補天眾測第一人:月入24萬是一種怎樣的體驗
提到石肖雄這個名字,知道的人或許寥寥無幾。而在補天眾測平台上,冠以這個名字之上,卻有一個響噹噹ID:jkgh006。
自去年被封神24萬哥和眾測第一人的名號之後,雖然jkgh006這一ID慢慢傾向於蟄伏與低調,但只要登錄平台,依然可以在風雲白帽的排行里,找尋到他的蹤跡。
見到石肖雄,其實是在上周在北京舉行的中國互聯網安全大會(ISC)上。作為白帽中的大咖,除了以嘉賓的身份參加會議以外,同時還在補天白帽的沙龍上擔當講師的角色。
匆匆地來又匆匆地去,我們之間的對話,也隨著他黝黑的額頭溢滿汗珠,氣喘吁吁著、憨憨微笑著,打著招呼走進安在的採訪間,開始了。
- 1 -
罕見的80後科班出身「白帽子」
成為一名白帽子,用石肖雄自己的話說,是「萬萬沒想到」的。畢竟在他上學的年代,漏洞是不值錢的。
就讀於西安郵電大學網路工程專業,對信息安全的熱衷,讓他總是在閑暇時間,自學一些信息安全相關的專業知識。如果說一定要找尋這段「孽緣」的伊始,便是這「科班生」的身份了。
幾年前,網路安全方向的大環境其實並不理想。沒有所謂信息安全的概念,也沒有漏洞的獎勵機制。回憶起那時的自己,石肖雄覺得更像是在「過家家」。
追溯自己的啟蒙之路,石肖雄很感謝一個人,那就是當時的一名研究生導師,也是學校網路安全專業的系主任。石肖雄回憶道,當時導師在名額不多的情況下,挑選了自己,一同參與校園網一些程序的學習與研發。
而正是過程中對於校園網的接觸,讓自己完成了生涯中第一次挖洞。
在學習與應用的過程中,石肖雄檢測到校園網可能存在的安全漏洞。通過自己那時認為自學的「三腳貓」功夫,第一次真正完成了對漏洞的挖掘。
石肖雄笑著表示,雖然那次的挖洞行為是不可以被學校知道的,但也確實在偷著樂的同時,真正為自己日後成為一名「白帽子」開了篇。
大學畢業以後的石肖雄,順利地進入了一家行業內鼎鼎有名的乙方公司,開始了產品研發的工作。巧的是,當時團隊研發的產品,正是一款漏洞檢測軟體。
對於石肖雄而言,漏測軟體研發的經歷,讓自己漏洞挖掘的能力更趨於成熟。而正經地做挖漏這件事,似乎可以讓自己把這款產品做得更好。
「漏洞檢測這種東西,就是把人工挖漏洞的過程轉化成軟體自動挖的過程。我本身就是在干這個,所以我就必須去親自了解。」
從此,石肖雄開始活躍於各個漏洞平台,jkgh006也開啟夢遊仙境。這件最初「萬萬沒想到」的事情,也慢慢成為了生活中最大的興趣來源,以及知識汲取的渠道。
當被問詢是否有情懷支撐自己,一直在補天眾測發光發熱的時候,石肖雄不好意思地摸了摸頭,訕笑道:「我算是一個老人,我到底還有沒有情懷,我還真的不知道。」
隨即又告訴安在:「站在我的角度,我覺得補天提供了我們這樣一個平台,我們能夠在這上面獲得一部分報酬的時候,也能夠提升個人IP,也能夠對自己的公司做一定的宣傳,對我來說動力蠻大的。」
這人還真是實誠啊。
- 2 -
月入24萬是一種怎樣的體驗
除了補天眾測第一人的封號以外,就在寥寥數語的交談間,安在又對石肖雄有了新的別號:24萬哥。其實行業內的人或多或少也聽說過,jkgh006在2016年的某一個月,挖了24萬。
而在談論24萬那個月發生了什麼之前,石肖雄忽然間正色起來。「現在的互聯網安全環境其實挺差的。」這就是他眼下最迫切想要表達的看法。
對於現在的企業、單位而言,最直接、最簡單便捷甚至最無腦的方式,就是購買防禦設備,而這種行為是無法從根本上解決安全問題的。防禦產品不是萬能的,至少依石肖雄的經驗來看,90%都是可以繞過的。
沒有錯,因為他真的繞過。
在去年的某一期測試中,對於某大型金融機構的漏洞挖掘工作一直處於零開展狀態,平台上的諸多同行也表示一籌莫展。而在石肖雄繞過了該家機構的防禦機制之後,等待他的也只剩數量龐大的安全漏洞了。而這一次的獎勵,便正是24萬。
面對四下充斥著的互聯網安全良好的氛圍,石肖雄第一次皺起了眉頭:「如果防禦機制被搞定了,那漏洞可就全都暴露出來了。」
而被問及這24萬的獎勵,能給自己帶來什麼時候。石肖雄陷入了沉思,幾經斟酌之後,他搓著雙手,似乎有些不好意思地說道:「你也知道,在杭州,好像什麼都做不了。」
你真的不是來搞笑的嗎?
可能是看到安在難以言喻的表情,石肖雄才意識到似乎抓錯了重點。對於自己而言,這24萬的意義,遠高於金額本身的價值。
除了補天眾測平台的肯定之外,一夜成名帶給自己困擾與苦惱的同時,也讓自己意識到自己可能所承擔的責任,還不僅如此。
如今除了每月平均30左右的挖漏量以及六七萬左右的獎勵以外,石肖雄在補天眾測還有了新的身份,這個我們後面再說。
- 3 -
從「補天白帽」到「創業者」
除了文章之前所提到的名頭以外,石肖雄也確實還有一個全新的稱謂:杭州敏信科技創始人之一。而這家剛剛成立一年多的公司,特色項目正是代碼審計。
提到創業,就不得不聊石肖雄傳奇般的工作經歷。
石肖雄在畢業之初,就進入了一家行業內鼎鼎有名的乙方企業進行漏測產品的開發。不做過多闡述,想必大家也或多或少可以猜測到這家企業的身份。
如果一定要提及情懷,石肖雄表示,可能正是對那年那人那些事的那種懷念吧。
四個剛畢業的年輕人,用了不到20天的時間,完成了同等資源、同等質量下,三個月的工作。產品研發與應用的成功,是石肖雄認為,迄今為止個人成就感最大的滿足。
幾個年輕人的友誼上的升華,也是他至今一直銘記於心的情感。
石肖雄說,他打算一條路走到底,可是這條路也不好走。而自己最終選擇創業,十足的勇氣來自於當年夥伴的鼓勵與幫助,迷茫時那種無話不說、一個團隊的狀態,正是讓自己依舊選擇了去經營與當年研發有關內容的原因。
而在創業之前,石肖雄還順便好奇地去了甲方企業轉了轉。而他給出的理由是:想看看甲方的安全到底缺什麼。
正是基於從甲方到乙方,在整個安全體系內工作的經歷,才讓石肖雄深切體會到在信息安全中,企業所暴露出真正的為題在哪裡。
而也正是因為在補天眾測的挖漏經歷,更讓石肖雄認識到,抵禦挖漏,怎樣的辦法最有效;企業安全,怎樣的服務最必要。
石肖雄總結道:「一般企業在對於安全產品上,都不會自主研發,而是直接找第三方使用。那麼第三方的產品安全性能如何得到保證,誰來解決這個問題,這個就是我現在目前要做的事情。我就是要做第三方業務的代碼審計,來監管第三方的產品和服務的根源。」
石肖雄說,既然還冠以「補天眾測第一人的名號」,既然還將這「白帽」戴上,每一次的舉動就不僅僅是自己的行為。
而既然代表了「補天白帽」這一團體,除了個人價值的實現,更多地要肩負起這一群體應當在行業內承擔的責任。
作為一名老男孩,他把最後的激情全都投入到了創業中來。因為「白帽子」某些不可描述的現狀,能夠真正為企業安全做點什麼,只能將自己規範化、合法化。自己所創的業是在做這件事,補天眾測也一直都在做這件事。
- 4 -
正義是「白帽」的堅守
其實,早在四年多以前,jkgh006就已經在補天平台被註冊了,而這一ID真正開始活躍於補天眾測之上,卻遲到了一年之久。
石肖雄告訴安在,最初基於興趣愛好,而沒有選擇將挖漏真正看成一件事情去做。之後得到補天這邊的盛情邀請,就開始了開放式的挖掘。不過從今天看來,真的應當說一聲感謝。
感謝的不僅僅是平台與機會,更多的是創業的啟蒙,是行業的認識。
石肖雄說,自己更願被稱作「信息安全從業者」,而非「白帽子」。所謂「白帽子」似乎已經被曲解,已經變了味。
正是因為這個行業里諸多難以啟齒的問題,才讓越來越多的企業不願意做眾測以及授權,歸根結底,丟失的是「信任」。
補天眾測的合法性和規範性,讓為企業安全做點事的想法有了繼續的可能。不論是創業也好,還是繼續活躍於補天眾測也罷,石肖雄想要的,是把信任重新建立起來。「是不是很天真?」他笑道。
而對於「白帽子」們想說的話,石肖雄只說了八個字:守住底線、堅守正義。
石肖雄認為,其實很多我們身邊不曾留意的小人物,也許在電腦面前,都有可能變換成另一種模樣。他很希望這些有能力改變世界的人,不要浪費自己的能力與責任,還是投入到信息安全行業來。
如果一定要具體化,那就是乙方。他表示,乙方在推動信息安全發展中,所佔的比重更大,但乙方的人才環境,實在太差了。
說完他又想了想,告訴安在,還是不要把這句話寫到文稿里。「因為我覺得肯定會有很多人罵我。」
承接前文所提到的新的身份,那就是補天眾測的「白帽講師」。自24萬之後,他的微信便被好友申請刷爆了。(在這裡安在公示下,這個人的微信號就是jkgh006 jkgh006 jkgh006,重要的事說三遍)而在慕名的人中,有很多已經成為「白帽」的同行,前來取經與討教。
在私下的交流與溝通中,石肖雄發現,這些所謂的「白帽子」,安全知識略為單一。這也讓他產生了傳道、授業、解惑的念頭。 在後來,也就自然而然的加入補天白帽沙龍中,在南京站和北京站成為沙龍講師,為補天的白帽子分享他的學習經驗。
石肖雄說,自己的業餘愛好是釣魚,他笑稱為「老年人的生活」。而他的一位釣友,正是一名網校的老師。石肖雄便詢問他,能否到他的課堂上,去對學生進行信息安全方面的科普與授課。當初這一願景,最終在補天眾測的沙龍上得以實現。
而對於授業的執念,除了基於自身責任的感觸、知識的普及與分享,更多的是對於「白帽」現狀的擔憂。他想找回的「信任」,不僅僅是對行業肩負的使命,更像是敲響每個「白帽」堅守正義的警鐘。
他想能夠在自己的努力下,在不久的將來,當人們再次提起「白帽子」這三個字的時候,仍然會理所應當認為這個群體是正義的代名詞。
所以,當安在玩笑般的稱呼了一聲「石老師」後,回應是整場採訪最幸福的笑容。
石肖雄說,與補天眾測情緣,這輩子可能是解不開了。而即便蛻去「補天眾測第一人」的榮耀,自己也依然會在前進的路上堅守「白帽子」的正義。
也許,未來某一天,我們不再看到jkgh006活躍的身影,但那絕不是結束,一定是另一個新故事的開始。
推薦閱讀:
※漏洞挖掘中的常見的源碼泄露
※如何玩轉Intel多款產品提權漏洞?
※漏洞之我觀
※漏洞提交級別說明
※安卓開發/反編譯工具中多存在嚴重漏洞