標籤:

在知道創宇工作是什麼樣的體驗?

01-23

勞煩對知道創宇懷有深切感情的知道創宇員工作出客觀的回答,謝謝

發表於《GQ智族》雜誌的,關於知道創宇的報(ruan)道(wen)~

希望能有(hun)所(xiao)幫(shi)助(ting)!

———————————————————————————————————————————

《監視黑客的人》

作者:朱魚

網路使自由重回時代,也讓時代處於監視之下。崇尚自由主義的黑客群體開始迅速分裂,有人為金錢暴露公民信息、明星艷照,有人攻擊壟斷公司和政府網路,使安全機構頭疼不已 。GQ採訪了與機密打交道的黑客元老,同罪惡亦敵亦友的中間人,嬉皮士般叛逆的技術小子。在這些猖獗的黑客面前,他們試圖主持正義,用技術對抗玩火的同道人,並告誡他們如何在誘惑面前收斂手中的數字武器!

看守者的尖叫

昆玉河的另一頭是頤和園,海嘯每次沿河走到公司,都要經過一條暴露在整片藍天下的膠粒天橋。久而不來的公車載走稀少的乘客,施工的聲音漸有漸無。一樓大廳的椅子被搬空了,所有來訪者都無處可坐。他瞥了一眼時鐘,1月29號周日下午三點。新年開工的第一天,整間房裡只有他一個人。

公司的環境與其說是吵,不如說是長期散發出有條不紊的緊張感。風扇的轉動,電腦散熱的聲音,手指敲擊的鍵盤,大量的香蕉酸奶,一切運轉直指大腦。員工並沒有被規定必須來上班,除了周一周五會有重要會議召開,平常的日子裡,他們只需抱著電腦尋找一個舒適清靜的地方書寫代碼。穿著隨意的CEO,四處尋找八卦的記者偶爾會出現,而這些由百分之80%黑客組成、在夏天會穿老式涼鞋的網路安全成員們在不斷被打斷之後,難免產生厭煩情緒,這時他們可以選擇關閉手機,回家辦公。

屋子的角落裡散落著一些柔軟的玩偶。它們作為運營商的答謝禮被送到這兒,對應著「知道創宇」公司曾為無數網站尋找出了大量散落在網際網路上的安全隱患。海嘯檢查完畢工作郵件,並沒有客戶來提交新任務。

「又發現了一個漏洞,快通知他們寄公仔啊。」海嘯的滑鼠橫在一邊,在微博上和同事打趣。這些軟、硬體上的安全漏洞也被稱為「0 day」。零天,在24小時或更短之內,出於炫耀、共享技術或者利益的目的,傲慢的黑客們擊垮了廠商們對產品的信心。雖然做著同樣的挖掘動作,黑客們的性質卻截然不同。「白帽子」大多是網路安全人員,他們會立即提交報告,提醒廠商發布補丁,並控制0 day流向公共領域;「灰帽子」顯得放鬆警惕,在網上開放討論漏洞,信仰自由和知識共享使他們認為這種行為不含惡意,改善系統和網路整體的安全性比一個廠商的死活要重要的多;「黑帽子」私下裡對0 day進行叫賣——價格高到足以擊毀IT從業者的良心。三種情況無論哪種發生,對於廠商來說都是一種羞辱,每時每秒都在發生。一些人試圖尋求主動。Google的0 day懸賞金為單個2萬美元,奇虎360的最高獎勵也有1萬元,Facebook更是想以30萬美金的總投入來取得黑客的歡心。一位現居曼谷的黑客中間人「Grugq」公布了對美國政府的貨單,其中對微軟公司的Windows漏洞開價10萬美金。

「生日的時候誰送個0 day啊?一年不用幹了。」

海嘯每日保持著好奇,登陸「X focus」等黑客資訊網站發掘新鮮的Web應用漏洞,在古老的IRC聊天室里與外籍黑客交流,在正邪各異的QQ群落里接受各種訊息,或是偶爾展現一下自己的技術,加入需邀請才能進入的私密黑客俱樂部。海嘯將網路安全圈視作娛樂圈,內幕眾多,並偶爾用「HYSIA」的代號在討論區發布一些不滿。他推開桌子上的雜物,將彈窗新聞中有關網路安全的數字默記在心裡。「很多數據並不準確。記者喜歡誇張,廠商和政府喜歡隱瞞。我只根據一手訊息發言。真實才有意思,因為它們來自真實的對抗。」

當他再次刷新微博時,好友截獲的一張圖片引起了他的注意。這張描述為「中文版Putty後門收集的伺服器管理員賬號及密碼」的圖片清楚地記錄著十幾行看起來相當真實的信息。

事情有些蹊蹺。作為一款使用性極佳的遠程管理軟體,各大企業、政府網站的管理員一直使用的是Putty的英文版本。總不能排除一些好心人為方便國人使用,為它做了漢化處理吧。但奇怪的是,打開百度,「中文版」竟處在搜索結果的第一行。Putty是不需許可證的開源軟體。當然,這也決定了它絕不盈利的性質。

「會有人給隨意呼吸的空氣、踩踏的草地做商業推廣么?」海嘯猶豫了一下。

海嘯繼續搜索,原來早在1月25日,一個網名叫「_JAS_」,使用Putty時間超過半年的網友就情緒激烈地發布過軟體被植入」後門「的懷疑。這是一個典型的「願者上鉤局」,專為英文程度不高的管理員而設。海嘯迅速下載了中文版Putty並保存為取證分析樣本。現在離2011年底「CSDN事件」還不到一個月。上億的用戶數據被泄露後,人人、新浪、開心網、百合網、京東商城、支付寶等大型互聯網公司還處於安撫用戶,四處宣揚要提高安全防護的階段。

「不會吧,新年第一天就讓我趕上這麼大事兒。」頂風作案?海嘯的直覺並不樂觀。

他撥通了同事小G的電話,他正在國家圖書館進行「封閉開發」——一種避不見人的工作方式。

「有人在百度中上給中文Putty做了廣告。」

「中文版?排在第一個?」

「嗯。百度的審核單位對假藥,釣魚網站還在行,這種東西,不是做技術的,可能不會熟悉Putty,給錢了就放上去。一個中文關鍵詞,最便宜的月推廣費也要幾千塊。這人的目的性很強。他想幹什麼?」

「有信息被抓取了?」

「已經散出來了。好像不僅僅是Putty……別的開源軟體也被植入了後門。網上已經出現了一批受害者信息。「

「快上機試試。如果是真的,早點申請授權。」

海嘯的動作變得很快。他準備了兩台虛擬機,實驗起這個軟體的詭秘行為。Putty順利地運行在Windows XP的虛擬機上,並遠程管理起Linux虛擬機上的任務。海嘯創建了快照,方便隨時還原進程。不到幾十分鐘的時間,結果正如他所料。黑客們正試圖繞過安全控制入門行竊——Root密碼被以網頁的形式發送到了一個名為「l.ip-163.com」的網站上。每當有一個最高許可權的管理員輸入IP地址,密碼,點擊登錄,都相當於主動奉上一份通行證。黑客不但可以隨意搬走他們想要的虛擬財產、隱私數據,還可以利用網速快,性能好的伺服器做再攻擊其他人的跳板。這份危險的資料庫容量正在瘋長,大量電腦正變成任黑客宰割的「肉雞」(受人控制的殭屍電腦)。

「收集密碼的網站IP地址還在國外。總不能像公安機關一樣,到機房去把伺服器搬走吧。」就像住址一樣,IP地址代表了犯罪證據的物理位置,且是唯一的。但海嘯知道,操作它的黑客很可能在國內,使用代理IP是黑客的一項基本的能力。現在,取證的唯一方法就是入侵。

和公司的其他男孩一樣,海嘯從不沉迷網遊。對他們來說,入侵、對抗就是最好的遊戲。「靠技術自由穿行,不好玩嗎?最好的狙擊遊戲也不過如此了,作為特戰隊員,手裡拿著自製的槍去解救人質,環境、時間、對手武力全然不知,只靠指南針前行。下一秒會發生什麼誰也料不準,只能保持高度警惕性。一旦倒下,隊友就立即接上??」這遊戲常令人手癢還有另外一個原因:未經許可的不合法性。09年憲法第七次修正案提高了對黑客入侵的量刑標準,除去重要領域,各大行業的計算機信息系統,入侵個人計算機也面臨被判刑的風險。海嘯不敢擅自做主。

他再次用Web SOC安全測試系統檢測了「l.ip-163.com」,並堅定了自己的判斷:「萬事俱備,以這個網址做突破口,就能到那些人的伺服器上了。」海嘯望著手裡的進展,撥通了楊冀龍的電話,「老楊,那些黑客自己做的網站竟然有漏洞??」

保守與泄露秘密的人

最能保守秘密的人恰恰是知曉秘密的人。這是網路安全圈的規則,生活中的悖論。一個毫無準備在互聯網世界漫遊的人,很可能會把手裡的致命諮詢無常透露給危險人群。黑客們見到秘密的本能是下載閱讀,與思考分類,這才是秘密得以存在的價值。然而這之後他們所做的事情,便開始有了區分。

「老楊,中文版Putty偷了很多密碼,要不要深入追蹤??」

「什麼?」知道創宇的技術總監楊冀龍接到海嘯的電話時,已經到了下午6點。剛聽了個開頭,他就深知此事的影響巨大。

「現在發現,黑客那邊的伺服器也有安全漏洞。」

「不會是他們下的套吧?」實戰經驗豐富的楊冀龍是黑客圈的元老級人物,早年間流傳廣泛的一份「中國頂級黑客聯絡詳單」中,曾將其描述為「喜愛交流技術並依舊活躍的Water cloud」,「黑客自己寫的程序應該是相對安全的。」

老楊認為,如果對方的功力很紮實,又早做預謀,入侵等於送死。地下黑客集團經常布下陣局來反追蹤安全人士,誰不想知道自己的對手是誰,並一一擊垮他們呢?但海嘯再次確認了對方網站的缺陷所在,此次對手的技術不是最頂級的。老楊答應海嘯申請入侵許可,這需要得到國家互聯網應急中心(CNCERT)的授權。

楊冀龍看了看手錶:「可能不太好。「正是晚餐時間,很多領導會因為這個電話再次回到工作崗位上。不僅僅是時間的尷尬,這種不方便還在於,周並不能直接發放授權。網路安全事件發生時,單靠前期星星點點的證據,無法直接請求執法部門的援助。老楊需要周幫忙向上彙報,解釋危險性、爭取授權,並協調運營商的配合。老楊還是打了過去:「這事兒比別的重要。」

「用的人多嗎?不是已經有英文版了?」周先生在吃飯。沒等老楊回話,他沉思了一下便回復到:「你繼續說。」

「這是個語言習慣問題,如果是我,有了這個下載,肯定會替換掉英文版軟體。」

「你等一下。」

過了11分鐘,周姓領導回復了電話:「現在所有的部門都下班了。不太好處理。國家部門有流程的,要打報告,要領導簽字,要蓋章,要調動所有一線的人。有點非常為難。」

老楊沒有作聲,很多事並不能勉強。歸根到底,「Putty後門」這樣的事件得以發生,並不是企業和政府信息安全部門硬、軟體技術上的缺失,而是忽略了安全中最重要的軟肋——對人的欺騙。敵人往往更能保持耐性、警惕和堅持,這次終於讓他們等到了機會:從日用軟體入手。這些軟體免費、高效,有誰會拒絕?管理員們放肆地認為,電腦有密碼,操作人還是自己,這一定是安全的。而安全感又是多麼不可靠的辭彙。

「很多人都缺乏懷疑精神。而黑客相信事物的唯一方法就是親手去做。」老楊心裡想著。他講完下面這句話,就掛斷了電話:「如果你覺得值得協調的話,就幫幫忙吧。」

楊冀龍很容易製造出信任,也很耐得住性子去贏得別人尊重。他笑容可掬,皮膚好得像沒接觸過電子產品,談吐中高昂的興緻使他的年齡感模糊不清。他不斷地更新自己的黑客技術,令新員工感到佩服;又以毫無芥蒂的懇誠交往,讓敵對公司的高層勇於參與他發起的交流會議。在到「知道創宇」擔任技術總監之前,他曾在另一家安全公司「綠盟」工作過多年。正如他們的宣傳口號,作為巨人背後的專家,那時老楊幾乎與外界絕緣:他所代領的項目創造了上億產值,但他只顧奮力享受興趣帶來的快感。當綠盟差點因這件事情倒閉時,老楊才意識到,他近乎完美的黑客自由世界垮掉了,他必須提高警惕和對周遭環境的認知。「有人將政府網站資料發到了博客里,不但自己被開除,公司也因此捲入了間諜事件。」 此後長期與安全事件磨合的老楊已掌握了對待「秘密」的分寸:「不談政治,不談未公開漏洞,即便漏洞已公開,官方沒有承認的問題也不談……」楊翼龍坐在沙發最深處,將一張單據捏成大小不等、勻稱遞減的紙團,以此度過等待的漫長空閑。

「兩千年時,沒人知道什麼是網路安全,也沒有人要採購安全設備、制定規章。到了04到06這三年,換屆使得向上的溝通成本降低了很多。從98年開始接觸網路安全的人做到了高位,其中一些是在論壇交流過、認可你的技術和人格的朋友。他們了解曾停廢伊朗核電站、威脅全球工業的「震網」病毒;他們知道,一個人因銀行的疏忽丟了銀行賬戶里錢,可能要自己買單。這些領導開始想辦法在建議和政策上將改變逐漸體現出來。現在情況變好了。情況會越來越好。」

大約過了一個半小時,周先生回復了電話:「OK了。」老楊從他略顯的氣喘口氣中判斷,周先生打了很多電話,調動了很多手下來幫助進行溝通。「光說OK不行,我得要看證件。」老楊把謹慎堅持到了最後。「要不你自己過來取。」「太遠了,手機拍個照發過來吧。」照片到手確認後,楊冀龍立即撥通打電話。一旦確定可行,這就變成了個爭分奪秒的事情。

灰帽的信任

小G走到國家圖書案的一樓,盡量將腳步的聲音壓低,使之與翻書以及敲擊鍵盤的聲音統一到相同頻率上。周圍沒有人討論。異常安靜。

「我剛進去看了一陣子,IP就被封鎖了。」海嘯向他求助到。

小G看了一眼犯罪網址,與一同前來的人換到了緊鄰的座位,決定共同攻破對方的資料庫。「攻擊的方式有多種,一旦找到軟肋就立即下手。但過程中可能會碰到各種奇怪的問題。兩個人擅長的領域不同,一起敲擊會更快。」小G並不是個循規蹈矩的人,他對過程的規整並無好感,他形容自己「像個會動手術的中醫」——常常創造出些不可複製的入侵戰績。

「沒有熟悉的代碼痕迹。對手不強。」代碼就像文字一樣,會帶有強烈的個人風格,一些恃才傲物的黑客會在自己的作品中署名,讓發現的人永久留下印象。半小時後,兩人進入到黑客的伺服器,並開始檢查數據。伺服器上的數據正一條一條,以一種固有頻率增長著。

此時,除了他們,虛擬世界中又陸續增加了六個人。這六人的身份,可能是聞風而動的黑產撈金者,網路安全同行,也可能是誤打誤撞,前來觀摩盛況的業餘選手。當清點的數據到達三萬條時,小G發現增長開始緩慢,直到停止,最後越變越少。

「小數點後的數字沒了,消失了幾千條,趕緊備份!」不知出於什麼原因,正有人以最笨拙的方式逐漸擦除著數據。「一行代碼就能解決的問題??」無論是笨賊想銷毀證據還是入侵者想獨享,小G已經顧不上去猜測對方的意圖,國家圖書館停滯的網速使他們正處於劣勢。換場地已經不可能了,必須迅速拖載資料庫。兩人以極低的聲音交流著。長達一個小時的成功備份後,伺服器上的犯罪證據已經被刪除乾淨。

晚上8點,小G拎著筆記本打車回家,以他的經驗,手裡的這些數據可能相當值錢。數據的類型有很多種。第一類是隱私數據。比如,車主的個人信息包括姓名、購買型號與價位被人知曉後,大量的推銷、保險和詐騙訊息就會接踵而來。第二類是帳戶信息,由於大部分人有使用相同密碼的習慣,拿到一個郵箱密碼,犯罪分子就能打通社交網路、網路銀行等多個賬戶。十億個記錄的一手價格大約在60萬左右,黑帽們會把這些信息整套做成應用,再以20萬的價格轉手賣出。

第三類就是小G手中的許可權數據。有些許流量和商用價值的小網站許可權會以500至2000元不等的價格捆綁叫賣。大網站的許可權則是單個出售。在小G接觸過的人中,除去以黑為樂的狂人以及有政治目的的國家黑客,出手最闊綽的當屬商業黑客——曾有人開出800萬的高價求購「人人網」的許可權數據。索尼公司曾因涉及57個國家、地區的詳細用戶數據泄露,而面臨5.2%的股價下跌,超過10億美元的訴訟賠償,以及高層的震蕩的嚴重後果。

「回到家後,我就急著翻看他的C盤和D盤。這人極有可能是遊戲黑產老大的小馬仔,他的收藏夾里存著《地下城與勇士》遊戲鏈接,做壞事偶爾也會無聊一下。」緊接著,小G逐步證實,包括淘寶散落各地的十幾個伺服器,餘下幾萬個也貨真價實。窺私慾為小G帶來了極大地熱情和行動力,但他暫時無法向任何人吐露消息。

「朋友們只是問問,了解行情。他們知道我不會賣的。」

小G總是濫用「朋友」這個詞。他看起來和街上的青年沒兩樣,穿著隨意,頭髮略長,沒有什麼可擔心,也沒可失去的。他足夠的沉著大膽,但似乎永遠都不夠開心。「我需要大量的朋友。」每日共同出入的工作夥伴是朋友。在他們中間,有曾經黑客界的偶像,也有每日布置繁瑣工作的領導。不斷提問的外籍記者也是朋友。雖然英國激進新聞網站Sky News曾在詞語上大作文章,傷害了小G費力用翻譯軟體與之交流的熱情。「話筒對著沒經驗的黑客們:理論上,你能有多大的破壞力?他們如實回答著。到了報紙、網站上會是另一回事:這些黑客極可能做出如下行為……又一條中國黑客威脅論證據誕生了。」在這些朋友之中,最特殊的當屬從事地下黑產的人。「只要信得過。黑帽也會有原則。我不會出賣他。他不會把我拖下水。「

「信任一個人的最好方式就是通過技術。老楊第一次到機場接我,根本不知道我的長相。哈哈,我可是為此而輟學了。他們只得把當初討論技術的博客列印出來,舉在那四處打量。」

「人總是比行業教給我更多東西。新聞圖片也許是我唯一見到那些地下黑產者相貌的機會。我不會幹預他們,每個人都有自己的生活。就當做是看電影吧。只不過我是看真的。」

「這個黑帽朋友,給我的印象最深刻。他的一批伺服器在奧運前夕被繳獲了。之後他消失了,我以為已經被抓。他的黑產只算中等生意,但在當時,掙錢特別容易。十萬塊錢買一個漏洞,轉賣一個星期後就有200萬進賬。非常好用的漏洞不停的出,他就四處找渠道買賣。之後他再出現已洗手轉做房地產。他說,有朋友投資,不全用的黑錢。」

「他說,回四川老家時趕上了地震。周圍常常會有死人。通訊、水、電全沒了,睡在大馬路上不知明日死活。樓塌陷,地面全部裂開,像末日一樣。」

「他和我講,以前搞那個東西很爽,現在覺得莫名其妙。更大的刺激替代了那種掙多錢、快錢的刺激。Grey sigh。灰色嘆息,我的ID名會讓一些人主動靠過來,講他們以什麼為生,過得好不好。我也喜歡我身份中的曖昧性。」在美國,確實會有一些中間狀態的黑客,既教授」黑「的規律,也做」白「的安全建設。當一個漏洞被發現,他們有權提供給廠商,假如他們一直遮掩拒不認錯,灰帽們也有權在30天後將漏洞丟出,交由大眾審判。但在這裡,很少有人能像小G一樣享受到曖昧身份的快感。涇渭不明的人可能直接被金錢所惑而墮落。

「從一開始被別人盜竊賬號激起複仇欲,到研究製作病毒去感染懷疑對象。看到別人把自己研發的檢測木馬的技術改裝成了犯罪工具,漏洞里甚至還帶著公司的注釋??最後我的工作是儘可能的去阻止他們。我會感到很奇怪,自己到底是受害,還是在施暴?也可能只是食物鏈中的一環。」

小G很難用一言兩語去勸解從事黑產的年輕人,有過不勞而獲的經驗很難再辛苦地去操持正義。「名聲、利益你們都得到了,現在出來叫我們不要做?」一些更年輕的男孩回答到。

黑客與嬉皮士

子潘和其他技術人員對調了樓層,並提前一小時打車到達公司,開始接手小G的恢復與處理數據的工作,他的工作常常很辛苦。即便是面臨著處理客戶部與研究部有關技術理想和現實碰撞的壓力,他的言語也很少,經常性的等待別人講完,再給予意見。子潘對外表達出了足夠的興趣和有意識鍛鍊出的耐力。

「從小在華西村長大,你能夠很快發現錢的力量,」子潘說,「人們都在企業里幫忙做生意。過年的時候會發金條,剛出生的嬰兒也有。」作為北京信息科技大學計算機協會的會長,子潘一畢業就被中國信息安全測評中心招走,在體制內做起一些繁複的等級保護標準研究工作。跳槽到安全公司在當初推薦他去測評中心實習的老師眼裡看來,並不是一份體面的選擇,「體制內的生活固然很舒適,但我寧願去做點實戰性強的工作,這才是計算機安全的本質。」

「寂寞小姐,你上的是最好的學校/但是知道嗎/那段時間你只是在享受/卻沒人教你真正的東西/怎麼在社會上混??他們都喝著酒/琢磨著怎麼能淘換到更值錢的玩意兒。」如同鮑勃迪倫的《Like a Rolling Stone》深刻影響了包括喬布斯在內的嬉皮士黑客們,與宋庄搖滾樂手的交往,也給子潘的事業初期留下了最深至的印象。

「一些既搞IT也做音樂的人邀我們一起做網站,觀念一拍即合。很多媒體競相報道那種以股份制購買音樂的新行徑……中午12點吃完飯,帶著狗去上班。在鼓樓的酒吧聽馬條、舌頭樂隊的搖滾樂喝著酒干到晚上三、四點鐘回家。酒吧是大夥的,所以玩的比較脫。有個樂手發現了仿冒我們的網站,就想知道是誰在搞鬼。他們說,執法部門不會管這種雞毛蒜皮的小事。本來我只是想幫忙警告一下,沒想到操作失誤,使對方的電腦直接關機了。他們也就再也沒敢開過。微醺是寫代碼的最好狀態。最開心的就是那段時間,只知道為了理想去做,不用問該不該干。」

「加州意識形態」是在信息技術魔力的召喚下產生的一股多元但異質的文化。在美國60年代的西海岸,就曾有一些作家、黑客、資本家和藝術家以鬆散的方式聯接在一起,他們信奉「人人創造,人人分享」,並影響著現在矽谷里的創業者。但技術可能無法清除通往烏托邦路上的一切障礙。子潘幫助「最地帶」音樂版權交易做安全防護時絕不會想到,兩年後,這一切會成為一場創始人消失、主頁關閉、拖欠薪資的騙局。即便數字和藝術結合的有了投資保障,也與音樂市場上藝人們真正走紅的規律十分衝突。

子潘並沒有感到特別沮喪,更大的原因是,他們只專註於玩樂、結識好友和創造更多有關互聯網安全的前瞻性行為。輕鬆但創意十足的氛圍一直在延續。「有一次,我們發現了一個很嚴重的微軟安全漏洞,嚴重到讓我們以為是已知的東西,就在網上貼出討論。之後才發現,這個漏洞並沒被公開。「微軟方十分震驚,他們說自2002年衝擊波病毒以來聖誕節從沒加過班。」捅了個婁子,大家都覺得很好玩兒。他們修補一個漏洞的成本是幾百萬。」子潘露出孩童似的笑容,緊接著又嚴肅起來,「但現在,我們是微軟在中國唯一的安全提供商。」音樂股份網站的爛尾。自主研發的安全軟體被更大的廠商當做病毒幹掉了。沒有合作成功的投資人將商業計劃書拿走,做成了競爭產品。所有的失敗經驗都被挪用到了新的成就上。「我們在逐步適應商業,但賺錢並不是最終目的。讓互聯網變得更好一些??這麼說有點可笑、理想主義,但我們的確有把理想變成現實的可能。」結合先前的願景和技術,在2012年,他們為騰訊微博4億註冊用戶提供了URL安全保障,合作客戶包括香港賽馬會(HKJC)、美國科莫多(Comodo)公司、國家計算機網路應急技術處理協調中心、中央政府採購網等等。

關閉引擎

互聯網應急中心在得到楊冀龍提交的確鑿證據後,便急於將消息分發給技術支持單位乃至整個社會。清華大學,中國電信,地方移動和銀行都情緒激動,楊冀龍的電話一時不能負荷。

「中國移動一下丟來100多個內網IP地址,說快幫忙查一查,一個中招滿盤皆輸。我查了一下,說沒有,他們才鬆了一口氣。」

4月9日,中國互聯網迄今為止最大的泄密案告破。武進公安局抓獲了兩名二十齣頭、經營網遊私服的年輕人。惹了這麼大的麻煩,他們僅僅從中獲利10萬元。

「抓的再晚一點,可就不止這些錢了。全球兩萬多的伺服器中,除了惠普這類擁有無數商業秘密的大公司伺服器,還有一個網站,相當危險。」楊冀龍口中的http://SF.net,全稱為http://SourceForge.net,是世界上最大的開源軟體開發網站。「全國100萬的軟體都託管在上面,他們拿到這個其中一台伺服器的許可權,就有可能修改300萬的軟體。如果在這些軟體的原代碼里都放上後門、木馬、病毒,感染面將會空前巨大。影響不可計量。」

就像沒有電影,就沒有人會知道救世英雄曾經摁停原子彈的引擎。只有秘密在平凡中爆炸,人們才為它感到驚奇。越是做這一行,老楊就越對網路安全的力量感到稀鬆平常。他曾在觀摩美國安全公司HB Gary外泄的郵件時發現,這家防護和間諜軟體的供應商正在輔助美國政府與本拉登對抗。他們將病毒注入基地成員相互溝通的Word文檔的中,一旦有人打開「暗殺手冊」,電腦就立即被美國政府監控起來。這讓老楊意識到,本拉登本人的安全已成問題。幾個G的郵件在網路上被攤開,但鮮有人下載分析。果然,在一個半月之後,新聞中傳出了本拉登被美軍擊斃的消息。

除了閱讀大量的英文資料,與別國高手接觸也是黑客成長與工作中最重要的經歷。「美國黑客很奔放。賽門鐵克的Matt會一邊寫完美無缺的代碼,一邊把食物貼在地板上??來了漫天黃沙的北京還是這麼做。谷歌全球編程挑戰賽(Google Code Jam)第一名永遠是俄羅斯黑客。他們從小受到嚴格的基礎科學訓練,認為萬事要做的深入。留著耶穌一樣金色長髮的Kris Kaspersky,也是《黑客反彙編揭秘》《黑客調試技術揭秘》等黑客教科書的作者,他會花上幾個月研究一個無人關心的CPU漏洞。」但不同的生存環境,也會使溝通出現障礙。

「大家都認定中國黑客最厲害。除了黑客基數,連白天種地的農民晚上回家上網時都懂得殺毒,美國則很少人會有下載殺毒軟體。」這種長期與大量惡意軟體鬥爭下形成的安全意識,令楊冀龍局促不安。

他們想逐步改變這種現象,他們試圖在美國大使館的會議上說服噓聲一片的安全從業者,並帶領思想純良、敢闖敢幹的年輕人關閉更多危險引擎。但他們也發現了生存驅使下,周遭環境的扭曲:「有七、八年經驗的黑客跑去寫木馬,剩下只有一、兩年經驗的小孩整日坐在電腦前做安全分析,不斷發出膜拜的聲音,天啊,這個病毒寫得真完美。」盜版的猖獗,導致很多合法創新的泯滅。一個本應有幾十萬收入的軟體寫手被盜版搶去飯碗,只能轉型做黑產,並助其產值發展得更大、更隱蔽,最終達成死循環——整個IT產業及個人的轉型困難。

「作為整體我們會比個人更加殘酷。」全球黑客組織Anonymous的標語讓人印象深刻,他們在Twitter上為自由和正義發言,不斷折磨著執法部門和商業巨賈。但在網路安全世界裡,一旦作為整體,就要做好面臨比自由個體時更加殘酷的境遇準備。「摧毀別人文件和硬碟的是電腦狂人(crackers),省去學習時間,下載別人做好的『槍』,到人群里隨意掃射的是腳本小子(script kiddies);專註於某一領域,能用最漂亮的方法解決事情的人才能叫黑客。有人負責破壞,就要有人負責清洗。他們做黑帽子,我們就做白帽子。我們都是黑客。但我們更像黑客。」

謝邀,其實不需要單獨開貼回答,知乎搜「知道創宇」吧,看看裡面的各種問答,我們幾乎都會回答,我們是可以以人品保證沒一個是我們安排的托去問這些問題,通過這點,還不能感知到知道創宇的魅力么?

另外潑個冷水:團隊再好也會有各種不好,如果來知道創宇只是享受美好,就可以拖出去「打死」一百次……來這類創業團隊應該來發掘不好,並一起解決之!

潑第二桶冷水:你發掘出的不好,是真的不好?在一個公司沒待滿兩年就開始指點公司戰略問題,這尼瑪真是坑爹啊,除非你真的很牛啊……

沒人質疑的公司太可怕了,還好有人質疑我們在知乎不斷炒作……

準備10月份邀請北京的一些人來知道創宇體驗體驗,成都這邊的體驗也可以;)我每隔一段時間會到成都分公司,北京是總部。

體驗的消息可以關注我的微信「Lazy-Thought」,開始安排了會發出消息。

順便如果能來今年8月下旬的 KCon,也會是一種體驗,昨天看看發出了預熱宣傳:

KCon V3 知道安全論壇8月舉辦

希望對你有幫助。

這個故事要從很久很久很久(此處省略一萬字)

以前說起,在東勝神洲、西牛賀洲、南瞻部洲、北俱蘆洲壓根兒都沒有關係的湖南,有這麼一個青春靚麗天真無邪妹紙悄悄的無比低調的誕生了。她從小就顯現出來了勤奮好學、熱愛知識的天性,雖然很是低調,但是中國有句俗話來講「酒香不怕巷子深」,so,還是讓人們在光天化日之下發現了她把建立社會主義和諧社會當做己任的一面。哎,是燈泡總要發光的……沒辦法。

說到這裡,想必大家已經知道這個妹紙是誰了。對!各位太聰明了,就是我「劉開水」!!!鼓掌!!!

因為喜歡研究黑白、對錯、正反、高低(此處省略一萬字)…之間的聯繫,同樣的喜歡在辯證中求統一……呃……咳咳咳……好像有點跑題哈。我皮膚細膩光滑水嫩白皙,我一直想知道黑客的圈子是神馬樣子的,還有就是據我所知好像黑客都是在電腦跟前的,怎麼會黑呢?難道LCD屏幕的光也會有紫外線?不對呀,我用電腦看櫻桃小丸子這麼久了,皮膚還是細膩光滑水嫩白皙的,莫非是我用L』orealParis的護膚品起作用了?恩,你值得擁有!

秉承公正的態度、嚴肅的風格、用事實說話的原則,我開始關注這方面的各種信息,隨後呢也就認識了大大餘弦,也慢慢地了解了一個跟我一樣低調且高大上的公司叫「知道創宇」

通過漸漸漸漸漸漸的大侃小聊,我也就又把對待求知如饑似渴的一面暴露了,大大呢估計也是被我外在和內涵所打動,也就把他如同聖母瑪利亞、耶穌基督、真主安拉、玉皇大帝、四大天王…的仁愛!關愛!大愛!…給釋放出來,決定讓我融入這個圈子順便讓我清楚LCD屏幕是沒有紫外線,且黑客不是因為皮膚黑,而是因為對著電腦時間長了導致黑色素沉積以至於有黑眼圈而已。

OK,於是乎,我就biu~biu~biu的如同一隻小小小小鳥,歡快的來到了帝都北京,步入創宇,給「創宇」增加了白色的血液。其實我建議現在改掉不叫「黑客」,可以叫「白的發黑客」或者叫「黑的發白客」這樣都可以,也更符合實情。再說字數長一點也顯得更瀟洒更牛叉一點,例如大家都知道的「獨孤求敗」和「司馬無情」,去掉一個字就顯得猥瑣了,換個角度,假如我叫「獨孤敗」、「司馬情」,我肯定會發飆的,相信你們也是。

------------------------------------------萬惡的正文分割線------------------------------------------

來到「創宇」呢,這個圈子裡種種情形很符合我的胃口,由於廣大群眾先聽到我的聲音,而我的聲音甜美程度距離「餘音繞梁,三日不絕」不遠,以至於各位知識分子以為我是女神,見到我後說我是「女神經」,還有沒見過我真身的還抱有幻想,在此感謝那些沒有見過我的。我想跟大家說我也是一個赤橙黃綠青藍紫多彩的小妹妹,多彩才會有味道,多彩才會粉絲多嘛。怎麼能狠心下的去嘴巴說這麼個妹紙是「女神經」?

餘弦大大 @餘弦 呢,給我的感覺就是具有獨特的個人人格魅力,接觸後會讓人覺得這男銀是屬於那種男女老少56個民族通吃型的,很嚇人的。跟我站在一起,我會有一種危機感,就像小時候用舌頭舔冰激凌時候而有一個小朋友一直盯著你的手和舌頭看一樣的那種感覺。我真心害怕那些在我石榴裙下的小夥子們 @龐偉@Fooying 轉身去找他撿肥皂了……邪惡了哈。

各位不要傷心不要難過,也不要以為我是對大大感興趣而誇讚,看在你們不喝的酸奶多數都給我喝的份兒上,我也是要說說你們的嘛。創宇的各位大牛們,在知識還有個人的能力方面絕對的是達到一種「人見人愛、花見花開、車見爆胎」的程度,這種程度如果非要用一個數字或者物體去形容的話,那我只能告訴你,不是三四層樓那麼高,也不是五六層樓那麼高,而是起碼有八九層樓這麼高。為什麼我不說十層呢?因為老師說過要謙虛,大家也都是聽話懂事的好孩子,自然要留一些繼續進步的空間。因此,就這一點點上足以讓我放下「女神」的地位,心甘情願老老實實安安靜靜地做一名「女仙」……

有一些不知道情況的朋友看到一些涉及到技術啊或者較為深刻問題會覺得是我們安排有拖來問這些問題,有自我炒作的嫌疑。對此我深表無奈,無奈到十萬八千里都找不到邊兒了的地步。要不是怕有損形象,我真的很想鼻涕眼淚橫流的哭訴叫屈:我們不是賣西瓜的呀,我們沒必要說自己好的不能再好了。創宇不是完美的,可是誰都找不到完美的,有錯誤不怕,知錯就改就還是好同志嘛。創宇的工作時間是有彈性的,每天十點鐘上班很是適合我們這些愛床超過愛對象的人。那些寶貴的親愛的休息時間,就是給我鈔票跟我換我都不會幹的,除非你在我面前跳鋼管舞。呃~又邪惡了……對著電腦屏幕自問自答的這種傻事兒只有在煽情電影裡邊失戀後痛苦心碎到要死的地步的人才會幹。在此告訴各位親愛的朋友——電影故事來源於生活,但是又高過生活……把生活當做電影來過,到最後只有哭的份兒了,更嚴重的是哭都找不到眼淚只能抹口水了。

有朋友看到我說的這些,會覺得我作為一個剛進來的新人,對於各方面都不太了解就說這些誇讚的話有討好各位創宇大牛的嫌疑,我想說的是作為「女仙」我有必要麼?咱們可以在下班之後找個地兒坐在一起探討一下,吃吃烤串,要變態辣的那種,喝喝扎啤,要加冰……隨後你們就會發現我所說的都是事實存在的是經得起考驗的!最後別忘了買單哈……

在目前這個社會裡邊,工作族一個比一個累,但是又不清楚累在哪,因此無比痛苦,從地鐵上一個個浮腫的眼睛和暗淡的氣色都能看到。【在創宇累成狗我第二天照樣跟逗比樣歡快】~經過我無數次抹護膚品的時候順便思考緣由後,終於在一陣電閃雷鳴結束時得出了初步的緣由

  1. 大環境缺乏人性,員工只是機器;
  2. 小環境缺乏團結,沒有團隊精神;
  3. 工資太少,買不起茶葉蛋。鼓掌!!!

在創宇的這段時間,因為大家都是年輕人,方便各種溝通交流,甚至大家很多時候想法都是相同的,做什麼事情一說,大家都知道該怎麼去行動了。這種行動是集體行為,不存在什麼命令呀或者類似的官僚主義。對於領導抬著頭下巴對著下屬跟皇上似的來一句:小陳子,小李子……你,去把那個啥啥啥給弄一下,弄不好扣你買茶葉蛋的錢!!這種情況還真會感覺自個兒跟個被閹了的一樣,心裡恨不得掐死他但還得憋著鬱悶露出好像很歡快的小臉答道:喳!

題外話:最近我的物理黑貌似出名了...在其他公司你敢么,老大們有切JJ @黑哥 的刀估計已經把你切了】

在一個有活力有激情沒有太多上下等級的團隊中間,起碼心情舒暢老的也慢一點,這對於想做男神女神的同學們有所幫助,並且吧還可以對於公司以及個人的價值觀、世界觀等等有一個新的認識,「資本主義」不一定都跟黃世仁一樣是萬惡的。創宇之外的朋友提出的意見和建議我們都會仔細的分析和解答,這點要相信我們。我們也會在前進中不斷的修正自我,這樣是對我們自身的工作及發展負責,也是對關注關係我們的朋友們負責。

餘弦大大吐槽說發掘的不好未必是不好,這種自信是值得學習的,但是其實我對創宇真心有一點小小的建議,也希望在商討後能及時處理——要是在日常的水果、酸奶搭配上再來碗炸醬麵或者小雞兒燉蘑菇 @Evi1m0 ,那樣,想必是極好的!

嘻嘻……最後來張我的逗比照

比如有參加Kcon大會這種。。。

這裡 KCon V3 知道安全論壇第三期

這裡 KCon黑客大會8月舉行 三大看點提前曝光

順便發個招聘 [成都]知道創宇招聘 Python 研發工程師和 QA 工程師

前員工路過,作為一個python玩家表示,創宇團隊氛圍很好,技術氛圍更是不錯,常有人show新知識新技術,以及個人的愛好研究。

大部分老大都是技術出身,比較注重工程師情懷。甚至有一部分比較古老的通用庫裡面還有老大們的簽名~人也很nice,愛和大家講笑話。

技術內部注重代碼風格,經常會review,對培養個人的編碼習慣非常有好處。

除了用tab縮進讓我稍微有點兒覺得彆扭。。

看來創宇生活確實不錯,妹子養的如此珠圓玉潤~~~

嗯 從各種渠道得到的消息來看 知道創宇應該是非常不錯的 如餘弦所說,每個公司都會有好與不好,人無完人 。

技術氛圍濃厚,適合來搞技術,然後感覺比較遺憾的是沒有食堂==3

我只想問,對它有深切感情的還會做出客觀的評價嗎……

推薦閱讀:

假如明天你將死去,那一件事是感到遺憾而沒有去做的?
在榮大快印工作是怎樣的一番體驗?
有一個摳門的老闆是怎樣的體驗?
攜程的技術氛圍怎麼樣?
專利代理工作者(包括國內代理人或涉外代理人、助理或正式代理人)一天的工作生活大概是什麼樣子?

TAG:工作 | 知道創宇 | 工作體驗 |