先知是什么?

在《圣经》中,先知摩西高举手杖,在波涛汹涌的红海中打开一条通路,带着以色列人走出埃及,前往应许之地;在网络游戏中,先知身处战场的远端,于股掌之间操控着风云变幻的战局。

在安全圈,也有着这样的“先知”:先知不是某一个人,而是一群白帽子。他们是互联网安全的观察者,静静地发掘着每一个潜在的危机。

以一行行代码作为手中的法杖,他们引领着互联网走在更安全、更开放的道路上,共同创造着互联网安全的新世界。

安全脉搏:上百个漏洞,十万多奖金
纵览“先知”平台的名人榜榜单,你会发现,有一个名字时常盘踞在前几名的位置,他就是安全脉搏。
从加入先知平台到今天,安全脉搏已经提交了上百个漏洞,成为先知积分排行第一的白帽子,但提到这一傲人成绩时,他的语气轻描淡写,随意得如同在谈午餐吃了什么:“大概吧,记不太清了。”

安全脉搏的黑客之路始于2005年:大学时,他被一位学长的逆向破解技术所折服,有意拜师学艺,学长却告诉他:“你先学好汇编吧。”过了一段时间,他偶然在街角的报刊亭看到一本《黑客手册》,竟由此发现了新世界的大门:web渗透。“当时觉得web渗透成就感更强,于是走上了这条不归路。”

加入“先知”后的斐然成就,让旁人对安全脉搏艳羡不已,直呼“大神”,但他却从不以此自傲:“做白帽,最重要的还是保持平常心。”

对于众测平台的优势,作为从业者的他深有感受:“从漏洞发现数量、效果及周期上来说,众测平台确实好一些,毕竟众人拾柴火焰高嘛。”他还希望看到更多的白帽子加入这一行列:“想和先知上大神同台竞技的话,这是一个不错的机会,还可以顺便赚点零花。”

说是“赚点零花”,但事实上,白帽子在“先知”上的所获,远超零花钱的范畴:不同等级的漏洞都有相应奖励,单个漏洞最高可以达到五万元。每个月的月奖之星月入都超过一万。时至今日,安全脉搏已经在先知平台上累计获得奖金十万多。丰厚的奖金固然是一种激励,但他还收获了更重要的东西,那就是“名利之外对技术原始的热爱和疆场匹敌的豪情。”

除了白帽子的身份,他还坚持带领安识科技的团队运营着优质技术自媒体社区http://www.secpulse.com,用技术亲手为安全世界添砖加瓦的同时,他也通过自己的声音,让更多的人能深入了解互联网安全。

独自等待:高中就立志当黑客

虽然并非安全从业者,但在安全圈,独自等待已经算得上是老资格了:除了“先知”的平台漏洞挖掘者,他还是资深网络安全博主,waitalone.cn的掌门人。

在提到自己在“先知”上的成绩时,他神秘地笑着,“不便透露,进驻你就知道了。”大牛们挖洞速度实在太快了,压力山大啊。”“大牛”说的不是别人,正是“安全脉搏”。话虽如此,但在先知的名人榜上,他的成绩仅次于安全脉搏,排名第二位。

独自等待的安全生涯是从一本书开始的:高一时,他在学校对面的小书店偶然看到一本凯文·米特尼克的自传,立刻被深深征服。此后,他放弃了订阅多年的杂志《科技纵横》,取而代之的是各种黑客杂志:《非安全》《黑客手册》《黑客防线》《黑客x档案》。当时,电脑尚未普及,独自等待对安全的认识也只能停留在理论阶段,直到上了大学,他才有机会接触到真正的IT技术,还亲历当年举世瞩目的中美黑客大战。

如今,独自等待依然坚持运营着自己的安全博客:http://www.waitalone.cn。该博客建立于2009年2月14号,到今天已有七年时间。提及自己的“小天地”,他带着几分得意和自豪:“虽然我技术一般,但多少还能为各位新手小伙伴提供一个知识分享的平台。”

在“先知”的名人榜榜单上,独自等待的头像尤为显眼:一个Q版的超人骄傲地笑着,鲜红的斗篷正随着风上下翻飞。他本人正像是一个小小的超级英雄,凭借着自己的能力守望着安全的天空。

男仔无才:挖漏洞就像打怪升级

“男仔无才”的名字带着明显的调侃意味:在世俗标准里,“男子”是必须能够建立一番功业的,要是“无才”,那成了什么了?他却偏偏用“男子无才”四个字作为ID。

据了解,之所以用这样一个ID,是要告诫自己要保持低调,继续努力,直到得到自己的认可。实际上,他也并非真的“无才”:能登上“先知”的名人榜,这哪是平庸之辈能做到的?

有趣的人通常都对世界充满了好奇心,男仔无才也不例外,他进入安全圈,就是因为对于新知识的好奇:大学期间在网络中心做维护,他发现网站代码里总有一些奇怪的链接。“这究竟是哪里来的,感觉很酷。”出于这样的好奇,他开始接触安全技术,读研时更是索性选择了网络安全专业。

大学期间接触了SRC和漏洞平台的男仔无才在听说先知平台以后,就合计着“过来尝试尝试”。“现在的安全氛围挺不错的,在研究技术的同时还可以赚一些外快。比如一个在校生,通过挖漏洞已经可以基本解决自己的生活费用,大牛们更是做到足以补贴家用了。自己能获取一些生活所需,又能帮助企业的安全建设,利人利己,何乐而不为呢?”

男仔无才的生活准则是“踏实地学习,快乐地生活”。他这样解释“踏实地学习”:“别人学习的时候你也在学习,那是应该的;别人在玩的时候你在学习,那是赚的。”后半句则无需多言,安全研究已经赋予他足够的乐趣。对他来说,先知的模式就像是网络游戏一样充满乐趣,不同点在于,游戏需要投入,挖漏洞却可以赚钱:“赚些零花钱买点儿花生瓜子小吃果盘饮料啥的,多好啊。”

对于未来,他的期许也幽默感十足:“期待先知的下一个版本,让所有拿到积分的童鞋都可以兑换上小礼物,至少应该换件T-shirt嘛——大牛们在群里一直嚷着没衣服穿,都要光着腚啦。”

熊猫:“人是最大的bug”
在提及安全最薄弱的环节时,“男仔无才”笑着说:“大概是人吧,因为是人在一直写bug。”在这一点上,没有谁比熊猫感受得更深刻了。

“人才是一个企业的根本,以前人们总是说,安全源于信息的不对称,漏洞产生于人们对安全的无知。现在我们可以借助许多先进的扫描器去发现很多系统上的漏洞,但是并没有去试图解决那个导致漏洞的人,也就无法避免再出现类似的错误。只有从根本上去加强企业人员的安全素质,才可以更好地推行企业安全制度,从根本上解决企业安全问题。”

对于人造成的安全问题,熊猫认为好的解决之道也在于人,而众测恰恰“以人为本”的:“安全包含方方面面,每个人的擅长的领域也各不相同,众测会让你发挥你擅长的东西去进行测试,各个层面最擅长的人去做自己最擅长的事情,尽可能多地为企业发现漏洞。并且有运营人员的把控,减少了厂商和白帽子之间不必要的麻烦。”

对于新人,熊猫郑重地给出了一句忠告:“千万别来。”随后他又笑着补充了一句:“你们来了,我的奖金肯定被你们抢光啦,哈哈。”

点击收藏 | 0 关注 | 0
登录 后跟帖