項(xiàng)全球頂級(jí)信息安全賽事中,蘋(píng)果的桌面操作系統(tǒng)Mac OS已經(jīng)連續(xù)三年保持了未被攻破的“不敗金身”。
????“Pwn2Own”由微軟、谷歌、蘋(píng)果、Zero Day Initiative等全球知名軟件廠商和安全解決方案提供商贊助,提供最新版本最安全的主流桌面操作系統(tǒng)、瀏覽器和應(yīng)用程序作為攻擊對(duì)象,各參賽隊(duì)所使用安全漏洞和攻擊手段的技術(shù)細(xì)節(jié)只會(huì)被反饋給相應(yīng)的廠商,供其發(fā)布漏洞補(bǔ)丁。為鼓勵(lì)技術(shù)創(chuàng)新,贊助商今年為所有項(xiàng)目的獲勝隊(duì)提供了總計(jì)100萬(wàn)美元的獎(jiǎng)金。
????隨著Keen團(tuán)隊(duì)主攻手陳良在電腦上的快速操作,原先的紀(jì)錄在15秒后旋即成為歷史,他自信地笑著,舉起電腦向眾人展示成果。無(wú)需比較,他贏了。他是參賽選手里唯一成功攻破目標(biāo)系統(tǒng)的人。
????談笑間,被他“斬于馬下”的還有Win8.1,用時(shí)20秒,同樣是現(xiàn)場(chǎng)唯一的成功者。中國(guó)人、亞洲人在賽事中的紀(jì)錄被Keen刷新,這條消息迅速在國(guó)際信息安全界廣為傳播。
????這并不是Keen團(tuán)隊(duì)第一次在國(guó)際同行面前贏得尊重。去年11月,在Pwn2Own東京比賽中,Keen用30秒攻破蘋(píng)果手機(jī)iOS 7.0.3系統(tǒng),成為中國(guó)在信息安全領(lǐng)域的首個(gè)世界冠軍。當(dāng)時(shí),世界知名的安全企業(yè)法國(guó)Vupen也通過(guò)推特公開(kāi)祝賀。
????“雖然我們參加的比賽是去攻擊系統(tǒng),但實(shí)際上,‘不知攻,焉知防’,我們研究進(jìn)攻的目的是為了更好地進(jìn)行安全防御?!盞een屬于上海·震云計(jì)算科技有限公司,公司的聯(lián)合創(chuàng)始人、COO呂一平說(shuō)。在他看來(lái),隨著信息技術(shù)的進(jìn)步,民眾的生活和智能設(shè)備越來(lái)越緊密相聯(lián),安全隱患問(wèn)題也越來(lái)越凸顯,到了無(wú)孔不入的地步。比如用手機(jī)開(kāi)個(gè)網(wǎng)站、掃個(gè)二維碼、拍張照片,都可能使個(gè)人的隱私和財(cái)產(chǎn)信息被竊取作惡。他還舉例說(shuō),像特斯拉這樣的智能汽車,如果系統(tǒng)被人入侵,在汽車高速行駛時(shí)使得剎車失靈,帶來(lái)的安全問(wèn)題就直接上升到生命層面,后果不堪設(shè)想。
????呂一平說(shuō),在這個(gè)領(lǐng)域里,漏洞和漏洞的利用是一切攻擊的源頭,而他們團(tuán)隊(duì)所做的就是這種源頭的、底層的安全防護(hù)技術(shù)研發(fā)。這和一般的殺毒軟件、安全軟件有什么不同?他做了一個(gè)比喻:現(xiàn)在手機(jī)安全軟件的一些功能都需要系統(tǒng)的Root權(quán)限或者把系統(tǒng)越獄,而這樣的操作會(huì)破壞手機(jī)系統(tǒng)本身的安全機(jī)制?!斑@相當(dāng)于為了安全,把一戶人家原有的防盜門(mén)拆掉,再裝個(gè)監(jiān)控;而從底層進(jìn)行防護(hù),就是不破壞原來(lái)的防盜門(mén),而新添幾道防盜門(mén),使得安全系數(shù)真正上升?!彼f(shuō),在底層防護(hù)之外,還可以進(jìn)行系統(tǒng)Rom層面和App層面的安全防護(hù),為用戶提供多層保障。
????揭秘頂尖黑客
????“昏暗的室內(nèi),一人打開(kāi)筆記本電腦,雙手迅速在鍵盤(pán)上飛舞,屏幕上一排排字符快速滾動(dòng)。沒(méi)過(guò)多久,‘滴’的一聲,系統(tǒng)提示成功進(jìn)入,機(jī)密信息瞬間到手。他嘴角稍稍上揚(yáng),合上電腦,消失在夜幕中……”
????這是影視作品中經(jīng)常呈現(xiàn)的黑客形象,很酷很拉風(fēng)有木有?那么,現(xiàn)實(shí)中的頂尖黑客究竟是什么樣子?他們的生活真的和常人有所不同嗎?
????力求擁有國(guó)際化視野的Keen團(tuán)隊(duì),總是不太喜歡用中文的“黑客”來(lái)自稱,因?yàn)檫@個(gè)字眼讓人感覺(jué)是在神秘地做“黑事”,一定要用時(shí),也要稱自己是“白帽黑客”。其實(shí),無(wú)論中文里叫黑、白還是紅,這個(gè)音譯詞的原文“hacker”只是無(wú)褒貶地指那些技術(shù)超群的人而已。
????Keen在日加兩國(guó)奪下三冠的功臣、主攻手陳良就是這樣一個(gè)技術(shù)天才。這個(gè)生于1986年的上海男生,本科和碩士分別畢業(yè)于上海交大[微博]和復(fù)旦[微博],外表看上去安靜平常,和一般的理工男沒(méi)什么差別;但他身上蘊(yùn)藏的能量,卻令人驚奇。
????為了準(zhǔn)備這兩次Pwn2Own比賽,陳良每次都要在賽前“閉關(guān)”兩個(gè)月。他覺(jué)得,在無(wú)干擾的獨(dú)處環(huán)境下,更容易出現(xiàn)思維的火花。所謂閉關(guān),就是把自己關(guān)在一個(gè)出租屋的小房間里,基本和外界斷絕聯(lián)系,吃飯全靠外賣(mài),每天足不出戶,除了6小時(shí)睡眠外,其他時(shí)間都在電腦前研究如何找到目標(biāo)系統(tǒng)的漏洞。
????當(dāng)然,操作系統(tǒng)的總代碼高達(dá)數(shù)千萬(wàn)甚至上億行,漏洞不可能一行一行地去找,“要是那樣的話,恐怕十年也看不完。”他會(huì)利用邏輯判斷和一些Keen團(tuán)隊(duì)內(nèi)部開(kāi)發(fā)的工具,排除那些顯然不會(huì)存在漏洞的代碼。走到尋找漏洞的正確方向,是攻關(guān)的重點(diǎn)。
????實(shí)際上,最近一次閉關(guān),陳良直到比賽前半個(gè)月的3月1日晚上才找到突破口。那段時(shí)間,他每天的睡眠時(shí)間已經(jīng)減少到了4-5小時(shí),“想不出來(lái)肯定睡不好”。他回憶說(shuō):“那天已經(jīng)是晚上十一二點(diǎn)了,就是感覺(jué)突然一下被靈感擊中,覺(jué)得那個(gè)想法一定能成,于是徹底失眠,趕緊在電腦上試驗(yàn)?!背晒?,他就像中了幾千萬(wàn)的彩票一樣興奮。一直緊繃的神經(jīng)松懈下來(lái),積蓄已久的疲勞瞬間爆發(fā),因?yàn)轶w力消耗過(guò)大免疫力降低,陳良被查出患上了輕度肺炎,在醫(yī)院連續(xù)掛了好幾天水。呂一平等人勸他以身體為重,不要參賽了,但他堅(jiān)決說(shuō)都已經(jīng)找到突破口了,絕對(duì)不能半途而廢。
????他的堅(jiān)持是有理由的。按比賽的慣例,各系統(tǒng)廠商會(huì)在比賽前三天再發(fā)布一次補(bǔ)丁,很可能參賽隊(duì)伍之前找到的漏洞就被防住了。陳良說(shuō),這次蘋(píng)果發(fā)布的補(bǔ)丁確實(shí)對(duì)他發(fā)現(xiàn)的漏洞有所影響,但他花了一天半時(shí)間,再次找到了完美的攻克方法。他說(shuō),在比賽現(xiàn)場(chǎng),就有某個(gè)團(tuán)隊(duì)不清楚新補(bǔ)丁的影響,完全措手不及,一邊現(xiàn)場(chǎng)打越洋電話和國(guó)內(nèi)成員討論一邊進(jìn)攻,結(jié)果30分鐘的比賽時(shí)間全用在了電話上。
????兩個(gè)月閉關(guān),15秒制勝。陳良覺(jué)得這樣專注于一件事的過(guò)程“非常享受”,獲獎(jiǎng)后反而有了一種失落感。
????他承認(rèn),自己平時(shí)會(huì)有些“宅”,“因?yàn)楸容^能坐得住吧”。不能接受他對(duì)事業(yè)的過(guò)于專注,是前女友和他分手的原因。對(duì)此,他淡然處之:“隨緣來(lái)吧?!?/p>
????清苦創(chuàng)業(yè)3年
????其實(shí),不只是陳良,Keen的8人創(chuàng)業(yè)團(tuán)隊(duì),也是現(xiàn)在的核心技術(shù)成員,幾乎個(gè)個(gè)都是信息安全領(lǐng)域的“大?!?,都是頂尖黑客。呂一平用“三個(gè)二分之一”來(lái)概括他們團(tuán)隊(duì)的特點(diǎn):“二分之一是各地的歷年高考狀元,二分之一是數(shù)學(xué)專業(yè),二分之一來(lái)自微軟”。呂一平就在微軟安全響應(yīng)中心工作了10年,決定辭職創(chuàng)業(yè)時(shí)已經(jīng)是管理100多人團(tuán)隊(duì)的經(jīng)理。當(dāng)時(shí)上司問(wèn)他為什么要辭職,他回答說(shuō):“在這里,我只能把團(tuán)隊(duì)帶到優(yōu)秀;去創(chuàng)業(yè),我能把安全做到最頂尖。”
????陳良當(dāng)時(shí)是和呂一平共事了3年的同事。他說(shuō),在原先的工作單位,只能被動(dòng)地接受來(lái)自民間的漏洞匯報(bào),把它們處理后再報(bào)給公司;而現(xiàn)在可以主動(dòng)地去尋找漏洞再研究防護(hù)方法,“我更喜歡研究進(jìn)攻,這也符合我的性格。”原先只能幫著造盾,現(xiàn)在連最好的矛和盾一起生產(chǎn),成就感自然不可同日而語(yǔ)。
????想要夢(mèng)想和成就感,付出的代價(jià)不小。盡管呂一平等人不愿告知他們辭職創(chuàng)業(yè)前和當(dāng)下的具體收入,但這之間的差距是顯而易見(jiàn)的。呂一平說(shuō),他在原單位時(shí),“可以一天舒舒服服地坐在椅子里,有人送水果送零食,就差沒(méi)有把茶水送到自己嘴邊了”。2011年6月開(kāi)始創(chuàng)業(yè)時(shí),微軟的幾個(gè)同事,加上圈子里的其他幾個(gè)志同道合、彼此了解的哥們兒,8個(gè)人湊了幾十萬(wàn)元啟動(dòng)資金,在浦東租了間六七十平方米的民宅辦公,圖便宜就租了一樓的。初夏,潮濕悶熱,還有老鼠出沒(méi),就是這樣有時(shí)也要睡在那里。8個(gè)人全是技術(shù)出身,從來(lái)沒(méi)人跑過(guò)銷售、市場(chǎng)、客服,也不能老憑自己以前的單位資源拉客戶,一群“技術(shù)宅”白手起家,把公司做了下來(lái)。
????做得最清苦時(shí),他們也想過(guò)是不是不干了。“去開(kāi)個(gè)餐館也好啊,做點(diǎn)實(shí)業(yè)賺點(diǎn)錢(qián)?!钡f(shuō)歸說(shuō),沒(méi)有人放得下對(duì)信息安全這行的喜愛(ài)。8個(gè)人,3年后,沒(méi)有人離開(kāi)。
????為了方便客戶洽談業(yè)務(wù),去年4月,Keen搬到了徐家匯中科院天文臺(tái)院內(nèi),依然是六七十平方米的辦公室,接手時(shí)還是毛坯房。呂一平指著辦公室里的一件件東西,笑著說(shuō):“施工隊(duì)就來(lái)刷了墻安了玻璃,其他的都是我們自己搞定的。這下我們還學(xué)會(huì)了怎么當(dāng)木匠、搬運(yùn)工和室內(nèi)設(shè)計(jì)師,生活更精彩了?!?/p>
????他說(shuō),大家之所以給團(tuán)隊(duì)取名叫Keen,取的是這個(gè)單詞“熱情、銳利”之意。而這個(gè)含義,幾乎可以說(shuō)是黑客精神的代名詞。
????呂一平說(shuō),他心中一直有個(gè)夢(mèng),就是要讓中國(guó)的安全技術(shù)成為世界頂尖。因此,在3月的這次比賽現(xiàn)場(chǎng),他們的團(tuán)隊(duì)拉起了耀眼的橫幅:“Keen,China Team,China Dream?!?/p>
????“獨(dú)苗”的艱難
????雖然在安全漏洞發(fā)現(xiàn)和防御領(lǐng)域的“武功”已經(jīng)“獨(dú)步天下”,但呂一平的團(tuán)隊(duì)就像長(zhǎng)劍在手卻四顧茫然的俠客,仍感到前進(jìn)步伐的艱難。他的公司創(chuàng)立于三年前,目前所經(jīng)歷的階段,正是一般說(shuō)法上決定創(chuàng)業(yè)公司存亡的關(guān)鍵時(shí)刻。他的夢(mèng)想是建立一支信息安全的“國(guó)家隊(duì)”,而目前公司總共十幾人的規(guī)模,顯然無(wú)法實(shí)現(xiàn)這個(gè)愿望。
????他認(rèn)為重要的原因在于國(guó)內(nèi)產(chǎn)業(yè)發(fā)展的程度不夠,Keen幾乎是國(guó)內(nèi)同類型創(chuàng)業(yè)團(tuán)隊(duì)中的“獨(dú)苗”,而這棵好苗子也很難得到優(yōu)秀的“養(yǎng)料”支持。沒(méi)有外部投資,他們一度活得很掙扎,想吸引更多的人才加入就更加困難。
????上海市信息安全行業(yè)協(xié)會(huì)秘書(shū)長(zhǎng)王強(qiáng)說(shuō),國(guó)內(nèi)的創(chuàng)業(yè)環(huán)境還有待完善,投資人太過(guò)于現(xiàn)實(shí),追求的是快速變現(xiàn),而像Keen這樣的公司,雖然技術(shù)實(shí)力超群,但財(cái)務(wù)上目前還很難做出好看的估值。另外,國(guó)內(nèi)的企業(yè)等機(jī)構(gòu)對(duì)信息安全的重視程度還不夠,未雨綢繆加強(qiáng)安全的意識(shí)還不強(qiáng),使得整個(gè)市場(chǎng)還沒(méi)被開(kāi)發(fā)起來(lái)。
????該協(xié)會(huì)副秘書(shū)長(zhǎng)王懷賓介紹說(shuō),有些“黑帽”黑客利用漏洞攻擊系統(tǒng)獲取不當(dāng)利益,或是將漏洞高價(jià)賣(mài)給黑市,形成了信息安全的“黑產(chǎn)”。呂一平再三強(qiáng)調(diào)說(shuō),Keen這樣的團(tuán)隊(duì)是堅(jiān)決與黑產(chǎn)劃清界限的,這也是圈內(nèi)的“道德潔癖”,一個(gè)人一旦有意涉足過(guò)黑產(chǎn),便再也不會(huì)被信息安全圈內(nèi)接受。雖然“黑產(chǎn)”的規(guī)模無(wú)法準(zhǔn)確統(tǒng)計(jì),但業(yè)內(nèi)的一個(gè)共識(shí)是,目前國(guó)內(nèi)“黑產(chǎn)”涉及的金額是正規(guī)信息安全產(chǎn)業(yè)的數(shù)十倍甚至百倍以上,產(chǎn)業(yè)發(fā)展亟待規(guī)范。
????呂一平常常拿美國(guó)的Fire Eye公司作為自己團(tuán)隊(duì)努力的目標(biāo)。Fire Eye本來(lái)也是硅谷的一個(gè)規(guī)模很小的信息安全公司,憑技術(shù)水平得到了資本的認(rèn)可和政府的支持,于去年上市,如今市值已達(dá)100多億美元,是上市初期的十多倍。他非常渴望得到同樣來(lái)自資本市場(chǎng)和政府力量的扶持。
????去年11月和今年2月,國(guó)家安全委員會(huì)、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的相繼成立,將信息安全的重要性提升到了國(guó)家戰(zhàn)略層面。兩個(gè)機(jī)構(gòu)的共同首要負(fù)責(zé)人習(xí)近平指出:“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪”,“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”。這對(duì)呂一平們來(lái)說(shuō)無(wú)疑是非常利好的消息。
????在王強(qiáng)和王懷賓看來(lái),Keen的成長(zhǎng)是國(guó)內(nèi)信息安全產(chǎn)業(yè)發(fā)展的一個(gè)縮影。有了國(guó)際業(yè)界的認(rèn)可和國(guó)內(nèi)政策的推動(dòng),他們走到了機(jī)會(huì)的十字路口。
????智能手機(jī)用戶9大粗心習(xí)慣
????1、 手機(jī)不設(shè)密碼
????2、 各金融產(chǎn)品賬號(hào)自動(dòng)登錄
????3、 手機(jī)拍攝保存私密照
????4、 點(diǎn)擊欺詐郵件中的不明鏈接
????5、 旅途中分享照片
????6、 分享照片沒(méi)有關(guān)閉定位功能
????7、 被詐騙電話騙取個(gè)人信息
????8、 讓手機(jī)“裸奔”
????9、 鏈接不明Wifi
????攜程被曝存信息安全漏洞
????3月22日,烏云平臺(tái)連續(xù)披露了兩個(gè)攜程網(wǎng)安全漏洞,漏洞發(fā)現(xiàn)者稱由于攜程開(kāi)啟了用戶支付服務(wù)借口的調(diào)試功能,導(dǎo)致攜程安全支付日志可被任意還可讀取,日志可以泄露包括持卡人姓名、身份證、銀行卡類別、銀行卡號(hào)、CVV碼等信息。
????漏洞發(fā)現(xiàn)者進(jìn)一步解釋,該漏洞之所以存在,是由于攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能,將用戶支付的記錄用文本保存了下來(lái)。同時(shí)因?yàn)楸4嬷Ц度罩镜姆?wù)器未做較為嚴(yán)格的基線安全配置,存在目錄遍歷漏洞,導(dǎo)致所有支付過(guò)程中的調(diào)試信息可被黑客任意讀取。 (李玉 整理)
????
?
?
?
?
?
相關(guān)鏈接:
文科男旁聽(tīng)4年 考研成“書(shū)法狀元”(圖)
2013海南高考文理科狀元做客“??跁?huì)客廳”
《漢字英雄》迎決賽 方文山將見(jiàn)證"漢字狀元"誕生
華僑中學(xué)校長(zhǎng)王繼源、2013海南高考文理科狀元
高考狀元開(kāi)情趣用品店 曾因“90后不買(mǎi)房”走紅
?